Organisatie | Noordoostpolder |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Regeling beheer en toezicht BRP Noordoostpolder 2014 |
Citeertitel | Regeling beheer en toezicht BRP Noordoostpolder 2014 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp | |
Externe bijlage | Figuur 1: distributie BRP-gegevens |
Deze regeling is vervangen door de Regeling Beheer en Toezicht burgerzaken Noordoostpolder.
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
20-11-2014 | 06-01-2014 | 01-09-2016 | nieuwe regeling | 11-11-2014 Elektronisch gemeenteblad, 2015, 516 | 279038 |
Burgemeester en wethouders van de gemeente Noordoostpolder,
Gelet op artikel 1:11 Wet basisregistratie personen en de Wet bescherming persoonsgegevens;
Gelet op het fungerende strategisch informatie beveiligingsbeleid,
Gelet op de beleidsregels oplegging bestuurlijke boete Wet BRP van de gemeente Noordoostpolder 2014 vastgesteld door het college van burgemeester en wethouders d.d. 11 november 2014 (documentnummer 278991).
Gelet op de aanwijzing door het college van burgemeester en wethouders van de toezichthouders voor de Wet BRP d.d. 11 november 2014 (documentnummer 279028)
Gelet op de aanwijzing door het college van burgemeester en wethouders van de ambtenaren gerechtigd om een verklaring onder eed of belofte af te nemen artikel 2.8, lid 2 onder sub e Wet BRP d.d. 4 oktober 2014 (documentnummer 270766)
Hoofdstuk 2: het informatiebeheer
De informatiebeheerder beheert functioneel de gemeentelijke voorziening BRP en Autorisatiebesluit BRP.
De informatiebeheerder BRP adviseert aan de beveiligingscoördinator. De beveiligingscoördinator rapporteert aan het college over de volgende aspecten:
Hoofdstuk 3: het gegevensbeheer
De gegevensbeheerder BRP beslist binnen vijf werkdagen op het in behandeling nemen van een melding van een afnemer die gerede twijfel heeft over de juistheid van een in de gemeentelijke voorziening van de basisregistratie opgenomen (authentiek) gegeven en stelt de afnemer in kennis van deze beslissing.
De gegevensbeheerder BRP is bevoegd, in overleg met de applicatiebeheerder BRP, vanuit de in artikel 11 bedoelde verantwoordelijkheid de gegevensverwerkers aanwijzingen te geven betreffende de opname en bijhouding van gegevens in de gemeentelijke voorziening voor de basisregistratie personen.
Hoofdstuk 4: het systeembeheer
De manager Informatie is verantwoordelijk voor het technisch onderhoud van het toepassingssysteem en het gegevensmagazijn waarmee de gemeentelijke voorziening voor de basisregistratie personen wordt gevoerd en beheerd.
De manager Informatie is geheel verantwoordelijk voor de uitwijkprocessen zoals beschreven in de procedure uitwijk.
Hoofdstuk 5: het applicatiebeheer
De applicatiebeheer BRP is verantwoordelijk voor een gedeeltelijke uitvoering van de uitwijkprocessen voor wat betreft het functioneel beheer van de applicatie.
De toezichthouders BRP als bedoeld in artikel 4.2. van de Wet, is verantwoordelijk voor het toezicht op de naleving van de verplichtingen van de burger ingevolge hoofdstuk 2, afdeling 1, paragraaf 5 van de Wet.
De toezichthouder BRP voorziet in de toetsing van de dossiervorming van de gegevensverwerkers en draagt het complete dossier, inclusief zijn toezichtsdossier voorzien van een voorstel tot toekenen van een boete over aan de informatiebeheerder die beslist conform de regeling bestuurlijke boete.
Hoofdstuk 9 het beveiligingsbeheer
De beveiligingsbeheerder is verantwoordelijk voor de uitvoering van het informatiebeveiligingsbeleid op het gebied van de persoonsinformatievoorziening.
De beveiligingsbeheerder is verantwoordelijk voor de uitvoering van het informatiebeveiligingsplan KCC, plant de noodzakelijke activiteiten en toetst de procedures.
De beveiligingsbeheerder ondersteunt en adviseert de informatiebeheerder op het gebied van informatiebeveiliging op zodanige wijze dat de informatiebeheerder zijn verantwoordelijkheid op grond van de artikelen 6, 7 en 8 van deze regeling deugdelijk kan invullen.
De beveiligingsbeheerder onderkent en reageert op incidenten en adviseert over de maatregelen die nodig zijn om de gevolgen van een incident te beperken en om herhaling te voorkomen. Hij rapporteert aan zowel de informatiebeheerder als de beveiligingscoordinator.
Hoofdstuk 10 controle informatie beveiliging
De controller informatiebeveiliging is verantwoordelijk voor het toezicht op naleving van beveiligingsmaatregelen en –procedures zoals uitgewerkt in het plan informatiebeveiliging KCC en met inachtneming van de voor de gemeente vastgestelde baseline informatiebeveiliging gemeenten.
De controller informatiebeveiliging is bevoegd om het management van het team klant contact centrum en andere afnemers van gegevens uit de basisregistratie personen dwingende adviezen te geven ten aanzien van de naleving van de beveiligingsvoorschriften, die voortvloeien uit de Wet en het plan informatiebeveiliging.
Medewerkers zijn voor meerdere functies uit deze beheer- en toezicht regeling aangewezen. Functiescheiding is een organisatorisch instrument om te zorgen dat het proces integer plaatsvindt. Een medewerker mag nooit verschillende rollen uitoefenen in één en dezelfde taak. Op taakniveau wordt het onderscheid in rollen gemaakt en afgetekend.
De in deze regeling opgenomen bepalingen gelden voor de gemeentelijke voorzieningen als bedoeld in artikel 1.2. juncto 1.4. van de Wet evenals voor de in de gemeentelijke voorziening genoemde aangehaakte gegevens en voor de basisgegevens uit de BRP in het gegevensmagazijn.
Deze regeling treedt in werking op de eerste dag na die waarop zij is bekend gemaakt en werkt terug tot 6 januari 2014.
Aldus vastgesteld op 11 november 2014
Het college van burgemeester en wethouders,
de secretaris de burgemeester,
Bijlage 1: Aanwijzing van beheerfunctionarissen door de informatiebeheerder
Op grond van artikel 3, lid 2 van de Beheerregeling basisregistratie personen zijn de navolgende beheerfunctionarissen aangewezen:
Als gegevensbeheerder is aangewezen: alle medewerkers van het KCC met als taakveld burgerzaken
Als applicatiebeheerder is aangewezen : alle medewerkers van het bedrijfsbureau Publieksdiensten
Als gegevensverwerkers is aangewezen : alle medewerkers van het KCC met als taakveld burgerzaken
Naast de gegevensbeheerder zijn tevens belast met het berichtenverkeer:
Alle medewerkers van het KCC met als taakveld burgerzaken.
Het namens het college van burgemeester en wethouders afnemen van de in artikel 2.8, lid 2 onder sub e, van de Wet bedoelde verklaring
Sinds 1 januari 2010 geldt voor de hele overheid, en dus ook binnen gemeenten, de verplichting om bij de uitvoering van taken gebruik te maken van persoonsgegevens uit de gemeentelijke basisadministratie persoonsgegevens (GBA), thans basisregistratie personen (BRP). Organisatieonderdelen (volgens de wet "organen") van de gemeente (voorheen gemeentelijke afnemers) dienen gegevens over de personen met wie ze zaken doen te betrekken uit de BRP.
Op grond van artikel 4.15 van de Wet BRP mag de gemeente tot aan het moment dat ze overgaat op het gebruik van een nieuwe ‘BRP-voorziening’, gebruik blijven maken van het GBA-systeem waarmee ze werkte tot aan het moment van inwerkingtreding van de Wet BRP. In aansluiting op artikel 4.15 van de Wet BRP, wordt in deze regeling de term "oude gemeentelijke voorziening voor de uitvoering van de BRP" gebruikt, in deze toelichting afgekort tot GV. In de GV registreert de gemeente gegevens over haar inwoners.
De minister van Binnenlandse Zaken en Koninkrijkrelaties is op grond van artikel 1.0 Wet BRP verantwoordelijk voor de centrale voorzieningen waarmee de Wet BRP wordt uitgevoerd. De centrale voorzieningen (afgekort CV) zullen gegevens gaan bevatten over alle personen die in Nederland woonachtig zijn (ingezetenen) en over personen die niet in Nederland wonen maar wel een relatie hebben met de Nederlandse overheid (niet-ingezetenen). Vooralsnog zal de minister van de Wet BRP uitvoering geven met behulp van de reeds bestaande landelijke voorziening voor de GBA, de GBA-V, en met een voorziening voor registratie voor de niet-ingezetenen (RNI). Het feitelijk gebruik van de RNI is inmiddels voorzien.
Figuur 1: distributie BRP-gegevens
Voor het gebruik van persoonsgegevens uit de GV (gemeentelijke voorziening) kunnen nadere regels worden gesteld bij of krachtens Verordening. De verkrijging van gegevens uit de BRP is gebaseerd op een autorisatiebesluit van de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK).
In de praktijk vindt distributie van persoonsgegevens doorgaans niet (meer) rechtstreeks vanuit de BRP plaats, maar vanuit een specifiek daarvoor ingericht gegevensmagazijn. Dat gegevensmagazijn wordt gevoed zowel vanuit de GV (inwoners) als vanuit de (toekomstige) centrale voorziening (voor niet inwoners en niet ingezetenen) Het hiervoor beschrevene wordt geïllustreerd met figuur 1.
Uit oogpunt van privacy, beveiliging en beheer en toezicht is het noodzakelijk voor de GV een aantal taken te benoemen en vast te leggen in een regeling waarin de hoofdlijnen van het beheer van en toezicht op de GV is geregeld. Los van de noodzaak verplicht ook de wetgever het college van burgemeester en wethouders via artikel 1.11 Wet BRP, zich te houden aan de nadere regels van de systeembeschrijving (vooralsnog Logisch Ontwerp GBA). Het logisch ontwerp schrijft in hoofdstuk 8 de aanwijzing door burgemeester en wethouders voor van functionarissen die een aantal beheertaken uitvoeren.
De regeling is formeel gezien bedoeld voor de gegevensverwerking in de GV. Op de gegevens van inwoners en niet-inwoners in het gegevensmagazijn is de Wet bescherming persoonsgegevens (Wbp) van toepassing. De verwerking van de uit de BRP afkomstige gegevens met behulp van het gegevensmagazijn dient te worden gemeld bij het College bescherming persoonsgegevens (Cbp), maar de Wbp schrijft geen vergelijkbare regeling voor.
Desondanks is het van belang om uit oogpunt van eenheid van persoonsinformatie- en privacy beleid en beheersbaarheid van de informatiestromen ook de voor het gegevensmagazijn relevante beheeraspecten onder te brengen respectievelijk te integreren in de regeling voor de GV. Daarmee ontstaat een “regeling voor informatievoorziening basisgegevens BRP" die zowel betrekking heeft op het beheer van de GV als op het gegevens magazijn.
Naast de aanwijzing door burgemeester en wethouders van functionarissen die een aantal beheertaken uitvoeren, schrijft de wet basisregistratie personen artikel 4.17 ook voor dat het college ambtenaren dient aan te wijzen die toezien op de verplichtingen van de burger ingevolge hoofdstuk 2, artikel 1 paragraaf 5. Het college heeft de mogelijkheid om bij overtreding van de in artikel 4.17 van de genoemde artikelen een bestuurlijke boete op te legen.
Verdeling beheer– en toezichtrollen
Deze regeling onderkent naast een aantal beheerrollen, te weten informatiebeheer, gegevensbeheer, applicatiebeheer, technisch beheer, beveiligingsbeheer en privacybeheer ook de rol van de gegevensverwerker, toezichthouder en controller informatiebeveiliging. Inhoudelijke verantwoordelijkheid voor de basisgegevens van personen die niet tot de bevolking van de gemeente worden gerekend, ligt namelijk bij de beheerder van de GV’s van de andere gemeenten en bij de beheerder van de centrale voorzieningen, de Minister van BZK.
De verdeling van de beheer- en toezichtrollen is mede afhankelijk van de inrichting van de (persoons-) informatiehuishouding en het informatie0 en beveiligingsbeleid van de gemeente. De taken, verantwoordelijkheden en bevoegdheden per rol en de bijbehorend competenties zijn richtinggevend voor de plaats in de organisatie waar deze belegd worden.
Beveiligingsbeheer en beveiligingscontrol
De inhoud van de rol van de beveiligingsbeheerder had onder het regime van de GBA vooral betrekking op toezichtsaspecten (beveiligingscontrol). Voor een correcte uitvoering van beveiligingsbeheer en –toezicht (en tevens aansluiting op de baseline informatiebeveiliging gemeenten) is het noodzakelijk gebleken om de inhoud van beheer en toezicht in aparte rollen onder te brengen. De regeling bevat nu in hoofdstuk 9 het beveiligingsbeheer en in hoofdstuk 10 het beveiligingstoezicht (control).
De privacybeheerder BRP heeft als rol de informatiebeheerder te adviseren over alle privacyvraagstukken aangaande de persoonsgegevensverwerking waarvoor de informatiebeheerder verantwoordelijk is. Daarnaast adviseert de privacybeheerder degenen die belast zijn met de dagelijkse uitvoering van de werkzaamheden in het kader van de Wet en Verordening BRP.
De taken van de privacybeheerder beperken zich in deze regeling niet tot de verwerking van persoonsgegevens uit de GV. Verzoeken uit de organisatie om gegevens uit de GV zowel als uit de centrale voorzieningen dienen door de privacybeheerder getoetst te worden op doelbinding, rechtmatigheid, proportionaliteit, et cetera. Daaronder valt ook de advisering over wijze van verstrekking van gegevens uit de BRP en over koppelingen tussen het gegevensmagazijn en de verschillende systemen van de gebruikers in de organisatie. De privacybeheerder adviseert de informatiebeheerder, die moet beslissen op dergelijke verzoeken. Een verzoek kan inhouden gebruik te maken van de bestaande ministeriele autorisatie, maar ook uitbreiding van de autorisatie in verband met de uitvoering van een taak die nog niet in het autorisatiebesluit is voorzien.