Reglement BRP Lelystad

Geldend van 02-03-2023 t/m heden

Intitulé

Reglement BRP Lelystad

Burgemeester en wethouders van de gemeente Lelystad,

Gelet op artikel 3.8 en 3.9 van de Wet basisregistratie personen (BRP), artikel 6 van het Besluit BRP, artikel 3 en 4 van de Verordening BRP 2021 en onderdeel A.4.5 van het Logisch Ontwerp BRP;

Overwegende dat met inachtneming van de kaders het wenselijk is om regels te stellen over de verstrekking van gegevens uit de BRP en het beheer van de BRP;

B E S L U I T E N:

vast te stellen de volgende regeling:

Reglement BRP Lelystad

Hoofdstuk 1 Algemene bepalingen

Artikel 1 Begripsbepalingen

Dit Reglement maakt, naast de begrippen als genoemd in artikel 1.1 van de Wet BRP, gebruik van de volgende begrippen:

Aangehaakt gegeven:

Een bij de ingeschrevene opgenomen gegeven anders dan bepaald bij of krachtens de Wet;

Applicatie:

De gemeentelijke voorziening zoals bedoeld in artikel 1.9 van de Wet en de voorziening die als inzageapplicatie wordt gebruikt voor het raadplegen van persoonsgegevens door een binnengemeentelijke afnemer;

AVG:

Algemene verordening gegevensbescherming;

BRP:

De basisregistratie personen, zoals bedoeld in artikel 1.1 van de Wet BRP;

Binnengemeentelijke afnemer:

Elk gemeentelijk organisatieonderdeel dat op grond van dit Reglement gegevens uit de BRP verstrekt krijgt of hiertoe een verzoek doet. In dit Reglement wordt aan gemeentelijk organisatieonderdeel gelijkgesteld de rechtspersoon of deelneming waar de gemeente 100% aandeelhouder van is en die in opdracht van de verantwoordelijke gemeente taken uitvoert;

Datakwaliteit:

De actualiteit, volledigheid, juistheid en invoer op basis van geldende richtlijnen en aangewezen brondocumenten van de BRP-gegevens. Wordt ook data integriteit genoemd;

ENSIA:

De voorziening die wordt gebruikt om verantwoording af te leggen over de staat van informatiebeveiliging aan de gemeenteraad en over de BRP aan de Autoriteit persoonsgegevens en de minister van Binnenlandse Zaken en Koninkrijksrelaties. ENSIA staat voor Eenduidige Normatiek Single Information Audit;

Functionaris:

De persoon die op grond van artikel 2 van dit Reglement is belast met in dit Reglement opgenomen verantwoordelijkheden, bevoegdheden en taken;

Gebruiker:

De functionaris of raadpleger die gebruik maakt van de applicatie;

Gegevensverwerking:

Een verwerking van persoonsgegevens als bedoeld in artikel 4, tweede lid, van de AVG;

Raadpleger:

De medewerker van een binnengemeentelijke afnemer die op grond van dit Reglement toegang heeft gekregen tot de BRP-gegevens via de inzageapplicatie;

Reglement:

Het Reglement BRP;

Restore:

Het herstellen van de applicatie en/of de data naar een eerder moment;

Selectieverstrekking:

De verstrekking van BRP-gegevens met betrekking tot meer dan een ingeschrevene. De selectie wordt gemaakt aan de hand van vooraf bepaalde condities (criteria);

Systematische verstrekking:

De verstrekking van gegevens als bedoeld in artikel 3.1, tweede lid, van de Wet BRP. Indien deze door de verantwoordelijke plaatsvindt, geschiedt deze verstrekking op grond van hoofdstuk 3, afdeling 1, paragraaf 2 van de Wet BRP in samenhang met artikel 3 of 4 van de Verordening BRP;

Uitwijk:

Het gebruik van voorzieningen in het geval dat de normale applicatie (technische uitwijk) of reguliere werklocatie (fysieke uitwijk) buiten gebruik is;

Verantwoordelijke:

Het college van burgemeester en wethouders van Lelystad;

Zelfevaluatie:

De periodieke zelfevaluatie als bedoeld in artikel 4.3 van de Wet BRP. De zelfevaluatie omvat een onderzoek naar de inrichting, werking en beveiliging van de BRP aan de hand van vragenlijsten (hier het informatiekundig onderdeel genoemd) en de verwerking van gegevens in de BRP aan de hand van geautomatiseerde controles en een steekproef (hier het onderdeel datakwaliteit genoemd).

Artikel 2 De functionarissen

  • 1. De teamleider van de Stadswinkel is de functionaris die als informatiebeheerder is belast met het informatiebeheer. De informatiebeheerder wijst een andere teamleider aan die in geval van afwezigheid deze taken waarneemt. Het informatiebeheer omvat de dagelijkse zorg voor de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, eerste paragraaf, van dit Reglement.

  • 2. De informatiebeheerder wijst de functionarissen aan die als gegevensbeheerder zijn belast met het gegevensbeheer. Het gegevensbeheer omvat de verwerking van persoonsgegevens in de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, tweede paragraaf, van dit Reglement.

  • 3. De informatiebeheerder wijst de functionarissen aan die als seniorgegevensbeheerder zijn belast met het gegevensbeheer. De seniorgegevensbeheerder is belast met de zaken rondom de datakwaliteit en de betrouwbaarheid van de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, derde paragraaf, van dit Reglement.

  • 4. De informatiebeheerder wijst de functionarissen aan die als functioneel beheerder zijn belast met het functioneel beheer van de applicatie. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, vierde paragraaf, van dit Reglement.

  • 5. De rechtspersoon, of diens rechtsopvolger, met wie dit is overeengekomen, is belast met het applicatiebeheer. Medewerkers van deze rechtspersoon treden op als applicatiebeheerder. Het applicatiebeheer omvat de ontwikkeling van de applicatie. De bepalingen omtrent de verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn opgenomen in hoofdstuk 3, vijfde paragraaf, van dit Reglement.

  • 6. Het team Informatie Management en Automatisering en de rechtspersoon, of diens rechtsopvolger, met wie dit is overeengekomen, zijn belast met het technisch beheer. Functionarissen van dit organisatieonderdeel respectievelijk medewerkers van de rechtspersoon treden op als technisch beheerder. Het technisch beheer omvat het beheer van de server en de database en de beschikbaarheid van de applicatie op de werkplek van de gebruiker. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, zesde paragraaf, van dit Reglement.

  • 7. De informatiebeheerder wijst de functionarissen aan die als privacybeheerder zijn belast met het privacybeheer. Het privacybeheer omvat, uitsluitend voor wat betreft de in de BRP opgenomen gegevens, de bescherming van de persoonlijke levenssfeer van de personen op wie deze gegevens betrekking hebben. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, zevende paragraaf, van dit Reglement.

  • 8. De verantwoordelijke wijst de functionarissen aan die als adrescontroleur zijn belast met het toezicht op de naleving van de verplichtingen van de burger, zoals bedoeld in artikel 4.2 van de Wet BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, achtste paragraaf, van dit Reglement.

  • 9. De informatiebeheerder wijst de functionarissen aan die als beveiligingsbeheerder zijn belast met het informatiebeveiligingsbeheer. Het informatiebeveiligingsbeheer omvat de uitvoering van de informatiebeveiligingsvoorschriften op het gebied van de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, negende paragraaf, van dit Reglement.

  • 10. De Chief Information Security Officer (CISO) is de functionaris die als beveiligingsfunctionaris is belast met het toezicht op het informatiebeveiligingsbeleid aangaande de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, tiende paragraaf, van dit Reglement.

  • 11. In voorkomende gevallen kan één functionaris worden belast zijn met verschillende werkzaamheden. De functie van beveiligingsfunctionaris is niet verenigbaar met het verrichten van andere werkzaamheden in het kader van de BRP.

  • 12. De informatiebeheerder kan beheertaken die niet zijn toebedeeld, geheel of gedeeltelijk laten uitvoeren door aan hem ondergeschikte functionarissen.

Artikel 3 Schriftelijke verklaring bij toegang tot BRP-gegevens

Elke gebruiker legt voorafgaand aan het verkrijgen van toegang tot BRP-gegevens een schriftelijke verklaring af met het oog op privacy- en gebruiksvoorschriften.

Artikel 4 Verwerker

  • 1. Een natuurlijk persoon of rechtspersoon die niet behoort tot de organisatie van de verantwoordelijke (verwerker), kan worden aangewezen om de werkzaamheden van een functionaris als genoemd in artikel 2 te verrichten.

  • 2. De door de verwerker te verrichten werkzaamheden worden vastgelegd in een met de verwerker te sluiten schriftelijke overeenkomst.

  • 3. De verwerker dient te handelen in overeenstemming met de in de AVG gestelde eisen ten aanzien van verwerkers.

Artikel 5 Het autorisatiebesluit voor de landelijke voorziening

  • 1. De informatiebeheerder draagt namens de verantwoordelijke zorg voor de aanvraag, de wijziging, de organisatorische inrichting, het beheer en de naleving van het besluit als bedoeld in artikel 3.2, eerste lid, van de Wet BRP ten aanzien van de verantwoordelijke, betreffende de systematische verstrekking van persoonsgegevens uit de landelijke voorziening van de BRP (het autorisatiebesluit).

  • 2. De informatiebeheerder vertegenwoordigt de verantwoordelijke in buiten- of intergemeentelijk overleg inzake het autorisatiebesluit.

  • 3. De verantwoordelijkheden, taken en bevoegdheden die de functionarissen op grond van dit Reglement hebben met betrekking tot het beheer van de BRP, zijn voor zover mogelijk ook van toepassing op het autorisatiebesluit waar het betrekking heeft op het beheer, de beveiliging, de naleving, de vertegenwoordiging, de bevoegdheid, de applicatie en de verstrekking van gegevens.

  • 4. De informatiebeheerder kan, afwijkend van het bepaalde in het voorgaande lid, andere functionarissen aanwijzen ten aanzien van het autorisatiebesluit of taken en bevoegdheden overdragen aan andere functionarissen.

Artikel 6 Vastleggen aangehaakte gegevens

De aangehaakte gegevens die worden vastgelegd zijn:

  • a.

    Zaakdossiers die behoren tot het opnemen of wijzigen van gegevens van een ingeschrevene, voor de duur dat het zaakdossier bewaard moet blijven ingevolge artikel 4 van de Regeling BRP.

  • b.

    Zaakdossiers die behoren tot het verlenen van andere diensten door het team Stadswinkel, voor de duur dat het zaakdossier bewaard moet blijven ingevolge de daarvoor geldende regelgeving.

  • c.

    Aantekeningen die van belang zijn bij de registratie of verstrekking van persoonsgegevens bij een persoon, voor de duur dat deze aantekening van belang is.

Artikel 7 Beleidsdocument kwaliteit BRP

De verantwoordelijke benoemt doelstellingen betreffende de datakwaliteit en de betrouwbaarheid van de BRP-gegevens in een Beleidsdocument kwaliteit BRP.

Hoofdstuk 2 Bepalingen over verstrekkingen

Paragraaf 1 Gebruik van de gegevens

Artikel 8 Verplicht gebruik van authentieke gegevens

Met inachtneming van artikel 1.7 van de Wet BRP is de binnengemeentelijke afnemer die bij de vervulling van de taak informatie over een ingeschrevene nodig heeft die in de vorm van een authentiek gegeven beschikbaar is in de BRP, verplicht om voor die informatie dat gegeven te gebruiken.

Artikel 9 Recht op eenmalige gegevensverstrekking

Op grond van artikel 1.8 van de Wet BRP behoeft een ingeschrevene aan wie door een binnengemeentelijke afnemer een gegeven wordt gevraagd waarop artikel 8 van toepassing is dat gegeven niet mede te delen, behoudens voor zover het gegeven naar het oordeel van de binnengemeentelijke afnemer noodzakelijk is voor een deugdelijke vaststelling van de identiteit van betrokkene.

Artikel 10 Terugmeldverplichting

  • 1. De binnengemeentelijke afnemer die gerede twijfel heeft over de juistheid van een authentiek gegeven uit de BRP, doet hiervan mededeling aan de informatiebeheerder.

  • 2. De informatiebeheerder bepaalt, met inachtneming van artikel 2.34, vierde lid, van de Wet BRP en artikel 27 en 28 van het Besluit BRP, de wijze waarop de mededeling wordt gedaan, de te volgen werkwijze en de wijze waarop de kennisgeving over de afhandeling aan de binnengemeentelijke afnemer hierover wordt gedaan.

  • 3. De informatiebeheerder kan dit artikel overeenkomstig van toepassing verklaren bij een verstrekking op grond van artikel 12 en 13 van dit Reglement.

Paragraaf 2 Verstrekkingen

Artikel 11 Binnengemeentelijke systematische verstrekkingen

  • 1. Gelet op artikel 3.8 van de Wet BRP en artikel 3 van de Verordening BRP, worden in dit artikel de systematische verstrekkingen van gegevens aan binnengemeentelijke afnemers geregeld.

  • 2. Systematische verstrekking van gegevens aan een binnengemeentelijke afnemer vindt slechts plaats voor zover het orgaan hiervoor door de verantwoordelijke is aangewezen en in bijlage 1 van dit Reglement met benoeming van de taak is opgenomen. De verantwoordelijke wijst een binnengemeentelijke afnemer aan op voorstel van de informatiebeheerder. De informatiebeheerder doet een voorstel op verzoek van de binnengemeentelijke afnemer. De informatiebeheerder en de binnengemeentelijke afnemer maken nadere afspraken over de wijze waarop gegevens ter beschikking worden gesteld en welke gegevens dit betreft.

  • 3. Bij een verzoek als bedoeld in het vorige lid laat de informatiebeheerder zich ondersteunen door de privacybeheerder en de functioneel beheerder. De verzoeker laat zich met het oog op het vierde en vijfde lid ondersteunen door een informatiemanager over de gewenste gegevensverwerking. De informatiemanager kan de juridisch adviseur privacy en de adviseur informatiebeveiliging hierbij betrekken.

  • 4. Het verstrekken van gegevens uit de BRP is slechts mogelijk als de gegevens noodzakelijk zijn voor de vervulling van de taak en de gegevensverwerking door de verzoeker voldoet aan de beginselen van de AVG.

  • 5. De verzoeker moet voldoen aan het basisnormenkader voor informatiebeveiliging, zoals is opgenomen in de Baseline informatiebeveiliging Overheid (BIO).

  • 6. Op grond van dit artikel kunnen gegevens ter beschikking worden gesteld door middel van:

    • a.

      een inzageapplicatie;

    • b.

      een koppeling van het informatiesysteem van de binnengemeentelijke afnemer met de BRP;

    • c.

      een koppeling van het informatiesysteem van de binnengemeentelijke afnemer met tussenkomst van een voorziening die beoogt gegevens te verspreiden, zoals een gegevensdistributiesysteem, een gegevensmagazijn of een ‘application programming Interface’ (API);

    • d.

      een selectiebestand dat wordt overgedragen via een netwerkverbinding of een andersoortige voorziening.

  • 7. De informatiebeheerder zorgt voor de inzageapplicatie als bedoeld in het zesde lid, onder a. De medewerker van een binnengemeentelijke afnemer en de eigen teamleider doen gezamenlijk een verzoek tot toegang tot de inzageapplicatie. De functioneel beheerder stelt de inzageapplicatie slechts ter beschikking aan de verzoekende medewerker als het verzoek in overeenstemming is met de bepalingen van dit Reglement.

  • 8. De beheerder van een voorziening als bedoeld in het zesde lid, onder c, mag uitsluitend inzage verlenen in of gegevens uit de BRP verstrekken indien dit op grond van dit Reglement is geregeld.

  • 9. De beheerder van het systeem als bedoeld in het zesde lid, onder c, zorgt voor het vastleggen van raadplegingen van gegevens in logbestanden. Deze logbestanden worden gedurende een periode van een jaar bewaard.

Artikel 12 Incidentele selectieverstrekkingen

  • 1. De informatiebeheerder beslist na advies van de privacybeheerder op een verzoek om een incidentele selectieverstrekking uit de BRP op grond van artikel 3.5 of 3.13 van de Wet BRP.

  • 2. Ten aanzien van een verzoek als bedoeld in het eerste lid is artikel 11, vierde lid, overeenkomstig van toepassing. Voorts is ten aanzien van een binnengemeentelijke afnemer tevens artikel 11, derde en vijfde lid, van toepassing.

  • 3. Indien op grond van artikel 3.5, 3.6 of 3.13 van de Wet BRP of artikel 2 van de Verordening BRP wordt verzocht om persoonsgegevens van één in het verzoek geïdentificeerde ingeschrevene, dan is er geen sprake van een selectieverstrekking. De gegevensbeheerder beslist op dit verzoek om een incidentele verstrekking. De privacybeheerder kan een aanwijzing of een instructie geven ter afhandeling van een verzoek.

Artikel 13 Overige gegevensverstrekkingen

  • 1. Gelet op artikel 4 van de Verordening BRP worden, met inachtneming van artikel 3.9 van de Wet BRP, gegevens verstrekt aan hiervoor aangewezen derden.

  • 2. De gegevensverstrekking als bedoeld in het eerste lid vindt slechts plaats voor zover de derde is aangewezen door de verantwoordelijke en in bijlage 2 van dit Reglement is opgenomen. De verantwoordelijke wijst een derde aan op voorstel van de informatiebeheerder. De informatiebeheerder doet een voorstel op verzoek van de derde.

  • 3. De verantwoordelijke wijst een derde aan indien de derde behoort tot de in bijlage 1 van de Verordening BRP genoemde categorieën van derden, de daarin aangewezen werkzaamheden uitvoert en:

    • a.

      de derde de gegevens alleen gebruikt voor het doel waarvoor de gegevens zijn verstrekt en deze gegevens niet worden doorverstrekt aan derden, behoudens de gevallen waarin een wettelijk voorschrift hierin voorziet, en

    • b.

      de derde voldoet aan de voorschriften als gevolg van de Wet BRP, de AVG en eventuele specifieke regelgeving. Dit omvat onder meer het toezien op de toegang tot en het gebruik van de persoonsgegevens, het creëren van bewustzijn bij deze personen over privacy- en beveiligingsvoorschriften en het zorgdragen voor een deugdelijke fysieke en technische beveiliging van de ruimten en voorzieningen waarin de gegevens beschikbaar zijn.

  • 4. De beoordelingscriteria voor de verstrekking van gegevens aan aangewezen derden zijn:

    • a.

      Valt het verzoek onder de reikwijdte van de Verordening BRP?

    • b.

      Heeft de ingeschrevene om verstrekkingsbeperking verzocht?

    • c.

      Vallen de gevraagde gegevens binnen de reikwijdte van mogelijk te verstrekken gegevens?

    • d.

      Worden de gegevens gevraagd voor een geoorloofd doel?

    • e.

      Zijn de gegevens noodzakelijk voor het doel?

    • f.

      Kunnen de gegevens op een minder ingrijpende wijze worden verkregen?

Artikel 14 Verstrekken van aangehaakte gegevens

  • 1. Aangehaakte gegevens worden uitsluitend verstrekt als enig wettelijk voorschrift hierin voorziet.

  • 2. Verstrekking vindt plaats onder dezelfde voorwaarden als de verstrekking van gegevens uit de BRP, of onder de voorwaarden vermeld in de betreffende wetgeving op grond waarvan die gegevens zijn vastgelegd.

Artikel 15 Leges

Voor de verstrekking van gegevens als bedoeld in dit hoofdstuk, kunnen kosten in rekening worden gebracht, voor zover hierin is voorzien in de legesverordening.

Hoofdstuk 3 Bepalingen over het beheer

Paragraaf 1 De informatiebeheerder

Artikel 16 Verantwoordelijkheid

  • 1. De informatiebeheerder is verantwoordelijk voor de dagelijkse zorg voor de BRP.

  • 2. De informatiebeheerder is verantwoordelijk voor het uitvoering geven aan het informatiebeveiligingsbeleid en voor het voldoen aan andere eisen in het kader van de informatiebeveiliging op het gebied van de BRP.

  • 3. De informatiebeheerder is verantwoordelijk voor het voldoen aan de normen en het treffen van maatregelen in het kader van de zelfevaluatie.

  • 4. De informatiebeheerder is verantwoordelijk voor de datakwaliteit en de betrouwbaarheid van de BRP, waaronder het voldoen aan de beleidsdoelstellingen en het uitvoering geven aan de bijhorende maatregelen zoals gesteld in het Beleidsdocument kwaliteit BRP.

  • 5. De informatiebeheerder is verantwoordelijk voor een onafhankelijke, objectieve en verifieerbare uitvoering van het onderzoek ten behoeve van de zelfevaluatie.

Artikel 17 Bevoegdheid

  • 1. De informatiebeheerder kan functionarissen aanwijzen die de beveiligingsfunctionaris ondersteunen bij alle activiteiten rondom de uitvoering van de zelfevaluatie.

  • 2. De informatiebeheerder kan de verantwoordelijke adviseren met betrekking tot aspecten van de persoonsinformatievoorziening, het gegevensbeheer en de gegevensverwerking.

  • 3. De informatiebeheerder kan zijn taken, of taken die voortkomen uit zijn verantwoordelijkheid, laten uitvoeren door aan hem ondergeschikte functionarissen.

  • 4. De informatiebeheerder kan voor de beoordeling van een verzoek om gegevens op grond van dit Reglement, extra informatie of een onafhankelijk advies over de gegevensverwerking verlangen.

  • 5. De informatiebeheerder kan voorwaarden stellen met betrekking tot het gebruik van de applicatie en voorschriften stellen op het gebied van privacy aan gebruikers.

  • 6. De informatiebeheerder beslist op advies van de functioneel beheerder, de technisch beheerder en de beveiligingsbeheerder over de uitwijk.

  • 7. De informatiebeheerder is bevoegd de instructies vast te stellen die betrekking hebben op de taken of het gevolg zijn van de bevoegdheden die zijn genoemd in dit Reglement.

  • 8. De informatiebeheerder heeft toegang tot alle in de BRP opgenomen gegevens ten behoeve van de uitvoering van zijn in dit Reglement beschreven taken. Hij mag deze toegang gebruiken voor de uitvoering van de andere publieke taken waarvoor hij is aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.

  • 9. De informatiebeheerder is bevoegd om bij de teamleider van een binnengemeentelijke afnemer informatie op te vragen met betrekking tot de mate waarin de terugmeldverplichting als bedoeld in artikel 10 van dit Reglement wordt nageleefd.

  • 10. De informatiebeheerder is bevoegd om bij de beheerder van een voorziening als bedoeld in artikel 11, zesde lid, onder c, van dit Reglement informatie op te vragen en te verkrijgen met betrekking tot de personen die toegang hebben tot de gegevens in de voorziening, de raadplegingen van persoonsgegevens die door middel van deze voorziening zijn gedaan alsmede de gerealiseerde koppelingen met andere informatiesystemen.

Artikel 18 Taken

  • 1. De informatiebeheerder voorziet jaarlijks in een plan waarin het privacy- en informatiebeveiligingsbeleid wordt uitgewerkt. Daarbij worden onder meer de resultaten van een risicoanalyse of business impact analyse (BIA), data protection impact assessment (DPIA, gegevensbeschermingseffectbeoordeling) en de zelfevaluatie betrokken. Dit plan wordt opgesteld in samenspraak met de betrokken functionarissen. Het vormt een samenhangend geheel van maatregelen dat de beschikbaarheid, integriteit en vertrouwelijkheid van het BRP-informatiesysteem garandeert. De informatiebeheerder ziet toe op de tijdige uitvoering van de maatregelen.

  • 2. De informatiebeheerder voorziet in een planning van de beheeractiviteiten en andere werkzaamheden in een capaciteitsplanning. De informatiebeheerder zorgt voor een evaluatie aan de hand van de actuele werkbelasting en zorgt zo nodig bijstelling van de capaciteitsplanning.

  • 3. De informatiebeheerder voorziet in een opleidingsplan waarin enerzijds het benodigde en aanwezige niveau van competenties, kennis en vaardigheden voor de uit te voeren werkzaamheden zijn beschreven en anderzijds hoe dit niveau gaat worden bereikt.

  • 4. De informatiebeheerder voorziet in een evaluatie en herziening van de beschrijving, toewijzing en scheiding van de rollen voor de uitvoering, kwaliteitsbewaking en interne toezicht op het gebied van de BRP.

  • 5. De informatiebeheerder ziet toe op een beproeving van de technische uitwijk.

  • 6. De informatiebeheerder voorziet in een procedure fysieke uitwijk voor het geval moet worden uitgeweken naar een andere locatie in geval van calamiteiten.

  • 7. De informatiebeheerder rapporteert aan de verantwoordelijke over de voortgang en de resultaten ten aanzien van de datakwaliteit en de betrouwbaarheid van de BRP-gegevens, inzake het Beleidsdocument kwaliteit BRP.

  • 8. De informatiebeheerder verleent zijn medewerking aan de beveiligingsfunctionaris ten behoeve van het informatiekundig onderdeel van de zelfevaluatie.

  • 9. De informatiebeheerder zorgt voor de opname van de BRP verwerkingen in het register van verwerkingen en controleert de actualiteit hiervan.

  • 10. De informatiebeheerder vertegenwoordigt de verantwoordelijke in overleggen inzake de BRP, of wijst de functionaris aan die dat namens hem doet.

  • 11. De informatiebeheerder zorgt voor een reactie of verbeterplan naar aanleiding van de rapportage over de resultaten van de zelfevaluatie. De reactie of het verbeterplan wordt gelijktijdig met de rapportage van de beveiligingsfunctionaris aan de verantwoordelijke aangeboden.

  • 12. De informatiebeheerder verzendt de uittreksels van de resultaten van de zelfevaluatie aan de Autoriteit persoonsgegevens en de minister van Binnenlandse Zaken en Koninkrijksrelaties, voor zover hierin niet op andere wijze wordt voorzien in het kader van ENSIA.

Paragraaf 2 De gegevensbeheerder

Artikel 19 Verantwoordelijkheid

  • 1. De gegevensbeheerder is verantwoordelijk voor het uitvoeren van werkzaamheden in verband met het bijhouden en verstrekken van BRP-gegevens.

  • 2. De gegevensbeheerder is verantwoordelijk voor het verwerken van brondocumenten en verzoeken in de BRP.

  • 3. De gegevensbeheerder is verantwoordelijk voor het behandelen van verzoeken om verstrekkingen uit de BRP.

  • 4. De gegevensbeheerder is verantwoordelijk voor het uitvoeren van onderzoeken naar BRP-gegevens.

Artikel 20 Bevoegdheid

  • 1. De gegevensbeheerder beslist op aangiften en verzoekschriften die op grond van de Wet BRP worden gedaan, voor zover hier niet op andere wijze in is voorzien.

  • 2. De gegevensbeheerder is bevoegd om beslissingen te nemen naar aanleiding van een onderzoek naar BRP-gegevens en brondocumenten.

  • 3. De gegevensbeheerder is bevoegd om brondocumenten op echtheid te laten onderzoeken door hiervoor gespecialiseerde documentexperts.

  • 4. De gegevensbeheerder is bevoegd om een verklaring onder eed of belofte, als bedoeld in artikel 2.8, tweede lid, onder e, van de Wet BRP, af te nemen en hieraan gegevens te ontlenen.

  • 5. De gegevensbeheerder heeft toegang tot alle in de BRP opgenomen gegevens ten behoeve van de uitvoering van zijn in dit Reglement beschreven taken. Hij mag deze toegang gebruiken voor de uitvoering van de andere publieke taken waarvoor hij is aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.

Artikel 21 Taken

  • 1. De gegevensbeheerder verwerkt gegevens met betrekking tot de BRP overeenkomstig de in werkinstructies voorgeschreven wijze.

  • 2. De gegevensbeheerder verstrekt gegevens uit de BRP, voor zover de verstrekking geregeld is bij of krachtens de Wet BRP en op de wijze zoals is voorgeschreven in de instructie, met uitzondering van de periodieke gegevensverstrekking en de selectieverstrekkingen als bedoeld in hoofdstuk 2 van dit Reglement.

  • 3. De gegevensbeheerder stelt binnen vijf werkdagen na ontvangst van een melding van een overheidsorgaan dat gerede twijfel heeft over de juistheid van een BRP-gegeven de melder in kennis wat er met deze melding is gedaan.

  • 4. De gegevensbeheerder verzamelt de brondocumenten en gegevens die nodig zijn voor een beslissing als bedoeld in of krachtens de Wet BRP.

  • 5. De gegevensbeheerder toetst de waarde die aan overgelegde brondocumenten en gegevens kan worden toegekend, aan de hand van de Wet BRP en van rijkswege uitgevaardigde instructies.

  • 6. De gegevensbeheerder zorgt voor de archivering van verwerkte brondocumenten.

  • 7. De gegevensbeheerder zorgt voor de verzending van kennisgevingen en beslissingen op aangiften en verzoekschriften, voor zover dit geregeld is in de Wet BRP en op de wijze zoals is voorgeschreven in de instructie.

  • 8. De gegevensbeheerder handelt het berichtenverkeer af.

  • 9. De gegevensbeheerder voert onderzoeken uit in het geval van gerede twijfel over de juistheid van de gegevens.

  • 10. De gegevensbeheerder voert onder inhoudelijke aansturing van de seniorgegevensbeheerder controles en kwaliteitsverbeteringen uit ten behoeve van de datakwaliteit en de betrouwbaarheid van de BRP.

  • 11. De gegevensbeheerder volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

Paragraaf 3 De seniorgegevensbeheerder

Artikel 22 Verantwoordelijkheid

  • 1. De seniorgegevensbeheerder is verantwoordelijk voor de uitvoering van de maatregelen en onderzoeken uit het Beleidsdocument kwaliteit BRP en van de andere zaken rondom de datakwaliteit en de betrouwbaarheid van de BRP.

  • 2. De seniorgegevensbeheerder is verantwoordelijk voor de kwaliteitsbewaking rondom de datakwaliteit en de betrouwbaarheid van de BRP.

  • 3. De seniorgegevensbeheerder is verantwoordelijk voor de inhoudelijke aansturing van de gegevensbeheerders.

Artikel 23 Bevoegdheid

  • 1. De seniorgegevensbeheerder is bevoegd tot het geven van aanwijzingen aan de gegevensbeheerders inzake de bijhouding van de BRP.

  • 2. De seniorgegevensbeheerder is bevoegd tot het beslissen in gevallen van gerezen twijfel omtrent de geregistreerde of te registreren gegevens in de BRP, voor zover de Wet BRP en de instructies op dit punt onvoldoende duidelijk zijn.

  • 3. De seniorgegevensbeheerder kan in overleg met de informatiebeheerder zich laten ondersteunen door gegevensbeheerders ter verbetering van de datakwaliteit en de betrouwbaarheid van de BRP.

  • 4. De seniorgegevensbeheerder heeft toegang tot alle in de BRP opgenomen gegevens ten behoeve van de uitvoering van zijn in dit Reglement beschreven taken. Hij mag deze toegang gebruiken voor de uitvoering van de andere publieke taken waarvoor hij is aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.

Artikel 24 Taken

  • 1. De seniorgegevensbeheerder adviseert de functioneel beheerder over installatie van nieuwe- en of gewijzigde versies van de applicatie en bijbehorende apparatuur na deze te hebben getest.

  • 2. De seniorgegevensbeheerder voorziet in samenwerking met de privacybeheerder in actuele informatie en instructies op het gebied van de BRP. Daarbij wordt voorzien in wijzigingen in wet- en regelgeving, jurisprudentie en andere actualiteiten.

  • 3. De seniorgegevensbeheerder zorgt voor de inhoudelijke ondersteuning bij het gebruik van de applicatie.

  • 4. De seniorgegevensbeheerder ondersteunt de gegevensbeheerder bij het verwerken van BRP-gegevens in gevallen van gerezen twijfel.

  • 5. De seniorgegevensbeheerder ondersteunt bij de (voorbereiding op de) zelfevaluatie en de daaraan gerelateerde instructies en verleent medewerking bij de uitvoering ervan.

  • 6. De seniorgegevensbeheerder zorgt voor het treffen van voorbereidingen, het coördineren van werkzaamheden, het uitvoeren van onderzoeken, het opstellen van instructies en uitvoeringsmaatregelen, het geven van aanwijzingen aan andere functionarissen en het rapporteren aan de informatiebeheerder ten behoeve van het onderdeel datakwaliteit van de zelfevaluatie, de verbetering van de datakwaliteit en de betrouwbaarheid van de BRP en het Beleidsdocument kwaliteit BRP.

  • 7. De seniorgegevensbeheerder zorgt voor de (ondersteuning bij de) behandeling van de bezwaar- en beroepschriften voor zover hierbij het al dan niet bijhouden van BRP-gegevens aan de orde is.

  • 8. De seniorgegevensbeheerder zorgt voor de vormgeving en inhoud van documenten die aan de BRP worden ontleend, gezamenlijk met de functioneel beheerder en de privacybeheerder.

  • 9. De seniorgegevensbeheerder volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

Paragraaf 4 De functioneel beheerder

Artikel 25 Verantwoordelijkheid

  • 1. De functioneel beheerder is in samenwerking met de technisch beheerder (mede-) verantwoordelijk voor het functioneren en de beschikbaarheid van de applicatie bij de gemeente.

  • 2. De functioneel beheerder is verantwoordelijk voor het tijdig opschonen van databestanden en documenten in de applicatie en de database.

  • 3. De functioneel beheerder is verantwoordelijk voor een ongestoorde werking van het berichtenverkeer.

Artikel 26 Bevoegdheid

  • 1. De functioneel beheerder beoordeelt in samenspraak met de seniorgegevensbeheerder de installatie van nieuwe- en of gewijzigde versies van de applicatie en bijbehorende apparatuur na deze te hebben getest en zorgt voor tijdige voorlichting aan de gebruikers over de wijzigingen.

  • 2. De functioneel beheerder is bevoegd tot het geven van aanwijzingen aan de gebruikers inzake het gebruik van de applicatie.

  • 3. De functioneel beheerder heeft toegang tot alle in de BRP opgenomen gegevens ten behoeve van de uitvoering van zijn in dit Reglement beschreven taken. Hij mag deze toegang gebruiken voor de uitvoering van de andere publieke taken waarvoor hij is aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.

Artikel 27 Taken

  • 1. De functioneel beheerder adviseert de informatiebeheerder omtrent de uitwijk in samenspraak met de technisch beheerder en de beveiligingsbeheerder.

  • 2. De functioneel beheerder coördineert in samenwerking met de technisch beheerder de werkzaamheden in geval van uitwijk en restore.

  • 3. De functioneel beheerder zorgt voor de functionele ondersteuning bij het gebruik van de applicatie.

  • 4. De functioneel beheerder handelt het berichtenverkeer af in bijzondere gevallen en lost communicatieproblemen op.

  • 5. De functioneel beheerder schoont de database op van via het netwerk ontvangen berichten waarvan de cycli zijn afgerond.

  • 6. De functioneel beheerder zorgt, op aangeven van de beveiligingsbeheerder, voor het tijdig verwijderen van digitaal opgeslagen bescheiden zoals zaakdossiers.

  • 7. De functioneel beheerder zorgt voor de afhandeling van selectieverstrekkingen op aanwijzing van de privacybeheerder.

  • 8. De functioneel beheerder zorgt voor een zo spoedig mogelijke oplossing in geval van storingen binnen de applicatie, zo nodig door inschakeling van de technisch beheerder.

  • 9. De functioneel beheerder zorgt voor de communicatie bij storingen in hard- en software.

  • 10. De functioneel beheerder zorgt voor de vormgeving en inhoud van documenten die aan de BRP worden ontleend, gezamenlijk met de seniorgegevensbeheerder en de privacybeheerder.

  • 11. De functioneel beheerder houdt een overzicht bij met de gebruikerswensen van de gegevensbeheerders en bespreekt gebruikerswensen met de technisch beheerder of de applicatiebeheerder.

  • 12. De functioneel beheerder houdt een logboek bij van storingen en andere afwijkingen met betrekking tot de applicatie.

  • 13. De functioneel beheerder zorgt voor de toekenning van de autorisatieniveaus met gebruikersmogelijkheden aan gebruikers, rekening houdend met de bepalingen van dit Reglement.

  • 14. De functioneel beheerder handelt verzoeken af van medewerkers van binnengemeentelijke afnemers om toegang te krijgen tot de BRP-gegevens via de inzageapplicatie, rekening houdend met de bepalingen van dit Reglement.

  • 15. De functioneel beheerder houdt een administratie bij betreffende de autorisaties van gebruikers.

  • 16. De functioneel beheerder handelt verzoeken omtrent sturingsinformatie en andere managementgegevens af.

  • 17. De functioneel beheerder levert op verzoek van de seniorgegevensbeheerder de gegevens aan die nodig zijn voor de uitvoering van de periodieke- en systematische controle van de in de BRP opgenomen gegevens.

  • 18. De functioneel beheerder ondersteunt bij de (voorbereiding op de) zelfevaluatie en de daaraan gerelateerde instructies en verleent medewerking bij de uitvoering ervan.

  • 19. De functioneel beheerder informeert de gebruikers over de installatie van nieuwe- en of gewijzigde versies van de applicatie en de inhoudelijke gevolgen ervan.

  • 20. De functioneel beheerder volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

Paragraaf 5 De applicatiebeheerder

Artikel 28 Overeenkomst

De taken, verantwoordelijkheden en bevoegdheden van de applicatiebeheerder worden vastgelegd in een overeenkomst met de rechtspersoon die voorziet in de applicatie.

Paragraaf 6 De technisch beheerder

Artikel 29 Overeenkomst

Indien en voor zover het technisch beheer door de gemeentelijke organisatie wordt uitgevoerd, gelden de bepalingen zoals opgenomen in deze paragraaf. Indien het technisch beheer geheel of gedeeltelijk wordt uitgevoerd door een ander rechtspersoon, gelden de bepalingen zoals opgenomen in deze paragraaf onverkort, tenzij anders is overeengekomen met deze rechtspersoon of dit redelijkerwijs niet kan worden verwacht.

Artikel 30 Verantwoordelijkheid

De technisch beheerder is verantwoordelijk voor het functioneren en beheren van de server waarop de applicatie is geplaatst en de database van de gemeente, alsmede voor de noodzakelijke verbindingen en de beschikbaarheid van de applicatie.

Artikel 31 Bevoegdheid

  • 1. De technisch beheerder is bevoegd om direct maatregelen te treffen als de continuïteit van de applicatie of de in de database opgeslagen informatie acuut in het geding is en is verplicht om in dit geval achteraf ter zake te rapporteren aan de informatiebeheerder en de functioneel beheerder.

  • 2. De technisch beheerder is bevoegd tot het geven van aanwijzingen over het beheer van de applicatie, het beheer van bestanden en reconstructiemaatregelen.

Artikel 32 Taken

  • 1. De technisch beheerder adviseert de informatiebeheerder omtrent de uitwijk, in samenspraak met de functioneel beheerder en de beveiligingsbeheerder.

  • 2. De technisch beheerder coördineert in samenwerking met de functioneel beheerder de werkzaamheden in geval van uitwijk en restore.

  • 3. De technisch beheerder zorgt voor een dagelijkse back-up van de systeemprogrammatuur, de applicatie, de databestanden en de digitale BRP-bescheiden. Back-upmedia worden ondergebracht in een daartoe uitgeruste en beveiligde ruimte in een andere locatie dan de ruimte waarin de apparatuur is opgesteld. De afstand is dermate dat het redelijkerwijs niet is aan te nemen dat beide locaties worden getroffen ingeval van een calamiteit.

  • 4. De technisch beheerder draagt, na de beslissing hiertoe van de functioneel beheerder, zorg voor de installatie van nieuwe- en of gewijzigde versies van de applicatie.

  • 5. De technisch beheerder voorziet in de fysieke beveiliging van de applicatie.

  • 6. De technisch beheerder ondersteunt bij de (voorbereiding op de) zelfevaluatie en de daaraan gerelateerde instructies en verleent medewerking bij de uitvoering ervan.

  • 7. De technisch beheerder volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

Paragraaf 7 De privacybeheerder

Artikel 33 Verantwoordelijkheid

  • 1. De privacybeheerder is verantwoordelijk voor de bescherming en vertrouwelijkheid van de BRP-gegevens.

  • 2. De privacybeheerder is verantwoordelijk voor de kwaliteitsbewaking, het opstellen van instructies, het geven van aanwijzingen en de uitvoering van controles aangaande het verstrekken van gegevens uit de BRP.

Artikel 34 Bevoegdheid

  • 1. De privacybeheerder is bevoegd de instructies op te stellen die noodzakelijk zijn op het gebied van gegevensverstrekking en voor andere werkzaamheden met betrekking op de BRP, voor zover hier privacyaspecten aan de orde zijn.

  • 2. De privacybeheerder is bevoegd tot het geven van aanwijzingen aan de functionarissen belast met het verstrekken van gegevens uit de BRP.

  • 3. De privacybeheerder is bevoegd om de functioneel beheerder aanwijzingen te geven over de toepassing van de bepalingen bij of krachtens de Wet BRP en dit Reglement, bij een verzoek van een medewerker van een binnengemeentelijke afnemer om toegang te krijgen tot de BRP-gegevens via de inzageapplicatie en hiervoor de relevante informatie op te vragen.

  • 4. De privacybeheerder is bevoegd om te beslissen op een verzoek van een medewerker van een binnengemeentelijke afnemer om toegang te krijgen tot de BRP-gegevens via de inzageapplicatie.

  • 5. De privacybeheerder is bevoegd om de gebruikers aanwijzingen te geven voor zover hier privacyaspecten aan de orde zijn.

  • 6. De privacybeheerder heeft toegang tot alle in de BRP opgenomen gegevens ten behoeve van de uitvoering van zijn in dit Reglement beschreven taken. Hij mag deze toegang gebruiken voor de uitvoering van de andere publieke taken waarvoor hij is aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.

Artikel 35 Taken

  • 1. De privacybeheerder adviseert de informatiebeheerder over de te maken afspraken en de rechtmatigheid van verstrekkingen als bedoeld in hoofdstuk 2 van dit Reglement.

  • 2. De privacybeheerder controleert door de functioneel beheerder toegekende en geïmplementeerde verzoeken van medewerkers van binnengemeentelijke afnemers om toegang te krijgen tot de BRP-gegevens via de inzageapplicatie en rapporteert hierover aan de informatiebeheerder.

  • 3. De privacybeheerder zorgt voor de bekendmaking van het recht op verstrekkingsbeperking, zoals voorgeschreven in artikel 3.21 van de Wet BRP.

  • 4. De privacybeheerder voorziet in samenwerking met de seniorgegevensbeheerder in actuele informatie en instructies op het gebied van de BRP. Daarbij wordt voorzien in wijzigingen in wet- en regelgeving, jurisprudentie en andere actualiteiten.

  • 5. De privacybeheerder zorgt voor de vormgeving en inhoud van documenten die aan de BRP worden ontleend, gezamenlijk met de functioneel beheerder en de seniorgegevensbeheerder.

  • 6. De privacybeheerder zorgt voor de (ondersteuning bij de) behandeling van de bezwaar- en beroepschriften voor zover hierbij privacyaspecten aan de orde zijn.

  • 7. De privacybeheerder zorgt voor het treffen van voorbereidingen, het coördineren van werkzaamheden, het uitvoeren van onderzoeken, het opstellen van instructies en uitvoeringsmaatregelen, het geven van aanwijzingen aan andere functionarissen en het rapporteren aan de informatiebeheerder op het gebied van de gegevensverstrekking uit de BRP, waaronder de desbetreffende onderdelen van de zelfevaluatie.

  • 8. De privacybeheerder volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

Paragraaf 8 De adrescontroleur

Artikel 36 Verantwoordelijkheid

De adrescontroleur is als toezichthouder verantwoordelijk voor het toezicht op de naleving van de verplichtingen van de burger ingevolge hoofdstuk 2, afdeling 1, paragraaf 5 van de Wet BRP.

Artikel 37 Bevoegdheid

  • 1. De adrescontroleur is als toezichthouder is op grond van titel 5.2 van de Algemene wet bestuursrecht bevoegd om:

    • a.

      Met toestemming van een bewoner een woning te betreden, zo nodig met medeneming van de benodigde apparatuur (zoals een gegevensdrager of fotocamera);

    • b.

      Zich te laten vergezellen door een gegevensbeheer en andere personen die door hem zijn aangewezen;

    • c.

      Inlichtingen te vorderen over personen naar wiens gegevens onderzoek wordt gedaan;

    • d.

      Inzage te vorderen van een identiteitsbewijs van te onderzoeken personen en personen die worden aangetroffen in bezochte woningen;

    • e.

      Rapport op te maken naar aanleiding van een onderzoek of geconstateerde overtreding als genoemd in deze paragraaf.

  • 2. De adrescontroleur heeft toegang tot alle in de BRP opgenomen gegevens ten behoeve van de uitvoering van zijn in dit Reglement beschreven taken. Hij mag deze toegang gebruiken voor de uitvoering van de andere publieke taken waarvoor hij is aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.

Artikel 38 Taken

  • 1. De adrescontroleur legt ten behoeve van zijn taak huisbezoeken af en vordert inlichtingen en identiteitsbewijzen.

  • 2. De adrescontroleur voert zijn werkzaamheden uit in samenspraak met de gegevensbeheerder en koppelt het resultaat van zijn werkzaamheden terug in een onderzoeksrapportage aan de gegevensbeheerder.

  • 3. De adrescontroleur volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

Paragraaf 9 De beveiligingsbeheerder

Artikel 39 Verantwoordelijkheid

  • 1. De beveiligingsbeheerder is verantwoordelijk voor de uitvoering van het informatiebeveiligingsbeleid en van andere maatregelen op het gebied van informatiebeveiliging.

  • 2. De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de voorschriften bij of krachtens de Wet BRP, dit Reglement en het informatiebeveiligingsbeleid op het gebied van de BRP door de in dit Reglement genoemde functionarissen.

  • 3. De beveiligingsbeheerder is verantwoordelijk voor de bewaring en de vernietiging van de BRP-bescheiden, zowel in fysieke als digitale vorm.

Artikel 40 Bevoegdheid

  • 1. De beveiligingsbeheerder kan in overleg met de informatiebeheerder hem toekomende taken in het kader van de zelfevaluatie laten uitvoeren door andere functionarissen.

  • 2. De beveiligingsbeheerder is bevoegd tot het geven van aanwijzingen aan de functionarissen genoemd in dit Reglement inzake het bewaren en vernietigen van BRP-bescheiden en andere zaken op het gebied van informatiebeveiliging.

  • 3. De beveiligingsbeheerder is bevoegd gevraagd en ongevraagd aanbevelingen te doen over alle instructies, werkzaamheden en producten inzake informatiebeveiliging op het gebied van de BRP.

  • 4. De beveiligingsbeheerder is bevoegd om de gemeentearchivaris om goedkeuring voor vernietiging van BRP-bescheiden te vragen en om deze bescheiden na het verkrijgen van deze goedkeuring feitelijk te vernietigen, dan wel opdracht te geven tot de vernietiging.

Artikel 41 Taken

  • 1. De beveiligingsbeheerder zorgt voor het treffen van voorbereidingen, het coördineren van werkzaamheden, het uitvoeren van onderzoeken, het opstellen van instructies en uitvoeringsmaatregelen, het geven van aanwijzingen aan andere functionarissen en het rapporteren aan de informatiebeheerder over informatiebeveiliging op het gebied van de BRP.

  • 2. De beveiligingsbeheerder zorgt voor de beantwoording van de vragen van het informatiekundig onderdeel van de zelfevaluatie. Hij zorgt tevens voor de voorbereiding op de zelfevaluatie, het coördineren van bijbehorende werkzaamheden, het aantonen van de beantwoording van de vragenlijst en het aan de beveiligingsfunctionaris verlenen van de gevraagde medewerking.

  • 3. De beveiligingsbeheerder zorgt voor het uitvoeren van risicoanalyses.

  • 4. De beveiligingsbeheerder:

    • a.

      onderkent en reageert op incidenten en adviseert over de maatregelen die nodig zijn om de gevolgen van een incident te beperken en om herhaling te voorkomen;

    • b.

      stelt passende normen en controlemaatregelen op;

    • c.

      implementeert beveiligingsmaatregelen;

    • d.

      coördineert en handhaaft de uitvoering van de beveiligingsmaatregelen.

  • 5. De beveiligingsbeheerder functioneert als aanspreekpunt ten aanzien van de informatiebeveiliging op het gebied van de BRP.

  • 6. De beveiligingsbeheerder draagt bij aan het bevorderen van het beveiligingsbewustzijn bij gebruikers.

  • 7. De beveiligingsbeheerder rapporteert periodiek aan de informatiebeheerder over de voortgang van de beantwoording van de vragenlijst van de zelfevaluatie en de uitvoering van het informatiebeveiligingsbeleid.

  • 8. De beveiligingsbeheerder adviseert de informatiebeheerder omtrent de uitwijk, in samenspraak met de functioneel beheerder en de technisch beheerder.

  • 9. De beveiligingsbeheerder zorgt voor de bewaring en de vernietiging van de BRP-bescheiden en stelt hiertoe instructies op, geeft de noodzakelijke aanwijzingen en coördineert de relevante werkzaamheden.

  • 10. De beveiligingsbeheerder volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

Paragraaf 10 De beveiligingsfunctionaris

Artikel 42 Verantwoordelijkheid

De beveiligingsfunctionaris is verantwoordelijk voor het interne toezicht op het proces rondom het informatiekundig onderdeel van de zelfevaluatie.

Artikel 43 Bevoegdheid

  • 1. De beveiligingsfunctionaris krijgt de volledige medewerking van de in dit Reglement genoemde functionarissen voor zover die noodzakelijk is voor de beschreven taakuitvoering.

  • 2. De beveiligingsfunctionaris is bevoegd gevraagd en ongevraagd onderzoek uit te voeren naar zaken op het gebied van informatiebeveiliging, beveiligingsrisico’s onder de aandacht te brengen en aanbevelingen te doen om te komen tot het gewenste en gedefinieerde informatiebeveiligingsniveau.

  • 3. De beveiligingsfunctionaris kan de verantwoordelijke adviseren met betrekking tot informatiebeveiliging op het gebied van de BRP.

  • 4. De beveiligingsfunctionaris is bevoegd tot het geven van aanwijzingen aan de functionarissen genoemd in dit Reglement inzake informatiebeveiliging.

Artikel 44 Taken

  • 1. De beveiligingsfunctionaris ziet toe op de tijdige, objectieve en volledige beantwoording van de vragen van het informatiekundig onderdeel van de zelfevaluatie en verifieert naar eigen inzicht en op eigen initiatief de beantwoording.

  • 2. De beveiligingsfunctionaris brengt jaarlijks rapportage uit aan de verantwoordelijke over de resultaten van de zelfevaluatie. De beveiligingsfunctionaris doet daarbij tevens uitspraak over de mate waarin het onderzoek onafhankelijk, objectief en verifieerbaar heeft plaatsgevonden. De beveiligingsfunctionaris stelt de informatiebeheerder in de gelegenheid om gelijktijdig aan het uitbrengen van de rapportage een reactie of verbeterplan aan te bieden aan de verantwoordelijke.

  • 3. De beveiligingsfunctionaris zorgt voor het opstellen van een collegeverklaring informatiebeveiliging, waarmee de verantwoordelijke aan de gemeenteraad verantwoording aflegt over de resultaten van het informatiekundig onderdeel van de zelfevaluatie.

Paragraaf 11 De raadpleger

Artikel 45 Taken

  • 1. De raadpleger maakt slechts gebruik van zijn toegang tot de BRP-gegevens voor zover noodzakelijk bij de uitvoering van de taak op basis waarvan hij is geautoriseerd.

  • 2. De raadpleger neemt de bepalingen uit hoofdstuk 2 van dit Reglement in acht.

  • 3. De raadpleger volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

Hoofdstuk 4 Slotbepalingen

Artikel 46 Persoonsregister

De in dit Reglement opgenomen bepalingen gelden naast de BRP – voor zover van toepassing – ook voor het persoonsregister, bedoeld in het Besluit bevolkingsboekhouding.

Artikel 47 Intrekking oude regeling

Het Reglement basisregistratie personen, vastgesteld door het college van burgemeester en wethouders op 30 september 2014, en de Regeling Beheer en Toezicht Basisregistratie personen gemeente Lelystad, vastgesteld door het college van burgemeester en wethouders op 10 december 2019, worden ingetrokken met ingang van de dag waarop dit nieuwe Reglement BRP in werking treedt.

Artikel 48 Inwerkingtreding

Dit Reglement treedt in werking met ingang van de dag na bekendmaking.

Artikel 49 Citeertitel

Dit Reglement wordt aangehaald als: Reglement BRP Lelystad.

Ondertekening

Bijlage 1 Systematische verstrekking aan een binnengemeentelijke afnemer

Bijlage bij artikel 11, tweede lid.

Team

Taak

IMA Informatiemanagement en automatisering

Het beheren van voorzieningen op het gebied van datadistributie

ZLF Zelfstandigenloket

Uitvoering van het Besluit bijstandverlening zelfstandigen (Bbz)

WB Wabo en bestemmingsplannen

Uitvoering van taken in het kader van de omgevingsvergunning

WB Wabo en bestemmingsplannen

Aanschrijven van zakelijk gerechtigden (onroerende zaak)

JGD Jeugd

Leerplicht

JGD Jeugd

Leerlingenvervoer

JGD Jeugd

Regionale Meld- en Coördinatiefunctie (RMC)

JGD Jeugd

Werkzaamheden in het kader van de jeugdhulp

PenO Personeel en organisatie

Pensioenen wethouders

FB Financieel beheer

Het uitvoeren van financiële taken betreffende de legesheffing, de debiteurenadministratie, crediteurenadministratie en de fiscale verantwoording waaronder het verzenden van nota’s, het zorgdragen voor invorderingen en de informatieverstrekking aan de fiscus.

DVL-GIB Geoinformatie en belastingen

het uitvoeren van de Wet waardering onroerende zaken (WOZ) en gemeentelijke belastingtaken

DIA Digitale informatie en archiefbeheer

Digitaal archiveren en ordenen van archiefbescheiden

DIA Digitale informatie en archiefbeheer

Dispensatie op beperkt openbare archiefbescheiden

DIA Digitale informatie en archiefbeheer

Het uitvoeren van werkzaamheden rondom informatie op grond van de Wet hergebruik overheidsinformatie, de Wet open overheid, de Algemene verordening gegevensbescherming en de Algemene wet bestuursrecht

FAB-JZV Juridische Zaken

Afhandelen bezwaarschriften en overige juridische procedures

FAB-VLG Veiligheid

Openbare orde en veiligheidsaangelegenheden

FAB-VLG Veiligheid

Aanpak van ondermijning en het lokale ondermijningsoverleg

FAB-VLG Veiligheid

Uitvoeren van werkzaamheden in het kader van een tijdelijk huisverbod

FAB-VLG Veiligheid

Het verzamelen van gegevens in het kader van rampenbestrijding

STW Stadswinkel

Werkzaamheden in het kader van de Paspoortwet

STW Stadswinkel

Werkzaamheden in het kader van naturalisatie en optie

STW Stadswinkel

Burgerlijke stand

STW Stadswinkel

Werkzaamheden in het kader van de Kieswet

STW Stadswinkel

Werkzaamheden op het gebied van rijbewijzen

STW Stadswinkel

Aanvragen van verklaring omtrent verdrag

STW Stadswinkel

Werkzaamheden in het kader van de Wet op de lijkbezorging

STW Stadswinkel

Gevonden voorwerpen

STW Stadswinkel

Meldingen openbare ruimte

WMO

Wet maatschappelijke ondersteuning (WMO)

HHSD Handhaving sociaal domein

Fraudeonderzoek op het gebied van werk en inkomen

STT Stadstoezicht

Winkeltijden

STT Stadstoezicht

Drank- en horecabedrijf

STT Stadstoezicht

Kansspelen

STT Stadstoezicht

Vergunningen/ontheffingen/meldingen/kennisgevingen op grond van APV

STT Stadstoezicht

Gemeentelijke opsporingsambtenaren (openbare ruimte)

BOR Afval, groen en vastgoed

Begraafplaatsenadministratie (grafrechten)

BO Bestuursondersteuning

Koninklijke onderscheidingen

BO Bestuursondersteuning

Huwelijksjubilea en 100-jarigen

BO Bestuursondersteuning

4 en 5-mei

RMT Ruimte

Gehandicaptenparkeerkaart

Mutaties sociaal domein

Bijhouden mutaties op de uitkeringenadministratie

Mutaties sociaal domein

Inburgering nieuwkomers

Aanvragen sociaal domein

Toekennen bijstandsuitkering

Financiën Sociaal Domein

Financiële afhandeling van zaken rond de uitkering

Jeugd Lelystad (JEL)

Uitvoeren van de Jeugdwet

Datateam

Het verzamelen van gegevens ten behoeve van het make van statistische informatie en het doen van onderzoek

Datateam

Het trekken van een steekproef ten behoeve van enquêteonderzoek

Bijlage 2 Verstrekking aan derden

Bijlage bij artikel 13, tweede lid.

Derde

Doel

Sportbedrijf Lelystad

Het stimuleren van activiteiten op het gebied van sport, beweging en vitaliteit

Stichting Lelystad Vitaal

Het stimuleren van activiteiten op het gebied van sport, beweging en vitaliteit

Toelichting

Dit Reglement beschrijft privacy- en beheeraspecten met betrekking tot de basisregistratie personen (BRP). Hieronder wordt per hoofdstuk een toelichting gegeven.

Hoofdstuk 1 Algemene bepalingen

In het eerste hoofdstuk zijn de algemene bepalingen opgenomen. Dit hoofdstuk omvat de volgende onderdelen:

  • Toelichting op de gebruikte begrippen, waarbij met het oog op de gewenste eenduidigheid zoveel mogelijk aansluiting is gezocht bij de begrippen uit de Wet BRP (artikel 1);

  • Aanwijzen van de informatiebeheerder (de teamleider van de Stadswinkel) en andere functionarissen (artikel 2). Deze functionarissen worden belast met het beheer van de BRP;

  • Het verkrijgen van toegang tot de applicatie vindt pas plaats na het afleggen van een schriftelijke verklaring met als doel een betere bescherming van de privacy van ingeschrevenen en een correct gebruik van de applicatie (artikel 3);

  • Bepalingen ten aanzien van een verwerker (artikel 4);

  • De bepalingen ten aanzien van de gemeentelijke BRP-voorziening gelden voor zover van toepassing ook voor het gebruik van de landelijke BRP-voorziening (artikel 5);

  • Het bepalen van aangehaakte gegevens: gegevens die bij de persoonslijst worden opgeslagen, niet op grond van de Wet BRP maar op grond van dit Reglement (artikel 6);

  • De bepaling dat het college doelstellingen betreffende de datakwaliteit en de betrouwbaarheid van de BRP-gegevens benoemt in een Beleidsdocument kwaliteit BRP (artikel 7). Dit beoogt de kwaliteit van de gegevens en daarmee de dienstverlening aan burgers te verbeteren.

Hoofdstuk 2 Bepalingen over verstrekkingen

De eerste paragraaf richt zich op het gebruik van de gegevens door de gemeentelijke organisatie. Op grond van de Wet gelden de volgende regels:

  • Organisatieonderdelen zijn, bij de uitvoering van de taken waarbij persoonsgegevens nodig zijn, verplicht om deze gegevens uit de BRP te gebruiken (artikel 8);

  • Burgers hebben het recht op eenmalige gegevensverstrekking. Organisatieonderdelen mogen in principe niet vragen om de gegevens waar zij al over (zouden moeten) beschikken (artikel 9);

  • Organisatieonderdelen zijn verplicht om bij twijfel over de juistheid van de gegevens, dit te melden bij de bronhouder van de BRP (artikel 10).

Burgerzaken vervult een belangrijke rol binnen de gemeente als het gaat om het gebruik van BRP-gegevens. Twijfel over de juistheid van gegevens wordt daarom gemeld bij de Stadswinkel. Om dit op een effectieve wijze te organiseren, is de informatiebeheerder bevoegd om voorwaarden te stellen over de wijze van terugmelden.

De tweede paragraaf regelt de verstrekkingen uit de BRP. De volgende bepalingen worden hieronder toegelicht:

  • a.

    Het beschikbaar stellen van BRP-gegevens aan organisatieonderdelen (artikel 11);

  • b.

    De incidentele selectieverstrekkingen (artikel 12);

  • c.

    Overige gegevensverstrekkingen (artikel 13);

  • d.

    De verstrekking van aangehaakte gegevens (artikel 14);

  • e.

    De leges die in rekening worden gebracht voor de verstrekkingen (artikel 15).

Ad a.

Het doel van artikel 11 is het regelen van de systematische binnengemeentelijke verstrekkingen. Systematisch betekent hier dat het gaat om verstrekkingen die structureel plaatsvinden, waarbij het doel vooraf is bepaald, evenals de te verstrekken gegevens, de wijze waarop de verstrekking plaatsvindt en de criteria waaraan de gegevens moeten voldoen.

In de Wet BRP is het voorgeschreven dat deze regels bij of krachtens verordening worden bepaald. In de Verordening BRP is dit overgedragen aan het college. Het college geeft met dit artikel nadere invulling hieraan. Dit artikel omvat de volgende regels:

  • Het college van burgemeester en wethouders wijst na een voorstel van de informatiebeheerder een organisatieonderdeel aan dat de beschikking krijgt over gegevens uit de BRP;

  • In bijlage 1 van dit Reglement zijn de organisatieonderdelen opgenomen die gegevens ontvangen;

  • Het organisatieonderdeel moet voldoen aan de AVG en de BIO.

Het organisatieonderdeel dat gegevens uit de BRP ontvangt (of hiertoe een verzoek doet), is zelf verantwoordelijk voor de gegevensverwerking en dient de gegevensverwerking af te stemmen met de informatiemanager. Eventueel wordt daarbij de juridisch adviseur privacy en de adviseur informatiebeveiliging betrokken. De informatiebeheerder is niet voor de gegevensverwerking door het ontvangende organisatieonderdeel verantwoordelijk, maar wel voor de verstrekking uit de BRP voor dit doel.

Er zijn verschillende wijzen van gegevensverstrekking. Zo kan dat door middel van een directe of indirecte koppeling tussen de BRP en de afnemende applicatie, er kan gebruik worden gemaakt van een inzageapplicatie en het is mogelijk om selectiebestanden te leveren. Met een indirecte koppeling wordt de tussenkomst van een voorziening als een datadistributiesysteem, gegevensmagazijn of een ‘application programming Interface’ (API) bedoeld. Kenmerk van deze systemen is dat ze gegevens doorgeven, ophalen of opslaan voor vervolggebruik. De verstrekking van BRP-gegevens via deze ‘tussenvoorziening’ mag slechts plaatsvinden op basis van dit Reglement, wat betekent dat het derde en vierde lid van artikel 12 van toepassing is op elke verstrekking van BRP-gegevens uit deze voorziening. Overigens is in alle gevallen het ontvangende organisatieonderdeel na de verstrekking uit de BRP verantwoordelijk voor de verdere verwerking van de persoonsgegevens.

Ad b.

Artikel 12 regelt de incidentele selectieverstrekkingen. Dit zijn verstrekkingen die op meerdere personen betrekking hebben. De selectie komt tot stand door gebruik te maken van enkele criteria, zoals personen woonachtig in een bepaald gebied of van een bepaalde leeftijd. Met incidenteel wordt bedoeld dat het niet een systematische verstrekking is, de verstrekking heeft dus geen terugkerend karakter.

Voor de regels is aansluiting gezocht bij de regels op grond van artikel 11. Een belangrijk verschil is dat de informatiebeheerder beslist op incidentele verzoeken, zonder dat hier nog een collegebesluit voor nodig is.

In het derde lid is verduidelijkt dat indien het verzoek betrekking heeft op een enkel persoon die bij het verzoek is geïdentificeerd, dit geen selectie betreft. Vaak betreft dit een verzoek om een gewaarmerkt afschrift. De gegevensbeheerder handelt dergelijke verzoeken af.

Ad c.

Artikel 13 bevat bepalingen over gegevensverstrekking aan derden. Verstrekking aan een derde is mogelijk als aan beide volgende voorwaarden wordt voldaan:

  • de derde behoort tot een categorie van derden als benoemd in bijlage 1 van de Verordening BRP en voert werkzaamheden uit die hierbij zijn benoemd, en

  • de derde is aangewezen door het college om gegevens verstrekt te krijgen en opgenomen in bijlage 2 van dit Reglement.

De aanwijzing door het college van burgemeester en wethouders volgt na een voorstel van de informatiebeheerder. De derde moet aan voorwaarden op het gebied van informatiebeveiliging en aan privacyvoorschriften voldoen. De Verordening BRP biedt geen ruimte voor het aanwijzen van een verzoeker indien deze hiermee een commercieel gebruik tot doel heeft.

Of er daadwerkelijk verstrekt wordt na een verzoek van een aangewezen derde, is afhankelijk van de beoordelingscriteria die zijn opgenomen in dit artikel.

Ad d.

Op grond van artikel 6 worden er aangehaakte gegevens opgenomen. Dit zijn extra gegevens, meer gegevens dan is voorgeschreven in de Wet BRP. In artikel 14 zijn bepalingen opgenomen over het ter beschikking stellen van gegevens. In principe worden deze gegevens alleen ter beschikking gesteld aan functionarissen die zich bezighouden met de verwerking van gegevens in de BRP. Deze gegevens worden alleen aan anderen verstrekt, wanneer hiertoe een wettelijke grondslag bestaat.

Ad e.

Voor de verstrekking van gegevens kunnen kosten in rekening worden gebracht (artikel 15). Dit is geregeld in de legesverordening.

Hoofdstuk 3 Bepalingen over het beheer

Paragraaf 1De informatiebeheerder

Paragraaf 1 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de informatiebeheerder. De informatiebeheerder is verantwoordelijk voor de dagelijkse zorg voor de BRP, en alles wat hiermee te maken heeft op het gebied van informatiebeveiliging, de zelfevaluatie, de datakwaliteit en de betrouwbaarheid van de gegevens. Daarvoor beschikt hij over bevoegdheden zoals het toewijzen van taken aan ondergeschikte functionarissen en het vaststellen van instructies. Daarnaast heeft hij taken zoals het voorzien in een informatiebeveiligingsplan, het rapporteren aan het college over de datakwaliteit en de betrouwbaarheid van gegevens en het verlenen van medewerking aan de beveiligingsfunctionaris ten behoeve van de zelfevaluatie.

Paragraaf 2 De gegevensbeheerder

Paragraaf 2 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de gegevensbeheerder. De gegevensbeheerder, aangewezen door de informatiebeheerder, is verantwoordelijk voor het bijhouden, onderzoeken en verstrekken van de gegevens. Daarvoor beschikt de gegevensbeheerder over de bevoegdheid om te beslissen op verzoeken en om brondocumenten te laten onderzoeken. De taken bevinden zich op het gebied van de uitvoering en liggen in het verlengde van de verantwoordelijkheden.

Paragraaf 3 De seniorgegevensbeheerder

Paragraaf 3 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de seniorgegevensbeheerder. De seniorgegevensbeheerder, aangewezen door de informatiebeheerder, is verantwoordelijk voor zaken rondom de datakwaliteit en de betrouwbaarheid van de gegevens en daarom voor de inhoudelijk aansturing van de gegevensbeheerders. Daarvoor beschikt hij over bevoegdheden om aanwijzingen te geven aan de gegevensbeheerders en om te beslissen in uitzonderlijke situaties. De taken die daarbij horen zijn bijvoorbeeld het verzorgen van instructies, de ondersteuning bij de behandeling van bezwaarschriften en het zorgdragen voor onderdelen van de zelfevaluatie.

Paragraaf 4 De functioneel beheerder

Paragraaf 4 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de functioneel beheerder. De functioneel beheerder, aangewezen door de informatiebeheerder, is samen met de technisch beheerder verantwoordelijk voor het functioneren van de applicatie, het opschonen van bestanden en de werking van het berichtenverkeer. Daarvoor beschikt hij over bevoegdheden om te beslissen op installaties van gewijzigde versies van de applicatie en is hij bevoegd om aanwijzingen te geven over het gebruik van de applicatie. De taken liggen in het verlengde van de verantwoordelijkheden.

Paragraaf 5 De applicatiebeheerder

Paragraaf 5 bepaalt dat de verantwoordelijkheden, bevoegdheden en taken van de applicatiebeheerder worden vastgelegd in een overeenkomst met de rechtspersoon die hiervoor zorg draagt. Dit omvat de ontwikkeling van de applicatie en de wijze waarop wordt samengewerkt.

Paragraaf 6 De technisch beheerder

Paragraaf 6 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de technisch beheerder. Mogelijk dat het technisch beheer (deels) door een andere partij wordt uitgevoerd. Is dat het geval, dan gelden de bepalingen uit deze paragraaf onverkort, tenzij iets anders is overeengekomen of dat dit redelijkerwijs niet kan worden verwacht.

De technisch beheerder is verantwoordelijk voor de server, de database, de verbindingen en de beschikbaarheid van de applicatie. Daarvoor beschikt hij over de bevoegdheid om direct maatregelen te treffen als dat nodig zou zijn en om aanwijzingen te geven op dit gebied. De taken bevinden zich onder meer op het terrein van de beveiliging, de uitwijk, de back-up en de installatie van gewijzigde versies van de applicatie.

Paragraaf 7De privacybeheerder

Paragraaf 7 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de privacybeheerder. De privacybeheerder, aangewezen door de informatiebeheerder, is verantwoordelijk voor de bescherming en de vertrouwelijkheid van de gegevens en voor het verstrekken van gegevens. Hij is bevoegd om instructies op te stellen en functionarissen aanwijzingen te geven over verstrekkingen, hij beslist over een verzoek tot toegang tot de inzageapplicatie en mag aanwijzingen geven over het gebruik van deze applicatie. De taken liggen in het verlengde van de verantwoordelijkheden.

Paragraaf 8De adrescontroleur

Paragraaf 8 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de adrescontroleur. De adrescontroleur is als toezichthouder, aangewezen door het college, verantwoordelijk voor het toezicht op de naleving van de verplichtingen van de burger ingevolge hoofdstuk 2, afdeling 1, paragraaf 5 van de Wet BRP. Dit omvat onder meer de verplichtingen om aangifte te doen van adreswijziging of het vertrek uit Nederland, het verstrekken van inlichtingen en het overleggen van brondocumenten. Wat de bevoegdheid betreft wordt voornamelijk verwezen naar de bevoegdheden op grond van de Algemene wet bestuursrecht. De belangrijkste taak van de adrescontroleur is het afleggen van huisbezoeken, met het doel om de feitelijke bewoning vast te stellen. Hiervan maakt hij een rapportage, welke door de gegevensbeheerder kan worden gebruikt bij een adresonderzoek.

Paragraaf 9De beveiligingsbeheerder

Paragraaf 9 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de beveiligingsbeheerder. De beveiligingsbeheerder, aangewezen door de informatiebeheerder, is verantwoordelijk voor zaken op het gebied van informatiebeveiliging en voor de bewaring en vernietiging van verwerkte brondocumenten. Daarvoor beschikt hij over de bevoegdheid om aanwijzingen te geven aan functionarissen en kan hij aanbevelingen doen over informatiebeveiliging. De taken bevinden zich op het terrein van informatiebeveiliging en de zelfevaluatie.

Paragraaf 10De beveiligingsfunctionaris

Paragraaf 10 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de beveiligingsfunctionaris. De beveiligingsfunctionaris is onafhankelijk van de uitvoering. Hij is verantwoordelijk voor het toezien op het proces van de zelfevaluatie. De beveiligingsfunctionaris is bevoegd om onderzoek en aanbevelingen te doen, aanwijzingen te geven en de gewenste medewerking te krijgen. Wat zijn taken betreft, het volgende. De uitvoering van de zelfevaluatie via ENSIA wordt grotendeels door de informatiebeheerder en de beveiligingsbeheerder gedaan, maar de beveiligingsfunctionaris ziet erop toe dat hierbij de gewenste objectiviteit in acht wordt genomen. De beveiligingsfunctionaris is immers onafhankelijk van de informatiebeheerder. Verder rapporteert hij jaarlijks aan het college over de resultaten van de zelfevaluatie en stelt hij de informatiebeheerder daarbij in de gelegenheid om tegelijkertijd een verbeterplan aan te bieden.

Paragraaf 11De raadpleger

Paragraaf 11 gaat over de raadpleger. Een raadpleger is een medewerker van een organisatieonderdeel met toegang tot de BRP-gegevens via de inzageapplicatie. Deze raadpleger mag slechts gegevens gebruiken waarvoor hij is geautoriseerd en alleen voor uitvoering van de taak waarvoor hij is geautoriseerd. Hij moet de aanwijzingen volgen die worden gegeven op grond van dit Reglement, bijvoorbeeld over privacyvoorschriften en het gebruik van de applicatie.

Hoofdstuk 4 Slotbepalingen

In hoofdstuk 4 zijn bepalingen opgenomen over het oude bevolkingsregister, het intrekken van de oude regelingen, de inwerkingtreding en de citeertitel.