Informatiebeveiligingsbeleid Basisregistratie personen (BRP)

1 Inleiding

De Basisregistratie personen (BRP) is een systeem waarin persoonsgegevens van alle inwoners van Nederland zijn opgenomen zoals naam, adres, geboortedatum en nationaliteit. De BRP is een essentiële schakel in de dienstverlening aan de burger. Overheidsdiensten zijn verplicht BRP-gegevens te gebruiken voor de uitvoering van hun publiekrechtelijke taken. Dit betekent dat de BRP een onmisbare informatiebron is voor de gemeente Hoorn. Hierbij past een specifiek beveiligingsbeleid voor de BRP.

1.1 Doel

Het informatiebeveiligingsbeleid basisregistratie personen is richtinggevend en kaderstellend en is een aanvulling op het strategisch informatiebeveiligingsbeleid van de gemeente Hoorn. Het beleid is gericht op het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van deze gegevens en het voorkomen van ongeoorloofde toegang tot de BRP.

1.2 Wettelijk kader

• •

  De Wet basisregistratie personen

• •

  Regeling besluit basisregistratie personen

• •

  Algemene Verordening Gegevensbescherming (AVG)

• •

  Baseline Informatiebeveiliging Overheid (BIO)

• •

  Logisch ontwerp BRP

1.3 Evaluatie

Het informatiebeveiligingsbeleid BRP wordt jaarlijks geëvalueerd en indien nodig geactualiseerd en opnieuw te vaststelling aangeboden.

2 Algemeen beleid

2.1 Uitgangspunten

2.1.1 Accounts en toegangsrechten

• 1.

  Medewerkers krijgen uitsluitend toegang tot de BRP als deze toegang noodzakelijk is voor de functie. Toegangsrechten worden beperkt tot het laagst noodzakelijke niveau.

• 2.

  Toegang tot de BRP wordt aangevraagd door de teammanager o.v.v. de taken die de persoon gaat uitvoeren. Bij wijziging of beëindiging van taken wordt dit gemeld.

• 3.

  Toegangsrechten worden ingesteld op basis van tijdsgebonden criteria, zoals de duur van het dienstverband of tijdelijke taken.

• 4.

  Taken met betrekking tot gegevenstoegang en- beheer worden strikt gescheiden om belangenconflicten te voorkomen.

• 5.

  De medewerker tekent een geheimhoudingsverklaring, heeft een ambtseed afgelegd en moet een recente VOG overleggen.

2.1.2 Gegevensverstrekking

• 6.

  Gegevensuitwisseling, zowel intern als extern, moeten versleuteld zijn.

• 7.

  Applicaties worden alleen gekoppeld aan de BRP na toetsing door de kwaliteitsbeheerder BRP. Bij de aanvraag is een besluit van het college van B&W aanwezig.

• 8.

  Gegevensverstrekking uit de BRP (ad-hoc of d.m.v. selectie) vindt plaats na toetsing door de kwaliteitsbeheerder BRP. Bij twijfel wordt de privacy (beheerder) medewerker om advies gevraagd. Eenmalige uitvraag en meervoudig gebruik is het uitgangspunt.

2.1.3 Bewustwording

• 9.

  Medewerkers zijn op de hoogte van de geldende wet- en regelgeving, beveiligingsmaatregelen, procedures en werkinstructies.

• 10.

  De fysieke werkplek wordt niet onbeheerd achtergelaten.

• 11.

  Documenten die nodig zijn voor de verwerking worden digitaal geraadpleegd en niet fysiek meegenomen van de kantoorlocatie.

• 12.

  De (thuis)werkplek is zo ingericht of gekozen dat onbevoegden geen zicht hebben op de gegevensverwerking, ook niet van buitenaf.

• 13.

  Medewerkers zijn ook buiten kantoortijden verplicht om persoonsgegevens uit de BRP te gebruiken.

• 14.

  Medewerkers zijn voldoende opgeleid en krijgen regelmatig instructie van de gegevensbeheerder.

• 15.

  In verband met de geheimhoudingsplicht is het verboden om, zowel tijdens als na beëindiging van het dienstverband, mededeling te doen over vertrouwelijke gegevens.

2.1.4 Uitwijk

• 16.

  Er is een uitwijkdraaiboek aanwezig. Dit is vastgesteld als bijlage bij dit plan.

• 17.

  De gemeente moet een fysieke en technische uitwijk kunnen realiseren als het BRP-systeem door een calamiteit langdurig buiten gebruik is. Bijvoorbeeld door afspraken te maken met andere gemeenten die over soortgelijke apparatuur en programmatuur beschikken, contracten met speciale uitwijkcentra of regelingen in het contract met de leverancier van het systeem.

• 18.

  De uitwijklocatie moet dezelfde beveiligingsmaatregelen en -protocollen hebben als de primaire BRP-omgeving om de bescherming van persoonsgegevens te waarborgen.

• 19.

  Een technische uitwijk wordt 1 keer per jaar getest. Hier wordt een testverslag van gemaakt.

• 20.

  Binnen 2 keer 24 uur moet de BRP weer normaal werken.

• 21.

  De organisatie moet ervoor zorgen dat het gehele BRP-systeem weer normaal functioneert binnen vier weken nadat vanwege een calamiteit uitgeweken moest worden.

• 22.

  Tijdens het herstelproces moeten maatregelen worden genomen om de integriteit van de BRP-gegevens te waarborgen, zodat er geen verlies of beschadiging van gegevens optreedt.

• 23.

  Alle brondocumenten die we hebben gebruikt om mutaties in de BRP aan te brengen moeten veilig worden bewaard (bijvoorbeeld akten of daarvan afgeleide formulieren, verhuisberichten).

• 24.

  De back-up procedure moet garanderen dat de gegevens in de BRP, zoals die 1 werkdag geleden waren, kunnen worden gereconstrueerd.

• 25.

  De back-up gegevens moeten in een andere ruimte worden bewaard dan de ruimte waarin de BRP-apparatuur is opgesteld.

2.1.5 Controle

• 26.

  Fouten uit de kwaliteitsmonitor worden maandelijks gecontroleerd en opgelost.

• 27.

  Alle toegangspogingen en activiteiten binnen de BRP worden. De logbestanden worden d.m.v. steekproeven of bij een vermoeden van misbruik gecontroleerd.

• 28.

  Toegangsrechten worden regelmatig gecontroleerd. De resultaten worden vastgelegd in een rapportage.

• 29.

  Bij constatering of bij melding van mogelijke onjuistheden wordt een onderzoek ingesteld aan de hand van brondocumenten of d.m.v. huisbezoeken volgens de geldende procedures.

• 30.

  Gevonden fouten van individuele medewerkers worden met de medewerker besproken en er volgt passende instructie.

2.1.6 Registratie adresgegevens

• 31.

  Het feitelijke verblijfadres van personen wordt geregistreerd, tenzij de wetgeving of het gemeentelijk beleid anders bepaalt.

• 32.

  Bij twijfel over al geregistreerde gegevens wordt actief onderzoek gedaan.

• 33.

  Gegevens over de adressen in de BRP moeten overeenkomen met de gegevens in de basisregistratie adressen en gebouwen (BAG).

• 34.

  Bij het opnemen van adresgegevens in de BRP worden deze gegevens ontleend aan de BAG. Als er verschillen worden geconstateerd, dan wordt een terugmelding gedaan aan de BAG.

3 Organisatie, taken en verantwoordelijkheden

3.1 Gemeenteraad

De gemeenteraad stelt de verordening gegevensverstrekking vast voor het binnengemeentelijk gebruik van de BRP en de verstrekking van gegevens uit de BRP aan derden.

3.2 Het college van B&W

Het college van B&W is verantwoordelijk voor het bijhouden van persoonsgegevens van inwoners (ingezetenen) van de gemeente Hoorn. Het college van burgemeester en wethouders moet technische en organisatorische maatregelen treffen tegen verlies of aantasting van BRP gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking van deze gegevens. (besluit BRP artikel 6). Het college van B&W stelt een reglement BRP vast, waarin de uitvoering van de verordening gegevensverstrekking is geregeld.

3.2 Team Gegevensmanagement (Kwaliteitsbeheer BRP)

3.2.1 Informatiebeheer van de BRP

De kwaliteitsbeheerder BRP is als informatiebeheerder voor de BRP verantwoordelijk voor het beheren, organiseren en optimaliseren van alle informatie binnen de BRP en speelt een cruciale rol in het waarborgen van de data-integriteit en het zorgen voor naleving van privacywetgeving. De informatiebeheerder BRP:

• •

  Volgt de BRP-wetgeving op de voet en het beoordelen van de mogelijke impact ervan op de organisatie. Werkprocessen en instructies worden herzien en bijgewerkt als dat nodig is .

• •

  Voert het procesmatige onderdeel van de zelfevaluatie BRP uit.

• •

  Rapporteert aan het college over de uitkomsten van de zelfevaluatie/ENSIA en maakt n.a.v. de uitkomsten een plan voor de actiepunten en aanbevelingen.

• •

  Verstuurt de uittreksels van de resultaten van de zelfevaluatie aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Autoriteit Persoonsgegevens.

• •

  Ziet toe op de jaarlijkse uitvoering van de test voor de back-up- en uitwijkvoorzieningen.

• •

  Adviseert raad, college van burgemeester en wethouders en management over BRP-gerelateerde zaken.

• •

  Heeft actieve betrokkenheid bij het implementeren van nieuwe wetten en regelgeving in de BRP.

• •

  Monitort en handhaaft de data-integriteit in de BRP en neemt maatregelen voor het verbeteren van gegevenskwaliteit.

• •

  Rapporteert periodiek over de status en prestaties van de BRP.

• •

  Monitort wijzigingen in de BRP, inclusief updates en verbeteringen.

• •

  Zorgt voor actualisering van de procedures die deel uitmaken van het Informatiebeveiligingsbeleid BRP.

• •

  Adviseert bij bezwaarzaken met betrekking tot de BRP;

• •

  Is bevoegd een bestuurlijke boete op te leggen.

3.2.2 Privacy beheer BRP

De kwaliteitsbeheerder BRP is als privacy beheerder verantwoordelijk voor het waarborgen van de privacy en gegevensbescherming binnen de BRP. De privacy beheerder zorgt voor:

• •

  Het implementeren en handhaving van privacy beleid en -procedures voor de BRP.

• •

  Het uitvoeren van DPIA's voor nieuwe processen en systemen.

• •

  Nemen van maatregelen en toezien op naleving van procedures om de privacy van persoonsgegevens in de BRP te waarborgen.

• •

  Het geven van instructie aan medewerkers die mutaties uitvoeren in de BRP of inzage hebben in de BRP.

• •

  Coördineren en afhandelen van inzageverzoeken volgens de Wet BRP of de Algemene Verordening Gegevensbescherming (AVG).

• •

  Creëren van bewustwording rondom privacy kwesties bij medewerkers.

• •

  Adviseert het management en college over privacy in relatie tot de BRP.

3.2.3 Gegevensbeheer BRP

De kwaliteitsmedewerker BRP is als gegevensbeheerder voor de BRP verantwoordelijk voor het accuraat beheren en onderhouden van persoonsgegevens binnen de BRP en speelt een essentiële rol in het waarborgen van de datakwaliteit en het zorgen voor correcte registratie. De gegevensbeheerder is belast met:

• •

  Het toezicht en handhaven van de data-kwaliteit van de BRP en het naleven van relevante wet- en regelgeving.

• •

  Controle van invoering en bewerking van persoonsgegevens door anderen en het uitvoeren van complexe mutaties en correcties.

• •

  Uitvoeren van kwaliteitscontroles op opgeslagen gegevens en het corrigeren van fouten.

• •

  Het uitvoeren van complexe mutaties;

• •

  Een correcte controle van brondocumenten en het onderzoek naar de echtheid en inhoud.

• •

  Het genereren van rapporten over de kwaliteit en consistentie van de BRP-gegevens en rapporteren van afwijkingen en aanbevelingen voor verbetering.

• •

  De behandeling van foutverslagen uit netwerkbericht;

• •

  Het testen van nieuwe versies van de applicatie en nieuwe apparatuur;

• •

  Het bijhouden van de documenten set van de BRP applicatie;

• •

  Instrueren van medewerkers op het gebied van correct gegevensbeheer.

• •

  Uitvoeren van periodieke controles en de jaarlijkse controle van persoonslijsten in de BRP voor de zelfevaluatie BRP.

• •

  Beoordelen van autorisatieverzoeken voor toegang tot de BRP-systemen.

• •

  Actief volgen van wijzigingen in de BRP-wetgeving en beoordelen van mogelijke impact op organisatorische processen en bijwerken van instructies.

• •

  Toetsen van verzoeken voor identiteitswijzigingen in de BRP en de behandeling van het verzoek.

• •

  Het afnemen van een verklaring onder ede of belofte, zoals bedoeld in artikel 2.8, lid 2, onder e.

• •

  Gevraagd of ongevraagd instrueren van medewerkers die mutaties uitvoeren in de BRP of inzage hebben in de BRP.

3.3 Team Dienstverlening (Gegevensverwerking)

De medewerkers van team Dienstverlening zijn verantwoordelijk voor:

• •

  Uitvoeren van mutaties volgens het Logisch Ontwerp BRP en de Handleiding Uitvoeringsprocedures (HUP).

• •

  Opvragen van brondocumenten voor zover deze nodig zijn volgens de wet BRP.

• •

  Het opmaken van akten en andere documenten met gebruik van BRP gegevens.

• •

  Beoordelen van brondocumenten op juistheid en volledigheid volgens de vastgestelde procedures, met gebruikmaking van de aanwezige hulpmiddelen.

• •

  Archiveren van brondocumenten volgens wet- en regelgeving.

• •

  Faciliteren van een gestructureerd archiefsysteem voor eenvoudige toegang.

• •

  Tijdig en correct versturen van kennisgevingen aan inwoners bij wijzigingen in persoonsgegevens.

• •

  Behandelen van verzoeken om verstrekkingen uit de BRP aan inwoners, overheidsorganen en derden volgens de geldende richtlijnen.

• •

  Afhandelen van verzoeken met betrekking tot verstrekkingsbeperking, naamgebruik en correctie.

3.4 Team Dienstverlening (Toezicht BRP)

Medewerkers van team Dienstverlening (backoffice) die belast zijn met de uitvoering van onderzoeken zoals bedoeld in de wet BRP zijn verantwoordelijk voor toezicht op de naleving van de verplichtingen van de burger volgens de Wet BRP. De toezichthouder:

• •

  Handelt tijdig terugmeldingen van burgers en afnemers over mogelijke onjuistheden in de BRP af.

• •

  Houdt toezicht op de naleving van verplichtingen van burgers volgens de Wet BRP;

• •

  Neemt gegevens in onderzoek, voert onderzoek uit, legt huisbezoeken af en neemt besluiten na onderzoek volgens de procedure adresonderzoek.

• •

  Is bevoegd inlichtingen en identiteitsbewijzen te vorderen;

• •

  Het beoordelen en beslissen over de toekenning van een briefadres.

• •

  Adviseert de Informatiebeheerder BRP over het opleggen van een bestuurlijke boete.

• •

  Is bevoegd tot het afnemen van een verklaring onder ede of belofte, zoals bedoeld in artikel 2.8, lid 2, onder e.

3.5 Beveiligingsfunctionaris BRP

De CISO ook beveiligingsfunctionaris BRP is belast met:

• •

  Het toezicht op de naleving van dit beleid en rapporteert hierover aan de directie.

• •

  Adviseert over eisen aan informatiebeveiliging, gebruikerstoegang, beveiligingsmaatregelen en incidenten.

3.6 Data of applicatiebeheerder

De functioneel beheerder Dienstverlening van team Informatiemanagement is belast met het technisch beheer van de BRP applicatie:

• •

  Geeft op basis van een rol of functie een gebruiker toegang tot een informatiesysteem of deel van een informatiesysteem.

• •

  Zorgt voor periodieke controles, zodat juistheid en rechtmatigheid van accounts en toegangsrechten geborgd is.

• •

  Zorgt voor het in stand houden van de beveiliging in overeenstemming met de gestelde eisen.

• •

  Zorgt voor de inrichting en de juiste werking van de BRP applicatie.

• •

  Zorgt voor het testen van nieuwe versies van de applicatie en nieuwe apparatuur.

• •

  Coördineert in samenwerking met de Informatiebeheerder en Gegevensbeheerder de werkzaamheden bij een technische uitwijk en reconstructie van gegevens;

• •

  Werkt mee aan het jaarlijks testen van de technische uitwijk en reconstructievoorzieningen.

4 Zelfevaluatie BRP

Jaarlijks moet de gemeente onderzoek doen naar de inrichting, beveiliging en kwaliteit van de gegevens en de juiste uitvoering van processen in de BRP in de vorm van een zelfevaluatie. De uitslag van de zelfevaluatie wordt naar de Rijksdienst voor Identiteitsgegevens (RvIG) en de Autoriteit Persoonsgegevens gestuurd. Voor het onderdeel processen wordt dit gecombineerd met de ENSIA-verantwoordingssystematiek.

Het onderzoek bestaat uit het beantwoorden van de vragen over de BRP, de inhoudelijke controle van de persoonslijsten en het verbeteren van de bevindingen in persoonslijsten uit de bestandscontrole module (BCM). De beantwoording van de vragen en de bevindingen uit de controles zijn verwerkt in de kwaliteitsmonitor.

4.1 Onderzoek Gegevens

De RvIG voert inhoudelijke kwaliteitscontroles uit op de gegevens in de landelijke voorziening voor de BRP en stelt de resultaten van die controles beschikbaar via de Kwaliteitsmonitor. De resultaten van de inhoudelijke kwaliteit op technische juistheid, opbouw van de persoonslijst en de handmatige controles aan de hand van de brondocumenten worden in een managementrapportage ter beschikking gesteld en aan het college aangeboden. Daarnaast wordt door de gegevensbeheerder een handmatige controle uitgevoerd over een steekproef van 75 persoonslijsten. Afhankelijk van de actiepunten en aanbevelingen wordt een actieplan opgesteld.

5 Bijlagen

Bij dit informatiebeveiligingsbeleid horen procedures die zijn gebaseerd op wet- en regelgeving en zorgen voor een uniforme werkwijze. De volgende procedures maken deel uit van het Informatiebeveiligingsbeleid BRP:

• •

  Procedure actualiseren van gegevens

• •

  Procedure adresonderzoek

• •

  Procedure adreswijziging

• •

  Procedure archiveren van brondocumenten

• •

  Procedure autorisatie tot het systeem

• •

  Procedure beoordelen van brondocumenten

• •

  Procedure bestuurlijke boete

• •

  Procedure bijhouden logging

• •

  Procedure briefadres

• •

  Procedure controle op volledigheid, juistheid en actualiteit van gegevens

• •

  Procedure corrigeren van BRP gegevens

• •

  Procedure gegevensverstrekking uit de BRP

• •

  Procedure identiteit vaststellen en machtigen

• •

  Procedure implementeren van wetswijzigingen BRP

• •

  Procedure incidentmeldingen

• •

  Procedure inschrijven in de BRP

• •

  Procedure identificatie en machtiging

• •

  Procedure inzagerecht BRP

• •

  Procedure protocolleren

• •

  Procedure reconstructie van gegevens

• •

  Procedure terugmeldingen

• •

  Procedure verstrekkingsbeperking

• •

  Procedure verwijderen van gegevens uit de BRP

• •

  Procedure uitwijk

6 Vaststelling, intrekking en inwerkingtreding

Vaststelling

Het college van burgemeester en wethouders stelt dit Informatiebeveiligingsbeleid basisregistratie personen (BRP) vast met als doel:

• •

  het garanderen van de voorgeschreven continuïteit van de BRP processen en beveiliging van de gegevens in de BRP.

• •

  te voldoen aan de wettelijke voorschriften en regelgeving op het gebied van de BRP en aanverwante wet- en regelgeving.

Intrekking

• 1.

  Met het vaststellen van dit beleid wordt het Informatiebeveiligingsplan Dienstverlening ingetrokken.

• 2.

  Met het vaststellen van dit beleid wordt de regeling beheer en toezicht basisregistratie personen gemeente Hoorn (Regeling beheer BRP), vastgesteld door het College van Burgemeester en Wethouders op 12 juni 2018, gelijktijdig ingetrokken.

Inwerkingtreding

Dit beleid treedt in werking op de eerste dag na de datum van bekenmaking.

Citeertitel

Deze beleidsregel wordt aangehaald als: ‘Informatiebeveiligingsbeleid basisregistratie personen (BRP)’.

Aldus vastgesteld d.d. 17 september 2024

De secretaris,                                            burgemeester,