Organisatie | Rotterdam |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Regeling beheer en toezicht gemeentelijke basisregistratie personen Rotterdam 2019 |
Citeertitel | Regeling beheer en toezicht gemeentelijke basisregistratie personen Rotterdam 2019 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
22-05-2019 | Nieuwe regeling | 14-05-2019 | GBL 2019, 58 |
Het college van burgemeester en wethouders van de gemeente Rotterdam,
gelezen het voorstel van de concerndirecteur Dienstverlening van 15 april 2019 met kenmerk 3224113,
overwegende, dat het noodzakelijk is de hoofdlijnen van het beheer van de gemeentelijke basisregistratie personen in een regeling vast te leggen;
De gegevensbeheerder beslist binnen vijf werkdagen op het in behandeling nemen van een melding van een overheidsorgaan dat gerede twijfel heeft over de juistheid van een in de gemeentelijke voorziening van de basisregistratie personen opgenomen (authentiek) gegeven en stelt het overheidsorgaan in kennis van deze beslissing.
De gegevensbeheerder is bevoegd, in overleg met de applicatiebeheerder BRP, vanuit de in artikel 17 bedoelde verantwoordelijkheid de gegevensverwerkers aanwijzingen te geven betreffende de opname en het bijhouden van gegevens in de gemeentelijke voorziening voor de basisregistratie personen.
De inhoudelijke kwaliteit van het bestand van persoonslijsten van ingezetenen wordt onderworpen aan de zelfevaluatie.
De toezichthouders bedoeld in artikel 4.2 van de wet, zijn verantwoordelijk voor het toezicht op de naleving van de verplichtingen van de burger ingevolge hoofdstuk 2, afdeling 1, paragraaf 5 van de wet.
De toezichthouder controleert of de burger voldoet aan zijn verplichtingen met betrekking tot in ieder geval de inschrijving in de BRP, als bedoeld in artikel 2.38 van de wet, de wijziging van diens adres, als bedoeld in artikel 2.39 van de wet, het rechtmatig gebruik van een briefadres, als bedoeld in de artikelen 2.40 tot en met 2.42 van de wet, zijn vertrek uit Nederland, als bedoeld in artikel 2.43 van de wet en de verstrekking van alle inlichtingen die nodig zijn voor het bijhouden van de BRP.
De toezichthouder ziet er op toe dat, indien de burger niet zelf aan zijn verplichtingen voldoet of kan voldoen, de verplichtingen worden vervuld door degene die daartoe bevoegd is op grond van de artikelen 2.49 en 2.50 van de Wet BRP.
De toezichthouder voert zijn werkzaamheden uit in samenspraak met de gegevensverwerker en koppelt het resultaat van zijn werkzaamheden terug aan de gegevensverwerker.
Paragraaf 8 Functioneel beheer
De functioneel beheerder is bevoegd tot het geven van aanwijzingen aan de gegevensverwerkers, bedoeld in paragraaf 6 van deze regeling en aan de organisatieonderdelen van de gemeente Rotterdam, die rechtstreeks toegang hebben tot de basisregistratie personen.
De functioneel beheerder voorziet in:
het faciliteren en vastleggen van de autorisatieniveaus die aan gegevensverwerkers, gegevensbeheerder, applicatiebeheerder, informatiebeheerder, overheidsorganen die een orgaan zijn van de gemeente en de in artikel 12, onder b, van deze regeling genoemde derden die op grond van een besluit van de informatiebeheerder zijn toegewezen;
Paragraaf 9 Applicatiebeheer en technisch beheer
De applicatiebeheerder en technisch beheerder adviseren de informatiebeheerder over de installatie van nieuwe of gewijzigde versies van de gemeentelijke voorziening.
De applicatiebeheerder en technisch beheerder zijn verantwoordelijk voor het technisch onderhoud van de gemeentelijke voorziening en rapporteert hierover aan de informatiebeheerder.
Bijlage Functieverdeling behorende bij artikel 3 van deze regeling.
Gelet op de artikelen 1.10 en 1.11 van de Wet Basisregistratie personen (BRP) is het noodzakelijk om taken, bevoegdheden en verantwoordelijkheden te beschrijven in een beheerregeling BRP. De Regeling beheer en toezicht BRP geeft hier invulling aan.
Op 6 januari 2014 is de wet BRP in werking getreden. De wet bepaalt dat alle persoonsgegevens in één centrale registratie worden opgenomen: de Basisregistratie personen (BRP). De BRP is onderdeel van een stelsel van Basisregistraties en omvat de gegevens van de gemeentelijke administraties en de registratie Niet-Ingezetenen. De gemeenten beheren de gegevens van ‘ingezetenen’, de inwoners van Nederland. In de Registratie Niet-Ingezetenen (RNI) staan persoonsgegevens van personen die niet in Nederland wonen, maar wel een relatie met Nederland hebben, of personen die korter dan vier maanden in Nederland verblijven. De Rijksdienst voor Identiteitsgegevens (RvIG) beheert de RNI.
Sinds 1 januari 2010 geldt volgens artikel 1.7 van de wet voor bestuursorganen de verplichting om bij de uitvoering van taken gebruik te maken van de persoonsgegevens uit de Basisregistratie personen. Naast het verplichte gebruik geldt ook de verplichte terugmelding. Dit houdt in dat alle afnemers en ook gemeentelijke organisatieonderdelen verplicht zijn bij twijfel over een persoonsgegeven hiervan melding te doen bij de betreffende gemeente.
In artikel 1.10 van de Wet BRP en artikel 6 van het besluit BRP stelt de wetgever dat er nadere regels gesteld moeten worden aan de technische en administratieve inrichting, de beveiliging van de Basisregistratie personen en de privacybescherming.
De regeling beheer en toezicht is afgestemd op de beheeraspecten (technisch, procedureel en organisatorisch) rond de BRP. De maatregelen op het procedureel en organisatorische vlak zijn in deze regeling nader uitgewerkt, beschreven en vastgelegd en voor een ieder ter inzage gelegd.
In artikel 1.11 Wet BRP verplicht de wetgever het college van burgemeester en wethouders zich te houden aan de nadere regels van de systeembeschrijving (vooralsnog Logisch Ontwerp). Het logisch ontwerp schrijft in hoofdstuk 7 voor dat het college van burgemeester en wethouders functionarissen aan moet wijzen dat een aantal beheertaken uitvoert.
De gemeente is verantwoordelijk voor de kwaliteit van de persoonsgegevens in de BRP. De kwaliteit wordt onder andere gewaarborgd door het doen van een jaarlijkse zelfevaluatie naar de kwaliteit van gegevens en de processen. In de vragenlijst van de zelfevaluatie zijn vragen opgenomen, gerelateerd aan de Baseline Informatiebeveiliging Gemeenten (BIG) en over de vastlegging van de verschillende beheerstaken.
De regeling beheer en toezicht BRP beschrijft een aantal beheerrollen, te weten informatiebeheer, gegevensbeheer, applicatiebeheer, technisch beheer, functioneel beheer, beveiligingsbeheer, privacybeheer en toezicht. Daarnaast ook de rollen van de gegevensverwerker, toezichthouder en de beveiligingsbeheerder BRP. In de bijlage van de regeling zijn deze rollen aan functies toegekend.
In de regeling beheer en toezicht BRP zijn de werkzaamheden van de medewerkers die direct met de BRP werken geformaliseerd. Taken en verantwoordelijkheden zijn afgebakend. Hieronder vallen onder andere een adequate gegevensverwerking, de beschikbaarheid van het systeem en het waarborgen van de rechten van de geregistreerde. De kwaliteit en continuïteit van de BRP worden gewaarborgd door de invulling van de beheerfuncties en het maken van duidelijk vastgelegde afspraken over het beheer.
Elke functie draagt zorg voor de continuïteit van gegevensverwerking, alsmede voor de betrouwbaarheid en de actualiteit van de opgeslagen persoonsgegevens. Tevens moet zorg gedragen worden voor een doelmatige informatievoorziening, waarbij rekening gehouden wordt met de bescherming van de persoonlijke levenssfeer.
De regeling beheer en toezicht BRP voorziet in de invulling van de volgende beheertaken:
Hierna volgt een korte beschrijving van de diverse beheertaken. De beheerfuncties zijn ingevoerd binnen de organisatiestructuur van cluster Dienstverlening en cluster Bestuurs- en Concernondersteuning. Vanwege de structuur van de organisatie valt aan vermenging van een aantal functies niet te ontkomen.
Paragraaf 1 Algemene bepalingen
In deze paragraaf worden definities gegeven van de belangrijke actoren en elementen in de regeling beheer en toezicht BRP.
Het betreft hier het functioneel inhoudelijk beheer en het verstrekkingenbeheer van de basisregistratie personen, zoals die is gedefinieerd in artikel 1. De bronhouder beheert inhoud en kwaliteit van de gegevens in de basisregistratie en stelt tevens leveringsvoorwaarden (i.c. privacyvoorwaarden) aan de verstrekking van gegevens uit de basisregistratie.
De gegevensverstrekking binnen de gemeentelijke organisatie over niet-inwoners uit basisregistraties van andere gemeenten, dient gebaseerd te zijn op het autorisatiebesluit van de minister van BZK. Het beheer en de uitvoering van dat autorisatiebesluit, maken deel uit van het functioneel inhoudelijk en verstrekkingenbeheer van de basisregistratie personen.
De hier beschreven beheerrol is belegd bij de concerndirecteur Dienstverlening. Van belang is hierbij op te merken dat voor de verstrekking van gegevens aan organisatieonderdelen van de gemeente Rotterdam, gebruik gemaakt wordt van het stelselbeheersysteem (gegevensmagazijn) waarvan het beheer niet bij de bronhouder is belegd, maar bij het cluster Bestuurs- en Concernondersteuning (BCO), afdeling Informatiemanagement. Het betreft hier een gegevensmagazijn, waar de BRP deel van uitmaakt. Hoewel in hiërarchische zin niet verantwoordelijk voor deze oplossing, blijft de concerndirecteur Dienstverlening wel functioneel inhoudelijk verantwoordelijk. De functionaris bij de afdeling Informatiemanagement van BCO die belast is met de verstrekking van gegevens uit de BRP ontvangt functioneel inhoudelijke sturing van de concerndirecteur Dienstverlening.
Paragraaf 2 Het informatiebeheer
In deze paragraaf worden de taken, de verantwoordelijkheden en de bevoegdheden van de informatiebeheerder beschreven.
Het college van burgemeester en wethouders is verantwoordelijk voor de verwerking van persoonsgegevens in de BRP. De concerndirecteur Dienstverlening is beheerder van de BRP en in die hoedanigheid informatiebeheerder.
Het informatiebeheer omvat het geheel van activiteiten gericht op beleidsvoorbereiding op grond van de BRP, de ontwikkeling van kwaliteitsprocedures, de beveiligingsprocedures, de verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures.
De in artikel 5 genoemde persoonsinformatievoorziening houdt eveneens het privacybeleid in.
Met het houden van overleg en het vastleggen van bepaalde beslissingen op het gebied van de informatiebeveiliging kan worden aangetoond dat aan de verplichtingen in het kader van de zelfevaluatie wordt voldaan.
Paragraaf 3 Het beveiligingsbeheer
De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan BRP en waardedocumenten. De beveiligingsbeheerder rapporteert periodiek (minimaal eens per jaar) aan het college van burgemeester en wethouders en de portefeuillehouder, zo nodig zonder tussenkomst van de concerndirecteur Dienstverlening.
Onder beveiligingsbeheerder wordt verstaan: een medewerker die kennis en ervaring heeft op het gebied van informatiebeveiliging en op dit terrein een adviserende en coördinerende rol kan vervullen.
De beveiligingsbeheerder is verantwoordelijk voor:
De beveiligingsbeheerder verstrekt daarnaast gevraagd en ongevraagd adviezen om te komen tot het gewenste beveiligingsniveau.
De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan BRP en waardedocumenten. De beveiligingsbeheerder rapporteert hierover periodiek (minimaal eens per jaar) aan de directie en de burgemeester. In het Informatiebeveiligingsplan BRP en waardedocumenten zijn onder andere de volgende onderdelen opgenomen:
Artikel 9 regelt de verantwoordelijkheid van de beveiligingsbeheerder ten aanzien van de beperkte toegang tot de BRP die wordt verleend aan derden.
Artikel 10 lid a regelt het toezicht op zowel de implementatie als naleving van de interne en de wettelijk bepaalde beveiligingsvoorschriften.
Artikel 10 lid b geeft de beveiligingsbeheerder de bevoegdheid te adviseren aan de beheerder van de BRP over beveiligingsvoorschriften uit de Wet BRP en het informatiebeveiligingsplan BRP en waardedocumenten.
De BRP is een registratie van personen waarop onder ‘normale’ omstandigheden de AVG van toepassing zou zijn. De Wet BRP kent echter een eigen stelsel van privacybescherming, dit is ook vastgelegd in de Aanpassingswet AVG. Het college van burgemeester en wethouders heeft als verantwoordelijke van de BRP te zorgen voor een zorgvuldige gegevensverstrekking.
Veel van de dagelijkse verstrekkingen zijn gebaseerd op bepalingen als genoemd in de Wet BRP. Verstrekkingen aan vrije derden en organisatieonderdelen van de gemeente Rotterdam zijn geregeld in de Verordening gegevensverstrekking basisregistratie personen Rotterdam 2018 en de Regeling gegevensverstrekking basisregistratie personen Rotterdam 2019.
Manager Proces, Data & Innovatie van cluster Dienstverlening is privacybeheerder. De privacybeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer van de ingeschrevenen bij het verzamelen en het verwerken van gegevens en de informatievoorziening.
Ten behoeve van het toezicht op de naleving van de privacyvoorschriften is er een verordening gegevensverstrekking basisregistratie personen en een regeling gegevensverstrekking basisregistratie personen. Op basis hiervan zijn de systematische verstrekkingen aan bestuursorganen die een orgaan zijn van de gemeente, de toegang van die bestuursorganen tot de BRP en de verbanden tussen de BRP en andere gegevensverzamelingen en -verstrekkingen aan vrije derden geregeld.
Er wordt door de privacybeheerder toezicht gehouden op de behandeling van de rechten die belanghebbenden op grond van de AVG hebben.
Artikel 13 bepaalt de bevoegdheid tot het geven van aanwijzingen en advies.
Artikel 14 geeft de privacybeheerder de taak toezicht te hebben op de afhandeling van verzoeken om geheimhouding van gegevens alsmede de afhandeling van verzoeken van de burger om inzage in de geregistreerde gegevens, de verstrekte gegevens (protocollering) en de gegevensverwerking.
De privacybeheerder is inhoudelijk verantwoordelijk voor de jaarlijkse publicatie in dag-, nieuws- of huis-aan-huisbladen over het geheimhoudingsrecht voor ingeschrevenen.
Artikel 15 regelt de betrokkenheid van de privacybeheerder inzake beslissingen waarbij bescherming van de persoonlijke levenssfeer van belanghebbenden een rol speelt.
Paragraaf 5 Het gegevensbeheer
De gegevensbeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het verzamelen van de gegevens, het verwerken van de gegevens en de informatievoorziening.
De artikelen 17 en 18 regelen de verantwoordelijkheid en de bevoegdheid van de gegevensbeheerder over de inhoud van de BRP en de verantwoordelijkheid voor de documentatie rond de BRP.
De gegevensbeheerder is bevoegd instructies te geven over de opname, het muteren en het bijhouden van de BRP. Hiervoor dient hij schriftelijke instructies te geven.
Paragraaf 6 De gegevensverwerking
Gegevensverwerking is geen beheertaak, maar een uitvoerende functie. Voor een goed beheer van de BRP is deze functie echter onontbeerlijk. De gegevensverwerkers zijn de medewerkers die de dagelijkse uitvoeringsprocedures toepassen. Verwerkers zijn de medewerkers die op grond van artikel 3 zijn aangewezen als verwerker van gegevens.
De gegevens die door de gegevensverwerkers worden verwerkt zijn ontleend aan betreffende aangifteformulieren en brondocumenten. Deze gegevens worden op voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opgenomen in het gegevensbestand. Voor een goed beheer van de BRP is het noodzakelijk dat de brondocumenten goed worden gearchiveerd.
Artikel 22 verwijst in lid a naar de Wet BRP, het Logisch Ontwerp (LO) en de Handleiding Uitvoeringsprocedures (HUP). Het artikel geeft de gegevensverwerkers onder andere de opdracht tot juiste, volledige, nauwkeurige en actuele verwerkingen. Tevens wordt de opdracht gegeven tot het toetsen, verzamelen en archiveren van brondocumenten en het doen van kennisgevingen.
Als toezichthouders op grond van de wet BRP zijn door het College van Burgemeester & Wethouders medewerkers van cluster Dienstverlening en van cluster Stadsbeheer aangewezen.
Paragraaf 8 Het functioneel beheer
De functioneel beheerder is verantwoordelijk voor het geheel van activiteiten gericht op het ondersteunen van de gemeentelijke voorziening en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening. De leverancier van de BRP-applicatie heeft de regelgeving op het BRP-gebied verwerkt in de programmatuur. Na plaatsing van nieuwe versies zorgt de functioneel beheerder ervoor dat de gebruikers op de hoogte worden gebracht van de wijzigingen die consequenties hebben voor de uitvoering van procedures.
Bij cluster Dienstverlening worden bepaalde taken van functioneel beheer in samenspraak met de applicatiebeheerder en de technisch beheerder van cluster Bestuurs- en Concernondersteuning uitgevoerd.
Artikel 30 geeft een opsomming van verplichtingen die direct voortvloeien uit wet- en regelgeving, welke worden opgedragen aan de functioneel beheerder.
Artikel 31 geeft de functioneel beheerder de bevoegdheid aanwijzingen te geven.
Artikel 32 regelt de bevoegdheid van de functioneel beheerder om autorisaties toe te kennen aan zowel de gegevensverwerkers als de bestuursorganen die een orgaan zijn van de gemeente.
Artikel 33 regelt de adviserende rol van de functioneel beheerder aan de informatiebeheerder in geval van uitwijk en installatie van nieuwe of gewijzigde toepassingen van het systeem.
Paragraaf 9 Het applicatiebeheer en technisch beheer
Het applicatiebeheer en technisch beheer worden uitgevoerd door cluster Bestuurs- en Concernondersteuning. De applicatiebeheerder en de technische beheerder zijn verantwoordelijk voor het geheel van activiteiten gericht op het onderhouden van de technische aspecten van de gemeentelijke voorziening. De belangrijkste procedures zijn back-up en herstel, uitwijk en beveiliging.
De applicatiebeheerder en technisch beheerder moeten tevens voorzieningen treffen voor en voorwaarden stellen aan het gebruik van verwijderbare gegevensdragers. Daarbij moet ook worden gedacht aan logins van leveranciers voor onderhoud op afstand van de gemeentelijke voorziening.
De Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2014 dient te worden ingetrokken.
Dit gemeenteblad 2019, nummer 58, is uitgegeven op 15 mei 2019 en ligt op dins-, woens- en donderdagen van 9.00 tot 13.00 uur ter inzage bij het Bestuurlijk Informatiecentrum Rotterdam (BIR), locatie Wachtruimte Timmerhuis, Halvemaanpassage 1 (trap op, melden bij Informatiebalie)
(Zie ook: www.bis.rotterdam.nl – Regelgeving of Gemeentebladen chronologisch)