Hoofdstuk 1 Aanwijzen functionarissen
Artikel 1
Het college wijst functionarissen aan die belast worden met:
- a.
- b.
- c.
- d.
- e.
- f.
de controle op informatiebeveiliging.
Artikel 2
De informatiebeheerder wijst functionarissen aan die belast worden met:
- a.
- b.
het functioneel (applicatie-)beheer;
- c.
- d.
het namens het college afnemen van de in artikel 2.8, lid 2, onder sub e, van de Wet BRP bedoelde verklaring.
Hoofdstuk 2 Het informatiebeheer
Artikel 3
- 1.
De informatiebeheerder beheert de gemeentelijke voorziening en de autorisatiebesluiten.
- 2.
De teammanager Data, Informatie en Analyse beheert het gegevensmagazijn.
Artikel 4
De informatiebeheerder:
- a.
maakt de jaarlijkse planning van de beheeractiviteiten;
- b.
maakt de jaarlijkse rapportage aan het college over deze planning, waarbij tevens inzicht wordt gegeven in de kengetallen van de bijhoudings- en beheerprocedures;
- c.
maakt een jaarlijkse rapportage over de resultaten die voortvloeien uit de kwaliteitssteekproef in artikel 13;
- d.
voorziet in de administratieve beheerprocedures, voor zover hier niet door of bij de wet in is voorzien;
- e.
overlegt periodiek met de op basis van de regeling aangewezen beheerders;
- f.
voorziet in de richtlijnen voor de bijhouding van de basisregistratie personen.
Artikel 5
De informatiebeheerder is verantwoordelijk voor:
- a.
de uitvoering van het periodieke onderzoek op grond van artikel 4.3 van de Wet BRP naar de inrichting, werking en beveiliging van de basisregistratie, alsmede naar de verwerking van gegevens in de basisregistratie;
- b.
de periodieke toezending van een uittreksel van de resultaten van het onderzoek aan de Autoriteit Persoonsgegevens en aan de minister van Binnenlandse Zaken en Koninkrijksrelaties.
Artikel 6
De informatiebeheerder adviseert het college over de navolgende aspecten die voortvloeien uit deze basisregistratie te weten:
- a.
persoonsinformatievoorziening;
- b.
- c.
- d.
personeelsaangelegenheden.
Artikel 7
De informatiebeheerder beslist:
- a.
over de installatie van nieuwe of gewijzigde versies van het toepassingssysteem voor de gemeentelijke voorziening;
- b.
op verzoeken van organen van de gemeente tot het verkrijgen van gegevens uit de basisregistratie personen;
- c.
op verzoeken van derden die worden genoemd in artikel 3.6 van de Wet BRP en die zijn opgenomen in de Regeling gegevensverstrekking basisregistratie personen Súdwest-Fryslân, tot het verkrijgen van gegevens uit de basisregistratie personen;
- d.
over de wijze van de verstrekking van gegevens met betrekking tot het bepaalde onder b en c.
Artikel 8
- 1.
De informatiebeheerder draagt zorgt voor de behandeling van verzoeken om gegevensverstrekking als genoemd in artikel 7 volgens de bepalingen uit de Wet BRP, de Verordening gegevensverstrekking BRP en de Algemene verordening gegevensbescherming.
- 2.
De informatiebeheerder houdt alle in artikel 2 genoemde functionarissen, alsmede de systeembeheerder, op de hoogte van de installatie van nieuwe of gewijzigde versies van het toepassingssysteem voor de gemeentelijke voorziening omtrent de basisregistratie personen en van de gevolgen van deze installatie.
- 3.
De informatiebeheerder ziet toe op de naleving van:
- a.
de in deze regeling opgenomen bepalingen;
- b.
de verplichtingen bij of krachtens de Wet BRP ten aanzien van inrichting en bijhouding;
- c.
de beveiliging van de gemeentelijke voorziening voor de basisregistratie personen;
- d.
de beveiligingsvoorschriften die voortvloeien uit de beveiligingsrichtlijnen BRP en Waardedocumenten.
Artikel 9
De informatiebeheerder, of een op grond van de artikelen 1 en 2 aangewezen functionaris, neemt deel aan buitengemeentelijk overleg betreffende onderwerpen die het beheer van de gemeentelijke voorziening voor de basisregistratie personen aangaan.
Hoofdstuk 3 Het gegevensbeheer
Artikel 10
- 1.
De gegevensbeheerder is verantwoordelijk voor:
- a.
de juistheid, actualiteit en betrouwbaarheid van de gegevens die opgenomen zijn of worden, in de gemeentelijke voorziening voor de basisregistratie personen;
- b.
het beheer van documentatie op het gebied van de overige wet- en regelgeving op het gebied van de basisregistratie personen;
- c.
de communicatie met de overheidsorganen aan wie gegevens worden verstrekt uit de basisregistratie personen en andere houders van voorzieningen voor de basisregistratie personen omtrent gegevensverwerking;
- d.
het verwerken van complexe mutaties en correcties met betrekking tot de basisregistratie personen;
- e.
het uitzetten van richtlijnen met betrekking tot het actualiseren en corrigeren van persoonsgegevens binnen de gemeentelijke voorziening voor de basisregistratie personen.
- 2.
De gegevensbeheerder beslist binnen 5 werkdagen over het in behandeling nemen van een melding van een overheidsorgaan die gerede twijfel heeft over de juistheid van een in de gemeentelijke voorziening van de basisregistratie personen opgenomen (authentiek) gegeven en stelt het overheidsorgaan in kennis van de genomen beslissing.
Artikel 11
De gegevensbeheerder voorziet in:
- a.
de behandeling van wijzigingsverzoeken als bedoeld in de artikelen 2.57, 2.58 en 2.60 van de Wet BRP;
- b.
de controlewerkzaamheden ter waarborging van de kwaliteit van de basisregistratie personen.
Artikel 12
De gegevensbeheerder geeft, in overleg met de teammanager Burgerzaken, vanuit de in artikel 10 bedoelde verantwoordelijkheid, de gegevensverwerkers aanwijzingen over de opname en bijhouding van gegevens in de gemeentelijke voorziening voor de basisregistratie personen.
Artikel 13
- a.
Periodiek wordt de inhoudelijke kwaliteit van het bestand van persoonslijsten in de basisregistratie personen, onderworpen aan een inhoudelijke controle door de minister van Binnenlandse Zaken en Koninkrijksrelaties;
- b.
De gegevensbeheerder voorziet in een doorlopende kwaliteitssteekproef en de uitvoering van de daarmee samenhangende verbetermaatregelen, gericht op de handhaving van de kwaliteitsnorm van het ministerie van Binnenlandse Zaken;
- c.
De gegevensbeheerder voorziet in de uitvoering van het periodiek onderzoek op grond van artikel 4.3 van de Wet BRP, voor wat betreft de verwerking van persoonsgegevens in de gemeentelijke voorziening.
Artikel 14
De gegevensbeheerder neemt deel aan het in artikel 4, onder e genoemde overleg.
Hoofdstuk 4 Het systeembeheer
Artikel 15
De systeembeheerder is verantwoordelijk voor de uitvoer van het technisch onderhoud van de gemeentelijke voorziening voor de basisregistratie personen (hierna toepassingssysteem genoemd).
Artikel 16
De systeembeheerder voorziet in:
- a.
de fysieke beveiliging van het toepassingssysteem;
- b.
een dagelijkse back-up die wordt ondergebracht in een daartoe uitgeruste en beveiligde ruimte, die zich op een andere locatie bevindt, dan de ruimte waarin de apparatuur voor de gemeentelijke voorziening van de BRP is opgesteld;
- c.
de technische installatie van gewijzigde of nieuwe versies van het toepassingssysteem;
- d.
de beschikbaarheid van het toepassingssysteem overeenkomstig hetgeen daarover intern en met derden is overeengekomen.
Artikel 17
De systeembeheerder:
- a.
treft direct maatregelen op het moment dat de continuïteit van het toepassingssysteem of de daarin opgeslagen informatie, acuut in het geding is;
- b.
rapporteert achteraf ter zake aan de informatiebeheerder;
- c.
geeft aanwijzingen over:
- •
het beheer van het toepassingssysteem;
- •
het beheer van bestanden;
- •
toe te passen reconstructiemaatregelen.
Artikel 18
De systeembeheerder neemt deel aan het in artikel 4, onder e genoemde overleg.
Hoofdstuk 5 Het functioneel (applicatie-)beheer
Artikel 19
De functioneel (applicatie-)beheerder:
- a.
voorziet in de communicatie bij storingen in hard- en software;
- b.
houdt een logboek bij met bijzondere gebeurtenissen;
- c.
kent de autorisatieniveaus toe voor de toepassing van actualiseringen, aan de gegevensverwerkers, de gegevensbeheerder, de functioneel (applicatie-)beheerder en de informatiebeheerder, op grond van een besluit van de informatiebeheerder;
- d.
houdt een dossier bij omtrent de autorisaties, die overeenkomstig artikel 7 door de informatiebeheerder zijn toegekend;
- e.
test en evalueert nieuwe versies van het toepassingssysteem, alsmede van nieuwe apparatuur;
- f.
beoordeelt de gevolgen van de installatie van nieuwe en of gewijzigde versies van het toepassingssysteem;
- g.
houdt een verzameling bij van alle problemen en klachten, die bij het gebruik van het toepassingssysteem ontstaan;
- h.
lost deze problemen en klachten op, eventueel door inschakeling van de systeembeheerder of een derde;
- i.
voorziet in de voorlichting aan alle in artikel 1 en 2 genoemde functionarissen, met betrekking tot de gevolgen van een nieuwe of gewijzigde versie van het toepassingssysteem;
- j.
coördineert de werkzaamheden, in geval van uitwijk in overleg met de systeembeheerder;
- k.
voorziet in de vormgeving en inhoud van documenten, die rechtstreeks aan de basisregistratie personen worden ontleend;
- l.
handelt verzoeken omtrent managementgegevens af;
- m.
lost in geval van storingen binnen het toepassingssysteem, deze zo spoedig mogelijk op, zo nodig door inschakeling van een derde.
Artikel 20
De functioneel (applicatie-)beheerder is verantwoordelijk voor:
- a.
de ondersteuning bij het gebruik van het toepassingssysteem;
- b.
het tijdig opschonen van de relevante bestanden in de database;
- c.
het beheer van de tabellen van de basisregistratie personen;
- d.
het beheer van de gebruikersdocumentatie.
Artikel 21
De functioneel (applicatie-)beheerder is bevoegd:
- a.
gegevensverwerkers en het personeel van externe afdelingen/diensten die direct toegang hebben tot de basisregistratie personen, aanwijzingen te geven over het gebruik van het toepassingssysteem;
- b.
gedragsregels op te stellen omtrent het gebruik van de basisregistratie personen.
Artikel 22
De functioneel (applicatie-)beheerder is verantwoordelijk voor de gehele of gedeeltelijke uitvoering van de uitwijkprocessen.
Artikel 23
De functioneel (applicatie-)beheerder ziet erop toe dat voorgeschreven procedures uit de beveiligingsrichtlijnen BRP en Waardedocumenten worden nageleefd.
Artikel 24
De functioneel (applicatie-)beheerder neemt deel aan:
- a.
het overleg genoemd in artikel 4, onder e;
- b.
het externe gebruikersoverleg.
Hoofdstuk 6 Het privacybeheer
Artikel 25
- 1.
De privacybeheerder adviseert de informatiebeheerder en het college over de privacyaspecten die voortvloeien uit de uitvoering van de Wet BRP en de Verordening gegevensverstrekking BRP.
- 2.
De privacybeheerder is verantwoordelijk voor:
- a.
de advisering over de inhoudelijke afhandeling van de verzoeken als bedoeld in artikel 7, onder b, c en d van deze regeling;
- b.
het dagelijkse toezicht op de naleving van de privacyvoorschriften in relatie tot het gebruik van gegevens uit de BRP die voortvloeien uit de Wet BRP en de Algemene verordening gegevensbescherming.
Artikel 26
De privacybeheerder adviseert over:
- a.
de afhandeling van de verzoeken om inzage in de basisregistratie personen overeenkomstig artikel 2.55 van de Wet BRP respectievelijk artikel 15 van de Algemene verordening gegevensbescherming (inzage);
- b.
de behandeling van alle verzoeken om verstrekkingsbeperking die op basis van artikel 2.59 van de wet ingediend worden en de eventuele privacytoets als bedoeld in artikel 3.21 lid 2 van de Wet BRP;
- c.
de afhandeling van verzoeken ingevolge de artikelen 17 en 21 van de Algemene verordening gegevensbescherming;
- d.
de kennisgeving ingevolge artikel 19 van de Algemene verordening gegevensbescherming;
- e.
de afhandeling van verzoeken om inzage in verstrekkingen uit de basisregistratie personen aan overheidsorganen en derden.
Artikel 27
De privacybeheerder is bevoegd:
- a.
op grond van het in artikel 25, sub b genoemde toezicht, alle gebruikers van gegevens uit de basisregistratie personen aanwijzingen te geven;
- b.
ongevraagd advies uit te brengen over alle procedures en producten die betrekking hebben op de basisregistratie personen, waarbij de persoonlijke levenssfeer in het geding is.
Artikel 28
De privacybeheerder is betrokken bij alle bezwaarschriftenprocedures die voortvloeien uit genomen beslissingen op grond van de Wet BRP en daarbij behorende regelingen, de Algemene verordening gegevensbescherming, voor zover hierbij privacyaspecten aan de orde zijn.
Hoofdstuk 8 De toezichthouder
Artikel 31
De toezichthouder als bedoeld in artikel 4.2 van de Wet BRP, is verantwoordelijk voor het toezicht op de naleving van de verplichtingen van de burger ingevolge hoofdstuk 2, afdeling 1, paragraaf 5 van de Wet BRP.
Artikel 32
De toezichthouder:
- a.
controleert of de burger voldoet aan zijn verplichtingen met betrekking tot de inschrijving in de BRP (artikel 2.38 Wet BRP), de wijziging van diens adres (2.39 Wet BRP), het rechtmatig gebruik van een briefadres (2.40 t/m 2.42 Wet BRP), zijn vertrek uit Nederland (2.43 Wet BRP) en de verstrekking van alle inlichtingen die nodig zijn voor de bijhouding van de BRP;
- b.
ziet er op toe dat, indien de burger niet zelf aan zijn verplichtingen voldoet of kan voldoen, de verplichtingen worden vervuld door degene die daartoe bevoegd is op grond van de artikelen 2.49 en 2.50 van de Wet BRP.
Artikel 33
- 1.
De toezichthouder ontleent de bevoegdheden in lid 2 aan hoofdstuk 5 van de Algemene wet bestuursrecht.
- 2.
De toezichthouder is in verband met de uitvoering van de taken als genoemd in artikel 32, bevoegd:
- a.
met uitzondering van het zonder toestemming van een bewoner betreden van een woning, elke plaats te betreden met inbeslagname van apparatuur (zoals laptop, fotocamera);
- b.
zich zo nodig toegang verschaffen met behulp van de politie;
- c.
zich te laten vergezellen door personen die door hem zijn aangewezen;
- d.
inlichtingen te vorderen;
- e.
inzage te vorderen van een identiteitsbewijs;
- f.
zakelijke gegevens te vorderen, kopieën te maken of documenten mee te nemen om te kopiëren;
- g.
- h.
rapport op te maken ter zake een geconstateerde overtreding van de bepalingen van de Wet BRP, als genoemd in artikel 32.
Artikel 34
De toezichthouder voert zijn werkzaamheden uit in samenspraak met de gegevensverwerkers en koppelt het resultaat van zijn werkzaamheden terug aan de gegevensverwerkers.
Artikel 35
De toezichthouder legt het resultaat van zijn werkzaamheden vast in een onderzoekrapportage en draagt zorg voor dossiervorming.
Hoofdstuk 9 Het beveiligingsbeheer
Artikel 36
- 1.
De beveiligingsbeheerder is verantwoordelijk voor de inrichting, organisatie en uitvoering van het informatiebeveiligingsbeleid op het gebied van de persoonsinformatievoorziening.
- 2.
De beveiligingsbeheerder is in het bijzonder verantwoordelijk voor de opstelling en uitvoering van de beveiligingsrichtlijnen BRP en Waardedocumenten voor de gemeentelijke voorzieningen waarmee de gemeente Súdwest-Fryslân uitvoering geeft aan de Wet BRP.
Artikel 37
- 1.
De beveiligingsbeheerder ondersteunt en adviseert de informatiebeheerder op het gebied van informatiebeveiliging.
- 2.
De beveiligingsbeheerder coördineert de uitvoering van de beveiligingsmaatregelen van de beveiligingsrichtlijnen BRP en Waardedocumenten.
Artikel 38
De beveiligingsbeheerder is bevoegd:
- a.
uit hoofde van diens verantwoordelijkheid als bedoeld in artikel 36, alle gebruikers van gegevens uit de basisregistratie personen aanwijzingen te geven;
- b.
ongevraagd advies uit te brengen over alle procedures en producten die betrekking hebben op de basisregistratie personen, waarbij de beveiliging in het geding is.
Artikel 39
De beveiligingsbeheerder:
- a.
onderkent en reageert op incidenten en adviseert over de maatregelen die nodig zijn om de gevolgen van een incident te beperken en om herhaling te voorkomen;
- b.
stelt passende normen en controlemaatregelen op;
- c.
implementeert beveiligingsmaatregelen;
- d.
coördineert en handhaaft de uitvoering van de maatregelen als genoemd onder c.
Artikel 40
De beveiligingsbeheerder is het aanspreekpunt op het gebied van informatiebeveiliging en bevordert het beveiligingsbewustzijn bij management en medewerkers.
Artikel 41
De beveiligingsbeheerder:
- a.
neemt deel aan het in artikel 4, onder e genoemde overleg;
- b.
participeert in de ontwikkeling en formulering van het gemeentebrede informatiebeveiligingsbeleid.
Artikel 42
De beveiligingsbeheerder rapporteert jaarlijks over de informatieveiligheid aan de informatiebeheerder en verzorgt de bijdragen aan de gemeentebrede managementrapportage over de informatieveiligheid met betrekking tot de persoonsinformatievoorziening.
Hoofdstuk 10 Het beveiligingscontrol
Artikel 43
De controller informatiebeveiliging is verantwoordelijk voor het toezicht op de naleving van de beveiligingsmaatregelen en -procedures zoals uitgewerkt in de beveiligingsrichtlijnen BRP en Waardedocumenten, met inachtneming van de voor de gemeenten vastgestelde Baseline Informatiebeveiliging Overheid (BIO).
Artikel 44
De controller informatiebeveiliging is bevoegd om het management van team Burgerzaken dwingende adviezen te geven, ten aanzien van de naleving van beveiligingsvoorschriften die voortvloeien uit de Wet BRP en de beveiligingsrichtlijnen BRP en Waardedocumenten.
Artikel 45
De controller informatiebeveiliging ziet er op toe dat:
- a.
beveiligingsvoorschriften die voortvloeien uit de Wet BRP en de beveiligingsrichtlijnen BRP en Waardedocumenten worden nageleefd;
- b.
de in deze regeling opgenomen bepalingen inzake beveiliging worden nageleefd.
Artikel 46
De controller informatiebeveiliging adviseert het college rechtstreeks over beveiligingsaspecten die uit de beveiligingsrichtlijnen BRP en Waardedocumenten voortvloeien.
Artikel 47
De controller informatiebeveiliging voorziet in een jaarlijks verslag over de activiteiten inzake het beveiligingsbeheer van de gemeentelijke voorziening.
Hoofdstuk 11 Slotbepalingen
Artikel 48
De in deze regeling voorkomende begrippen zijn opgenomen in de bijlage bij de regeling.
Artikel 49
De in deze regeling opgenomen bepalingen gelden voor de gemeentelijke voorzieningen als bedoeld artikel 1.2 juncto 1.4 van de Wet BRP, evenals voor de in de gemeentelijke voorziening genoemde aangehaakte gegevens en voor de basisgegevens uit de BRP die zich in het gegevensmagazijn bevinden.
Artikel 50
- 1.
De Regeling beheer en toezicht Basisregistratie Personen Súdwest-Fryslân (Regeling beheer en toezicht BRP), vastgesteld op 16 september 2014, wordt ingetrokken.
- 2.
Deze regeling treedt in werking op de eerste dag na bekendmaking.
- 3.
Deze regeling wordt aangehaald als Regeling beheer en toezicht basisregistratie personen Súdwest-Fryslân 2022 (Regeling beheer en toezicht BRP).