| Organisatie | Stichtse Vecht |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Reglement basisregistratie personen Stichtse Vecht 2024 |
| Citeertitel | |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | bestuur en recht |
| Eigen onderwerp | |
| Externe bijlage | Reglement basisregistratie personen |
Geen
artikel 2.34 van de Wet basisregistratie personen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 21-05-2024 | Reglement basisregistratie personen Stichtse Vecht 2024 | 26-03-2024 |
Burgemeester en wethouders van de gemeente Stichtse Vecht,
Gelet op artikel 2.34, vierde lid, van de Wet basisregistratie personen, artikel 6 van het Besluit basisregistratie personen en artikel 1 en 2 van de Verordening gegevensverstrekking basisregistratie personen Stichtse Vecht 2024;
Overwegende dat met inachtneming van deze kaders het wenselijk is om regels te stellen over de verstrekking van gegevens uit de BRP en het beheer van de BRP;
Dit reglement maakt, naast de begrippen als genoemd in artikel 1.1 van de Wet basisregistratie personen, gebruik van de volgende begrippen:
Aangehaakt gegeven: Een bij de ingeschrevene opgenomen gegeven anders dan bepaald bij of krachtens de Wet BRP; Applicatie: De gemeentelijke voorziening zoals bedoeld in artikel 1.9 van de Wet BRP en de voorziening die als inzageapplicatie wordt gebruikt voor het raadplegen van persoonsgegevens door een binnengemeentelijke afnemer;
AVG: Algemene verordening gegevensbescherming;
BRP: De basisregistratie personen, zoals bedoeld in artikel 1.1 van de Wet BRP;
Binnengemeentelijke afnemer: Elk gemeentelijk organisatieonderdeel dat op grond van dit reglement gegevens uit de BRP verstrekt krijgt of hiertoe een verzoek doet. In dit reglement wordt met een gemeentelijk organisatieonderdeel gelijkgesteld de rechtspersoon die in mandaat een gemeentelijke taak uitvoert;
College: Het college van burgemeester en wethouders van Stichtse Vecht;
Datakwaliteit: De actualiteit, volledigheid, juistheid en invoer op basis van geldende richtlijnen en aangewezen brondocumenten van de BRP-gegevens. Wordt ook data integriteit genoemd;
ENSIA: De voorziening die wordt gebruikt om verantwoording af te leggen over de staat van informatiebeveiliging aan de gemeenteraad en over de BRP aan de Autoriteit persoonsgegevens en de Minister van Binnenlandse Zaken en Koninkrijksrelaties. ENSIA staat voor Eenduidige Normatiek Single Information Audit;
Functionaris: De persoon die op grond van artikel 2 van dit reglement is belast met in dit reglement opgenomen verantwoordelijkheden, bevoegdheden en taken;
Gebruiker: De functionaris of raadpleger die gebruik maakt van de applicatie;
Gegevenskwaliteit: De datakwaliteit en de betrouwbaarheid van de BRP-gegevens;
Gegevensverwerking: Een verwerking van persoonsgegevens als bedoeld in artikel 4, tweede lid, van de AVG;
Informatiebeveiligingsbeleid: Het gemeentelijk strategisch beleid ten aanzien van informatiebeveiliging en de hierop betrekking hebbende plannen;
Raadpleger: De medewerker van een binnengemeentelijke afnemer die op grond van dit reglement toegang heeft gekregen tot de BRP-gegevens via de inzageapplicatie;
Reglement: Het Reglement basisregistratie personen Stichtse Vecht 2024;
Restore: Het herstellen van de applicatie en/of de data naar een eerder moment;
Selectieverstrekking: De verstrekking van BRP-gegevens met betrekking tot meer dan een ingeschrevene. De selectie wordt gemaakt aan de hand van vooraf bepaalde condities (criteria);
Systematische verstrekking: De verstrekking als bedoeld in artikel 3.1, tweede lid, van de Wet BRP, die op basis van een landelijk autorisatiebesluit plaatsvindt uit de landelijke voorziening van de BRP door de minister van Binnenlandse Zaken en Koninkrijksrelaties. In dit reglement wordt met een systematische verstrekking ook bedoeld de verstrekking als bedoeld in artikel 3.8 of 3.9 van de Wet BRP in samenhang met artikel 1 of 2 van de Verordening gegevensverstrekking basisregistratie personen Stichtse Vecht 2024, die op basis van een gemeentelijk autorisatiebesluit plaatsvindt uit de gemeentelijke voorziening van de BRP door het college;
Uitwijk: Het gebruik van voorzieningen in het geval dat de normale applicatie (technische uitwijk) of reguliere werklocatie (fysieke uitwijk) buiten gebruik is;
Verordening: De Verordening gegevensverstrekking basisregistratie personen Stichtse Vecht 2024;
Zelfevaluatie: De periodieke zelfevaluatie als bedoeld in artikel 4.3 van de Wet BRP. De zelfevaluatie omvat een onderzoek naar de inrichting, werking en beveiliging van de BRP aan de hand van vragenlijsten (hier het informatiekundig onderdeel genoemd) en de verwerking van gegevens in de BRP aan de hand van geautomatiseerde controles en een steekproef (hier het onderdeel datakwaliteit genoemd).
1. De manager van de afdeling Publiekszaken en dienstverlening is de functionaris die als informatiebeheerder is belast met het informatiebeheer. De informatiebeheerder wijst een vervanger aan die bij afwezigheid de taken waarneemt. Het informatiebeheer omvat de dagelijkse zorg voor de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, eerste paragraaf, van dit reglement.
2. De informatiebeheerder wijst de functionarissen aan die als gegevensbeheerder zijn belast met het gegevensbeheer. Het gegevensbeheer omvat de verwerking van persoonsgegevens in de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, tweede paragraaf, van dit reglement.
3. De informatiebeheerder wijst de functionarissen aan die als seniorgegevensbeheerder zijn belast met het gegevensbeheer. De seniorgegevensbeheerder is belast met de zaken rondom de gegevenskwaliteit van de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, derde paragraaf, van dit reglement.
4. De informatiebeheerder wijst de functionarissen aan die als functioneel beheerder zijn belast met het functioneel beheer van de applicatie. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, vierde paragraaf, van dit reglement.
5. De leverancier van de applicatie is belast met het applicatiebeheer. Medewerkers van deze leverancier treden op als applicatiebeheerder. Het applicatiebeheer omvat de ontwikkeling van de applicatie. De bepalingen omtrent de verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn opgenomen in hoofdstuk 3, vijfde paragraaf, van dit reglement.
6. De afdeling Interne Dienstverlening en de leverancier van de applicatie zijn belast met het technisch beheer. Functionarissen van dit organisatieonderdeel respectievelijk medewerkers van deze leverancier treden op als technisch beheerder. Het technisch beheer omvat het beheer van de server en de database en de beschikbaarheid van de applicatie op de werkplek van de gebruiker. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, zesde paragraaf, van dit reglement.
7. De informatiebeheerder wijst de functionarissen aan die als privacybeheerder zijn belast met het privacybeheer. Het privacybeheer omvat, uitsluitend voor wat betreft de in de BRP opgenomen gegevens, de bescherming van de persoonlijke levenssfeer van de personen op wie deze gegevens betrekking hebben. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, zevende paragraaf, van dit reglement.
8. De buitengewoon opsporingsambtenaren van de afdeling Leefomgeving en toezicht buiten zijn de functionarissen die als adrescontroleur zijn belast met het toezicht op de naleving van de verplichtingen van de burger, zoals bedoeld in artikel 4.2 van de Wet BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, achtste paragraaf, van dit reglement.
9. De informatiebeheerder wijst de functionarissen aan die als beveiligingsbeheerder zijn belast met het informatiebeveiligingsbeheer. Het informatiebeveiligingsbeheer omvat de uitvoering van de informatiebeveiligingsvoorschriften op het gebied van de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, negende paragraaf, van dit reglement.
10. De Chief Information Security Officer (CISO) is de functionaris die als beveiligingsfunctionaris is belast met het toezicht op het informatiebeveiligingsbeleid aangaande de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, tiende paragraaf, van dit reglement.
11. In voorkomende gevallen kan één functionaris worden belast met verschillende werkzaamheden. De functie van beveiligingsfunctionaris is niet verenigbaar met het verrichten van andere werkzaamheden in het kader van de BRP.
12. De informatiebeheerder kan beheertaken die niet zijn toebedeeld, geheel of gedeeltelijk laten uitvoeren door aan hem ondergeschikte functionarissen
Artikel 3 Schriftelijke verklaring bij toegang tot BRP-gegevens
Elke gebruiker legt voorafgaand aan het verkrijgen van toegang tot BRP-gegevens een schriftelijke verklaring af met het oog op privacy- en gebruiksvoorschriften.
1. Een verwerker (rechtspersoon) kan worden aangewezen om de werkzaamheden van een functionaris als genoemd in artikel 2 te verrichten.
2. Het college en verwerker leggen afspraken over de te verrichten werkzaamheden vast in een schriftelijke overeenkomst. Aanvullend wordt een verwerkersovereenkomst gesloten om afspraken over de verwerking van persoonsgegevens vast te leggen.
3. De verwerker dient te handelen in overeenstemming met de in de AVG gestelde eisen ten aanzien van verwerkers.
Artikel 5 Het autorisatiebesluit voor de landelijke voorziening
1. De informatiebeheerder draagt namens het college zorg voor de aanvraag, de wijziging, de organisatorische inrichting, het beheer en de naleving van het besluit als bedoeld in artikel 3.2, eerste lid, van de Wet BRP ten aanzien van het college, betreffende de systematische verstrekking van persoonsgegevens uit de landelijke voorziening van de BRP (het autorisatiebesluit).
2. De informatiebeheerder vertegenwoordigt het college in buiten- of intergemeentelijk overleg inzake het autorisatiebesluit.
3. De verantwoordelijkheden, taken en bevoegdheden die de functionarissen op grond van dit reglement hebben met betrekking tot het beheer van de BRP, zijn voor zover mogelijk ook van toepassing op het autorisatiebesluit waar het betrekking heeft op het beheer, de beveiliging, de naleving, de vertegenwoordiging, de bevoegdheid, de applicatie en de verstrekking van gegevens.
4. De informatiebeheerder kan, afwijkend van het bepaalde in het voorgaande lid, andere functionarissen aanwijzen ten aanzien van het autorisatiebesluit of taken en bevoegdheden overdragen aan andere functionarissen.
Artikel 6 Vastleggen aangehaakte gegevens
De aangehaakte gegevens die worden vastgelegd zijn:
a. Zaakdossiers die behoren tot het opnemen of wijzigen van gegevens van een ingeschrevene, voor de duur dat het zaakdossier bewaard moet blijven ingevolge artikel 4 van de Regeling BRP.
b. Zaakdossiers die behoren tot het verlenen van andere diensten door de afdeling Publiekszaken en dienstverlening, voor de duur dat het zaakdossier bewaard moet blijven ingevolge de daarvoor geldende regelgeving.
c. Aantekeningen die van belang zijn bij de registratie of verstrekking van persoonsgegevens bij een persoon, voor de duur dat deze aantekening van belang is.
Artikel 7 Kwaliteitsbeleid BRP
Het college benoemt doelstellingen betreffende de kwaliteit van de BRP in een beleidsdocument.
Artikel 8 Verplicht gebruik van authentieke gegevens
Met inachtneming van artikel 1.7 van de Wet BRP is de binnengemeentelijke afnemer die bij de vervulling van de taak informatie over een ingeschrevene nodig heeft die in de vorm van een authentiek gegeven beschikbaar is in de BRP, verplicht om voor die informatie dat gegeven te gebruiken.
Artikel 9 Recht op eenmalige gegevensverstrekking
Op grond van artikel 1.8 van de Wet BRP behoeft een ingeschrevene aan wie door een binnengemeentelijke afnemer een gegeven wordt gevraagd waarop artikel 8 van toepassing is dat gegeven niet mede te delen, behoudens voor zover het gegeven naar het oordeel van de binnengemeentelijke afnemer noodzakelijk is voor een deugdelijke vaststelling van de identiteit van betrokkene.
Artikel 10 Terugmeldverplichting
1. De binnengemeentelijke afnemer die gerede twijfel heeft over de juistheid van een authentiek gegeven uit de BRP, doet hiervan mededeling aan de informatiebeheerder.
2. De informatiebeheerder bepaalt de wijze waarop de mededeling wordt gedaan, de te volgen werkwijze en de wijze waarop de kennisgeving over de afhandeling aan de binnengemeentelijke afnemer hierover wordt gedaan.
3. De informatiebeheerder kan dit artikel overeenkomstig van toepassing verklaren bij een verstrekking op grond van artikel 12 en 13 van dit reglement.
Artikel 11 Binnengemeentelijke systematische verstrekkingen
1. Gelet op artikel 3.8 van de Wet BRP en artikel 1 van de verordening worden in dit artikel de systematische verstrekkingen van gegevens aan binnengemeentelijke afnemers geregeld.
2. In bijlage 1 van dit reglement zijn de binnengemeentelijke afnemers opgenomen met de taken die in aanmerking komen voor de systematische verstrekking van gegevens.
3. Het wijzigen of aanvullen van bijlage 1 van dit reglement vindt plaats bij besluit van het college op voorstel van de informatiebeheerder. De informatiebeheerder doet een voorstel op verzoek van een binnengemeentelijke afnemer.
4. Bij een verzoek om gegevens als bedoeld in dit artikel overlegt de verzoeker met het oog op het vijfde en zesde lid het advies van de privacy officer en de adviseur inzake informatiebeveiliging over de gewenste gegevensverwerking. De informatiebeheerder en de verzoeker kunnen nadere afspraken maken over de wijze waarop gegevens ter beschikking worden gesteld. De informatiebeheerder laat zich bij een verzoek ondersteunen door de privacybeheerder en de functioneel beheerder.
5. Het verstrekken van gegevens uit de BRP is slechts mogelijk als de gegevens noodzakelijk zijn voor de vervulling van de taak en de gegevensverwerking door de verzoeker voldoet aan de AVG;
6. De verzoeker moet voldoen aan het basisnormenkader voor informatiebeveiliging, zoals is opgenomen in de Baseline informatiebeveiliging Overheid (BIO).
7. Op grond van dit artikel kunnen gegevens ter beschikking worden gesteld door middel van:
b. een koppeling van het informatiesysteem van de binnengemeentelijke afnemer met de BRP;
c. een koppeling van het informatiesysteem van de binnengemeentelijke afnemer met tussenkomst van een voorziening die beoogt gegevens te verspreiden, zoals een gegevensdistributiesysteem, een gegevensmagazijn of een ‘application programming Interface’ (API);
d. een selectiebestand dat wordt overgedragen via een netwerkverbinding of een andersoortige voorziening.
8. De informatiebeheerder zorgt voor de inzageapplicatie als bedoeld in het zevende lid, onder a. De medewerker van een binnengemeentelijke afnemer en de eigen leidinggevende doen gezamenlijk een verzoek tot toegang tot de inzageapplicatie. De privacybeheerder beoordeelt of het verzoek in overeenstemming is met de bepalingen van dit reglement en de taak waarvoor de gegevens nodig zijn, is opgenomen in bijlage 1 van dit reglement. Als dit het geval is, dan draagt de functioneel beheerder zorg voor de daadwerkelijke toegang tot de inzageapplicatie.
9. De beheerder van een voorziening als bedoeld in het zevende lid, onder c, mag uitsluitend inzage verlenen in of gegevens uit de BRP verstrekken indien dit op grond van dit reglement is geregeld.
10. De beheerder van het systeem als bedoeld in het zevende lid, onder c, zorgt voor het vastleggen van raadplegingen van gegevens in logbestanden. Deze logbestanden worden gedurende een periode van twintig jaar bewaard. Indien het betreffende dossier voorafgaand aan de termijn van twintig jaar moet worden vernietigd, worden de identificerende gegevens bewaard alsmede een omschrijving van het doeleinde van de bevraging van de gegevens, tot de termijn van twintig jaar wordt bereikt. Als het binnengemeentelijk overheidsorgaan vanwege de stand van de techniek niet kan voldoen aan de bepaling genoemd in dit lid, dan geldt deze bepaling als inspanningsverplichting bij de eventuele ontwikkelingen, evaluaties en aanbesteding van het systeem.
Artikel 12 Incidentele selectieverstrekkingen
1. De informatiebeheerder beslist op een verzoek om een incidentele selectieverstrekking uit de BRP op grond van artikel 3.5 of 3.13 van de Wet BRP.
2. Ten aanzien van een verzoek als bedoeld in het eerste lid is artikel 11, vijfde lid, overeenkomstig van toepassing. Voorts is ten aanzien van een binnengemeentelijke afnemer tevens artikel 11, vierde en zesde lid, van toepassing.
3. Ten overvloede wordt opgemerkt dat indien op grond van artikel 3.5, 3.6 of 3.13 van de Wet BRP wordt verzocht om persoonsgegevens van een in het verzoek geïdentificeerde ingeschrevene, er geen sprake is van een selectieverstrekking. De gegevensbeheerder beslist op dit verzoek om een incidentele verstrekking. De privacybeheerder kan een aanwijzing of een instructie geven ter afhandeling van een verzoek.
Artikel 13 Gegevensverstrekking aan door gemeente aan te wijzen derden
1. Gelet op artikel 3.9, tweede lid, van de Wet BRP en artikel 2, tweede lid, van de verordening zijn in bijlage 2 door derden verrichte werkzaamheden met een gewichtig maatschappelijk belang voor de gemeente aangewezen, ten behoeve waarvan gegevens uit de BRP kunnen worden verstrekt door de informatiebeheerder. Daarbij zijn ook de categorieën van derden benoemd die in verband met die werkzaamheden voor verstrekking in aanmerking komen.
2. De informatiebeheerder verstrekt slechts gegevens op grond van dit artikel aan een derde indien:
a. het verzoek wordt gedaan door een derde die behoort tot een categorie van derden als bedoeld in bijlage 2, ten behoeve van de werkzaamheid die daarbij is genoemd, en
b. de derde voldoet aan de voorschriften als gevolg van de Wet BRP, de AVG en eventuele specifieke regelgeving. Dit omvat onder meer het toezien op de toegang tot en het gebruik van de persoonsgegevens, het creëren van bewustzijn over privacy- en beveiligingsvoorschriften bij de personen die toegang hebben tot de gegevens en het zorgdragen voor een deugdelijke fysieke en technische beveiliging van de ruimten en voorzieningen waarin de gegevens beschikbaar zijn. Op verzoek van de informatiebeheerder verstrekt de derde bij het verzoek de inlichtingen of de geschriften ter ondersteuning hiervan.
3. De informatiebeheerder kan de privacy officer om advies over de verwerking vragen. De informatiebeheerder laat zich bij een verzoek ondersteunen door de privacybeheerder en de functioneel beheerder.
4. Een verstrekking van gegevens op grond van dit artikel is slechts mogelijk indien:
a. bij de ingeschrevene niet een verstrekkingsbeperking als bedoeld in artikel 3.21 van de Wet BRP is opgenomen,
b. de gevraagde gegevens binnen de reikwijdte van de op grond van artikel 3.9, vierde lid, van de Wet BRP mogelijk te verstrekken gegevens vallen,
c. de gegevens alleen worden gebruikt voor het doel waarvoor de gegevens zijn verstrekt en deze gegevens niet worden doorverstrekt aan derden, behoudens de gevallen waarin een wettelijk voorschrift hierin voorziet, d. de gegevens worden gevraagd voor een geoorloofd doel, e. de gegevens noodzakelijk zijn voor het doel en f. de gegevens niet op een minder ingrijpende wijze kunnen worden verkregen.
Artikel 14 Verstrekken van aangehaakte gegevens
1. Aangehaakte gegevens worden uitsluitend verstrekt als enig wettelijk voorschrift hierin voorziet.
2. Verstrekking vindt plaats onder dezelfde voorwaarden als de verstrekking van gegevens uit de BRP, of onder de voorwaarden vermeld in de betreffende wetgeving op grond waarvan die gegevens zijn vastgelegd.