Organisatie | Zoetermeer |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Besluit van het college van burgemeester en wethouders van de gemeente Zoetermeer houdende regels omtrent basisregistratie personen Privacy- en beheerregeling BRP |
Citeertitel | Privacy- en beheerregeling BRP |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Deze regeling vervangt de Privacy- en beheerregeling BRP van 19 mei 2015.
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
10-11-2017 | 29-03-2019 | nieuwe regeling | 05-09-2017 |
Hoofdstuk 1 Algemene bepalingen
Aangehaakt gegeven: Opgenomen gegeven anders dan bepaald bij of krachtens de Wet;
Algemeen beheerder: De functionaris, functioneel verantwoordelijk voor de dagelijkse zorg voor de BRP;
Applicatie: De gemeentelijke voorziening zoals bedoeld in artikel 1.9 van de Wet en de voorziening die gebruikt wordt voor het raadplegen van persoonsgegevens door een binnengemeentelijk overheidsorgaan;
Applicatiebeheerder: De functionaris, belast met het beheer van de applicatie;
Authentiek gegeven: Een in de BRP opgenomen gegeven dat bij wettelijk voorschrift als authentiek wordt aangemerkt;
Autorisatie: Het binnen de applicatie toekennen van het niveau van gebruikersmogelijkheden aan gegevensverwerkers en overheidsorganen die een orgaan van de gemeente zijn;
Autorisatiebesluit: Het besluit als bedoeld in artikel 3.2 lid 1 van de Wet ten aanzien van de verantwoordelijke, betreffende de systematische verstrekking van persoonsgegevens uit de BRP;
Beveiligingsfunctionaris: De functionaris, belast met het toezicht op de naleving van de informatiebeveiligingsvoorschriften;
Besluit bevolkingsboekhouding: het Besluit bevolkingsboekhouding zoals dat gold op de laatste dag voor de intrekking van de Wet bevolkings- en verblijfsregisters;
BRP: De basisregistratie personen, zoals bedoeld in artikel 1.1 van de Wet BRP;
Bewerker: Degene of de rechtspersoon, niet behorende tot de organisatie van de verantwoordelijke, die technische en administratieve werkzaamheden met betrekking tot de BRP verricht;
overheidsorgaan: Elk overheidsorgaan dat een orgaan is van de gemeente Zoetermeer;
Derde: Elke natuurlijke persoon niet zijnde een overheidsorgaan of een ingeschrevene en elke rechtspersoon die niet krachtens publiekrecht is ingesteld, noch met enig openbaar gezag is bekleed;
Gegevensbeheerder: De functionaris, belast met het beheer van de in de Applicatie voorkomende persoonsgegevens;
Informatiebeveiligingsplan: Het aan de hand van het beleid en een risicoanalyse beschreven samenhangend geheel van maatregelen dat de beschikbaarheid, integriteit, vertrouwelijkheid en betrouwbaarheid van het BRP-informatiesysteem garandeert;
Ingeschrevene: Degene ten aanzien van wie een persoonslijst als bedoeld in artikel 1.1 van de Wet, in de BRP is opgenomen;
Ingezetene: De ingeschrevene, die zijn adres heeft in een gemeente in Nederland, en op wiens persoonslijst niet het gegeven van zijn overlijden of van vertrek uit Nederland als actueel gegeven is opgenomen;
Gegevensverwerker: De functionaris, belast met de verwerking van BRP-gegevens;
Gegevensverwerking: Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
Logisch Ontwerp: De technische- en procedurele uitwerking van de Wet;
Overheidsorgaan: Een orgaan van een rechtspersoon die krachtens publiekrecht is ingesteld, of
een ander persoon of college, met enig openbaar gezag bekleed;
Persoonsregister: Het register als bedoeld in het Besluit bevolkingsboekhouding;
Privacybeheerder: De functionaris die, uitsluitend voor wat betreft de in de BRP opgenomen gegevens, belast is met de bescherming van de persoonlijke levenssfeer van de personen op wie deze gegevens betrekking hebben;
Regeling: De privacy- en beheerregeling basisregistratie persoonsgegevens (BRP);
Restore: Het herstellen van de Applicatie naar een eerder moment;
Selectieverstrekking: De verstrekking van een selectie van BRP-gegevens. De selectie wordt gemaakt aan de hand van vooraf bepaalde kenmerken (criteria);
Systeembeheer: Het onderdeel van de gemeentelijke organisatie, belast met het beheer van de server en de database en de beschikbaarheid van de applicatie op de werkplek van de gegevensverwerker en het binnengemeentelijk overheidsorgaan;
Systematische verstrekking: De verstrekking of het verstrekken van gegevens uit de basisregistratie, bedoeld in artikel 3.1, tweede lid;
Terugmeldverplichting: De verplichting voor overheidsorganen om bij gerede twijfel over de juistheid van een authentiek gegeven hiervan mededeling te doen aan de verantwoordelijke;
Toezichthouder: De functionaris, ingevolge artikel 4.2 van de Wet belast met het toezicht op de naleving van de verplichtingen van de burger;
Uitwijk: Het gebruik van voorzieningen in het geval dat de normale applicatie of reguliere werklocatie buiten gebruik is;
Verantwoordelijke: Het college van burgemeester en wethouders van Zoetermeer;
Verordening: De verordening BRP;
Verwijsgegevens: Gegevens die bij uitschrijving van een persoon bewaard blijven om een persoonslijst te lokaliseren;
Wbp: Wet bescherming persoonsgegevens;
Zelfevaluatie: De periodieke zelfevaluatie als bedoeld in artikel 4.3 van de Wet.
De in dit artikel genoemde functionarissen hebben toegang tot alle in de BRP opgenomen gegevens. Deze functionarissen zijn bevoegd deze gegevens tevens aan te wenden voor de uitvoering van de andere publieke taken waarvoor zij zijn aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.
Artikel 4 Het autorisatiebesluit
De bevoegdheden die de functionarissen op grond van artikel 3 hebben gekregen met betrekking tot het beheer van de BRP, zijn voor zover mogelijk ook van toepassing op het autorisatiebesluit voor zover het betrekking heeft op het beheer, de naleving, de vertegenwoordiging, de bevoegdheid, de applicatie en de directe toegang.
Artikel 5 Overeenkomst systeembeheer
De algemeen beheerder sluit een overeenkomst met de afdeling die binnen de gemeente is belast met het systeembeheer, voor de in deze regeling opgenomen taken en de nadere uitwerking ervan.
Hoofdstuk 2 Bepalingen met betrekking tot het gebruik van gegevens
Artikel 7 Verplicht gebruik van authentieke gegevens
Met inachtneming van artikel 1.7 van de Wet is het binnengemeentelijk overheidsorgaan verplicht om bij vervulling van de taak de authentieke gegevens uit de BRP te gebruiken.
Hoofdstuk 3 Bepalingen met betrekking tot de verstrekking van gegevens
Artikel 12 Overige gegevensverstrekkingen
Hoofdstuk 4 De algemeen beheerder
Artikel 16 Zelfevaluatie en rapportage
De algemeen beheerder verleent zijn medewerking aan de beveiligingsfunctionaris ten behoeve van de jaarlijkse rapportage aan de verantwoordelijke over de resultaten van de zelfevaluatie. De algemeen beheerder kan functionarissen aanwijzen die de beveiligingsfunctionaris ondersteunen bij alle activiteiten rondom de uitvoering van de zelfevaluatie.
De algemeen beheerder stelt de procedures en werkinstructies vast die betrekking hebben op de taken die zijn genoemd in deze regeling.
Door of in opdracht van de algemeen beheerder wordt toegezien op de naleving door de binnengemeentelijke overheidsorganen van de verplichtingen genoemd in artikel 7, 8 en 9 van deze regeling en artikel 1.7 van de Wet. De binnengemeentelijke overheidsorganen zijn gehouden hun medewerking hieraan te verlenen. De algemeen beheerder rapporteert jaarlijks over zijn bevindingen aan de verantwoordelijke.
Hoofdstuk 5 De gegevensbeheerder
Artikel 20 Functionele verantwoordelijkheid
De gegevensbeheerder is functioneel verantwoordelijk voor de data integriteit (actualiteit, compleetheid, juistheid en invoer op basis van geldende richtlijnen en aangewezen brondocumenten) van de BRP-gegevens in de gemeente.
Artikel 21 Nieuwe- en gewijzigde versies applicatie
De gegevensbeheerder beslist over installatie van nieuwe- en of gewijzigde versies van de applicatie na deze te hebben getest.
Hoofdstuk 6 De applicatiebeheerder
Artikel 25 Functionele verantwoordelijkheid
De applicatiebeheerder is in samenwerking met systeembeheer functioneel (mede-)verantwoordelijk voor het functioneren en de beschikbaarheid van de applicatie bij de gemeente.
De applicatiebeheerder adviseert de algemeen beheerder omtrent gehele- of gedeeltelijke uitwijk in samenspraak met systeembeheer.
Artikel 27 Coördinatie werkzaamheden bij uitwijk en restore
De applicatiebeheerder coördineert in samenwerking met systeembeheer de werkzaamheden in geval van uitwijk en restore.
De applicatiebeheerder is bevoegd tot het geven van aanwijzingen aan de gebruikers van de applicatie inzake het gebruik van de applicatie.
Artikel 31 Functionele verantwoordelijkheid
Systeembeheer is functioneel verantwoordelijk voor het functioneren en beheren van de server waarop de applicatie is geplaatst en de database bij de gemeente, alsmede voor de beschikbaarheid van de applicatie overeenkomstig hetgeen daarover op grond van artikel 5 van deze regeling met de algemeen beheerder en met de leverancier is overeengekomen.
Hoofdstuk 8 De privacybeheerder
Artikel 37 Functionele verantwoordelijkheid
De privacybeheerder is functioneel verantwoordelijk voor de bescherming van de persoonlijke levenssfeer van de personen over wie gegevens in de BRP opgenomen zijn en de vertrouwelijkheid van de gegevens.
Artikel 38 Rechtmatigheid van verstrekkingen
De privacybeheerder adviseert de algemeen beheerder over de te maken afspraken en de rechtmatigheid van verstrekkingen als bedoeld in hoofdstuk 3 van deze regeling.
Hoofdstuk 9 De gegevensverwerker
Artikel 43 Beslissingsbevoegdheid
De gegevensverwerker beslist op aangiften en verzoekschriften die op grond van de Wet worden gedaan, voor zover hier niet op andere wijze in is voorzien.
Hoofdstuk 11 De beveiligingsfunctionaris
De beveiligingsfunctionaris krijgt de volledige medewerking van de in deze regeling genoemde functionarissen voor zover die noodzakelijk is voor de beschreven taakuitvoering.
Hoofdstuk 12 Overige bepalingen
De verantwoordelijke stelt eisen en doelstellingen vast aan de technische en organisatorische informatiebeveiliging en aan de betrouwbaarheid van de BRP-gegevens.
Artikel 52 Informatiebeveiligingsplan
De algemeen beheerder stelt jaarlijks een informatiebeveiligingsplan vast waarin het beleid zoals bedoeld in artikel 51 wordt uitgewerkt. Dit plan wordt opgesteld in samenspraak met de betrokken functionarissen en na het uitvoeren van een risicoanalyse en de rapportages als bedoeld in artikel 48.
De in deze regeling opgenomen bepalingen gelden naast de BRP– voor zover mogelijk – ook voor het bevroren register.
Bijlage 1 bij de Privacy- en beheerregeling BRP
Bijlage bij artikel 9, tweede lid
Overzicht van binnengemeentelijke overheidsorganen:
Indien gegevens ter beschikking worden gesteld, betreft het altijd minimaal de volgende set aan gegevens:
Wordt onderzoek gedaan naar de juistheid van een ter beschikking gesteld gegeven, of is vast komen te staan dat een gegeven onjuist is, dan wordt dit meeverstrekt. Tevens wordt inzage verleend in terugmeldingen.
Voor zover noodzakelijk voor de uitvoering van de taak, kunnen tevens de volgende gegevens van een persoon worden verstrekt:
Tot slot kunnen gegevens worden verstrekt met betrekking tot de geboorteplaats en –land van de persoon zelf, de ouders, de partner en het kind.
In deze bijlage is het maximaal te verstrekken gegevens per afdeling opgenomen. Indien een afdeling meerdere taken uitvoert waarvoor persoonsgegevens noodzakelijk zijn, kan per taak gedifferentieerd worden wat betreft de feitelijk te verstrekken gegevens. Richtlijn voor deze differentiatie is het autorisatiebesluit.
Bijlage 2 bij de Privacy- en beheerregeling BRP
Bijlage bij artikel 12, tweede lid
Verzoek tot onderbewindstelling, ondercuratelestelling of zaakwaarneming bij de rechtbank | |
Instelling of organisatie t.b.v. onderbewindstelling, ondercuratelestelling of zaakwaarneming | |
Maatschappelijk werk (Jeugd welzijn, ouderenzorg, gezondheidszorg en gehandicaptenzorg) | |
Instelling of organisatie t.b.v. maatschappelijke dienstverlening | |
De Wet basisregistratie personen (Wet BRP) regelt het vastleggen en verstrekken van persoonsgegevens. De Wet BRP schrijft voor dat bij of krachtens gemeentelijke verordening de verstrekking van gegevens op gemeentelijk niveau geregeld dient te worden. Op grond van de Zoetermeerse verordening dient het college de binnengemeentelijke persoonsinformatievoorziening te regelen. Daarnaast wijst het college derden aan indien deze vallen onder het genoemde in bijlage 1 van de Verordening BRP. Deze punten hebben betrekking op het privacydeel van de regeling. Daarnaast is het regelen van het beheer van de BRP opgenomen in het beheerdeel van de regeling. Hieronder volgt een toelichting per hoofdstuk.
Hoofdstuk 1Algemene bepalingen
In het eerste hoofdstuk zijn de algemene bepalingen opgenomen. De volgende zaken komen in dit hoofdstuk voor:
Hoofdstuk 2 Bepalingen met betrekking tot het gebruik van gegevens
Het tweede hoofdstuk richt zich op de gemeentelijke organisatie.
In de Wet is het volgende bepaald:
De algemeen beheerder vervult een centrale regierol binnen de gemeente als het gaat om de binnengemeentelijke persoonsinformatievoorziening (zie het volgende hoofdstuk). In dit hoofdstuk is opgenomen dat de algemeen beheerder eenzelfde rol vervult bij de zogenaamde terugmeldverplichting. Geconstateerde afwijkingen in de BRP worden bij hem gemeld. Om dit op een effectieve wijze te organiseren, is hij bevoegd om voorwaarden te stellen over de wijze van terugmelden en heeft hij een informatieplicht ten aanzien van de andere gemeentelijke afdelingen.
Hoofdstuk 3 Bepalingen met betrekking tot de verstrekking van gegevens
Het derde hoofdstuk regelt de volgende zaken:
Het doel van artikel 9 is het regelen van de binnengemeentelijke persoonsinformatievoorziening. In de Wet BRP is het voorgeschreven dat dit bij of krachtens verordening moet. In de verordening is dit overgedragen aan het college. Dit artikel omvat de volgende regels:
Het doel (en de middelen die worden ingezet om dat doel te bereiken) van artikel 10 is vergelijkbaar met dat van artikel 9. In artikel 10 gaat het om de incidentele selectieverstrekking aan alle overheidsorganen.
Voor de volledigheid volgt hier een toelichting op de gebruikte begrippen.
Overheidsorgaan: Onderscheid wordt gemaakt in buitengemeentelijke overheidsorgaan (een ander bestuursorgaan) en binnengemeentelijk overheidsorgaan (een organisatieonderdeel van de gemeente Zoetermeer).
Incidenteel: Een verzoek om gegevensverstrekking dat eenmalig is. Betreft het een terugkerend verzoek, dan zou het om een systematische verstrekking gaan. Systematische verstrekkingen aan buitengemeentelijke overheidsorganen vinden plaats op grond van een autorisatiebesluit van de minister van Binnenlandse Zaken en Koninkrijksrelaties. Het systematisch verstrekken van gegevens aan binnengemeentelijke overheidsorganen is geregeld in artikel 9.
Selectie: Een groep van personen geselecteerd op basis van vooraf bepaalde kenmerken.
In artikel 11 zijn bepalingen opgenomen over de incidentele selectieverstrekkingen ten behoeve van onderzoeksdoeleinden. De bepalingen komen vrijwel geheel overeen met bepalingen uit artikel 9.
Artikel 12 bevat bepalingen over gegevensverstrekking aan derden. In bijlage 1 bij de verordening zijn de werkzaamheden en categorieën van derden vastgesteld. Er wordt niet eerder verstrekt dan dat een derde aangewezen is door het college en opgenomen is in bijlage 2 bij deze regeling. De aanwijzing door het college van burgemeester en wethouders volgt na een voorstel van de algemeen beheerder. Daarnaast worden voorwaarden op het gebied van informatiebeveiliging en privacybescherming gesteld waaraan de rechtspersonen moeten voldoen. Tot slot zijn de beoordelingscriteria opgenomen waaraan een verzoek van de inmiddels aangewezen derde wordt beoordeeld. In bijlage 2 zijn de derden opgenomen die al aangewezen zijn onder de verordening GBA en ook in aanmerking komen voor verstrekking van gegevens uit de BRP.
Het is mogelijk om meer persoonsgegevens op te nemen in de applicatie dan is voorgeschreven in de Wet BRP. Deze gegevens worden aangehaakte gegevens genoemd. In artikel 13 zijn bepalingen opgenomen over het ter beschikking stellen van gegevens. In principe worden deze gegevens alleen ter beschikking gesteld aan de binnengemeentelijke overheidsorganen. Deze gegevens worden alleen aan een andere partij verstrekt, wanneer hiertoe een wettelijke grondslag bestaat. De voorwaarden zijn verder hetzelfde als voor reguliere BRP-gegevens, tenzij bij wet anders is bepaald.
Hoofdstuk 4 De algemeen beheerder
Hoofdstuk 4 voorziet in de taken en bevoegdheden van de algemeen beheerder. Artikel 14 bevat bepalingen over zijn bevoegdheden bij een verzoek om gegevensverstrekking. In artikel 15-17 wordt achtereenvolgens ingegaan op de uitwijk naar een andere locatie, zelfevaluatie, het uitbrengen van rapportages en het vaststellen van procedures en werkinstructies. In artikel 18 wordt ingegaan op de regierol bij het gebruik van persoonsgegevens binnen de gemeente. Jaarlijks wordt onderzocht of de gemeentelijke afdelingen op een correcte wijze uitvoering geven aan de wettelijke voorschriften en aan hetgeen schriftelijk is overeengekomen. Daarover rapporteert hij aan het college. Artikel 19 regelt de vertegenwoordiging van het college in overleggen met betrekking de BRP.
Hoofdstuk 5 De gegevensbeheerder
Hoofdstuk 5 (artikel 20-24) voorziet in de verantwoordelijkheden, taken en bevoegdheden van de gegevensbeheerder. De gegevensbeheerder, aangewezen door de algemeen beheerder, is belast met de zorg voor de data integriteit. De gegevens dienen actueel te zijn, compleet, juist, betrouwbaar en ingevoerd volgens de geldende richtlijnen en op basis van aangewezen brondocumenten. Om dit te bereiken, beschikt hij over enkele bevoegdheden en worden er verschillende taken gespecificeerd.
Hoofdstuk 6 De applicatiebeheerder
Hoofdstuk 6 (artikel 25-30) voorziet in de verantwoordelijkheden, taken en bevoegdheden van de applicatiebeheerder. De applicatiebeheerder, aangewezen door de algemeen beheerder, is belast met de zorg voor het functioneren en de beschikbaarheid van de applicatie. Deze verantwoordelijkheid deelt hij met systeembeheer (hoofdstuk 7).
Hoofdstuk 7 (artikel 31-36) voorziet in de verantwoordelijkheden, taken en bevoegdheden van systeembeheer. Systeembeheer is verantwoordelijk is voor het functioneren en beheren van de server met de applicatie en de database. Daarnaast deelt systeembeheer een verantwoordelijkheid met de applicatiebeheerder wat betreft de beschikbaarheid van de applicatie. De algemeen beheerder en systeembeheer sluiten een overeenkomst af over de taken die systeembeheer heeft. De voornaamste taken zijn gespecificeerd in artikel 32, 33 en 34.
Hoofdstuk 8 De privacybeheerder
Hoofdstuk 8 (artikel 37-41) voorziet in de verantwoordelijkheden, taken en bevoegdheden van de privacybeheerder. De privacybeheerder, aangewezen door de algemeen beheerder, is belast met de zorg voor de bescherming van de persoonlijke levenssfeer van de ingeschrevenen en de vertrouwelijkheid van de gegevens.
Hoofdstuk 9 De gegevensverwerker
Hoofdstuk 9 (artikel 42-44) voorziet in de taken en bevoegdheden van de gegevensverwerker. De gegevensverwerker, aangewezen door de algemeen beheerder, heeft de taak om gegevens in de BRP te verwerken en uit de BRP te verstrekken. Hij volgt daarbij de instructies van de algemeen beheerder, de gegevensbeheerder, de applicatiebeheerder, systeembeheer en de privacybeheerder.
Hoofdstuk 10 (artikel 45) voorziet in de taakomschrijving van de toezichthouder. Er wordt voornamelijk verwezen naar de bevoegdheden en verplichtingen uit de Wet BRP en de Algemene wet bestuursrecht.
Hoofdstuk 11De beveiligingsfunctionaris
Hoofdstuk 11 (artikel 46-50) voorziet in de verantwoordelijkheden en bevoegdheden van de beveiligingsfunctionaris. De beveiligingsfunctionaris, aangewezen door het college om de onafhankelijkheid te waarborgen, ziet toe op de naleving van de informatiebeveiligingsvoorschriften door de functionarissen die genoemd zijn in deze regeling. De functionarissen zijn verplicht medewerking te verlenen. Wat de zelfevaluatie betreft is de beveiligingsfunctionaris aangewezen om namens het college de zogenaamde uittreksels te ondertekenen en te versturen aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de toezichthouder. De beveiligingsfunctionaris rapporteert jaarlijks aan het college over de resultaten van de zelfevaluatie. De taken van de beveiligingsfunctionaris worden benoemd in een beleidsdocument.
Hoofdstuk 12Overige bepalingen
In hoofdstuk 12 (artikel 51-53) zijn bepalingen opgenomen over de informatiebeveiliging, de betrouwbaarheid van BRP-gegevens en de vernietiging van BRP-bescheiden.
In hoofdstuk 13 (artikel 54-56) zijn bepalingen opgenomen over het bevroren register (het oude bevolkingsregister), het intrekken van de oude regeling en de citeertitel.