Ziet u een fout in deze regeling? Meld het ons op regelgeving@overheid.nl!

Smallingerland

Besluit van het college van burgemeester en wethouders van de gemeente Smallingerland houdende regels omtrent het beheer en toezicht van de gemeentelijke basisregistratie personen (Regeling beheer en toezicht BRP Smallingerland 2021)

Wetstechnische informatie

Gegevens van de regeling
Organisatie	Smallingerland
Organisatietype	Gemeente
Officiële naam regeling	Besluit van het college van burgemeester en wethouders van de gemeente Smallingerland houdende regels omtrent het beheer en toezicht van de gemeentelijke basisregistratie personen (Regeling beheer en toezicht BRP Smallingerland 2021)
Citeertitel	Regeling beheer en toezicht BRP Smallingerland 2021
Vastgesteld door	college van burgemeester en wethouders
Onderwerp	bestuur en recht
Eigen onderwerp

Opmerkingen met betrekking tot de regeling

Geen

Wettelijke grondslag(en) of bevoegdheid waarop de regeling is gebaseerd

Overzicht van in de tekst verwerkte wijzigingen
Datum inwerkingtreding	Terugwerkende kracht tot en met	Datum uitwerkingtreding	Betreft	Datum ondertekening Bron bekendmaking	Kenmerk voorstel
02-07-2021			nieuwe regeling	22-06-2021 gmb-2021-209824

Tekst van de regeling

Intitulé

Besluit van het college van burgemeester en wethouders van de gemeente Smallingerland houdende regels omtrent het beheer en toezicht van de gemeentelijke basisregistratie personen (Regeling beheer en toezicht BRP Smallingerland 2021)

Burgemeester en wethouders van de gemeente Smallingerland,

Gelet op

►
artikel 1.4 Wet BRP;
►
artikel 14 (oud) Wet GBA;
►
artikel 1.9 lid 2, 1.10 sub a (Logisch Ontwerp GBA) en 1.11 lid 1 Wet BRP;
►
artikel 4.2 Wet BRP;
►
artikel 6 Besluit BRP;
►
het Logisch Ontwerp 3.12 paragraaf 7.4.5;
►
de Baseline Informatiebeveiliging Overheid (BIO);
►
de Algemene Verordening Gegevensbescherming (AVG).

Besluiten:

Vast te stellen de navolgende regeling beheer en toezicht BRP Smallingerland 2021:

Hoofdstuk 1 Begripsbepalingen

Artikel 1

Deze regeling verstaat onder:

De wet : de Wet basisregistratie personen (Wet BRP);

Het besluit : het Besluit basisregistratie personen (Besluit BRP);

De verordening : de Algemene verordening gegevensbescherming (AVG);

De Awb : de Algemene wet bestuursrecht;

Het plan : Informatiebeveiligingsplan BRP, reisdocumenten en rijbewijzen.

Het college : het college van Burgemeester en Wethouders;

BRP : de gemeentelijke basisregistratie personen;

GBA-V : de landelijke basisregistratie personen;

Ingeschrevene : een persoon die is ingeschreven in de BRP;

Ingezetene : een persoon die is ingeschreven is in de BRP en in leven is;

Gegevens : de gegevens als bedoeld in artikel 2.7, eerste lid, en 2.69, eerste lid van de wet;

Authentiek gegeven : een gegeven aangemerkt als authentiek in Bijlage 1 van het Besluit BRP;

Informatie : gegevens met bepaalde betekenis;

Informatiesysteem : applicatie waarin de BRP wordt bijgehouden;

Bijhoudingsgemeente : de gemeente waarvan het college van burgemeester en wethouders op grond van artikel 1.4 van de wet verantwoordelijk is voor de bijhouding van de persoonslijst;

CISO : Chief Information Security Officer;

FG : Functionaris Gegevensbescherming;

Gebruiker : de op grond van artikel 3.3 lid 1, 3.6 lid 2 of 3.8 lid 1 van de wet aangewezen derde of orgaan van de gemeente;

Terugmelding : verplichte melding van een gebruiker over een afwijking in authentieke gegevens.

Hoofdstuk 2 Aanwijzen rollen

Artikel 2

De volgende rollen voor de BRP worden aangewezen:

a.
Gegevensbeheer
De teammanager Klantcontact is aangewezen als gegevensbeheerder.
b.
Gegevensverwerkers en gegevensverstrekkers
De medewerkers team Klantcontact zijn aangewezen als gegevensverwerkers en gegevensverstrekkers BRP.
c.
Kwaliteitsbeheer, Privacybeheer en Beveiligingsbeheer
De kwaliteitsmedewerkers burgerzaken team Informatie en Analyse zijn aangewezen als Kwaliteitsbeheerder BRP, Privacybeheerder BRP en Beveiligingsbeheerder BRP.
d.
Functioneel (applicatie)beheer
De functioneel beheerders burgerzaken, team Informatie en Analyse zijn aangewezen als functioneel (applicatie)beheerder BRP.
e.
Systeembeheer
De systeembeheerders team Services zijn aangewezen als systeembeheerder BRP.
f.
Toezicht
De medewerkers team Sociaal ondersteunend zijn aangewezen als toezichthouder BRP voor wat betreft artikel 33 tot met 37 en artikel 39 en 40
Daarnaast zijn de medewerkers team Vergunningen, Toezicht en Handhaving, aangewezen als toezichthouder BRP voor wat betreft artikel 38 en 39.
g.
Beveiligingscontrol
De CISO is aangewezen als beveiligingscontroller BRP. De FG is aangewezen als zijn vervanger.

Hoofdstuk 3 Beheren van de gegevens

Artikel 3

De gegevensbeheerder BRP beheert de gegevens opgenomen in de BRP.

Artikel 4

De gegevensbeheerder BRP is verantwoordelijk voor:

a.
De juistheid, actualiteit en betrouwbaarheid van de gegevens bedoeld in artikel 3;
b.
De naleving van wet- en regelgeving met betrekking tot het bijhouden en verstrekken van gegevens door de gegevensverwerkers en gegevensverstrekkers;
c.
Het binnen 5 werkdagen beslissen op een terugmelding.

Artikel 5

De gegevensbeheerder ziet erop toe dat:

a.
Verzoeken om gegevensverstrekking uit de BRP op basis van Hoofdstuk 3 van de wet of het Reglement gegevensverstrekking BRP Smallingerland 2020 afgehandeld worden;
b.
Incidenten met betrekking tot de BRP binnen 24 uur na constatering worden gemeld aan de kwaliteitsbeheerder en beveiligingscontroller
c.
De regels over de inrichting, de bijhouding, de privacy en de beveiliging van de BRP nageleefd worden;
d.
Er aangifte wordt gedaan bij de politie in het geval van vermoeden van fraude met persoonsgegevens.

Artikel 6

De gegevensbeheerder is bevoegd:

a.
De gegevensverwerkers aanwijzingen te geven betreffende de opname en bijhouding van gegevens in de BRP;
b.
De gegevensverstrekkers aanwijzingen te geven betreffende de verstrekking van gegevens uit de BRP;
c.
Namens het college aangifte te (laten) doen bij de politie van het vermoeden van fraude met persoonsgegevens.

Hoofdstuk 4 Verwerken van gegevens

Artikel 7

De gegevensverwerker geeft uitvoering aan hoofdstuk 2 van de wet en hoofdstuk 2 van het besluit volgens de regels van het Logisch Ontwerp GBA en behulp van de Handleiding Uitvoeringsprocedures. De gegevensverwerker:

a.
Behandelt en beslist op verzoeken naamgebruik (artikel 2.56 van de wet), neemt kindgegevens op (artikel 2.56a van de wet) verwijdert op verzoek gegevens in het geval van adoptie of geslachtswijziging (artikel 2.57 van de wet) en rectificeert persoonsgegevens (artikel 2.58 van de wet en artikel 16 en 17 van de verordening) en verwerkt de aantekening tot het niet verstrekken gegevens aan derden (artikel 2.59 van de wet);
b.
Bewaart documenten waaraan gegevens in de BRP ontleend zijn, volgens de bewaartermijnen vermeld in Bijlage 6 van de Regeling BRP.
c.
Ontleent gegevens over de persoon, de ouders, het huwelijk, de echtscheiding, het geregistreerd partnerschap, de ontbinding geregistreerd partnerschap en de kindgegevens aan documenten als vermeld artikel 2.8, dan wel 2.8a van de wet met in achtneming van artikel 2.9, 2.10 en 2.11 lid 1 van de wet;
d.
Ontleent gegevens over gezag of curatele aan het curateleregister of gezagsregister (artikel 2.13 van de wet);
e.
Ontleent gegevens over de nationaliteit als het gaat om Nederlanderschap aan de Rijkswet op het Nederlanderschap in overeenstemming met artikel 2.14 van de wet;
f.
Ontleent gegevens over een vreemde nationaliteit aan een document als bedoeld in artikel 2.15 van de wet;
g.
Ontleent, bij het ontbreken van een document als bedoeld in artikel 2.15 van de wet, gegevens over een vreemde of onbekende nationaliteit of staatloosheid aan een mededeling van Onze Minister van Veiligheid en Justitie (artikel 2.17 van de wet);
h.
Handelt dagelijks, op werkdagen, de vrije berichten, de berichten die handmatig verwerkt moeten worden en foutberichten af, overeenkomstig het Logisch Ontwerp GBA, bijlage III Berichtenboek;
i.
Controleert dagelijks de belangrijkste actualiseringen in de BRP die de vorige (werk)dag in de BRP zijn verwerkt;
j.
Informeert ingeschrevene over de verwerking van:
- -
  De wijziging van het naamgebruik (artikel 2.56 van de wet);
- -
  Het verzoek tot verwijderen van gegevens bij adoptie en geslachtswijziging (artikel 2.57 van de wet);
- -
  De wijziging van persoonsgegevens (artikel 2.58 van de wet);
- -
  De wijziging van adresgegevens (artikel 2.39 van de wet);
k.
Doet in overleg met de gegevensbeheerder, in het geval van (vermoedelijke) fraude van persoonsgegevens, aangifte hiervan bij de politie;
l.
Meldt uitval van het informatiesysteem bij de functioneel (applicatie)beheerder;
m.
Beheert documenten zoals bijvoorbeeld uittreksels, brieven en formulieren in het BRP-systeem samen met de functioneel (applicatie)beheerder en de gegevensverstrekkers;
n.
Meldt incidenten met betrekking tot de BRP, binnen 24 uur na constatering, aan de kwaliteitsbeheerder en beveiligingscontroller BRP.
o.
Zorgt voor de ambtshalve inschrijving van een persoon op een adres of het ambtshalve emigreren van een persoon (vertrek uit Nederland).

Artikel 8

De gegevensverwerker:

a.
Beslist op aangiften en verzoeken die betrekking hebben op de bijhouding van persoonsgegevens als vermeld in hoofdstuk 2 van de wet;
b.
Beslist over het verwerken van resultaten van onderzoeken die zijn ingesteld naar aanleiding van een melding van een overheidsorgaan;
c.
Stelt overheidsorganen in kennis van de beslissing ingevolge sub b van dit artikel.

Hoofdstuk 5 Verstrekken van gegevens

Artikel 9

De gegevensverstrekker:

a.
Verstrekt informatie uit de BRP op grond van hoofdstuk 3, afdeling 1 paragraaf 2 en 3 van de wet met behulp van de procedures: ‘Verstrekking van gegevens aan organen van de gemeente’, ‘Verstrekking gegevens uit de BRP’ en ‘Verstrekkingsbeperking’ behorende bij het Informatiebeveiligingsplan BRP, reisdocumenten en rijbewijzen.
b.
Verstrekt aan ingezetene, in het geval van een eerste of een herinschrijving in de BRP (artikel 2.3, 2.4, 2.38 en artikel 2.54 van de wet) een volledig overzicht van de persoonslijst. Daarbij stelt de gegevensverstrekker ingezetene op de hoogte van het recht op verstrekkingsbeperking (artikel 2.59 van de wet) en de informatie vermeld in artikel 13 en 14 van de verordening;
c.
Handelt binnen vier weken verzoeken om inzage (artikel 15 van de verordening) af, met inachtneming van artikel 2.55 van de wet. Deze verzoeken kunnen op grond van artikel 2.53 lid 2 van de wet gedaan worden door een ieder;
d.
Verwerkt het verzoek om verstrekkingsbeperking (artikel 2.59 van de wet), binnen vier weken of, in het geval het verzoek bij de aangifte verblijf en adres wordt gedaan, direct bij deze aangifte;
e.
Toetst of het verstrekkingsverzoek waarbij de persoon verstrekkingsbeperking heeft (artikel 2.59 van de wet) de persoonlijke levenssfeer onevenredig schaadt (artikel 3.21 lid 2 van de wet);
f.
Beslist, op grond van de uitkomsten van de toets als bedoeld onder e van dit artikel, op het verstrekkingsverzoek.
g.
Beheert documenten zoals bijvoorbeeld uittreksels, brieven en formulieren in het BRP-systeem samen met de functioneel (applicatie)beheerder en de gegevensverwerkers.

Hoofdstuk 6 Kwaliteitsbeheer

Artikel 10

De kwaliteitsbeheerder BRP rapporteert aan het college over de kwaliteit van de gegevens opgenomen in de BRP.

Artikel 11

De kwaliteitsbeheerder:

a.
Rapporteert de resultaten van het jaarlijkse onderzoek (artikel 4.3 lid 1 van de wet) (zelfevaluatie BRP) aan het college;
b.
Stuurt de resultaten van het jaarlijkse onderzoek naar de Autoriteit Persoonsgegevens (AP) en naar de minister van Binnenlandse Zaken en Koninkrijksrelaties (artikel 4.3 lid 2 en lid 4 van de wet);
c.
Adviseert, op grond van de resultaten genoemd bij punt a, de gegevensbeheerder over het verbeteren van de kwaliteit van BRP-gegevens en het beheer van de BRP;
d.
Adviseert de gegevensbeheerder op verzoek en zo nodig over de kwaliteit, het beheer en ontwikkelingen op het gebied van de BRP;
e.
Controleert de werking en de naleving van de richtlijnen ten aanzien van het beheer en toezicht van de BRP en rapporteert en adviseert daarover aan de gegevensbeheerder;
f.
Stelt verordeningen, regelingen, reglementen en procedures op ten aanzien van de BRP of actualiseert deze zo nodig;
g.
Toetst autorisatieverzoeken voor rechtstreekse toegang tot het BRP- of GBA-V-systeem van binnengemeentelijke gebruikers aan het Reglement gegevensverstrekking BRP Smallingerland;
h.
Communiceert periodiek en bij aanvang van de autorisatie over de geldende rechten en plichten ten aanzien van het gebruik van de autorisaties onder i van dit artikel;
i.
Controleert periodiek of autorisaties, onder g van dit artikel, actueel zijn en volgens de wettelijke richtlijnen worden gebruikt;
j.
Rapporteert de bevindingen van de onder i van dit artikel bedoelde controle aan de gegevensbeheerder en de beveiligingscontroller BRP.

Artikel 12

De kwaliteitsbeheerder:

a.
Maakt een jaarlijkse planning van beheeractiviteiten met betrekking tot de BRP;
b.
Overlegt periodiek met de in artikel 2 van deze regeling aangewezen beheerders;
c.
Overlegt periodiek met de gegevensverwerkers en gegevensverstrekkers;
d.
Stelt richtlijnen en procedures op om de BRP bij te houden en te beheren voor zover hier niet door of bij de wet in is voorzien;
e.
Stelt richtlijnen en procedures op over het gebruik van de BRP en GBA-V voor zover hier niet door of bij wet in is voorzien;
f.
Controleert de persoonslijsten die jaarlijks door de RvIG worden geselecteerd en rapporteert de resultaten van de controle aan het college;
g.
Coördineert en monitort de afhandeling van de maandelijkse meldingen van de BCM kwaliteitsmonitor (RvIG) met betrekking tot de kwaliteit van de BRP;
h.
Voert de jaarlijkse zelfevaluatie BRP uit (artikel 4.3 van de wet);
i.
Controleert of de richtlijnen en procedures onder d en e van dit artikel worden gevolgd en rapporteert de resultaten van de controle aan de gegevensbeheerder en aan de beveiligingscontroller;
j.
Analyseert de meldingen onder g van dit artikel en de resultaten van de zelfevaluatie en controles onder h en i van dit artikel en past de richtlijnen en procedures hier zo nodig op aan.

Hoofdstuk 7 Privacybeheer

Artikel 13

De privacybeheerder adviseert over selectieverzoeken tot het verkrijgen van gegevens uit de BRP op grond van het Reglement gegevensverstrekking BRP Smallingerland.

Artikel 14

De privacybeheerder adviseert het college over de privacyaspecten die voortvloeien uit de uitvoering van de wet, de Verordening gegevensverstrekking BRP Smallingerland en het Reglement gegevensverstrekking BRP Smallingerland.

Artikel 15

De privacybeheerder stelt procedures op over het:

a.
Behandelen van verzoeken om inzage in de BRP overeenkomstig artikel 2.55 van de wet en artikel 15 van de verordening (inzage);
b.
Toepassen van het recht op verstrekkingsbeperking als bedoeld in artikel 3.21 van de wet;
c.
Bijhouden aan wie de afgelopen twintig jaar gegevens zijn verstrekt overeenkomstig artikel 3.23 van de wet (protocolplicht).

Artikel 16

De privacybeheerder is bevoegd alle gebruikers van de BRP:

a.
Aanwijzingen te geven over het gebruik van BRP-gegevens in het kader van de privacy;
b.
Advies en aanwijzingen te geven over alle BRP-procedures waarbij de privacy van persoonsgegevens in het geding is.

Artikel 17

De privacybeheerder:

a.
Registreert incidenten met betrekking tot inbreuk op de privacy van persoonsgegevens en stelt maatregelen voor om de gevolgen van het incident te beperken en herhaling te voorkomen;
b.
Stelt passende normen en beveiligingsmaatregelen op om de BRP inzichtelijk te maken en de privacy-risico’s te prioriteren en te beperken;
c.
Implementeert de normen en maatregelen onder b en coördineert de uitvoering hiervan.

Artikel 18

De privacybeheerder wordt betrokken bij alle bezwaarprocedures die voortvloeien uit beslissingen op grond van de wet en daarbij behorende regelingen voor zover hierbij privacyaspecten aan de orde zijn.

Hoofdstuk 8 Beveiligingsbeheer

Artikel 19

De beveiligingsbeheerder adviseert het college over de beveiligingsaspecten die voortvloeien uit de uitvoering van de wet en het plan.

Artikel 20

De beveiligingsbeheerder voorziet in het:

a.
Inrichten, organiseren en uitvoeren van beleid op het gebied van de beveiliging van de BRP;
b.
Opstellen, actualiseren en uitvoeren van het plan;
c.
Legt het plan jaarlijks voor aan het college ter vaststelling;
d.
Informeert de gegevensbeheerder, de gegevensverwerkers en de gegevensverstrekkers over de vaststelling van het plan.

Artikel 21

De beveiligingsbeheerder is bevoegd alle gebruikers van de BRP:

a.
Aanwijzingen te geven over de beveiliging van de BRP;
b.
Advies en aanwijzingen te geven over alle BRP-procedures waarbij de beveiliging van de BRP in het geding is.

Artikel 22

De beveiligingsbeheerder:

a.
Registreert incidenten met betrekking tot de beveiliging van de BRP en stelt maatregelen voor om de gevolgen van het incident te beperken en herhaling te voorkomen;
b.
Stelt passende normen en beveiligingsmaatregelen op om de BRP inzichtelijk te maken en de beveiligingsrisico’s te prioriteren en te beperken;
c.
Implementeert de normen en maatregelen onder b en coördineert de uitvoering hiervan.

Artikel 23

De beveiligingsbeheerder is het aanspreekpunt op het gebied van de beveiliging van de BRP en informeert management en medewerkers over het belang van de beveiliging van de BRP en ontwikkelingen op dit gebied.

Artikel 24

De beveiligingsbeheerder wordt betrokken bij de ENSIA en het invullen van de ENSIA-vragenlijst voor wat betreft het domein BRP.

Artikel 25

De beveiligingsbeheerder voorziet het college jaarlijks van een rapportage over de stand van zaken met betrekking tot de beveiliging van de BRP.

Hoofdstuk 9 Functioneel (applicatie)beheer

Artikel 26

De functioneel (applicatie)beheerder:

a.
Informeert de gebruikers over incidenten van het BRP- of GBA-V-systeem;
b.
Zet meldingen van incidenten met betrekking tot het BRP- of GBA-V-systeem in ticketsysteem van de organisatie;
c.
Verwerkt de autorisaties tot het BRP- of GBA-V-systeem in overeenstemming met de aanwijzingen van de kwaliteitsbeheerder BRP;
d.
Test, analyseert, evalueert en beoordeelt releases, patches, certificaten en nieuwe apparatuur met betrekking tot het BRP- of GBA-V-systeem in overleg met gebruikers, al dan niet met een tesplan/script;
e.
Lost de onder b vermelde incidenten op, zo nodig door inschakeling van de systeembeheerder of meldt dit eventueel in een ticketsysteem van een leverancier;
f.
Informeert de systeembeheerder en de kwaliteitsbeheerder over installatie van nieuwe of gewijzigde versies van het BRP- en GBA-V-systeem en de impact daarvan;
g.
Test jaarlijks de werking van de back-up van het BRP-systeem en de uitwijkvoorziening en rapporteert en adviseert daarover aan de gegevensbeheerder en de beveiligingscontroller;
h.
Zorgt, in het geval van een uitwijk, voor de werking en de continuïteit van het BRP- en GBA-V-systeem op de uitwijklocatie en stemt dit af met de gegevensbeheerder, de kwaliteitsbeheerder r, de systeembeheerder en de beveiligingscontroller;
i.
Beheert documenten zoals bijvoorbeeld uittreksels, brieven en formulieren in het BRP-systeem samen met de gegevensverwerkers en -verstrekkers;
j.
Handelt verzoeken om managementinformatie en om kengetallen af;
k.
Signaleert, analyseert en evalueert ontwikkelingen en leemtes op het gebied van de inrichting en de werking van het BRP- en GBA-V-systeem en adviseert de gegevensbeheerder, de kwaliteitsbeheerder, gegevensverstrekkers en gegevensverwerkers over functionele mogelijkheden van het systeem.

Artikel 27

De functioneel (applicatie)beheerder:

a.
Richt het BRP- en GBA-V-systeem naar behoren en optimaal in;
b.
Controleert of nieuwe releases en patches en certificaten tijdig en op juiste wijze door de systeembeheerder geïnstalleerd zijn/worden;
c.
Zorgt voor instructies, ondersteuning en begeleiding als het gaat om het gebruik van het BRP- en GBA-V-systeem;
d.
Schoont verouderde bestanden tijdig op aansluitend op archiefwet en AVG.
e.
Installeert (landelijke) tabellen tijdig voor wat betreft het BRP-systeem;
f.
Bewaart relevante gebruikersdocumentatie met betrekking tot het BRP-systeem.

Artikel 28

De functioneel (applicatie)beheerder informeert de gebruikers, de gegevensbeheerder, de kwaliteitsbeheerder en andere functioneel (applicatie)beheerders van systemen die gekoppeld zijn aan de BRP (via DDS) over het onderhoud, de inrichting en de werking van het BRP-systeem.

Artikel 29

De functioneel (applicatie)beheerder is bevoegd de gebruikers van het BRP- en GBA-V-systeem en van applicaties gekoppeld via DDS aan het BRP-systeem, aanwijzingen te geven over het gebruik van deze systemen of koppelingen.

Hoofdstuk 10 Systeembeheer

Artikel 30

De systeembeheerder is verantwoordelijk voor het technisch onderhoud van het BRP- en GBA-V-systeem.

Artikel 31

De systeembeheerder voorziet in:

a.
De fysieke beveiliging van het BRP- en GBA-V-systeem;
b.
De dagelijkse back-up van het BRP-systeem en bewaard de back-up in een beveiligde ruimte op een andere locatie dan waar het BRP-systeem is opgesteld;
c.
De technische installatie van gewijzigde of nieuwe releases of patches en/of certificaten van het BRP- en GBA-V-systeem in overleg met de functioneel (applicatie)beheerder;
d.
De beschikbaarheid en continuïteit van het BRP- en GBA-V-systeem.
e.
Bewaart relevante systeemtechnische documentatie van de het BRP- en GBA-V-systeem

Artikel 32

De systeembeheerder is bevoegd:

a.
Direct maatregelen te treffen wanneer de continuïteit van het BRP-systeem acuut in het geding is en informeert (eventueel achteraf) de gegevensbeheerder, kwaliteitsbeheerder , functioneel (applicatie)beheerder en beveiligingscontroller;
b.
Aanwijzingen te geven over:
- -
  Het beheren van het BRP-systeem;
- -
  Het beheren van bestanden opgeslagen in het BRP-systeem;
- -
  Reconstructiemaatregelen met betrekking tot het BRP-systeem.

Hoofdstuk 11 Toezichthouder BRP

Artikel 33

De toezichthouder BRP als bedoeld in artikel 4.2 van de wet, ziet toe op de naleving van de verplichtingen van de burger als bedoeld in hoofdstuk 2, afdeling 1, paragraaf 5 van de wet.

Artikel 34

De toezichthouder BRP ziet erop toe dat de burger:

a.
Zich inschrijft in de BRP als bedoeld in artikel 2.38 van de wet;
b.
Zijn nieuwe adres doorgeeft als bedoeld in artikel 2.39 van de wet,
c.
Alleen een briefadres krijgt en gebruikt op grond van en in overeenstemming met artikel 2.23 2.38 lid 1, 2.39 lid 3, 2.40, 2.41, 2.42 en 2.45 lid 2 en 3 van de wet en in overeenstemming met de Regeling briefadressen BRP Smallingerland en het Aanwijzingsbesluit instellingen als briefadresgever Smallingerland
d.
Zijn vertrek uit Nederland doorgeeft als bedoeld in artikel 2.43 van de wet,
e.
Alle inlichtingen en benodigde documenten verstrekt die nodig zijn voor de bijhouding van de BRP als bedoeld in artikel 2.44, 2.45 lid 1 en 4, 2.46 en 2.47 van de wet.

Artikel 35

De toezichthouder BRP ziet erop toe dat, als de burger niet zelf zijn verplichtingen vervult of kan vervullen, deze door iemand anders vervult worden in overeenstemming met artikel 2.49, 2.50 of 2.51 van de wet.

Artikel 36

De toezichthouder BRP heeft bij het uitoefenen van zijn taak zijn legitimatiebewijs bij zich en toont deze op verzoek. Het legitimatiebewijs wordt afgegeven door het college en is voorzien van de toezichthouder foto, naam en functie als bedoeld in artikel 5:12 lid 3 Awb. Het model van het legitimatiebewijs is vastgesteld bij regeling van Onze Minister van Veiligheid en Justitie.

Artikel 37

De toezichthouder BRP is bevoegd om:

a.
Elke plaats te betreden met de benodigde apparatuur (zoals bijvoorbeeld een tablet/laptop en/of een apparaat om foto's te maken). Betreding van de woning mag alleen met toestemming van de bewoner als bedoeld in artikel 1 van de Wet op het binnentreden;
b.
De hulp van de politie in te schakelen om toegang te krijgen;
c.
Zich te laten vergezellen door personen die door hem zijn aangewezen;
d.
Inlichtingen te vorderen;
e.
Inzage te vorderen van een identiteitsbewijs als bedoeld in artikel 1 van de Wet op de identificatieplicht;
f.
Inzage te vorderen van zakelijke gegevens, kopieën te maken of documenten mee te nemen om te kopiëren;
g.
Onderzoek te doen;
h.
Een rapport van bevindingen op te maken van het onderzoek.

Deze bevoegdheden heeft hij op grond van artikel 5:15, 5:16, 5:16a, 5:17, 5:18 en 5:19 Awb.

Artikel 38

De toezichthouder BRP controleert adressen waar geen personen staan ingeschreven. De controle wordt uitgevoerd aan de hand van een actuele lijst met leegstaande woningen.

Artikel 39

De toezichthouder BRP voert zijn taken uit in overleg met de gegevensverwerker en koppelt zijn bevindingen terug aan de gegevensverwerker.

Artikel 40

De toezichthouder BRP legt zijn bevindingen vast in een rapportage en zorgt dat deze in het dossier komt.

Hoofdstuk 12 Controle van de beveiliging

Artikel 41

De beveiligingscontroller BRP ziet erop toe dat de beveiligingsvoorschriften die voortvloeien uit de wet- en regelgeving worden nageleefd.

Artikel 42

De beveiligingscontroller BRP is bevoegd dwingende adviezen te geven ten aanzien van de naleving van de beveiligingsvoorschriften, die voortvloeien uit wet- en regelgeving.

Artikel 43

De beveiligingscontroller BRP informeert en adviseert het college over beveiligingsaspecten en risico’s die het beheer van de BRP, de aangehaakte gegevens en de toegang tot GBA-V met zich meebrengen.

Artikel 44

De beveiligingscontroller BRP voorziet het college jaarlijks van een rapportage over de stand van zaken met betrekking tot de informatieveiligheid van de BRP.

Hoofdstuk 13 Slotbepalingen

Artikel 45

De in deze regeling opgenomen bepalingen gelden voor het BRP-systeem als bedoeld in artikel 1.4 lid 1 van de wet evenals voor de in het BRP-systeem opgenomen aangehaakte gegevens.

Artikel 46

Deze regeling treedt in werking op de eerste dag na de dag waarop zij bekend is gemaakt.

Artikel 47

Deze regeling wordt aangehaald als Regeling beheer en toezicht BRP Smallingerland 2021.

Drachten, 22 juni 2021

Burgemeester en wethouders,

secretaris,

Jelmer Mulder

burgemeester,

Jan Rijpstra

Toelichting Regeling beheer en toezicht BRP Smallingerland 2021

1 Inleiding

1.1 Aanleiding nieuwe regeling

Het college is vanuit de Wet basisregistratie personen (BRP) (hierna: de wet) verantwoordelijk voor het beheer en de bijhouding van de eigen basisregistratie personen (hierna: BRP). Om hier invulling aan te geven is na de invoering van de wet in 2014, de Regeling beheer en toezicht BRP Smallingerland 2014 vastgesteld. Door de inwerkingtreding van de Algemene Verordening Gegevensverwerking (AVG), de organisatiewijziging op 1 juli 2019 en door het toezicht integraal te beleggen bij Team Sociaal ondersteunend en Team Vergunningen, Toezicht en Handhaving, is de Regeling beheer en toezicht BRP Smallingerland 2014, aan vervanging toe.

1.2 De basisregistratie personen (BRP)

In Nederland worden persoonsgegevens van inwoners geregistreerd en bijgehouden in de BRP. Vrijwel elke organisatie die een overheidstaak uitvoert, maakt bij het uitvoeren van die taak gebruik van de gegevens opgenomen in de BRP.

Elke Nederlandse gemeente beheert zijn eigen BRP. De BRP bestaat uit gegevens van personen die ingeschreven staan op een adres in die gemeente. Ook overleden personen blijven deel uit maken van de BRP. Elke wijziging die de gemeente in de eigen BRP doorvoert, wordt automatisch ook doorgezet naar de landelijke gemeentelijke basisadministratie verstrekkingsvoorziening (GBA-V).

De GBA-V wordt beheerd door de Rijksdienst voor Identiteitsgegevens (RvIG). De GBA-V bestaat uit de BRP's van alle gemeenten in Nederland en de Registratie Niet Ingezetenen (RNI).

In de RNI zijn gegevens opgenomen van personen die kort in Nederland verblijven, personen die geëmigreerd zijn en personen die niet in Nederland verblijven maar wel een relatie hebben met één of meerdere organisaties die een overheidstaak uitvoeren. De RNI wordt ook beheerd door de RvIG.

Vanuit GBA-V worden gebruikers voor hun overheidstaak voorzien van de noodzakelijke persoonsgegevens. Onze gemeente maakt ook gebruik van GBA-V om bijvoorbeeld grafrechten toe te kennen of om gemeentelijke belastingen te kunnen innen van personen die niet in de gemeente wonen.

1.3 Doel

Deze regeling heeft als doel het beheer en het toezicht op de BRP, de toegang en het gebruik van GBA-V te borgen.

1.4 Juridisch kader

Deze regeling is gebaseerd op:

►
artikel 1.4 Wet BRP;
►
artikel 14 (oud) Wet GBA;
►
artikel 1.9 lid 2, 1.10 sub a (Logisch Ontwerp GBA) en 1.11 lid 1 Wet BRP;
►
artikel 4.2 Wet BRP;
►
artikel 6 Besluit BRP;
►
het Logisch Ontwerp 3.12 paragraaf 7.4.5;
►
de Baseline Informatiebeveiliging Overheid (BIO);
►
de Algemene verordening Gegevensbescherming (AVG).

De verstrekking van persoonsgegevens uit de gemeentelijke BRP is geregeld in het Reglement gegevensverstrekking BRP Smallingerland 2020. De verstrekking van persoonsgegevens uit GBA-V is geregeld in een autorisatiebesluit van de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) als bedoeld in artikel 3.2 van de wet. Eenmaal uit de BRP verstrekte persoonsgegevens (bijvoorbeeld gegevens die aan het gegevensmagazijn zijn geleverd), vallen onder de Algemene Verordening Gegevensbescherming (AVG).

1.5 Reikwijdte

Deze regeling is van toepassing op het beheer en toezicht van de BRP, de toegang tot GBA-V en de doorstroom van gegevens uit de gemeentelijke BRP en uit GBA-V via Key2DataDistributie.

1.6 Rollen

Deze regeling onderscheidt de volgende rollen:

1.
Gegevensbeheerder;
2.
Gegevensverwerker;
3.
Gegevensverstrekker;
4.
Kwaliteitsbeheerder;
5.
Privacybeheerder;
6.
Beveiligingsbeheerder;
7.
Functioneel (applicatie)beheerder;
8.
Systeembeheerder;
9.
Toezichthouder;
10.
Beveiligingscontroller.

2 Toelichting per rol

2.1 Gegevensbeheerder

De gegevensbeheerder zorgt ervoor dat de taken van de gegevensverwerkers en –verstrekkers volgens de geldende richtlijnen uitgevoerd worden. De vaardigheden die nodig zijn om deze taken juist uit te voeren, worden door de gegevensbeheerder vastgelegd in een opleidingsplan. De gegevensbeheerder bekijkt jaarlijks aan de hand van een kennisscan of de medewerker nog over deze vaardigheden beschikt en inventariseert welke opleidingen nodig zijn. De gegevensbeheerder is, namens het college, verantwoordelijk dat de regels voor de bijhouding en de beveiliging van de BRP worden nageleefd. Het college is eindverantwoordelijke.

2.2 Gegevensverwerker

De gegevensverwerker verwerkt gegevens in de BRP in overeenstemming met hoofdstuk 2 van de wet en in overeenstemming met de procedure ‘Gegevensverwerking’ behorende bij het Informatiebeveiligingsplan BRP, reisdocumenten en rijbewijzen. De (digitale) documenten waar hij de gegevens aan ontleent, bewaart hij volgens de bewaartermijnen bepaald in Bijlage 6 van de regeling BRP.

2.3 Gegevensverstrekker

De gegevensverstrekker verstrekt informatie uit de BRP op grond van hoofdstuk 3, afdeling 1 paragraaf 2 en 3 van de wet met behulp van de procedures: ‘Verstrekking van gegevens aan organen van de gemeente’, ‘Verstrekking gegevens uit de BRP’ en ‘Verstrekkingsbeperking’ behorende bij het Informatiebeveiligingsplan BRP, reisdocumenten en rijbewijzen.

2.4 Kwaliteitsbeheerder , privacybeheerder en beveiligingsbeheerder

De kwaliteitsbeheerder stelt beleid, procedures en richtlijnen op om de kwaliteit en het beheer van de BRP te borgen. Deze regeling is hier een voorbeeld van. Een ander voorbeeld is de Regeling briefadressen BRP gemeente Smallingerland 2016. Periodiek voert de kwaliteitsbeheerder audits en risicoanalyses uit om de kwaliteit en de werking van beleid en procedures in kaart te brengen en zo nodig aan te laten passen.

De kwaliteitsbeheerder is ook privacybeheerder. De privacybeheerder stelt beleid, procedures en richtlijnen op gericht op informatieverstrekking uit de BRP. Voorbeelden van beleid op gebied van informatieverstrekking en privacy zijn de Verordening gegevensverstrekking BRP Smallingerland 2020 en het Reglement gegevensverstrekking BRP Smallingerland 2020.

De privacybeheerder beslist op aanvragen voor toegang tot het BRP- en GBA-V-systeem. De privacybeheerder adviseert op verzoek en zo nodig over:

•
Inzageverzoeken;
•
Informatieverzoeken;
•
De wijze van verstrekken van informatie uit de BRP;
•
De informatie-uitwisseling van BRP-persoonsgegevens tussen Key2Datadistributie (gegevensmagazijn) en de verschillende applicaties (informatiesystemen).

Tenslotte is de kwaliteitsbeheerder ook beveiligingsbeheerder. De beveiligingsbeheerder is verantwoordelijk voor de inrichting en organisatie van informatiebeveiliging van de BRP en de toegang tot GBA-V en het gebruik ervan. De beveiligingsbeheerder stelt jaarlijks een beveiligingsplan BRP op en coördineert de uitvoering van het plan.

2.5 Functioneel (applicatie) beheerder

De functioneel (applicatie)beheerder onderhoudt de applicatie van het BRP- en GBA-V-systeem en zorgt ervoor dat deze applicatie optimaal functioneert. Hij test en installeert releases, certificaten en patches in samenwerking met de systeembeheerder en informeert de gegevensbeheerder, de kwaliteitsbeheerder en gebruikers hier tijdig over. Verder richt hij de applicatie in naar de wensen van de gebruikers en gaat proactief in gesprek met gebruikers en teamanagers om mogelijkheden te benutten. De functioneel (applicatie)beheerder is op de hoogte van ontwikkelingen op het gebied van de applicatie en houdt zijn kennis bij via gebruikers-overleggen en periodieke bijscholing. De functioneel (applicatie)beheerder levert op verzoek, met inachtneming van wet- en regelgeving, statistische gegevens en selecties uit de BRP aan.

2.6 Systeembeheerder

De systeembeheerder is verantwoordelijk voor de fysieke beveiliging, het technisch onderhoud, de beschikbaarheid en de continuïteit van het BRP en GBA-V-systeem.

2.7 Toezichthouder BRP

Het toezicht is belegd bij twee teams:

1.
De toezichthouder BRP van team Sociaal ondersteund ziet toe op de naleving van de plichten die ingeschrevene heeft als het gaat om de bijhouding van zijn persoonsgegevens op grond van hoofdstuk 2 van de wet.
2.
De toezichthouder BRP van team Vergunning, Toezicht en Handhaving controleert adressen waar geen personen staan ingeschreven. De controle wordt uitgevoerd aan de hand van een actuele lijst met leegstaande woningen.

2.8 Beveiligingscontroller

De beveiligingscontroller ziet toe op de beveiliging van de BRP, de toegang tot GBA-V en het gebruik daarvan en de distributie van gegevens uit de BRP en GBA-V via het gegevensmagazijn. De beveiligingscontroller ziet toe op de uitvoering van het Informatiebeveiligingsplan BRP.

Verder heeft de beveiligingscontroller de volgende taken en bevoegdheden:

►
Gevraagd en ongevraagd adviseren van het college en het directieteam over informatieveiligheid van de BRP;
►
Geeft de gegevensbeheerder (dwingende) adviezen ten aanzien van de naleving van de beveiligingsvoorschriften, die voortvloeien uit de wet- en regelgeving BRP en het Informatiebeveiligingsplan BRP;
►
Neemt kennis van de resultaten van de jaarlijkse zelfevaluatie BRP en houdt toezicht op de eventuele acties en aanbevelingen die voortvloeien uit deze zelfevaluaties;
►
Informeert het college jaarlijks over de stand van zaken inzake informatiebeveiliging van BRP.