Regeling beheer en toezicht Basisregistratie Personen gemeente Pijnacker-Nootdorp 2024

Geldend van 03-05-2024 t/m heden

Intitulé

Regeling beheer en toezicht Basisregistratie Personen gemeente Pijnacker-Nootdorp 2024

Het college van de gemeente Pijnacker-Nootdorp;

gezien het advies van de afdeling Ruimte, Belastingen en Gegevensbeheer d.d. 23 april 2024 ;

gelet op het bepaalde in de Wet Basisregistratie Personen en de Algemene Verordening Gegevensbescherming;

overwegende, dat de GBA-beheerregeling van 15 april 2011 door invoering van de Wet basisregistratie personen (Wet BRP) van rechtswege is komen te vervallen en hoewel niet verplicht het noodzakelijk is om het beheer van de Gemeentelijke Voorziening (oude GBA-systeem) te regelen;

besluit:

vast te stellen “Regeling beheer en toezicht Basisregistratie Personen gemeente Pijnacker-Nootdorp 2024”

Hoofdstuk 1 – Algemene- en begripsbepalingen

Artikel 1 – Begripsbepalingen

In deze Regeling wordt verstaan onder:

Applicatiebeheer: het geheel van activiteiten gericht op het ondersteunen van het toepassingssysteem voor de gemeentelijke voorziening en de waarborging van de continuïteit van de informatievoorziening;

Autorisatiebesluit: een besluit als bedoeld in artikel 3.2, eerste lid van de Wet BRP betreffende systematische verstrekking van persoonsgegevens uit de centrale voorzieningen;

Beveiligingsfunctionaris: de functionaris die toezicht houdt op het geheel van activiteiten gericht op het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het plan informatiebeveiliging;

Centrale voorzieningen: de (toekomstige) centrale voorzieningen waarmee de Minister van BZK uitvoering geeft aan artikel 1.4 van de Wet BRP;

College: het College van burgemeester en wethouders van Pijnacker-Nootdorp;

Gegevensbeheer: het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg op het gebied van gegevensverzameling, gegevensverwerking en informatievoorziening;

Gegevensmagazijn: magazijn met persoonsgegevens over personen die zijn ingeschreven in de gemeentelijke voorziening aangevuld met de geautomatiseerde verwerking van persoonsgegevens over personen die niet behoren tot de bevolking van Pijnacker-Nootdorp;

Gegevensverwerking: het ontlenen van gegevens aan documenten en deze op een voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opnemen in een gegevensbestand;

Gemeentelijke voorziening: de geautomatiseerde verwerking van persoonsgegevens over de ingeschrevenen van de gemeente Pijnacker-Nootdorp waarvoor het College op grond van artikel 1.9 van de Wet BRP verantwoordelijk is;

Informatiebeheer: het geheel van activiteiten gericht op beleidsvoorbereiding, ontwikkeling van kwaliteitsprocedures, beveiligingsprocedures, verstrekkings- en privacy-procedures ten behoeve van de basisregistratie personen, alsmede de coördinatie bij de uitvoering van de procedures;

Informatiebeheerder: de functionaris die namens het College is belast met de dagelijkse zorg voor de gemeentelijke voorziening, het gegevensmagazijn en het beheer van het autorisatiebesluit;

Ingeschrevene: degene ten aanzien van wie een persoonslijst als bedoeld in artikel 1 van de Wet BRP in de basisregistratie is opgenomen;

Plan informatiebeveiliging: informatiebeveiligingsplan voor de gemeentelijke voorziening;

Privacybeheer: het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer bij het verzamelen en verwerken van de persoonsgegevens in de basisregistratie personen en de informatievoorziening daaruit;

Systeembeheer: het geheel van activiteiten gericht op het onderhouden van de technische aspecten van het toepassingssysteem, waarmee de gemeente uitvoering geeft aan de Wet BRP;

Toezicht: het geheel van activiteiten gericht op het naleven van de wettelijke verplichtingen door de burger;

Wet: de Wet basisregistratie personen (Stb.2013,315).

Artikel 2 – Aanwijzing functionarissen

  • 1. Het hoofd van de afdeling RBG is beheerder van de gemeentelijke voorziening en het autorisatiebesluit en in die hoedanigheid informatiebeheerder basisregistratie personen en het Datadistributiesysteem.

  • 2. De informatiebeheerder kan de taken op het gebied van het informatiebeheer geheel of gedeeltelijk mandateren aan een of meer ondergeschikte ambtenaren.

  • 3. De kwaliteitsmedewerker RBG is beveiligingsfunctionaris en is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Plan informatiebeveiliging.

  • 4. De beveiligingsfunctionaris rapporteert minimaal eens per jaar aan het hoofd van de afdeling RBG, het directieteam en het College.

Artikel 3 – Aanwijzing functionarissen voor systeem- en beveiligingsbeheer

  • 1. Het hoofd van de afdeling Bedrijfsvoering (BDV) wijst medewerkers aan die belast zijn met het systeembeheer.

  • 2. De informatiebeheerder wijst functionarissen aan die worden belast met:

    • a.

      gegevensbeheer;

    • b.

      applicatiebeheer;

    • c.

      gegevensverwerking;

    • d.

      het afnemen van een verklaring onder ede als bedoeld in artikel 2.8, lid 2 onder e. van de Wet;

    • e.

      het privacybeheer.

Hoofdstuk 2 – Het Informatiebeheer

Artikel 4 – Beheer gemeentelijke voorziening

De informatiebeheerder beheert de gemeentelijke voorziening, het gegevensmagazijn en het autorisatiebesluit.

Artikel 5 – Verplichtingen van de informatiebeheerder

De informatiebeheerder voorziet in:

  • a.

    een jaarlijkse planning van de beheeractiviteiten;

  • b.

    een jaarlijkse rapportage aan het College over de onder a. bedoelde planning;

  • c.

    een jaarlijkse rapportage over de resultaten van de ingevolge artikel 13 gehouden periodieke kwaliteitscontrole;

  • d.

    administratieve beheerprocedures, voor zover daarin niet door of bij de Wet is voorzien;

  • e.

    periodiek overleg tussen hem en de op basis van deze regeling aangewezen beheerders;

  • f.

    richtlijnen voor de bijhouding van de basisregistratie personen.

Artikel 6 – Uitvoering periodiek onderzoek

De informatiebeheerder is verantwoordelijk voor:

  • a.

    de uitvoering van het periodieke onderzoek op grond van artikel 4.3 van de Wet naar de inrichting, werking en de beveiliging van de gemeentelijke voorziening, alsmede naar de verwerking van gegevens;

  • b.

    de periodieke toezending van een uittreksel van de resultaten van het onderzoek aan het Autoriteit persoonsgegevens en de Minister van Binnenlandse Zaken en Koninkrijkrelaties.

Artikel 7 – Adviesfunctie informatiebeheerder

De informatiebeheerder adviseert het College als verantwoordelijke over de navolgende aspecten de gemeentelijke voorziening betreffende:

  • a.

    de persoonsinformatievoorziening;

  • b.

    de beveiliging;

  • c.

    de kwaliteit van de opgenomen gegevens;

  • d.

    personele aangelegenheden.

Artikel 8 – Beslissingsbevoegdheid informatiebeheerder

De informatiebeheerder beslist:

  • a.

    over de installatie van nieuwe of gewijzigde versies van het toepassingssysteem voor de gemeentelijke voorziening;

  • b.

    op verzoeken van gemeentelijke organen (afdelingen) tot het verkrijgen van gegevens uit de basisregistratie;

  • c.

    op verzoeken van bij de Verordening basisregistratie personen aangewezen derden tot het verkrijgen van gegevens;

  • d.

    over de wijze van verstrekking van gegevens in de gevallen bedoeld onder b. en c.

Artikel 9 – Controlefunctie informatiebeheerder

De informatiebeheerder ziet erop toe, dat:

  • a.

    de in deze regeling opgenomen bepalingen worden nageleefd;

  • b.

    de behandeling en afhandeling van verzoeken om gegevensverstrekking als bedoeld in artikel 8 geschiedt volgens de bepalingen van de Wet, de Verordening basisregistratie personen en de Algemene Verordening Gegevensbescherming;

  • c.

    de bij of krachtens de Wet opgelegde verplichtingen ten aanzien van de inrichting, bijhouding en beveiliging van de gemeentelijke voorziening worden nageleefd;

  • d.

    dat de in artikel 3 genoemde functionarissen op de hoogte zijn van de installatie van nieuwe of gewijzigde versies van het toepassingsysteem en de gevolgen daarvan;

  • e.

    de beveiligingsvoorschriften die voortvloeien uit het Plan Informatiebeveiliging worden nageleefd.

Artikel 10 – Deelname aan buitengemeentelijk overleg

De informatiebeheerder of een op grond van de artikelen 2 of 3 aangewezen functionaris neemt deel aan buitengemeentelijk overleg inzake onderwerpen die het beheer van de gemeentelijk voorziening betreffen.

Hoofdstuk 3 – Het gegevensbeheer

Artikel 11 – Verschillende gegevensbeheerders

In de gemeente Pijnacker-Nootdorp zijn twee verschillende gegevensbeheerders werkzaam:

  • a.

    de gegevensbeheerder gemeentelijke voorziening (inwoners);

  • b.

    de gegevensbeheerder gegevensmagazijn (DDS).

Artikel 12 – Verantwoordelijkheden gegevensbeheerder

  • 1. De gegevensbeheerder is verantwoordelijk voor:

    • a.

      de juistheid, actualiteit en betrouwbaarheid van de in de gemeentelijke voorziening op te nemen of opgenomen gegevens;

    • b.

      het beheer van de documentatie op het gebied van de Wet en de overige regelgeving;

    • c.

      communicatie met de overheidsorganen aan wie gegevens worden verstrekt en andere houders van een voorziening voor de basisregistratie personen, over gegevensverwerking;

    • d.

      het verwerken van complexe mutaties en correcties in de gemeentelijke voorziening;

    • e.

      het uitzetten van richtlijnen met betrekking tot het actualiseren en corrigeren van gegevens in de gemeentelijke voorziening;

  • 2. De gegevensbeheerder beslist binnen 5 werkdagen op het in behandeling nemen van een melding van een overheidsorgaan die gerede twijfel heeft over de juistheid van een in de gemeentelijke voorziening opgenomen (authentiek) gegeven en stelt het overheidsorgaan in kennis van deze beslissing.

Artikel 13 – Verplichten van de gegevensbeheerder

De gegevensbeheerder voorziet in:

  • a.

    de behandeling van wijzigingsverzoeken als bedoeld in artikel 2.57, 2.58 en 2.60 van de Wet;

  • b.

    uitvoering van controlewerkzaamheden ter waarborging van de kwaliteit van de in de gemeentelijke voorziening opgenomen gegevens;

  • c.

    een doorlopende kwaliteitssteekproef en de uitvoering van de daarmee samenhangende verbeteringen en verbetermaatregelen gericht op handhaving van de kwaliteitsnormen van het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties;

  • d.

    de uitvoering van het periodiek onderzoek als bedoeld in artikel 4.3 van de Wet voor wat betreft de in de gemeentelijke voorziening opgenomen gegevens;

  • e.

    deelname aan het in artikel 5 onder e. bedoelde overleg.

Artikel 14 – Bevoegdheden gegevensbeheerder

De gegevensbeheerder is bevoegd in overleg met de applicatiebeheerder en vanuit de in artikel 12 bedoelde verantwoordelijkheid aan de gegevensverwerkers aanwijzingen te geven inzake de opname en bijhouding van gegevens in de gemeentelijke voorziening.

Hoofdstuk 4 – Het systeembeheer

Artikel 15 – Verantwoordelijkheden systeembeheer

De systeembeheerder is verantwoordelijk voor het technisch onderhoud van het toepassingssysteem waarmee de gemeentelijke voorziening voor de basisregistratie personen wordt gevoerd.

Artikel 16 – Verplichtingen systeembeheer

De systeembeheerder voorziet in:

  • a.

    de fysieke beveiliging van het toepassingssysteem;

  • b.

    een dagelijkse back-up die wordt ondergebracht in daartoe uitgeruste en beveiligde ruimte op een andere locatie dan de ruimte waarin de apparatuur voor de gemeentelijke voorziening is opgesteld;

  • c.

    de technische installatie van gewijzigde- of nieuwe versies van het toepassingssysteem;

  • d.

    de beschikbaarheid van het toepassingssysteem overeenkomstig hetgeen daarover intern en met derden is overeengekomen;

  • e.

    deelname aan het in artikel 5 onder e. bedoelde overleg.

Artikel 17 – Bevoegdheden systeembeheer

  • 1. De systeembeheerder is bevoegd:

    • a.

      direct maatregelen te treffen als de continuïteit van het toepassingssysteem of de daarin opgeslagen gegevens acuut in het geding is;

    • b.

      aanwijzingen te geven over:

      • het beheer van het toepassingssysteem;

      • het beheer van de bestanden;

      • het uitvoeren van reconstructiewerkzaamheden.

  • 2. Indien maatregelen als bedoeld onder 1.a. getroffen worden rapporteert de systeembeheerder direct of achteraf aan de informatiebeheerder.

Hoofdstuk 5 – Het applicatiebeheer

Artikel 18 – Verantwoordelijkheden applicatiebeheerder

De applicatiebeheerder is verantwoordelijk voor:

  • a.

    de ondersteuning bij het gebruik van het toepassingssysteem;

  • b.

    het tijdig opschonen van de relevante bestanden in de database;

  • c.

    het beheer van de verschillende tabellen;

  • d.

    het beheer van de gebruikersdocumentatie;

  • e.

    de uitvoering en naleving van voorgeschreven procedures uit het Plan Informatiebeveiliging;

  • f.

    de gehele of gedeeltelijke uitvoering van de uitwijkprocessen zoals beschreven in het Plan Informatiebeveiliging.

Artikel 19 – Verplichtingen applicatiebeheerder

De applicatiebeheerder voorziet in:

  • a.

    de communicatie bij storingen in hard- en software;

  • b.

    een logboek waarin bijzondere gebeurtenissen worden bijgehouden;

  • c.

    de toekenning van de autorisatieniveaus voor actualiseringen aan de gegevensbeheerder, de gegevensverwerkers en de applicatiebeheerder op grond van een besluit van de informatiebeheerder;

  • d.

    de bijhouding van een dossier van de autorisaties die door de informatiebeheerder zijn toegekend;

  • e.

    het testen en evalueren van nieuwe versies van het toepassingssysteem alsmede het testen en evalueren van nieuwe apparatuur;

  • f.

    de beoordeling van de gevolgen van de installatie van nieuwe of gewijzigde versies van het toepassingssysteem;

  • g.

    het oplossen van problemen en klachten die bij het gebruik van het toepassingssysteem ontstaan eventueel in samenwerking met systeembeheer of een derde;

  • h.

    de coördinatie van de werkzaamheden in geval van uitwijk, in overleg en samenwerking met systeembeheer;

  • i.

    afhandeling van verzoeken om managementgegevens;

  • j.

    deelname aan het overleg als bedoeld in artikel 5 onder e. alsmede het externe gebruikersoverleg.

Artikel 20 – Bevoegdheden applicatiebeheerder

De applicatiebeheerder is bevoegd:

  • a.

    gegevensverwerkers en andere medewerkers van externe afdelingen of diensten die direct toegang tot de basisregistratie hebben aanwijzingen te geven over het gebruik van het toepassingssysteem;

  • b.

    over het gebruik van de basisregistratie gedragsregels op te stellen.

Hoofdstuk 6 – Het privacybeheer

Artikel 21 – Verantwoordelijkheden privacy-beheerder

De privacy-beheerder is verantwoordelijk voor:

  • a.

    de advisering over de inhoudelijke afhandeling van verzoeken als bedoeld in artikel 8 onder b. c. en d. van deze regeling;

  • b.

    het dagelijks toezicht op het de naleving van de privacy-voorschriften in relatie tot het gebruik van gegevens uit de basisregistratie op grond van de Wet basisregistratie personen en de Algemene Verordening Gegevensbescherming.

Artikel 22 – Adviesfunctie privacy-beheerder

De privacybeheerder adviseert in het kader van de wet BRP over:

  • a.

    de afhandeling van de verzoeken om inzage in de Basisregistratie personen overeenkomstig artikel 2.55 van de wet BRP respectievelijk artikel 15 van de Algemene Verordening Gegevensbescherming (inzage);

  • b.

    de behandeling van alle verzoeken om verstrekkingsbeperking die op basis van artikel 2.59 van de Wet BRP ingediend worden en de eventuele privacytoets als bedoeld in artikel 3.21 lid 2 van de Wet BRP;

  • c.

    de afhandeling van verzoeken ingevolge de artikelen 17 en 21 van de Algemene Verordening Gegevensbescherming;

  • d.

    de kennisgeving ingevolge artikel 19 van de Algemene Verordening Gegevensbescherming;

  • e.

    de afhandeling van verzoeken om inzage in verstrekkingen uit de Basisregistratie personen aan overheidsorganen en derden.

Artikel 23 – Bevoegdheden privacy-beheerder

De privacy-beheerder is bevoegd:

  • a.

    op grond van het in artikel 21 onder b. bedoelde toezicht, alle gebruikers van de basisregistratie aanwijzingen te geven;

  • b.

    Ongevraagd advies uit te brengen over alle procedures en producten betrekking hebbende op de basisregistratie, waarbij de persoonlijke levenssfeer in het geding is.

Artikel 24 – Betrokkenheid bezwaarschriftenprocedures

De privacy-beheerder is betrokken bij alle bezwaarschriftenprocedures die voortvloeien uit genomen beslissingen op grond van de Wet en de daarbij behorende regelingen en de Algemene Verordening Gegevensbescherming voor zover hierbij privacyaspecten aan de orde zijn.

Hoofdstuk 7 – De gegevensverwerking

Artikel 25 – Verplichtingen gegevensverwerkers

De gegevensverwerkers voorzien in:

  • a.

    het verwerken van de gegevens in de basisregistratie overeenkomstig de voorschriften van de krachtens de wet voorgeschreven systeembeschrijving (Logisch Ontwerp) en de Handleiding Uitvoeringsprocedures (HUP), voor zover daartoe door de applicatiebeheerder geautoriseerd;

  • b.

    het verzamelen van de daarvoor bestemde gegevens;

  • c.

    de archivering van de brondocumenten aan de hand waarvan de gegevens zijn verwerkt;

  • d.

    de behandeling van mutaties;

  • e.

    de behandeling van het netwerkverkeer;

  • f.

    de behandeling van de foutverslagen, voortvloeiende uit de inkomende netwerkverslagen;

  • g.

    de boordeling van de juistheid en originaliteit van de overeenkomstig het bepaalde in artikel 2.8 van de Wet overgelegde brondocumenten en toetsing van de mogelijkheid tot ontlening van gegevens daarvan;

  • h.

    de dagelijkse controle van de in de basisregistratie aangebrachte actualiseringen;

  • i.

    de kennisgeving aan de ingeschrevene voor wat betreft de verwerking van:

    • wijziging van het naamgebruik;

    • vervolginschrijving bij zowel een binnengemeentelijke verhuizing als bij opname in de basisregistratie;

  • j.

    de toezending van de complete persoonslijst aan de ingeschrevene bij opname in de basisregistratie;

  • k.

    de behandeling van alle verzoeken om verstrekkingsbeperking die op basis van artikel 2.59 van de Wet BRP ingediend worden en de eventuele privacytoets als bedoeld in artikel 3.21 lid 2 van de Wet BRP;

  • l.

    in het kader van de BRP de afhandeling van verzoeken ingevolge de artikelen 17 en 21 van de Algemene Verordening Gegevensbescherming;

  • m.

    de kennisgeving gerelateerd aan de BRP ingevolge artikel 19 van de Algemene Verordening Gegevensbescherming;

  • n.

    de afhandeling van de verzoeken om inzage in de Basisregistratie personen overeenkomstig artikel 2.55 van de Wet BRP respectievelijk artikel 15 van de Algemene Verordening Gegevensbescherming (inzage);

  • o.

    de afhandeling van verzoeken om inzage in verstrekkingen uit de Basisregistratie personen aan overheidsorganen en derden;

Artikel 26 – Beslissingsbevoegdheid gegevensverwerkers

De gegevensverwerkers:

  • a.

    beslissen op aangiften en verzoekschriften die op grond van de Wet worden gedaan met inachtneming van het bepaalde in artikel 22 en voor zover hierin niet op een andere wijze is voorzien;

  • b.

    beslissen over het verwerken van resultaten van onderzoeken die zijn ingesteld naar aanleiding van een (terug)melding van een overheidsorgaan of andere gebruiker;

  • c.

    stellen de (terug)melder in kennis van de beslissing als bedoeld onder b.

Hoofdstuk 8 – De toezichthouder

Artikel 27 – Verantwoordelijkheden toezichthouder

  • 1. De toezichthouder als bedoeld in artikel 4.2 van de Wet is verantwoordelijk voor het toezicht op de naleving van de verplichtingen van de burger ingevolge hoofdstuk 2, afdeling 1, paragraaf 5 van de Wet.

  • 2. De toezichthouder controleert of de burger voldoet aan zijn verplichtingen met betrekking tot inschrijving (artikel 2.38), adreswijziging (2.39), rechtmatig gebruik van een briefadres (2.40 t/m 2.42), vertrek uit Nederland (2.43), de verstrekking van alle inlichtingen die nodig zijn voor de bijhouding van de basisregistratie.

  • 3. De toezichthouder ziet erop toe, dat indien de burger niet zelf aan zijn verplichtingen voldoet of kan voldoen, de verplichtingen worden vervuld door degene die daartoe op grond van het bepaalde in de artikelen 2.49 en 2.50 van de Wet bevoegd is.

Artikel 28 – Verplichtingen toezichthouder

  • 1. De toezichthouder voert zijn werkzaamheden uit in samenspraak met de gegevensverwerker;

  • 2. De toezichthouder legt het resultaat van zijn werkzaamheden vast in een onderzoeksrapportage en draagt zorg voor dossiervorming.

Artikel 29 – Bevoegdheden toezichthouder

  • 1. De toezichthouder ontleent de in de in lid 2 van dit artikel genoemde bevoegdheden aan het bepaalde in Hoofdstuk 5 van de Algemene wet bestuursrecht.

  • 2. De toezichthouder is in verband met de uitvoering van de hem opgedragen taken bevoegd:

    • a.

      een woning of andere plaats te betreden, apparatuur (laptop, fotocamera, etc.) mee te nemen;

    • b.

      zich indien nodig, toegang te verschaffen met behulp van de sterke arm;

    • c.

      zich te doen vergezellen door personen die door hem zijn aangewezen;

    • d.

      alle benodigde inlichtingen te vorderen;

    • e.

      inzage in het identiteitsbewijs te vorderen;

    • f.

      zakelijke gegevens te vorderen, kopieën te maken en/of documenten mee te nemen;

    • g.

      onderzoek te doen;

    • h.

      rapport op te maken van een geconstateerde overtreding van de bepalingen de Wet.

  • 3. De toezichthouder is niet bevoegd een woning zonder toestemming van de bewoner te betreden.

Hoofdstuk 9 – Het beveiligingsbeheer

Artikel 30 – Verantwoordelijkheden beveiligingsbeheerder

  • 1. De beveiligingsbeheerder is verantwoordelijk voor de inrichting, organisatie en uitvoering van het informatiebeveiligingsbeleid op het gebied van de persoonsinformatievoorziening.

  • 2. De beveiligingsbeheerder is in het bijzonder verantwoordelijk voor de opstelling en uitvoering van het Plan informatiebeveiliging voor de gemeentelijke voorzieningen waarmee uitvoering wordt gegeven aan de bepalingen van de Wet. Die verantwoordelijkheid strekt zich tevens uit over de beveiliging van het gegevensmagazijn (DDS).

  • 3. De beveiligingsbeheerder ondersteunt en adviseert de informatiebeheerder op het gebied van informatiebeveiliging op zodanige wijze, dat de informatiebeheerder diens verantwoordelijkheid op grond van deze Regeling op deugdelijke wijze kan invullen en uitvoeren.

  • 4. De beveiligingsbeheerder coördineert de uitvoering van de beveiligingsmaatregelen die zijn vastgelegd in het Plan Informatiebeveiliging.

Artikel 31 – Verplichtingen beveiligingsbeheerder

De beveiligingsbeheerder:

  • a.

    onderkent en reageert op incidenten en adviseert over maatregelen die nodig zijn om de gevolgen van een incident te beperken dan wel herhaling te voorkomen;

  • b.

    stelt passende normen en controlemaatregelen op;

  • c.

    implementeert beveiligingsmaatregelen;

  • d.

    coördineert en handhaaft de uitvoering van de maatregelen als bedoeld onder c;

  • e.

    fungeert als aanspreekpunt op het gebied van informatiebeveiliging en bevordert het beveiligingsbewustzijn bij medewerkers en management;

  • f.

    neemt deel aan het in artikel 5 onder e. genoemde overleg;

  • g.

    participeert in de ontwikkeling en formulering van het gemeentebrede informatiebeveiligingsbeleid;

  • h.

    rapporteert jaarlijks over de informatieveiligheid aan de informatiebeheerder en verzorgt de bijdragen aan de gemeentebrede managementrapportage over de informatieveiligheid met betrekking tot de persoonsinformatievoorziening.

Artikel 32 – Bevoegdheden beveiligingsbeheerder

De beveiligingsbeheerder is bevoegd:

  • a.

    uit hoofde van het bepaalde in artikel 30 alle gebruikers van de basisregistratie aanwijzingen te geven;

  • b.

    advies uit te brengen over alle procedures en producten betrekking hebbende op de basisregistratie betreffende, waarbij de beveiliging aan de orde is.

Hoofdstuk 10 – Beveiligingsfunctionaris

Artikel 33 – Verantwoordelijkheden beveiligingsfunctionaris

  • 1. De beveiligingsfunctionaris is verantwoordelijk voor het toezicht op de naleving van de beveiligingsmaatregelen en procedures zoals uitgewerkt in het Plan informatiebeveiliging en met inachtneming van de voor de gemeente vastgestelde baseline informatiebeveiliging overheid.

  • 2. De beveiligingsfunctionaris informatiebeveiliging ziet erop toe, dat:

    • a.

      de beveiligingsvoorschriften die voortvloeien uit de Wet en het Plan informatiebeveiliging worden nageleefd;

    • b.

      de in deze Regeling opgenomen bepalingen worden nageleefd.

  • 3. De beveiligingsfunctionaris voorziet in een jaarlijks verslag over de activiteiten op het gebied van het beveiligingsbeheer van de gemeentelijke voorziening.

Artikel 34 – Bevoegdheden beveiligingsfunctionaris

  • 1. De beveiligingsfunctionaris is bevoegd om aan het management van de afdelingen Bedrijfsvoering en Afdeling Ruimte, Belastingen en Gegevensbeheer dwingende adviezen te geven ten aanzien van de naleving van de beveiligingsvoorschriften die voortvloeien uit de Wet en het Plan Informatiebeveiliging;

  • 2. De beveiligingsfunctionaris is bevoegd het College rechtstreeks te adviseren over beveiligingsaspecten die voortvloeien uit het Plan Informatiebeveiliging;

  • 3. De beveiligingsfunctionaris voorziet in een jaarlijks verslag over de activiteiten inzake het beveiligingsbeheer van de gemeentelijke voorziening.

Hoofdstuk 11 – Slotbepalingen

Artikel 35 – Reikwijdte regeling

De in deze Regeling opgenomen bepalingen gelden voor de gemeentelijke voorziening als bedoeld in artikel 1.2 juncto 1.4 van de Wet, voor de in de gemeentelijke voorziening genoemde aangehaakte gegevens en voor de in het gegevensmagazijn (DDS) opgeslagen basisgegevens, voor zover afkomstig uit de basisregistratie.

Artikel 36 – Inwerkingtreding en citeertitel

  • 1. Deze Regeling beheer en toezicht basisregistratie personen gemeente Pijnacker-Nootdorp 2024 met ingang van de in het tweede lid genoemde datum.

  • 2. Deze regeling treedt in werking op de eerste dag na die waarop zij is bekend gemaakt.

  • 3. Deze Regeling kan worden aangehaald als Regeling beheer en toezicht basisregistratie personen gemeente Pijnacker-Nootdorp 2024, kortweg: BRP-beheerregeling 2024.

Ondertekening

Vastgesteld in de vergadering van 16 april 2024.

het college van Pijnacker-Nootdorp,

Annelies Kroeskamp

secretaris

Björn Lugthart

burgemeester

Bijlage 1: Aanwijzing functionarissen in het kader van de Regeling Beheer en Toezicht BRP.

1.Informatiebeheerder

Ingevolge het bepaalde in artikel 2 lid 2 van de Regeling Beheer en Toezicht BRP fungeert het Hoofd van de afdeling Ruimte, Belastingen en Gegevensbeheer tot informatiebeheerder;

Tot plaatsvervangend Informatiebeheerder wordt aangewezen:

De teamleider van het team gegevensbeheer en belastingen van de afdeling RBG fungeert tevens als plaatsvervangende informatiebeheerder BRP;

2.Gegevensbeheerder BRP

Ingevolge het bepaalde in artikel 3 lid 2 onder a. van de Regeling Beheer en Toezicht BRP wijst de informatiebeheerder BRP de navolgende functionaris aan tot gegevensbeheerder BRP:

De gegevensbeheerder van de afdeling RBG, team gegevensbeheer en belastingen;

3.Gegevensbeheer Datadistributiesysteem DDS (gegevensmagazijn)

Ingevolge het bepaalde in artikel 3 lid 2 onder a. van de Regeling Beheer en Toezicht BRP wijst de informatiebeheerder BRP de navolgende functionaris aan tot gegevensbeheerder DDS;

De gegevensbeheer DDS wordt uitgevoerd door een externe partij

4.Applicatiebeheerder BRP

Ingevolge het bepaalde in artikel 3 lid 2 onder b. wijst de informatiebeheerder de navolgende functionaris aan tot applicatiebeheerder BRP:

De applicatiebeheerder van de afdeling Ruimte, Belastingen en Gegevensbeheer.

Tot Plaatsvervangende Applicatiebeheerder BRP wordt aangewezen:

De beleidsmedewerker van de afdeling RBG;

5.Gegevensverwerkers BRP

Ingevolge het bepaalde in artikel 3 lid 2 onder c. wijst de informatiebeheerder de navolgende functionarissen aan tot gegevensverwerkers BRP tevens belast met het berichtenverkeer:

  • de BRP-gegevensbeheerder;

  • de medewerkers van de afdeling Ruimte, Belastingen en Gegevensbeheer, team gegevensbeheer en belastingen belast met de bijhouding van de BRP

6.Gegevensverwerkers m.u.v. berichtenverkeer

Alle medewerk(st)ers van de afdeling Bedrijfsvoering.

7.Afnemen verklaring artikel 2.8, lid 2 van de Wet BRP

Bevoegd tot het afnemen van een verklaring onder ede als bedoeld in artikel 2.8 van de Wet basisregistratie personen zijn:

  • De gegevensbeheerder BRP en diens plaatsvervanger;

  • De toezichthouders BRP.

8.Privacy-beheer

Ingevolge het bepaalde in artikel 3 onder e. wijst de informatiebeheerder de navolgende functionaris aan tot privacy-beheerder:

de beleidsmedewerker afdeling Ruimte, Belastingen en Gegevensbeheer, team gegevensbeheer en belastingen.

Tot Plaatsvervangende beveiligingsbeheerder BRP wordt aangewezen:

De gegevensbeheerder BRP

9.Beveiligingsbeheer

De navolgende functionaris is aangewezen als beveiligingsbeheerder BRP:

De Adviseur Kwaliteit en dienstverlening bij de afdeling Ruimte, Belastingen en Gegevensbeheer, team gegevensbeheer en belastingen.

Tot Plaatsvervangende beveiligingsbeheerder BRP wordt aangewezen:

De gegevensbeheerder BRP

10.Beveiligingsfunctionaris

De navolgende functionaris is aangewezen als beveiligingsfunctionaris BRP:

De Adviseur Kwaliteit en dienstverlening bij de afdeling Ruimte, Belastingen en Gegevensbeheer

Tot Plaatsvervangende beveiligingsfunctionaris wordt aangewezen:

De beleidsmedewerker van de afdeling Ruimte, Belastingen en Gegevensbeheer, team gegevensbeheer en belastingen.

11.Toezichthouders

Het College heeft de navolgende functionarissen tot toezichthouder als bedoeld in artikel 4.2. van de Wet basisregistratie personen benoemd:

  • de gegevensbeheerder BRP

  • de gegevensbewerker belast met het uitvoeren van (adres)onderzoeken.

Toelichting op de Regeling beheer en toezicht Basisregistratie personen (BRP)

1. Aanleiding

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming in de hele Europese Unie van kracht gegaan. Daarmee is de oude Wet bescherming persoonsgegevens en alle daarop gebaseerde (lokale)regelingen van rechtswege komen te vervallen.

Ook is op 6 januari 2014 de Wet basisregistratie personen (Wet BRP) van kracht geworden. Daarmee zijn de oude Wet basisregistratie persoonsgegevens (Wet GBA) en alle daarop gebaseerde (lokale) regelingen van rechtswege komen te vervallen. Op grond van de nieuwe Wet BRP is de vaststelling van een beheerregeling niet meer verplicht. Vanwege de verantwoordelijkheid van het College zorg te dragen voor een gemeentelijke voorziening (vooralsnog het oude GBA-systeem), dat functioneert conform de regels die bij of krachtens de nieuwe Wet en het Logisch Ontwerp GBA zijn gegeven, wordt het niettemin noodzakelijk geacht het beheer van de gemeentelijke voorziening van de basisregistratie personen te regelen. In de Regeling Beheer en Toezicht BRP zijn daartoe de verplichtingen, de verantwoordelijkheden en bevoegdheden van alle bij (het beheer van) de basisregistratie betrokken personen vastgelegd.

2. Belangrijkste wijzigingen

Door wijziging van de onderliggende regelgeving is er niet alleen meer sprake van beheerrollen. De nieuwe Wet kent ook toezichthouders BRP (reeds door het College benoemd). Om die reden is de naam van de regeling gewijzigd van “Beheerregeling” in “Regeling beheer en toezicht”.

Het beveiligingsbeheer heeft onder de werking van de nieuwe Wet een iets andere inhoud gekregen. De inhoud van de rol van de beveiligingsfunctionaris had voorheen vooral betrekking op het uitoefenen van toezicht. Voor een adequate uitvoering van het beveiligingsbeheer en het beveiligingstoezicht is, mede gelet op de toekomstige aansluiting op de “Baseline Informatiebeveiliging overheid” (samenwerkingsverband Ministerie van BZK en VNG) er echter voor gekozen het beveiligingsbeheer- en het toezicht in deze Regeling te splitsen en apart te beschrijven.

Ook in Pijnacker-Nootdorp is het Datadistributiesysteem DDS voornamelijk in gebruik als het systeem voor (interne) distributie van gegevens uit de basisregistratie. Het beheer van dit gegevensmagazijn is functioneel ingevuld en ligt tot nu toe buiten de invloedsfeer van de informatiebeheerder. Dit kan leiden tot inconsistent beveiligings- en privacybeheer, er kunnen via het gegevensmagazijn immers persoonsgegevens worden verstrekt, terwijl daar op basis van de autorisatiebesluiten geen grond voor is. Het is daarom van belang, het beheer van de gemeentelijke voorziening van de basisregistratie en het beheer van de DDS in één hand te leggen. Deze Regeling beheer en toezicht BRP voorziet daarin. Hierdoor krijgt de informatiebeheerder ook zicht op de verstrekkingen die verlopen via koppelingen van het gegevensmagazijn en kunnen deze verstrekkingen door de privacybeheerder worden getoetst.

Algemeen

De basisregistratie personen (BRP) maakt deel uit van een stelsel van basisregistraties. Sinds 1 januari 2010 is de overheid bij de uitvoering van de (wettelijke) taken verplicht om de benodigde persoonsgegevens te betrekken uit de BRP. Dat geldt ook voor de gemeentelijke organisatie-onderdelen.

De BRP bestaat nu nog uit twee delen, een gemeentelijk deel en een centraal (landelijk) deel, de GBA-V. In de nabije toekomst zal de persoonsadministratie in zijn geheel centraal worden belegd en worden gemeenten “slechts” toeleverancier en gebruiker van persoonsgegevens. Op dit moment is er echter nog een gemeentelijke voorziening, waarin de gegevens over de eigen inwoners worden geregistreerd en bijgehouden. Op grond van het bepaalde in artikel 4.15 van de Wet BRP is de gemeente bevoegd tot aan de overgang naar de centrale administratie voor de registratie en bijhouding van gegevens gebruik te maken van het huidige- het oude GBA-systeem, mits het aan de eisen van de nieuwe Wet en het daarop gebaseerde Logisch Ontwerp voldoet. Dat is het geval.

De Minister van BZK is verantwoordelijk voor de centrale voorziening. Deze voorziening gaat de persoonsgegevens bevatten van alle personen die in Nederland woonachtig zijn (ingezetenen) en van personen die niet in Nederland wonen maar wel een relatie hebben met de Nederlandse overheid (niet-ingezetenen). In deze Regeling wordt op de toekomst geanticipeerd.

Voor het gebruik van persoonsgegevens uit de gemeentelijke voorziening kunnen bij Verordening nadere regels worden gesteld. Het College heeft de Verordening basisregistratie personen vastgesteld. De verkrijging van gegevens uit de (centrale) basisregistratie is gebaseerd op een autorisatiebesluit van de Minister van BZK.

Beheer en toezicht

Uit het oogpunt van privacy, beveiligingsbeheer en toezicht is het wenselijk voor de gemeentelijke voorziening een aantal taken te benoemen en vast te leggen in een regeling waarin de hoofdlijnen op genoemde aspecten zijn vastgelegd. Daarnaast verplicht de wetgever het College via artikel 1.11 van de Wet zich te houden aan de nadere regels van de systeembeschrijving, het Logisch Ontwerp. Ingevolge hoofdstuk 8 van dit Logisch Ontwerp dient het College functionarissen aan te wijzen die een aantal beheertaken op het gebied van de gemeentelijke voorziening uitvoeren.

Formeel is de Regeling bedoeld voor gegevensverwerking in de gemeentelijke voorziening. Op de gegevens in het gegevensmagazijn (DDS) is de Algemene Verordening Gegevensbescherming van toepassing. Het is uit het oogpunt van eenheid in persoonsinformatievoorziening, privacybeleid en de beheersbaarheid van de informatiestromen ook de voor het gegevensmagazijn relevante beheeraspecten onder te brengen in de Regeling voor de gemeentelijke voorziening. Hierdoor ontstaat één duidelijke regeling voor zowel de gemeentelijke voorziening als voor het gegevensmagazijn.

Verschillende rollen

In deze Regeling zijn naast de beheerrollen, informatiebeheer, gegevensbeheer, applicatiebeheer, systeembeheer, beveiligingsbeheer en privacybeheer ook de verplichtingen, verantwoordelijkheden en verplichtingen van de gegevensverwerker, de toezichthouder en de beveiligingsfunctionaris informatiebeveiliging beschreven. De gegevensverwerkers verwerken uitsluitend de persoonsgegevens in de gemeentelijke voorziening. De inhoudelijke verantwoordelijkheid voor niet in Pijnacker-Nootdorp wonende personen ligt bij de beheerder van de gemeentelijke voorziening van de andere gemeente(n) dan wel bij de beheerder van de centrale voorziening, i.c. de Minister van BZK.

De verdeling van de verschillende rollen is mede afhankelijk van de inrichting van het informatie- en beveiligingsbeleid en de persoonsinformatiehuishouding van de gemeente. In Pijnacker-Nootdorp is zowel het beheer van de gemeentelijke voorziening als dat van het gegevensmagazijn belegd bij de afdeling Ruimte, Belastingen en Gegevensbeheer.

Beveiligingsbeheer en beveiligingstoezicht

Onder het regiem van de (Wet) GBA had het beveiligingsbeheer vooral betrekking op het uitoefenen van toezicht. Voor een correcte uitvoering van het beveiligingsbeheer en het beveiligingstoezicht en om te kunnen aansluiten op de toekomstige “Baseline Informatiebeveiliging overheid ”(BIO) is het noodzakelijk gebleken om de inhoud van het beheer en het toezicht te splitsen. In deze Regeling zijn dan ook aparte hoofdstukken opgenomen voor beveiligingsbeheer (Hoofdstuk 9) en beveiligingstoezicht (Hoofdstuk 10).

Andere rol privacybeheerder

De privacybeheerder adviseert de informatiebeheerder over alle privacyvraagstukken op het gebied van verwerking van persoonsgegevens waarvoor de informatiebeheerder verantwoordelijk is. Daarnaast adviseert de privacybeheerder eenieder die belast is met de dagelijkse uitvoering van de Wet basisregistratie personen en de Algemene Verordening Gegevensbescherming.

Onder het regiem van de nieuwe Wet is de taak van de privacybeheerder uitgebreider. De rol van de functionaris is meer toetsend en adviserend van aard geworden dan voorheen. De taken beperken zich niet tot de verwerking van persoonsgegevens in de gemeentelijke voorziening, ook verzoeken om gegevensverstrekking uit de gemeentelijke- of centrale voorziening dienen door de privacybeheerder te worden getoetst op doelbinding, rechtmatigheid, proportionaliteit en andere privacygevoelige aspecten. Daaronder valt ook advisering over de wijze van verstrekking van gegevens en over koppelingen tussen het gegevensmagazijn en de verschillende- in de organisatie gebruikte systemen. De privacybeheerder adviseert de informatiebeheerder, die moet beslissen op dergelijke verzoeken.

Artikelsgewijze toelichting

Artikel 1 – Begripsbepalingen

Voor zover mogelijk en van toepassing is aansluiting gezocht bij de begripsbepalingen uit de Wet basisregistratie personen, het Logisch Ontwerp BRP, de Algemene Verordening Gegevensbescherming en het Plan informatiebeveiliging GBA. De begripsbepalingen van genoemde regelingen zijn dan ook onverkort van toepassing.

Artikelen 2 en 3 – Aanwijzing functionarissen

In de Regeling worden aan iedere rol verplichtingen, verantwoordelijkheden en verplichtingen gekoppeld. Daarom is het van belang, dat voor iedere rol een functionaris wordt aangewezen. Het Hoofd van de afdeling Ruimte, Belastingen en Gegevensbeheer is beheerder van de gemeentelijke voorziening en daarmee algeheel verantwoordelijk voor een juist beheer. Als informatiebeheerder voorziet hij dan ook in de aanwijzing van het functioneel inhoudelijk beheer en het verstrekkingsbeheer van de gemeentelijke voorziening en het gegevensmagazijn, het datadistributiesysteem DDS. De informatiebeheerder is bronhouder en beheert vanuit die verantwoordelijkheid de inhoud en kwaliteit van de gegevens in de gemeentelijke voorziening. De informatiebeheerder stelt tevens de leveringsvoorwaarden (lees: privacy-voorwaarden) vast voor de gegevensverstrekking uit de basisregistratie. Voor het aanwijzen van functionarissen voor het technisch systeem- en beveiligingsbeheer is het Hoofd van de afdeling Bedrijfsvoering verantwoordelijk. In bijlage 1 bij deze Regeling is een overzicht van aanwijzing van de door de informatiebeheerder aangewezen functionarissen gevoegd.

Artikelen 4 t/m 26 – Verplichtingen, verantwoordelijkheden en bevoegdheden

In deze artikelen zijn de verplichtingen, verantwoordelijkheden en bevoegdheden van de verschillende functionarissen aangegeven. Het gaat hier om de informatiebeheerder, de gegevensbeheerder, de systeembeheerder, de applicatiebeheerder, de privacybeheerder en de gegevensverwerkers. De artikelen spreken voor zich en behoeven dan ook geen verdere toelichting.

Artikel 27 t/m 29 – Toezichthouders

Ingevolge het bepaalde in artikel 4.2 van de Wet basisregistratie personen wijst het College ambtenaren aan, die belast zijn met het toezicht op de naleving van de verplichtingen die de burger op grond van de Wet heeft. Deze toezichthouders hebben alle bevoegdheden als genoemd in hoofdstuk 5 van de Algemene wet bestuursrecht. Het betreft hier een nieuw instrument, dat naast de oplegging van een bestuurlijke boete moet bijdragen aan (verbetering van) de kwaliteit en betrouwbaarheid van de in de basisregistratie opgenomen gegevens. Omdat het hier een nieuw instrument betreft is Hoofdstuk 8 aan deze Regeling toegevoegd en is het belang van goed toezicht benadrukt, door de naam van de regeling te wijzigen van “Beheerregeling” in “Regeling beheer en toezicht BRP”.

Artikel 30 t/m 34 – Beveiligingsbeheer en beveiligingsfunctionaris

Zoals in deze toelichting onder “Algemeen” reeds aangegeven, heeft het beveiligingsbeheer onder de werking van de nieuwe Wet een iets andere inhoud gekregen. De inhoud van de rol van de beveiligingsfunctionaris had voorheen vooral betrekking op het uitoefenen van toezicht. Voor een adequate uitvoering van het beveiligingsbeheer en het beveiligingstoezicht is, mede gelet op de toekomstige aansluiting op de “Baseline Informatiebeveiliging overheid” (samenwerkingsverband Ministerie van BZK en VNG op het gebied van (persoons)informatiebeveiliging)) er echter voor gekozen het beveiligingsbeheer- en het toezicht in deze Regeling te splitsen en apart te beschrijven.

Artikel 35 – Reikwijdte regeling

Spreekt voor zich.

Artikel 36 –Inwerkingtreding en citeertitel

Spreekt voor zich.