Regeling beheer en toezicht Basisregistratie Personen

Artikel 1

Het college van burgemeester en wethouders wijst de volgende functionarissen aan:

• •

  De Informatiebeheerder BRP (team Burgerzaken)

• •

  De beveiligingsbeheerder BRP

• •

  De privacybeheerder BRP (team Burgerzaken)

• •

  De systeembeheerder BRP (team I&A)

• •

  De toezichthouder BRP (team Gegevenshuis)

• •

  De BRP beheerder (team Gegevenshuis)

• •

  De fraudecoördinator | fraudecoördinatie & signalering BRP (team Gegevenshuis)

• •

  De controllerinformatiebeveiliging (CISO)

Artikel 2

De Informatiebeheerder BRP wijst functionarissen aan, die worden belast met:

• a.

  het gegevensbeheer BRP (team Burgerzaken)

• b.

  het functioneel applicatie beheer BRP (team Burgerzaken)

• c.

  de gegevensverwerking BRP (team Burgerzaken en medewerkers basisregistratie BRP team Gegevenshuis)

• d.

  het namens het college van burgemeester en wethouders afnemen van de in artikel 2.8, lid 2, onder sub e, van de Wet bedoelde verklaring.

1. Informatiebeheer BRP (vanuit team Burgerzaken)

Taken en verantwoordelijkheden:

2. BRP beheer (Team Gegevenshuis)

Taken en verantwoordelijkheden:

Artikel 10

De gegevensbeheerder BRP is verantwoordelijk voor:

• a.

  de juistheid, actualiteit en betrouwbaarheid van de gegevens die opgenomen zijn of worden, in de gemeentelijke voorziening voor de Basisregistratie Personen;

• b.

  het beheer van documentatie op het gebied van de Wet en overige regelgeving op het gebied van de Basisregistratie Personen;

• c.

  de juistheid en actualiteit van de volgende procedures in het Handboek Burgerzaken: controle op volledigheid, juistheid en actualiteit gegevens, inschrijven in de BRP, actualiseren van gegevens, corrigeren van gegevens, verwijderen van gegevens, briefadres, protocolfouten en archiveren brondocumenten.

• d.

  is verantwoordelijk voor het verlenen van inzage in de Basisregistratie Personen en het verstrekken van gegevens vanuit de Basisregistratie Personen;

• e.

  is verantwoordelijk voor het controleren of brondocumenten de juiste gegevens bevatten;

Artikel 11

De gegevensbeheerder voorziet in:

• •

  de behandeling van wijzigingsverzoeken als bedoeld in de artikelen 2.57, 2.58 en 2.60 van de Wet BRP,

Artikel 12

De gegevensbeheerder BRP is;

• •

  bevoegd vanuit de in artikel 6 bedoelde verantwoordelijkheid de gegevensverwerkers BRP aanwijzingen te geven betreffende de opname en bijhouding van gegevens in de Basisregistratie personen.

• •

  betrokken bij bezwaarschriftenprocedures, die voortvloeien uit genomen beslissingen, voor zover de juistheid, actualiteit of betrouwbaarheid van de gegevens aan de orde is.

Artikel 13

Vervallen.

Artikel 14

De gegevensbeheerder BRP neemt deel aan het in artikel 4, onder d genoemde overleg met e Informatiebeheerder BRP.

Artikel 15

De systeembeheerder BRP is verantwoordelijk voor de continuïteit van en het technisch onderhoud van het computersysteem waarop het Basisregistratie Personen informatiesysteem

is geïnstalleerd.

Artikel 16

De systeembeheerder BRP voorziet in:

• a.

  de fysieke beveiliging van het toepassingssysteem;

• b.

  de technische installatie van gewijzigde of nieuwe versies van het toepassingssysteem;

• c.

  de beschikbaarheid van het toepassingssysteem overeenkomstig wat daarover intern en met derden is overeengekomen;

• d.

  uitwijkvoorzieningen;

• e.

  een dagelijkse back-up die wordt ondergebracht in een daartoe uitgeruste en beveiligde ruimte, die zich op een andere locatie bevindt, dan de ruimte waarin de BRP apparatuur is opgesteld;

• f.

  het transport, de veilige opslag van verwijderbare gegevensdragers en deugdelijke periodieke vernietiging daarvan;

• g.

  de login in het toepassingssysteem van de applicatiebeheerder BRP, de systeembeheerder BRP, de gebruikers en de leverancier van het toepassingssysteem.

Artikel 17

De systeembeheerder BRP is bevoegd:

• a.

  in overleg met de Informatiebeheerder BRP maatregelen te treffen als de continuïteit van het toepassingssysteem of de daarin opgeslagen informatie acuut in het geding is;

• b.

  aanwijzingen te geven over:

• •

  het beheer van het toepassingssysteem;

• •

  het beheer van bestanden;

• •

  beheersmaatregelen ter bevordering van een juist gebruik en de beveiliging van de informatievoorziening.

Artikel 18

De systeembeheerder BRP neemt deel aan het in artikel 4, onder d genoemde overleg met de Informatiebeheerder BRP.

Artikel 19

De functioneel applicatiebeheerder BRP voorziet in:

• 1.

  het protocolleren van het gebruik van het systeem;

• 2.

  de communicatie bij storingen in hard- en software;

• 3.

  een bijdrage aan het oplossen van storingen binnen het toepassingssysteem;

• 4.

  maatregelen om de gevolgen van verkeerd uitgevoerde systematische verstrekkingen ongedaan te maken;

• 5.

  de bijhouding van een logboek waarin problemen, klachten en bijzondere gebeurtenissen worden bijgehouden;

• 6.

  de coördinatie van werkzaamheden, in geval van uitwijk;

• 7.

  de rechtstreekse toegang tot de Basisadministratie Persoonsgegevens van hiertoe bevoegde overheidsorganen;

• 8.

  de toekenning en schriftelijke vastlegging van de autorisaties die zijn toegekend voor gegevensverwerking en rechtstreekse toegang;

• 9.

  de login van medewerkers die gegevens raadplegen of muteren;

• 10.

  melding van inbreuken op de informatiebeveiliging aan de Informatiebeheerder BRP + CISO;

• 11.

  het evalueren van nieuwe versies van het toepassingssysteem, evenals het testen en evalueren van nieuwe apparatuur;

• 12.

  de beoordeling van de gevolgen van de installatie van nieuwe en of gewijzigde versies van het toepassingssysteem;

• 13.

  de voorlichting over de gevolgen van een nieuwe of gewijzigde versie van het toepassingssysteem;

• 14.

  de vormgeving en inhoud van documenten, die rechtstreeks aan de Basisregistratie Personen worden ontleend.

Artikel 20

De functioneel applicatiebeheerder BRP is verantwoordelijk voor:

• a.

  de ondersteuning bij het gebruik van het toepassingssysteem;

• b.

  de technische afhandeling van de gegevensverstrekking BRP;

• c.

  het beheer van de gebruikers documentatie;

• d.

  de juistheid en actualiteit van de volgende procedures in Handboek ISMS Burgerzaken: opslaan van gegevens inclusief back-up, reconstrueren van gegevens en data, technisch uitwijken, bijhouden loggegevens, monitoren remote access, toegang tot en gebruik van systemen, autoriseren van gebruikers.

Artikel 21

De functioneel applicatiebeheerder BRP is bevoegd gegevensverwerkers BRP en overheidsorganen die rechtstreeks toegang hebben tot de basisadministratie persoonsgegevens aanwijzingen te geven over het gebruik van het toepassingssysteem.

Artikel 22

De functioneel applicatiebeheerder BRP is verantwoordelijk voor de gehele of gedeeltelijke uitvoering van de uitwijkprocessen zoals beschreven in de procedure uitwijk, onderdeel van de procedure continuïteitsbeheer, van het Handboek ISMS Burgerzaken.

Artikel 23

De functioneel applicatiebeheerder BRP adviseert de Informatiebeheerder BRP over:

• •

  gehele of gedeeltelijke inwerkingtreding van uitwijkprocessen;

• •

  installatie van nieuwe of gewijzigde versies van het toepassingssysteem.

Artikel 24

De functioneel applicatiebeheerder BRP neemt deel aan:

• a.

  het overleg genoemd in artikel 4, onder d genoemde overleg met de Informatiebeheerder BRP;

• b.

  het externe gebruikersoverleg.

Artikel 25

De privacybeheerder BRP adviseert de Informatiebeheerder BRP en het college van burgemeester en wethouders over de privacyaspecten die voortvloeien uit de uitvoering van de Wet en Verordening BRP.

De privacybeheerder BRP is verantwoordelijk voor:

• a.

  het dagelijkse toezicht op de naleving van de privacy voorschriften die voortvloeien uit de Wet, de Verordening en het Reglement BRP en de Wet Bescherming Persoonsgegevens voor de Basisregistratie Personen;

• b.

  de juistheid en actualiteit van de volgende procedures in het Handboek ISMS Burgerzaken: verlenen van inzage, registreren geheimhouding, protocolleren en verstrekken van gegevens.

Artikel 26

De privacybeheerder BRP voorziet in:

• a.

  de afhandeling van de verzoeken overeenkomstig artikel 2.59 van de Wet BRP;

• b.

  het protocolleren van verstrekkingen;

• c.

  de behandeling van de verzoeken om gegevensverstrekking waarbij de ingeschrevene heeft aangegeven dat hij/zij geen toestemming verleent voor het verstrekken van gegevens aan derden;

• d.

  de jaarlijkse bekendmaking als bedoeld in artikel 3.21 van de Wet BRP;

• e.

  de behandeling van verzoeken van overheidsorganen tot rechtstreekse toegang tot de basisadministratie persoonsgegevens.

Artikel 27

De privacybeheerder BRP is bevoegd:

• a.

  om alle gebruikers van de toepassingssystemen aanwijzingen te geven;

• b.

  advies uit te brengen aan het college als de waarborging voor bescherming van de persoonlijke levenssfeer in het geding is.

Artikel 28

De privacybeheerder BRP is betrokken bij alle bezwaarschriftenprocedures die voortvloeien uit genomen beslissingen, voor zover de bescherming van de persoonlijke levenssfeer van de belanghebbende aan de orde is.

Artikel 29

De gegevensverwerkers BRP voorzien in:

• a.

  het verwerken van de gegevens in de basisregistratie personen overeenkomstig de voorschriften van de krachtens de wet voorgeschreven systeembeschrijving (Logisch Ontwerp BRP) en de handleiding uitvoeringsprocedures (HUP), voor zover daartoe door de functioneel applicatiebeheerder geautoriseerd;

• b.

  het verzamelen van de daarvoor bestemde gegevens;

• c.

  de archivering van de brondocumenten op grond waarvan de gegevens zijn verwerkt;

• d.

  de behandeling van mutaties;

• e.

  de behandeling van het netwerkverkeer;

• f.

  de behandeling van de foutverslagen, voortvloeiend uit de inkomende netwerkberichten;

• g.

  de toetsing van de waarde die aan overgelegde brondocumenten kan worden toegekend aan de hand van artikel 2.8 van de Wet BRP en ziet erop toe dat geen gegevens worden verwerkt uit documenten waaraan bij of krachtens de Wet BRP geen ontleningstatus is gegeven;

• h.

  de dagelijkse controle van de in de basisregistratie personen aangebrachte actualiseringen;

• i.

  de kennisgeving aan de ingeschrevene voor wat betreft de verwerking van:

• •

  wijziging van het naamgebruik;

• •

  vervolginschrijving voor zover het een adreswijziging betreft die leidt tot opname in de basisregistratie personen;

• j.

  de toezending van de complete persoonslijst aan de ingeschrevene ingeval van een inschrijving in de basisregistratie personen;

• k.

  de afhandeling van de verzoeken om inzage in de basisregistratie personen overeenkomstig artikel 2.55 van de Wet BRP respectievelijk artikel 15 van de Algemene verordening gegevensbescherming (inzage);

• l.

  de behandeling van alle verzoeken om verstrekkingsbeperking die op basis van artikel 2.59 van de Wet BRP ingediend worden en de eventuele privacytoets als bedoeld in artikel 3.21 lid 2 van de Wet BRP;

• m.

  de afhandeling van verzoeken ingevolge de artikelen 17 en 21 van de Algemene verordening gegevensbescherming;

• n.

  de kennisgeving ingevolge artikel 19 van de Algemene verordening gegevensbescherming;

• o.

  de afhandeling van verzoeken om inzage in verstrekkingen uit de basisregistratie personen aan overheidsorganen en derden.

Opgemerkt ware dat in de procedures beschrijving het onderscheid is aangebracht tussen het

team Burgerzaken en het team gegevenshuis.

Artikel 30

De gegevensverwerkers BRP beslissen op aangiften en/of verzoekschriften die op grond van de wet worden gedaan met in achtneming van het gestelde in artikel 26 en voor zover hier niet op andere wijze in is voorzien.

• a.

  beslissen over het verwerken van resultaten van onderzoeken die zijn ingesteld naar aanleiding van een melding van een overheidsorgaan (door team Gegevenshuis);

• b.

  stellen overheidsorganen in kennis van de beslissing ingevolge sub b van dit artikel.

Artikel 31

De toezichthouder BRP als bedoeld in artikel 4.2 van de Wet BRP, is verantwoordelijk voor het toezicht op de naleving van de verplichtingen van de burger ingevolge hoofdstuk 2,

afdeling 1, paragraaf 5 van de Wet BRP.

Artikel 32

De toezichthouder BRP

• a.

  controleert of de burger voldoet zijn verplichtingen met betrekking tot de inschrijving in de BRP (artikel 2.38), de wijziging van diens adres (2.39), het rechtmatig gebruik van een briefadres (2.40 t/m 2.42), zijn vertrek uit Nederland (2.43), de verstrekking van alle inlichtingen die nodig zijn voor het bijhouden van de BRP.

• b.

  ziet er op toe dat, indien de burger niet zelf aan zijn verplichtingen voldoet of kan voldoen, de verplichtingen worden vervuld door degene die daartoe bevoegd is op grond van de artikelen 2.49 en 2.50 van de Wet BRP.

Artikel 33

1. De toezichthouder BRP is in verband met de uitvoering van de taken als genoemd in artikel 32, bevoegd:

• a.

  met uitzondering van het zonder toestemming van een bewoner betreden van een woning, elke plaats te betreden met inbeslagname van apparatuur (zoals laptop, fotocamera);

• b.

  zich zo nodig toegang verschaffen met behulp van de politie;

• c.

  zich te laten vergezellen door personen die door hem zijn aangewezen;

• d.

  inlichtingen te vorderen;

• e.

  inzage te vorderen van een identiteitsbewijs;

• f.

  zakelijke gegevens te vorderen, kopieën te maken of documenten mee te nemen om te kopiëren;

• g.

  onderzoek te doen;

• h.

  rapport op te maken ter zake een geconstateerde overtreding van de bepalingen van de Wet BRP, als genoemd in artikel 32.

Art 33 betreft het Protocol huisbezoek Toezichthouder BRP, vastgesteld door het college van B&W d.d. 09-09-2019.

Artikel 34

De toezichthouder BRP ontleent zijn bevoegdheden in art. 33 aan hoofdstuk 5 van de Algemene Wet Bestuursrecht.

Artikel 35

De toezichthouder BRP voert zijn werkzaamheden uit in samenspraak met de BRP Beheerder en koppelt het resultaat van zijn werkzaamheden terug aan de BRP Beheerder en zo nodig aan de gegevensbeheerder BRP.

Artikel 36

• 1.

  De toezichthouder BRP is bevoegd om namens burgemeester en wethouders een bestuurlijke boete op te leggen.

• 2.

  De toezichthouder BRP neemt bij gebruik van de bevoegdheid als bedoeld in lid 1 van dit artikel binnen de gemeente Het Hogeland ter zake geldende beleidsregels in acht.

Artikel 37

• 1.

  De toezichthouder BRP legt het resultaat van zijn werkzaamheden vast in een onderzoekrapportage en draagt zorg voor dossiervorming.

• 2.

  De toezichthouder BRP neemt deel aan het in artikel 4, onder d genoemde overleg.

Artikel 38

De beveiligingsbeheerder BRP is verantwoordelijk voor het beheer van de beveiligingsvoorschriften voor de BRP.

Artikel 39

• 1.

  De beveiligingsbeheerder BRP ondersteunt en adviseert de Informatiebeheerder BRP op het gebied van informatiebeveiliging op dusdanige wijze, dat de Informatiebeheerder BRP diens verantwoordelijkheid op grond van de artikelen 4 en 5 van dit reglement op deugdelijke wijze kan invullen.

• 2.

  De beveiligingsbeheerder BRP coördineert de uitvoering van de beveiligingsmaatregelen van het Handboek ISMS Burgerzaken.

Artikel 40

De beveiligingsbeheerder BRP is bevoegd om medewerkers aanwijzingen te geven ten aanzien van beveiligingsvoorschriften, die voortvloeien uit de wet- en regelgeving en de beveiligingsvoorschriften voor de BRP;

• a.

  ongevraagd advies uit te brengen over alle procedures en producten die betrekking hebben op de basisregistratie personen, waarbij de beveiliging in het geding is.

Artikel 41

De beveiligingsbeheerder BRP ziet er op toe dat beveiligingsvoorschriften die voortvloeien uit de wet- en regelgeving, de binnengemeentelijke vastgestelde beveiligingsvoorschriften en de in deze regeling opgenomen bepalingen betreffende beveiliging worden nageleefd.

• a.

  onderkent en reageert op incidenten en adviseert over de maatregelen die nodig zijn om de gevolgen van een incident te beperken en om herhaling te voorkomen;

• b.

  stelt passende normen en controlemaatregelen op;

• c.

  implementeert beveiligingsmaatregelen;

• d.

  coördineert en handhaaft de uitvoering van de maatregelen als genoemd onder c.

Artikel 42

De beveiligingsbeheerder BRP is het aanspreekpunt op het gebied van informatiebeveiliging en bevordert het beveiligingsbewustzijn bij management en medewerkers.

Artikel 43

De beveiligingsbeheerder BRP adviseert het college over:

• •

  de beveiligingsaspecten die uit de wet- en regelgeving BRP en de binnengemeentelijke beveiligingsvoorschriften voortvloeien;

• •

  de fysieke beveiliging in en om de ruimtes waar de apparatuur en programmatuur voor de bijhouding van de BRP staan.

Artikel 44

De beveiligingsbeheerder BRP voorziet jaarlijks in een verslag over de activiteiten betreffende het beveiligingsbeheer.

Artikel 45

De CISO is verantwoordelijk voor het toezicht op de naleving van de beveiligingsmaatregelen en procedures zoals uitgewerkt in het Handboek ISMS Burgerzaken, met inachtneming van de voor de gemeente vastgestelde Baseline Informatiebeveiliging Overheid (BIO).

Artikel 46

De CISO is bevoegd om het management van Team Burgerzaken dwingende adviezen te

geven, ten aanzien van de naleving van beveiligingsvoorschriften, die voortvloeien uit de Wet

BRP en het Handboek ISMS Burgerzaken.

Artikel 47

De CISO ziet er op toe dat:

• •

  beveiligingsvoorschriften die voortvloeien uit de Wet BRP en het Handboek ISMS Burgerzaken worden nageleefd;

• •

  de in deze regeling opgenomen bepalingen inzake beveiliging worden nageleefd.

Artikel 48

De CISO adviseert het college van burgemeester en wethouders rechtstreeks over beveiligingsaspecten die uit het Handboek ISMS Burgerzaken voortvloeien.

Artikel 49

De CISO voorziet in een jaarlijks verslag aan het college van burgemeester en wethouders over de activiteiten inzake het beveiligingsbeheer van de gemeentelijke voorziening BRP.

Team gegevenshuis, betreft (adres)onderzoek.

Artikel 54

De in deze regeling opgenomen bepalingen gelden voor de gemeentelijke voorzieningen als bedoeld artikel 1.2 juncto 1.4 van de Wet BRP, evenals voor de in de gemeentelijke voorziening genoemde aangehaakte gegevens en voor de basisgegevens uit de BRP die zich in het gegevensmagazijn bevinden.

Artikel 55

Deze regeling treedt in werking op de eerste dag na bekendmaking en vervangt de regeling van 1 januari 2019.

Artikel 56

Deze regeling wordt aangehaald als Regeling beheer en toezicht Basisregistratie personen 2025.