Reglement BRP Valkenswaard

Burgemeester en wethouders van de gemeente Valkenswaard,

 

Gelet op artikel 3.8 en 3.9 van de Wet basisregistratie personen (BRP), artikel 6 van het Besluit BRP, artikel 2 en 5 van de Verordening BRP van 05-06-2014 en onderdeel A.4.5 van het Logisch Ontwerp BRP;

 

Overwegende dat met inachtneming van de kaders het wenselijk is om regels te stellen over de verstrekking van gegevens uit de BRP en het beheer van de BRP;

 

B E S L U I T E N:

 

vast te stellen de volgende regeling:

 

Reglement BRP Valkenswaard

 

Hoofdstuk 1 Algemene bepalingen

Artikel 1 Begripsbepalingen

Dit Reglement maakt, naast de begrippen als genoemd in artikel 1.1 van de Wet BRP, gebruik van de volgende begrippen:

 

Aangehaakt gegeven:

Een bij de ingeschrevene opgenomen gegeven anders dan bepaald bij of krachtens de Wet;

Gegevensmagazijn:

De gemeentelijke voorziening zoals bedoeld in artikel 1.9 van de Wet en de voorziening die als inzageapplicatie wordt gebruikt voor het raadplegen van persoonsgegevens door een binnengemeentelijke afnemer;

AVG:

Algemene verordening gegevensbescherming;

BRP:

De basisregistratie personen, zoals bedoeld in artikel 1.1 van de Wet BRP;

Binnengemeentelijke afnemer:

Elk gemeentelijk organisatieonderdeel dat op grond van dit reglement gegevens uit de BRP verstrekt krijgt of hiertoe een verzoek doet. In dit Reglement wordt aan gemeentelijk organisatieonderdeel gelijkgesteld de rechtspersoon of deelneming waar de gemeente 100% aandeelhouder van is en die in opdracht van de verantwoordelijke gemeente taken uitvoert;

Datakwaliteit:

De actualiteit, volledigheid, juistheid en invoer op basis van geldende richtlijnen en aangewezen brondocumenten van de BRP-gegevens. Wordt ook data integriteit genoemd;

ENSIA:

De voorziening die wordt gebruikt om verantwoording af te leggen over de staat van informatiebeveiliging aan de gemeenteraad en over de BRP aan de Autoriteit persoonsgegevens en de minister van Binnenlandse Zaken en Koninkrijksrelaties. ENSIA staat voor Eenduidige Normatiek Single Information Audit;

Functionaris:

De persoon die op grond van artikel 2 van dit Reglement is belast met in dit Reglement opgenomen verantwoordelijkheden, bevoegdheden en taken;

Gebruiker:

De functionaris of raadpleger die gebruik maakt van de applicatie;

Gegevensverwerking:

Een verwerking van persoonsgegevens als bedoeld in artikel 4, tweede lid, van de AVG;

Raadpleger:

De medewerker van een binnengemeentelijke afnemer die op grond van dit Reglement toegang heeft gekregen tot de BRP-gegevens via de inzageapplicatie;

Reglement:

Het Reglement BRP;

Restore:

Het herstellen van de applicatie en/of de data naar een eerder moment;

Selectieverstrekking:

De verstrekking van BRP-gegevens met betrekking tot meer dan één ingeschrevene. De selectie wordt gemaakt aan de hand van vooraf bepaalde condities (criteria);

Systematische verstrekking:

De verstrekking van gegevens als bedoeld in artikel 3.1, tweede lid, van de Wet BRP. Indien deze door de verantwoordelijke plaatsvindt, geschiedt deze verstrekking op grond van hoofdstuk 3, afdeling 1, paragraaf 2 van de Wet BRP in samenhang met artikel 3 of 4 van de Verordening BRP;

Uitwijk:

Het gebruik van voorzieningen in het geval dat de normale applicatie (technische uitwijk) of reguliere werklocatie (fysieke uitwijk) buiten gebruik is;

Verantwoordelijke:

Het college van burgemeester en wethouders van Valkenswaard;

Zelfevaluatie:

De periodieke zelfevaluatie als bedoeld in artikel 4.3 van de Wet BRP. De zelfevaluatie omvat een onderzoek naar de inrichting, werking en beveiliging van de BRP aan de hand van vragenlijsten (hier het informatiekundig onderdeel genoemd) en de verwerking van gegevens in de BRP aan de hand van geautomatiseerde controles en een steekproef (hier het onderdeel datakwaliteit genoemd).

Informatiebeheer:

Het geheel van activiteiten gericht op beleidsvoorbereiding ter zake de Basisregistratie Personen, de ontwikkeling van kwaliteitsprocedures, beveiligingsprocedures, verstrekking- en privacy procedures, evenals de coördinatie bij de uitvoering van deze procedures.

Informatie-eigenaar:

De informatie-eigenaar is de functionaris die namens het college van burgemeester en wethouders is belast met de dagelijkse zorg voor de gemeentelijke voorziening, het gegevensmagazijn en het beheer van autorisatiebesluiten

Burgerzaken applicatie:

De gemeentelijke voorziening die wordt gebruikt voor het raadplegen, muteren, beheren en verstrekken aan een ingeschrevene of derde van de persoonsgegevens door een gegevensverwerker;

Artikel 2 De functionarissen

  • 1.1

    De afdelingsmanager Dienstverlening van de gemeente Valkenswaard is de functionaris die als informatie-eigenaar van de gemeente die verantwoordelijk is voor de bijhouding, kwaliteit en verstrekking van de BRP-gegevens aan afnemers buiten de gemeente . De informatie-eigenaar van de gemeente wijst een andere afdelingsmanager aan die in geval van afwezigheid deze taken waarneemt. De informatie-eigenaar van de gemeente is verantwoordelijk voor de dagelijkse zorg van de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, eerste paragraaf, van dit Reglement.

  • 1.2

    De afdelingsmanager Informatisering & Automatisering van de GRSA2 is de functionaris die als informatie-eigenaar van de GRSA2 die verantwoordelijk is voor de monitoring van de kwaliteit van de BRP-gegevens en de kwaliteit van de gegevens in het gegevensmagazijn. Tevens is deze verantwoordelijk voor de verstrekking van gegevens aan interne afnemers en derde en het beheren en beschikbaar stellen van applicaties die nodig zijn voor de bijhouding en distributie van de BRP gegevens. Een overzicht van deze afnemers en derde is opgenomen in bijlage 1 en 2 van dit reglement. De informatie-eigenaar van de GRSA2 wijst een andere afdelingsmanager aan die in geval van afwezigheid deze taken waarneemt. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, eerste paragraaf, van dit Reglement.

  • 2.1

    De informatie-eigenaar van de gemeente wijst de functionarissen aan die als gegevensverwerkers BRP zijn belast met de verwerking van persoonsgegevens in de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, tweede paragraaf, van dit Reglement.

  • 2.2

    De informatie-eigenaar van de GRSA2 wijst de functionarissen aan die zijn belast met het gegevensbeheer. De gegevensbeheerder is belast met de zaken rondom het toetsen en adviseren van de datakwaliteit en de betrouwbaarheid van de BRP. Tevens is de gegevensbeheerder belast met de distributie van BRP gegevens aan afnemers binnen de gemeente. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, derde paragraaf, van dit Reglement.

  • 3.

    De informatie-eigenaar van de GRSA2 wijst de functionarissen aan die als functioneel beheerder zijn belast met het functioneel beheer van de burgerzaken applicatie en de datadistributie. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, vierde paragraaf, van dit Reglement.

  • 4.

    De rechtspersoon, of diens rechtsopvolger, met wie dit is overeengekomen, is belast met het applicatiebeheer. Medewerkers van deze rechtspersoon treden op als applicatiebeheerder. Het applicatiebeheer omvat de ontwikkeling van de applicatie. De bepalingen omtrent de verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn opgenomen in hoofdstuk 3, vijfde paragraaf, van dit Reglement.

  • 5.

    De informatie-eigenaar van de GRSA2 en de rechtspersoon, of diens rechtsopvolger, met wie dit is overeengekomen, zijn belast met het technisch beheer. Functionarissen van dit organisatieonderdeel respectievelijk medewerkers van de rechtspersoon treden op als technisch beheerder. Het technisch beheer omvat het beheer van de server en de database en de beschikbaarheid van de applicatie op de werkplek van de gebruiker. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, zesde paragraaf, van dit Reglement.

  • 6.

    De informatie-eigenaar van de GRSA2 wijst de functionarissen aan die als privacybeheerder zijn belast met het privacybeheer van de BRP. Het privacybeheer omvat, uitsluitend voor wat betreft de in de BRP opgenomen gegevens, de bescherming van de persoonlijke levenssfeer van de personen op wie deze gegevens betrekking hebben. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, achtste paragraaf, van dit Reglement.

  • 7.

    De informatie-eigenaar van de gemeente wijst de functionarissen aan die als toezichthouders BRP zijn belast met het toezicht op de naleving van de verplichtingen van de burger, zoals bedoeld in artikel 4.2 van de Wet BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, negende paragraaf, van dit Reglement.

  • 8.

    De informatie-eigenaar van de gemeente wijst de functionarissen aan die zijn belast met het afleggen van de verklaring onder eed of belofte, zoals bedoeld in artikel 2.8, lid 2 onder e van de wet BRP.

  • 9.

    De informatie-eigenaar van de GRSA2 wijst de functionarissen aan die als beveiligingsbeheerder zijn belast met het beveiligingsbeheer aangaande de BRP. Het beveiligingsbeheer omvat de uitvoering van de beveiligingsvoorschriften op het gebied van de BRP. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, tiende paragraaf, van dit Reglement.

  • 10.

    De Chief Information Security Officer (CISO) is de functionaris die belast is met het toezicht op het brede informatiebeveiligingsbeleid. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, elfde paragraaf, van dit Reglement.

  • 11.

    De ENSIA-coördinator is de functionaris die belast is met de verantwoording over de informatiebeveiliging en privacy en houd overzicht over de lopende acties rondom het ENSIA traject. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, twaalfde paragraaf, van dit Reglement.

  • 12.

    De Functionaris Gegevensbescherming (FG) is de functionaris die belast is met het toezicht op de verwerking van persoonsgegevens binnen de organisatie. De verantwoordelijkheden, bevoegdheden en taken van deze functionaris zijn benoemd in hoofdstuk 3, zevende paragraaf, van dit Reglement.

  • 13.

    In voorkomende gevallen kan één functionaris worden belast zijn met verschillende werkzaamheden. De functie van de CISO is niet verenigbaar met het verrichten van andere werkzaamheden in het kader van de BRP.

  • 14.

    De informatie-eigenaren kunnen beheertaken die niet zijn toebedeeld, geheel of gedeeltelijk laten uitvoeren door aan hen ondergeschikte functionarissen.

Artikel 3 Schriftelijke verklaring bij toegang tot BRP-gegevens

Elke gebruiker legt voorafgaand aan het verkrijgen van toegang tot BRP-gegevens een schriftelijke verklaring af met het oog op privacy- en gebruiksvoorschriften.

Artikel 4 Verwerker

  • 1.

    Een natuurlijk persoon of rechtspersoon die niet behoort tot de organisatie van de verantwoordelijke (verwerker), kan worden aangewezen om de werkzaamheden van een functionaris als genoemd in artikel 2 te verrichten.

  • 2.

    De door de verwerker te verrichten werkzaamheden worden vastgelegd in een met de verwerker te sluiten schriftelijke overeenkomst.

  • 3.

    De verwerker dient te handelen in overeenstemming met de in de AVG gestelde eisen ten aanzien van verwerkers.

Artikel 5 Het autorisatiebesluit voor de landelijke voorziening

  • 1.

    De informatie-eigenaar GRSA2 draagt namens de verantwoordelijke zorg voor de aanvraag, de wijziging, de organisatorische inrichting, het beheer en de naleving van het besluit als bedoeld in artikel 3.2, eerste lid, van de Wet BRP ten aanzien van de verantwoordelijke, betreffende de systematische verstrekking van persoonsgegevens uit de landelijke voorziening van de BRP (het autorisatiebesluit).

  • 2.

    De informatie-eigenaar GRSA2 vertegenwoordigt de verantwoordelijke in buiten- of intergemeentelijk overleg inzake het autorisatiebesluit.

  • 3.

    De verantwoordelijkheden, taken en bevoegdheden die de functionarissen op grond van dit Reglement hebben met betrekking tot het beheer van de BRP, zijn voor zover mogelijk ook van toepassing op het autorisatiebesluit waar het betrekking heeft op het beheer, de beveiliging, de naleving, de vertegenwoordiging, de bevoegdheid, de applicatie en de verstrekking van gegevens.

  • 4.

    De informatie-eigenaar GRSA2 kan, afwijkend van het bepaalde in het voorgaande lid, andere functionarissen aanwijzen ten aanzien van het autorisatiebesluit of taken en bevoegdheden overdragen aan andere functionarissen.

Artikel 6 Vastleggen aangehaakte gegevens

De aangehaakte gegevens die worden vastgelegd zijn:

  • a.

    Zaakdossiers die behoren tot het opnemen of wijzigen van gegevens van een ingeschrevene, voor de duur dat het zaakdossier bewaard moet blijven ingevolge artikel 4 van de Regeling BRP.

  • b.

    Zaakdossiers die behoren tot het verlenen van andere diensten door het team Klantcontactcentrum Burgers, voor de duur dat het zaakdossier bewaard moet blijven ingevolge de daarvoor geldende regelgeving.

  • c.

    Aantekeningen die van belang zijn bij de registratie of verstrekking van persoonsgegevens bij een persoon, voor de duur dat deze aantekening van belang is.

Artikel 7 Beleidsdocument informatiebeveiligingsplan BRP

De verantwoordelijke benoemt doelstellingen betreffende de datakwaliteit en de betrouwbaarheid van de BRP-gegevens in het informatiebeveiligingsplan BRP.

Hoofdstuk 2 Bepalingen over verstrekkingen

Paragraaf 1 Gebruik van de gegevens

Artikel 8 Verplicht gebruik van authentieke gegevens

Met inachtneming van artikel 1.7 van de Wet BRP is de binnengemeentelijke afnemer die bij de vervulling van de taak informatie over een ingeschrevene nodig heeft die in de vorm van een authentiek gegeven beschikbaar is in de BRP, verplicht om voor die informatie dat gegeven te gebruiken.

Artikel 9 Recht op eenmalige gegevensverstrekking

Op grond van artikel 1.8 van de Wet BRP behoeft een ingeschrevene aan wie door een binnengemeentelijke afnemer een gegeven wordt gevraagd waarop artikel 8 van toepassing is dat gegeven niet mede te delen, behoudens voor zover het gegeven naar het oordeel van de binnengemeentelijke afnemer noodzakelijk is voor een deugdelijke vaststelling van de identiteit van betrokkene.

Artikel 10 Terugmeldverplichting

  • 1.

    De binnengemeentelijke afnemer die gerede twijfel heeft over de juistheid van een authentiek gegeven uit de BRP, doet hiervan mededeling aan de informatie-eigenaar van de gemeente.

  • 2.

    De binnengemeentelijke afnemer die gerede twijfel heeft over de juistheid van een authentiek gegeven uit het gegevensmagazijn, doet hiervan mededeling aan de informatie-eigenaar van de GRSA2.

  • 3.

    De informatie-eigenaar bepaalt, met inachtneming van artikel 2.34, vierde lid, van de Wet BRP en artikel 27 en 28 van het Besluit BRP, de wijze waarop de mededeling wordt gedaan, de te volgen werkwijze en de wijze waarop de kennisgeving over de afhandeling aan de binnengemeentelijke afnemer hierover wordt gedaan.

  • 4.

    De informatie-eigenaar van de GRSA2 kan dit artikel overeenkomstig van toepassing verklaren bij een verstrekking op grond van artikel 12 en 13 van dit Reglement.

     

Paragraaf 2 Verstrekkingen

Artikel 11 Binnengemeentelijke systematische verstrekkingen

  • 1.

    Gelet op artikel 3.8 van de Wet BRP en artikel 2 van de Verordening BRP, worden in dit artikel de systematische verstrekkingen van gegevens aan binnengemeentelijke afnemers geregeld.

  • 2.

    Systematische verstrekking van gegevens aan een binnengemeentelijke afnemer vindt slechts plaats voor zover het orgaan hiervoor door de verantwoordelijke is aangewezen en in bijlage 1 van dit Reglement met benoeming van de taak is opgenomen. De verantwoordelijke wijst een binnengemeentelijke afnemer aan op voorstel van de informatie-eigenaar GRSA2. De informatie-eigenaar GRSA2 doet een voorstel op verzoek van de binnengemeentelijke afnemer. De informatie-eigenaar GRSA2 en de binnengemeentelijke afnemer maken nadere afspraken over de wijze waarop gegevens ter beschikking worden gesteld en welke gegevens dit betreft.

  • 3.

    Bij een verzoek als bedoeld in het vorige lid laat de informatie-eigenaar GRSA2 zich ondersteunen door de privacybeheerder BRP en de functioneel beheerder. De verzoeker laat zich met het oog op het vierde en vijfde lid adviseren door de Functionaris Gegevensbescherming en de CISO.

  • 4.

    Het verstrekken van gegevens uit de BRP is slechts mogelijk als de gegevens noodzakelijk zijn voor de vervulling van de taak en de gegevensverwerking door de verzoeker voldoet aan de beginselen van de AVG.

  • 5.

    De verzoeker moet voldoen aan het basisnormenkader voor informatiebeveiliging, zoals is opgenomen in de Baseline informatiebeveiliging Overheid (BIO).

  • 6.

    Op grond van dit artikel kunnen gegevens ter beschikking worden gesteld door middel van:

    • a.

      een inzageapplicatie; een rechtstreekse inzage in de BRP applicatie of een inzage in het gegevensmagazijn. Aan een medewerker wordt een inzage autorisatie toegekend op basis van het profiel dat is toegekend aan de werkzaamheden die deze medewerker uitvoert. Zie hiervoor bijlage 1. Voor het verkrijgen van inzage in het gegevensmagazijn is een procedure opgesteld.

    • b.

      een koppeling van het informatiesysteem van de binnengemeentelijke afnemer met de BRP; een overzicht van deze koppelingen wordt bijgehouden in een architectuurplaat.

    • c.

      een koppeling van het informatiesysteem van de binnengemeentelijke afnemer met tussenkomst van een voorziening die beoogt gegevens te verspreiden, zoals een gegevensdistributiesysteem, een gegevensmagazijn of een ‘application programming Interface’ (API); een overzicht van deze koppelingen worden bijgehouden in een architectuurplaat.

    • d.

      een selectiebestand dat wordt overgedragen via een netwerkverbinding of middels een autorisatie in een rapportage applicatie.

  • 7.

    De informatie-eigenaar van de GRSA2 zorgt voor de inzageapplicatie als bedoeld in het zesde lid, onder a. De medewerker van een binnengemeentelijke afnemer en de eigen (afdelings)manager doen gezamenlijk een verzoek tot toegang tot de inzageapplicatie. De functioneel beheerder stelt de inzageapplicatie slechts ter beschikking aan de verzoekende medewerker als het verzoek in overeenstemming is met de bepalingen van dit Reglement.

  • 8.

    De beheerder van een voorziening als bedoeld in het zesde lid, onder c, mag uitsluitend inzage verlenen in of gegevens uit de BRP verstrekken indien dit op grond van dit Reglement is geregeld.

  • 9.

    De beheerder van het systeem als bedoeld in het zesde lid, onder c, zorgt voor het vastleggen van raadplegingen van gegevens in logbestanden. Deze logbestanden worden gedurende een periode van een jaar bewaard.

Artikel 12 Incidentele selectieverstrekkingen

  • 1.

    De informatie-eigenaar GRSA2 beslist na advies van de privacybeheerder BRP en/of de Functionaris Gegevensbescherming op een verzoek om een incidentele selectieverstrekking uit de BRP op grond van artikel 3.5 of 3.13 van de Wet BRP.

  • 2.

    Ten aanzien van een verzoek als bedoeld in het eerste lid is artikel 11, vierde lid, overeenkomstig van toepassing. Voorts is ten aanzien van een binnengemeentelijke afnemer tevens artikel 11, derde en vijfde lid, van toepassing.

  • 3.

    Indien op grond van artikel 3.5, 3.6 of 3.13 van de Wet BRP of artikel 2 van de Verordening BRP wordt verzocht om persoonsgegevens van één in het verzoek geïdentificeerde ingeschrevene, dan is er geen sprake van een selectieverstrekking. De gegevensbeheerder beslist op dit verzoek om een incidentele verstrekking. De privacybeheerder BRP en/of Functionaris Gegevensbescherming kan een aanwijzing of een instructie geven ter afhandeling van een verzoek.

Artikel 13 Overige gegevensverstrekkingen aan derden

  • 1.

    Gelet op artikel 4 van de Verordening BRP worden, met inachtneming van artikel 3.9 van de Wet BRP, gegevens verstrekt aan hiervoor aangewezen derden.

  • 2.

    De gegevensverstrekking als bedoeld in het eerste lid vindt slechts plaats voor zover de derde is aangewezen door de verantwoordelijke en in bijlage 2 van dit Reglement is opgenomen. De verantwoordelijke wijst een derde aan op voorstel van de informatie-eigenaar van de gemeente of de GRSA2. De informatie-eigenaar GRSA2 doet een voorstel op verzoek van de derde.

  • 3.

    De verstrekking als bedoeld in het eerste lid kan uitsluitend betrekking hebben op:

    • -

      algemene gegevens over de naam

    • -

      het geslacht

    • -

      de geslachtsnaam van de echtgenoot dan wel geregistreerde partner

    • -

      de geslachtsnaam van de eerdere echtgenoot of eerdere geregistreerde partner

    • -

      het naamgebruik

    • -

      het adres

    • -

      de bijhoudingsgemeente

    • -

      de geboortedatum

    • -

      de datum van overlijden;

  • 4.

    De verstrekking als bedoeld in artikel 4 van de Verordening vindt niet plaats indien het vermoeden bestaat dat de bescherming van de persoonlijke levenssfeer van de ingeschrevene onevenredig wordt geschaad.

  • 5.

    Er worden geen gegevens verstrekt als op de persoonslijst een aantekening omtrent beperking van de verstrekking van gegevens aan derden is vermeld, als bedoeld in artikel 3.21, eerste lid van de wet.

  • 6.

    De verantwoordelijke wijst een derde aan indien de derde behoort tot de in bijlage 1 van de Verordening BRP genoemde categorieën van derden, de daarin aangewezen werkzaamheden uitvoert en:

    • a.

      de derde de gegevens alleen gebruikt voor het doel waarvoor de gegevens zijn verstrekt en deze gegevens niet worden doorverstrekt aan derden, behoudens de gevallen waarin een wettelijk voorschrift hierin voorziet, en

    • b.

      de derde voldoet aan de voorschriften als gevolg van de Wet BRP, de AVG en eventuele specifieke regelgeving. Dit omvat onder meer het toezien op de toegang tot en het gebruik van de persoonsgegevens, het creëren van bewustzijn bij deze personen over privacy- en beveiligingsvoorschriften en het zorgdragen voor een deugdelijke fysieke en technische beveiliging van de ruimten en voorzieningen waarin de gegevens beschikbaar zijn.

  • 7.

    De beoordelingscriteria voor de verstrekking van gegevens aan aangewezen derden zijn:

    • a.

      Valt het verzoek onder de reikwijdte van de Verordening BRP?

    • b.

      Heeft de ingeschrevene om verstrekkingsbeperking verzocht?

    • c.

      Vallen de gevraagde gegevens binnen de reikwijdte van mogelijk te verstrekken gegevens?

    • d.

      Worden de gegevens gevraagd voor een geoorloofd doel?

    • e.

      Zijn de gegevens noodzakelijk voor het doel?

    • f.

      Kunnen de gegevens op een minder ingrijpende wijze worden verkregen?

Artikel 14 Verstrekken van aangehaakte gegevens

  • 1.

    Aangehaakte gegevens worden uitsluitend verstrekt als enig wettelijk voorschrift hierin voorziet.

  • 2.

    Verstrekking vindt plaats onder dezelfde voorwaarden als de verstrekking van gegevens uit de BRP, of onder de voorwaarden vermeld in de betreffende wetgeving op grond waarvan die gegevens zijn vastgelegd.

Artikel 15 Leges

Voor de verstrekking van gegevens als bedoeld in dit hoofdstuk, kunnen kosten in rekening worden gebracht, voor zover hierin is voorzien in de legesverordening.

Hoofdstuk 3 Bepalingen over het beheer

Paragraaf 1 De informatie-eigenaar

Artikel 16 Verantwoordelijkheid

  • 1.

    De informatie-eigenaar van de gemeente is verantwoordelijk voor de dagelijkse zorg voor de BRP.

  • 2.

    De informatie-eigenaar van de gemeente en de GRSA2 zijn gezamenlijk verantwoordelijk voor het uitvoering geven aan het informatiebeveiligingsbeleid en voor het voldoen aan andere eisen in het kader van de informatiebeveiliging op het gebied van de BRP.

  • 3.

    De informatie-eigenaar van de gemeente en de GRSA2 zijn gezamenlijk verantwoordelijk voor het voldoen aan de normen en het treffen van maatregelen in het kader van de zelfevaluatie.

  • 4.

    De informatie-eigenaar van de gemeente is verantwoordelijk voor de datakwaliteit en de betrouwbaarheid van de BRP, waaronder het voldoen aan de beleidsdoelstellingen en het uitvoering geven aan de bijhorende maatregelen zoals gesteld in het Informatiebeveiligingsbeleid BRP.

  • 5.

    De informatie-eigenaar van de GRSA2 is verantwoordelijk voor een onafhankelijke, objectieve en verifieerbare uitvoering van het onderzoek ten behoeve van de zelfevaluatie.

Artikel 17 Bevoegdheid

  • 1.

    De informatie-eigenaar van de gemeente en van de GRSA2 kunnen functionarissen aanwijzen die de CISO en de ENSIA-coördinator ondersteunen bij alle activiteiten rondom de uitvoering van de ENSIA.

  • 2.

    De informatie-eigenaar van de gemeente en van de GRSA2 kunnen de verantwoordelijke adviseren met betrekking tot aspecten van de persoonsinformatievoorziening, het gegevensbeheer en de gegevensverwerking.

  • 3.

    De informatie-eigenaar van de gemeente en van de GRSA2 kunnen hun taken, of taken die voortkomen uit hun verantwoordelijkheid, laten uitvoeren door aan hen ondergeschikte functionarissen.

  • 4.

    De informatie-eigenaar GRSA2 kan voor de beoordeling van een verzoek om gegevens op grond van dit Reglement, extra informatie of een onafhankelijk advies over de gegevensverwerking verlangen.

  • 5.

    De informatie-eigenaar GRSA2 kan voorwaarden stellen met betrekking tot het gebruik van de applicatie en voorschriften stellen op het gebied van privacy aan gebruikers.

  • 6.

    De informatie-eigenaar GRSA2 beslist op advies van de functioneel beheerder, de technisch beheerder en de beveiligingsbeheerder over de uitwijk.

  • 7.

    De informatie-eigenaar (van de GRSA2 en van de gemeente) is bevoegd de instructies vast te stellen die betrekking hebben op de taken of het gevolg zijn van de bevoegdheden die zijn genoemd in dit Reglement.

  • 8.

    De informatie-eigenaar van de GRSA2 en van de gemeente hebben toegang tot alle in de BRP opgenomen gegevens ten behoeve van de uitvoering van zijn in dit Reglement beschreven taken. Zij mogen deze toegang gebruiken voor de uitvoering van de andere publieke taken waarvoor ze zijn aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.

  • 9.

    De informatie-eigenaar van de gemeente en de GRSA2 zijn bevoegd om bij de afdelingsmanager van een binnengemeentelijke afnemer informatie op te vragen met betrekking tot de mate waarin de terugmeldverplichting als bedoeld in artikel 10 van dit Reglement wordt nageleefd.

  • 10.

    De informatie-eigenaar van de GRSA2 is bevoegd om bij de beheerder van een voorziening als bedoeld in artikel 11, zesde lid, onder c, van dit Reglement informatie op te vragen en te verkrijgen met betrekking tot de personen die toegang hebben tot de gegevens in de voorziening, de raadplegingen van persoonsgegevens die door middel van deze voorziening zijn gedaan alsmede de gerealiseerde koppelingen met andere informatiesystemen.

Artikel 18 Taken

  • 1.

    De informatie-eigenaar van de GRSA2 voorziet jaarlijks in een plan waarin het privacy- en informatiebeveiligingsbeleid van de BRP wordt uitgewerkt. Daarbij worden onder meer de resultaten van een risicoanalyse of business impact analyse (BIA), data protection impact assessment (DPIA, gegevensbeschermingseffectbeoordeling), de zelfevaluatie BRP en de ENSIA (voor de onderdelen van de BRP) betrokken. Dit controleplan wordt opgesteld in samenspraak met de betrokken functionarissen. Het vormt een samenhangend geheel van maatregelen dat de beschikbaarheid, integriteit en vertrouwelijkheid van het BRP-informatiesysteem garandeert. De informatie-eigenaar van de GRSA2 ziet toe op de tijdige uitvoering van de maatregelen en de kwaliteitsafspraken.

  • 2.

    De informatie-eigenaar van de gemeente voorziet in een kwaliteitsplan waarin het volgende wordt opgenomen;

    • -

      Een analyse en planning van verwachte werkzaamheden (capaciteitsplanning)

    • -

      De benodigde inzet van medewerkers

    • -

      De benodigde opleiding en vaardigheden voor de uitvoering van de werkzaamheden

    • -

      Indien van toepassing, de eigen meetbare servicenormen zoals afhandeltermijnen

    Het kwaliteitsplan wordt opgesteld om de BRP juist, volledig en tijdig uit te kunnen voeren. De informatie-eigenaar van de gemeente zorgt voor een evaluatie aan de hand van de actuele werkbelasting en zorgt zo nodig bijstelling van het kwaliteitsplan.

  • 3.

    De informatie-eigenaar van de gemeente voorziet in een opleidingsplan waarin enerzijds het benodigde en aanwezige niveau van competenties, kennis en vaardigheden voor de uit te voeren werkzaamheden zijn beschreven en anderzijds hoe dit niveau gaat worden bereikt.

  • 4.

    De informatie-eigenaar van GRSA2 voorziet in samenwerking met de informatie-eigenaar van de gemeente in een evaluatie en herziening van de beschrijving, toewijzing en scheiding van de rollen voor de uitvoering, kwaliteitsbewaking en interne toezicht op het gebied van de BRP.

  • 5.

    De informatie-eigenaar van de GRSA2 ziet toe op een beproeving van de technische uitwijk.

  • 6.

    De gemeentesecretaris is verantwoordelijk voor het (laten) opstellen van een continuïteitsplan bij calamiteiten.

  • 7.

    De informatie-eigenaar van de GRSA2 rapporteert aan de verantwoordelijke over de voortgang en de resultaten ten aanzien van de datakwaliteit en de betrouwbaarheid van de BRP-gegevens, inzake het Informatiebeveiligingsplan BRP.

  • 8.

    De informatie-eigenaar van de GRSA2 verleent zijn medewerking aan de CISO ten behoeve van het informatiekundig onderdeel van de ENSIA.

  • 9.

    De functionaris gegevensbescherming zorgt voor de opname van de BRP verwerkingen in het register van verwerkingen en controleert de actualiteit hiervan.

  • 10.

    De informatie-eigenaar van de gemeente vertegenwoordigt de verantwoordelijke in overleggen inzake de BRP, of wijst de functionaris aan die dat namens hem doet.

  • 11.

    De informatie-eigenaar van de GRSA2 zorgt voor een reactie of verbeterplan naar aanleiding van de rapportage over de resultaten van de zelfevaluatie BRP en de ENSIA.

  • 12.

    De informatie-eigenaar van de GRSA2 verzendt de uittreksels van de resultaten van de zelfevaluatie aan de Autoriteit persoonsgegevens en de minister van Binnenlandse Zaken en Koninkrijksrelaties, voor zover hierin niet op andere wijze wordt voorzien in het kader van ENSIA.

     

Paragraaf 2 De gegevensverwerker

Artikel 19 Verantwoordelijkheid

  • 1.

    De gegevensverwerker is verantwoordelijk voor het uitvoeren van werkzaamheden in verband met het bijhouden en verstrekken van BRP-gegevens.

  • 2.

    De gegevensverwerker is verantwoordelijk voor het verwerken van brondocumenten en verzoeken in de BRP.

  • 3.

    De gegevensverwerker is verantwoordelijk voor het behandelen van verzoeken om verstrekkingen uit de BRP.

  • 4.

    De gegevensverwerker is verantwoordelijk voor het uitvoeren van onderzoeken naar BRP-gegevens.

Artikel 20 Bevoegdheid

  • 1.

    De gegevensverwerker beslist op aangiften en verzoekschriften die op grond van de Wet BRP worden gedaan, voor zover hier niet op andere wijze in is voorzien.

  • 2.

    De gegevensverwerker is bevoegd om beslissingen te nemen naar aanleiding van een onderzoek naar BRP-gegevens en brondocumenten.

  • 3.

    De gegevensverwerker is bevoegd om brondocumenten op echtheid te laten onderzoeken door hiervoor gespecialiseerde documentexperts.

  • 4.

    De gegevensverwerker is bevoegd om een verklaring onder eed of belofte, als bedoeld in artikel 2.8, tweede lid, onder e, van de Wet BRP, af te nemen en hieraan gegevens te ontlenen.

  • 5.

    De gegevensverwerker heeft toegang tot alle in de BRP opgenomen gegevens ten behoeve van de uitvoering van zijn in dit Reglement beschreven taken. Hij mag deze toegang gebruiken voor de uitvoering van de andere publieke taken waarvoor hij is aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.

Artikel 21 Taken

  • 1.

    De gegevensverwerker verwerkt gegevens met betrekking tot de BRP overeenkomstig de in werkinstructies voorgeschreven wijze.

  • 2.

    De gegevensverwerker verstrekt gegevens uit de BRP, voor zover de verstrekking geregeld is bij of krachtens de Wet BRP en op de wijze zoals is voorgeschreven in de instructie, met uitzondering van de periodieke gegevensverstrekking en de selectieverstrekkingen als bedoeld in hoofdstuk 2 van dit Reglement.

  • 3.

    De gegevensverwerker stelt binnen vijf werkdagen na ontvangst van een melding van een overheidsorgaan dat gerede twijfel heeft over de juistheid van een BRP-gegeven de melder in kennis wat er met deze melding is gedaan.

  • 4.

    De gegevensverwerker verzamelt de brondocumenten en gegevens die nodig zijn voor een beslissing als bedoeld in of krachtens de Wet BRP.

  • 5.

    De gegevensverwerker toetst de waarde die aan overgelegde brondocumenten en gegevens kan worden toegekend, aan de hand van de Wet BRP en van rijkswege uitgevaardigde instructies.

  • 6.

    De gegevensverwerker zorgt voor de archivering van verwerkte brondocumenten.

  • 7.

    De gegevensverwerker zorgt voor de verzending van kennisgevingen en beslissingen op aangiften en verzoekschriften, voor zover dit geregeld is in de Wet BRP en op de wijze zoals is voorgeschreven in de instructie.

  • 8.

    De gegevensverwerker handelt het berichtenverkeer af.

  • 9.

    De gegevensverwerker voert onderzoeken uit in het geval van gerede twijfel over de juistheid van de gegevens.

  • 10.

    De gegevensverwerker voert controles en kwaliteitsverbeteringen uit ten behoeve van de datakwaliteit en de betrouwbaarheid van de BRP.

  • 11.

    De (senior)gegevensverwerker zorgt voor de (ondersteuning bij de) behandeling van de bezwaar- en beroepschriften voor zover hierbij het al dan niet bijhouden van BRP-gegevens aan de orde is.

  • 12.

    De gegevensverwerker volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

 

Paragraaf 3 De gegevensbeheerder

Artikel 22 Verantwoordelijkheid

  • 1.

    De gegevensbeheerder is verantwoordelijk voor de uitvoering van de maatregelen en onderzoeken uit het Informatiebeveiligingsplan BRP en van de andere zaken rondom de datakwaliteit en de betrouwbaarheid van de BRP.

  • 2.

    De gegevensbeheerder is verantwoordelijk voor de kwaliteitsbewaking rondom de datakwaliteit en de betrouwbaarheid van de BRP.

  • 3.

    De gegevensbeheerder is verantwoordelijk voor de distributie van de BRP gegevens aan binnengemeentelijke afnemers.

Artikel 23 Bevoegdheid

  • 1.

    De gegevensbeheerder is bevoegd tot het geven van aanwijzingen aan de gegevensverwerkers inzake de bijhouding van de BRP.

  • 2.

    De gegevensbeheerder is bevoegd tot het beslissen in gevallen van gerezen twijfel omtrent de geregistreerde of te registreren gegevens in de BRP, voor zover de Wet BRP en de instructies op dit punt onvoldoende duidelijk zijn.

  • 3.

    De gegevensbeheerder kan in overleg met de informatie-eigenaar van de gemeente zich laten ondersteunen door gegevensverwerkers ter verbetering van de datakwaliteit en de betrouwbaarheid van de BRP.

  • 4.

    De gegevensbeheerder heeft toegang tot alle in de BRP opgenomen gegevens ten behoeve van de uitvoering van zijn in dit Reglement beschreven taken. Hij mag deze toegang gebruiken voor de uitvoering van de andere publieke taken waarvoor hij is aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.

Artikel 24 Taken

  • 1.

    De gegevensbeheerder adviseert de functioneel beheerder over installatie van nieuwe- en of gewijzigde versies van de applicatie en bijbehorende apparatuur na deze te hebben getest.

  • 2.

    De gegevensbeheerder, tevens ook privacy beheerder, voorziet in actuele processen en instructies op het gebied van de BRP. Daarbij wordt voorzien in wijzigingen in wet- en regelgeving, jurisprudentie en andere actualiteiten.

  • 3.

    De gegevensbeheerder zorgt voor de inhoudelijke ondersteuning bij het gebruik de inzageapplicatie.

  • 4.

    De gegevensbeheerder ondersteunt de gegevensverwerker bij het verwerken van BRP-gegevens in gevallen van gerezen twijfel.

  • 5.

    De gegevensbeheerder is verantwoordelijk voor de uitvoering van de zelfevaluatie en de daaraan gerelateerde processen.

  • 6.

    De gegevensbeheerder zorgt voor het treffen van voorbereidingen, het coördineren van werkzaamheden, het uitvoeren van onderzoeken, het opstellen van procedures en uitvoeringsmaatregelen, het geven van aanwijzingen aan andere functionarissen en het rapporteren aan de informatie-eigenaar GRSA2 en van de gemeente ten behoeve van het onderdeel datakwaliteit van de zelfevaluatie, de verbetering van de datakwaliteit en de betrouwbaarheid van de BRP en het Informatiebeveiligingsplan BRP.

  • 7.

    De gegevensbeheerder zorgt voor de vormgeving en inhoud van documenten die aan de BRP worden ontleend.

  • 8.

    De gegevensbeheerder zorgt voor de afhandeling van selectieverstrekkingen op aanwijzing van de privacybeheerder BRP.

  • 9.

    De gegevensbeheerder handelt verzoeken af van medewerkers van binnengemeentelijke afnemers om toegang te krijgen tot de BRP-gegevens via de inzageapplicatie of distributie van de BRP gegevens in het gegevensmagazijn, rekening houdend met de bepalingen van dit Reglement.

  • 10.

    De gegevensbeheerder zorgt voor de functionele ondersteuning bij het gebruik van de inzage applicatie.

  • 11.

    De gegevensbeheerder zorgt voor een zo spoedig mogelijke oplossing in geval van storingen binnen het gegevensmagazijn, zo nodig door inschakeling van de technisch beheerder.

  • 12.

    De gegevensbeheerder zorgt voor de communicatie bij storingen in hard- en software van het gegevensmagazijn.

  • 13.

    De gegevensbeheerder zorgt voor de toekenning van de autorisatieniveaus met gebruikersmogelijkheden aan gebruikers van het gegevensmagazijn, rekening houdend met de bepalingen van dit Reglement.

  • 14.

    De gegevensbeheerder houdt een administratie bij betreffende de autorisaties van gebruikers van het gegevensmagazijn.

  • 15.

    De gegevensbeheerder handelt verzoeken omtrent sturingsinformatie en andere managementgegevens af betreffende de BRP gegevens.

  • 16.

    De gegevensbeheerder levert op verzoek van de gegevensverwerkers de gegevens aan die nodig zijn voor de uitvoering van de periodieke- en systematische controle van de in de BRP opgenomen gegevens.

  • 17.

    De gegevensbeheerder volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

 

Paragraaf 4 De functioneel beheerder

Artikel 25 Verantwoordelijkheid

  • 1.

    De functioneel beheerder is in samenwerking met de technisch beheerder (mede-) verantwoordelijk voor het functioneren en de beschikbaarheid van de burgerzaken applicatie bij de gemeente.

  • 2.

    De functioneel beheerder is verantwoordelijk voor het tijdig opschonen van databestanden en documenten in de burgerzaken applicatie en de database.

  • 3.

    De functioneel beheerder is verantwoordelijk voor een ongestoorde werking van het berichtenverkeer.

Artikel 26 Bevoegdheid

  • 1.

    De functioneel beheerder beoordeelt in samenspraak met de gegevensbeheerder en de gegevensverwerkers de installatie van nieuwe- en of gewijzigde versies van de applicatie en bijbehorende apparatuur na deze te hebben getest en zorgt voor tijdige voorlichting aan de gebruikers over de wijzigingen.

  • 2.

    De functioneel beheerder is bevoegd tot het geven van aanwijzingen aan de gebruikers inzake het gebruik van de applicatie.

  • 3.

    De functioneel beheerder heeft toegang tot alle in de BRP opgenomen gegevens ten behoeve van de uitvoering van zijn in dit Reglement beschreven taken. Hij mag deze toegang gebruiken voor de uitvoering van de andere publieke taken waarvoor hij is aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.

Artikel 27 Taken

  • 1.

    De functioneel beheerder adviseert de informatie-eigenaar van de gemeente en de GRSA2 omtrent de uitwijk in samenspraak met de technisch beheerder en de beveiligingsbeheerder.

  • 2.

    De functioneel beheerder coördineert in samenwerking met de technisch beheerder de werkzaamheden in geval van uitwijk en restore.

  • 3.

    De functioneel beheerder zorgt voor de functionele ondersteuning bij het gebruik van de burgerzaken applicatie.

  • 4.

    De functioneel beheerder lost communicatieproblemen in het berichtenverkeer op.

  • 5.

    De functioneel beheerder schoont de database op van via het netwerk ontvangen berichten waarvan de cycli zijn afgerond.

  • 6.

    De functioneel beheerder zorgt, op aangeven van de beveiligingsbeheerder, voor het tijdig verwijderen van digitaal opgeslagen bescheiden zoals zaakdossiers.

  • 7.

    De functioneel beheerder zorgt voor een zo spoedig mogelijke oplossing in geval van storingen binnen de burgerzaken applicatie, zo nodig door inschakeling van de technisch beheerder.

  • 8.

    De functioneel beheerder zorgt voor de communicatie bij storingen in hard- en software van de burgerzaken applicatie.

  • 9.

    De functioneel beheerder houdt een overzicht bij met de gebruikerswensen van de gegevensbeheerders en gegevensverwerkers en bespreekt gebruikerswensen met de technisch beheerder of de applicatiebeheerder.

  • 10.

    De functioneel beheerder houdt een logboek bij van storingen en andere afwijkingen met betrekking tot de applicatie.

  • 11.

    De functioneel beheerder zorgt voor de toekenning van de autorisatieniveaus met gebruikersmogelijkheden aan gebruikers van de burgerzakenapplicatie, rekening houdend met de bepalingen van dit Reglement.

  • 12.

    De functioneel beheerder houdt een administratie bij betreffende de autorisaties van gebruikers van de burgerzakenapplicatie.

  • 13.

    De functioneel beheerder handelt verzoeken omtrent sturingsinformatie en andere managementgegevens af betreffende de burgerzakenapplicatie.

  • 14.

    De functioneel beheerder ondersteunt bij de (voorbereiding op de) zelfevaluatie en de daaraan gerelateerde instructies en verleent medewerking bij de uitvoering ervan.

  • 15.

    De functioneel beheerder informeert de gebruikers over de installatie van nieuwe- en of gewijzigde versies van de applicatie en de inhoudelijke gevolgen ervan.

  • 16.

    De functioneel beheerder volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

     

Paragraaf 5 De applicatiebeheerder

Artikel 28 Overeenkomst

De taken, verantwoordelijkheden en bevoegdheden van de applicatiebeheerder worden vastgelegd in een overeenkomst met de rechtspersoon die voorziet in de applicatie.

 

Paragraaf 6 De technisch beheerder

Artikel 29 Overeenkomst

Indien en voor zover het technisch beheer door de gemeentelijke organisatie wordt uitgevoerd, gelden de bepalingen zoals opgenomen in deze paragraaf. Indien het technisch beheer geheel of gedeeltelijk wordt uitgevoerd door een ander rechtspersoon, gelden de bepalingen zoals opgenomen in deze paragraaf onverkort, tenzij anders is overeengekomen met deze rechtspersoon of dit redelijkerwijs niet kan worden verwacht.

Artikel 30 Verantwoordelijkheid

De technisch beheerder is verantwoordelijk voor het functioneren en beheren van de server waarop de applicatie is geplaatst en de database van de gemeente, alsmede voor de noodzakelijke verbindingen en de beschikbaarheid van de applicatie.

Artikel 31 Bevoegdheid

  • 1.

    De technisch beheerder is bevoegd om direct maatregelen te treffen als de continuïteit van de applicatie of de in de database opgeslagen informatie acuut in het geding is en is verplicht om in dit geval achteraf ter zake te rapporteren aan de informatiebeheerder en de functioneel beheerder.

  • 2.

    De technisch beheerder is bevoegd tot het geven van aanwijzingen over het beheer van de applicatie, het beheer van bestanden en reconstructiemaatregelen.

Artikel 32 Taken

  • 1.

    De technisch beheerder adviseert de informatie-eigenaar van de gemeente en GRSA2 omtrent de uitwijk, in samenspraak met de functioneel beheerder en de beveiligingsbeheerder.

  • 2.

    De technisch beheerder coördineert in samenwerking met de functioneel beheerder de werkzaamheden in geval van uitwijk en restore.

  • 3.

    De technisch beheerder zorgt voor een dagelijkse back-up van de systeemprogrammatuur, de applicatie, de databestanden en de digitale BRP-bescheiden. Back-upmedia worden ondergebracht in een daartoe uitgeruste en beveiligde ruimte in een andere locatie dan de ruimte waarin de apparatuur is opgesteld. De afstand is dermate dat het redelijkerwijs niet is aan te nemen dat alle locaties worden getroffen ingeval van een calamiteit.

  • 4.

    De technisch beheerder draagt, na de beslissing hiertoe van de functioneel beheerder, zorg voor de installatie van nieuwe- en of gewijzigde versies van de applicatie.

  • 5.

    De technisch beheerder voorziet in de fysieke beveiliging van de applicatie.

  • 6.

    De technisch beheerder ondersteunt bij de (voorbereiding op de) ENSIA en de daaraan gerelateerde instructies en verleent medewerking bij de uitvoering ervan.

  • 7.

    De technisch beheerder volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

     

Paragraaf 7 De Functionaris Gegevensbescherming (FG)

Artikel 33 Verantwoordelijkheid

  • 1.

    De FG is verantwoordelijk voor het waarborgen van de juiste verwerking van de persoonsgegevens binnen de organisatie.

  • 2.

    De FG is verantwoordelijk op het toezien op naleving van AVG en andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming.

Artikel 34 Bevoegdheid

  • 1.

    De FG is bevoegd tot het geven van aanwijzingen aan de gemeente en de verwerkers die namens de gemeente persoonsgegevens verwerken i.v.m. hun verplichtingen volgens de AVG.

  • 2.

    De FG is bevoegd tot het afsluiten, beheren en actualiseren van verwerkersovereenkomsten.

Artikel 35 Taken

  • 1.

    Toezien op naleving van AVG en andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming;

  • 2.

    Toezien op naleving van het gemeentelijke privacybeleid met betrekking tot de bescherming van alle persoonsgegevens die door de gemeenten worden verwerkt;

  • 3.

    Toezien op toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

  • 4.

    Adviseren met betrekking tot vraagstukken over de verwerking van persoonsgegevens ;

  • 5.

    Adviseren en rapporteren met betrekking tot veiligheidsincidenten met persoonsgegevens;

  • 6.

    Adviseren en rapporteren met betrekking tot de Data Protection Impact Assessment (DPIA) en het toezien of de uitvoering daarvan in overeenstemming is met de AVG;

  • 7.

    Toezien op en adviseren over de afhandeling van (formele) verzoeken, vragen en klachten over het gebruik van persoonsgegevens;

  • 8.

    Adviseren en ondersteunen bij het opstellen van privacynormen en procedures, beleid, regelingen en/of gedragscodes;

  • 9.

    Afsluiten, beheren en actualiseren van verwerkersovereenkomsten;

  • 10.

    Rapporteert rechtstreeks aan de Directieraad en de colleges van B&W;

  • 11.

    Verzorgen van meldingen en intrekkingen van meldingen van datalekken bij de Autoriteit Persoonsgegevens (AP);

  • 12.

    Afstemming met de AP;

  • 13.

    Optreden als contactpunt voor de AP.

 

Paragraaf 7 De privacybeheerder BRP

Artikel 36 Verantwoordelijkheid

  • 1.

    De privacybeheerder is verantwoordelijk voor de bescherming en vertrouwelijkheid van de BRP-gegevens.

  • 2.

    De privacybeheerder is verantwoordelijk voor de kwaliteitsbewaking, het opstellen van instructies, het geven van aanwijzingen en de uitvoering van controles aangaande het verstrekken van gegevens uit de BRP.

Artikel 37 Bevoegdheid

  • 1.

    De privacybeheerder is bevoegd de instructies op te stellen die noodzakelijk zijn op het gebied van gegevensverstrekking en voor andere werkzaamheden met betrekking op de BRP, voor zover hier privacyaspecten aan de orde zijn.

  • 2.

    De privacybeheerder is bevoegd tot het geven van aanwijzingen aan de functionarissen belast met het verstrekken van gegevens uit de BRP.

  • 3.

    De privacybeheerder is bevoegd om de gegevensbeheerder van het gegevensmagazijn aanwijzingen te geven over de toepassing van de bepalingen bij of krachtens de Wet BRP en dit Reglement, bij een verzoek van een medewerker van een binnengemeentelijke afnemer om toegang te krijgen tot de BRP-gegevens via de inzageapplicatie en hiervoor de relevante informatie op te vragen.

  • 4.

    De privacybeheerder is bevoegd om te beslissen op een verzoek van een medewerker van een binnengemeentelijke afnemer om toegang te krijgen tot de BRP-gegevens via de inzageapplicatie.

  • 5.

    De privacybeheerder is bevoegd om de gebruikers aanwijzingen te geven voor zover hier privacyaspecten aan de orde zijn.

  • 6.

    De privacybeheerder heeft toegang tot alle in de BRP opgenomen gegevens ten behoeve van de uitvoering van zijn in dit Reglement beschreven taken. Hij mag deze toegang gebruiken voor de uitvoering van de andere publieke taken waarvoor hij is aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.

Artikel 38 Taken

  • 1.

    De privacybeheerder adviseert de informatie-eigenaar van de GRSA2 en de informatie-eigenaar van de gemeente over de te maken afspraken en de rechtmatigheid van verstrekkingen als bedoeld in hoofdstuk 2 van dit Reglement.

  • 2.

    De privacybeheerder controleert door de gegevensbeheerder toegekende en geïmplementeerde verzoeken van medewerkers van binnengemeentelijke afnemers om toegang te krijgen tot de BRP-gegevens via de inzageapplicatie en rapporteert hierover aan de informatie-eigenaar van de GRSA2.

  • 3.

    De privacybeheerder zorgt voor de bekendmaking van het recht op verstrekkingsbeperking, zoals voorgeschreven in artikel 3.21 van de Wet BRP.

  • 4.

    De privacybeheerder voorziet in samenwerking met de (senior)gegevensverwerker in actuele informatie en instructies op het gebied van de BRP. Daarbij wordt voorzien in wijzigingen in wet- en regelgeving, jurisprudentie en andere actualiteiten.

  • 5.

    De privacybeheerder zorgt voor de vormgeving en inhoud van documenten die aan de BRP worden ontleend,.

  • 6.

    De privacybeheerder zorgt voor de (ondersteuning bij de) behandeling van inzage verzoeken betreffende de BRP.

  • 7.

    De privacybeheerder zorgt voor het treffen van voorbereidingen, het coördineren van werkzaamheden, het uitvoeren van onderzoeken, het opstellen van instructies en uitvoeringsmaatregelen, het geven van aanwijzingen aan andere functionarissen en het rapporteren aan de informatiebeheerder op het gebied van de gegevensverstrekking uit de BRP, waaronder de desbetreffende onderdelen van de zelfevaluatie.

  • 8.

    De privacybeheerder volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

     

Paragraaf 9 De toezichthouder BRP

Artikel 39 Verantwoordelijkheid

De toezichthouder BRP is als toezichthouder verantwoordelijk voor het toezicht op de naleving van de verplichtingen van de burger ingevolge hoofdstuk 2, afdeling 1, paragraaf 5 van de Wet BRP.

Artikel 40 Bevoegdheid

  • 1.

    De toezichthouder BRP is als toezichthouder op grond van titel 5.2 van de Algemene wet bestuursrecht bevoegd om:

    • a.

      Met toestemming van een bewoner een woning te betreden, zo nodig met medeneming van de benodigde apparatuur (zoals een gegevensdrager of fotocamera);

    • b.

      Zich te laten vergezellen door een gegevensverwerker en andere personen die door hem zijn aangewezen;

    • c.

      Inlichtingen te vorderen over personen naar wiens gegevens onderzoek wordt gedaan;

    • d.

      Inzage te vorderen van een identiteitsbewijs van te onderzoeken personen en personen die worden aangetroffen in bezochte woningen;

    • e.

      Rapport op te maken naar aanleiding van een onderzoek of geconstateerde overtreding als genoemd in deze paragraaf.

  • 2.

    De toezichthouder BRP heeft toegang tot alle in de BRP opgenomen gegevens ten behoeve van de uitvoering van zijn in dit Reglement beschreven taken. Hij mag deze toegang gebruiken voor de uitvoering van de andere publieke taken waarvoor hij is aangewezen, voor zover het gebruik van persoonsgegevens daartoe noodzakelijk is.

Artikel 41 Taken

  • 1.

    De toezichthouder BRP legt ten behoeve van zijn taak huisbezoeken af en vordert inlichtingen en identiteitsbewijzen.

  • 2.

    De toezichthouder BRP voert zijn werkzaamheden uit in samenspraak met de gegevensverwerker en koppelt het resultaat van zijn werkzaamheden terug in een onderzoeksrapportage aan de gegevensverwerker.

  • 3.

    De toezichthouder BRP volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

     

Paragraaf 10 De beveiligingsbeheerder BRP

Artikel 42 Verantwoordelijkheid

  • 1.

    De beveiligingsbeheerder is verantwoordelijk voor de uitvoering van het informatiebeveiligingsbeleid en van andere maatregelen op het gebied van informatiebeveiliging.

  • 2.

    De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de voorschriften bij of krachtens de Wet BRP, dit Reglement en het informatiebeveiligingsbeleid op het gebied van de BRP door de in dit Reglement genoemde functionarissen.

  • 3.

    De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de bewaring en de vernietiging van de BRP-bescheiden, zowel in fysieke als digitale vorm.

Artikel 43 Bevoegdheid

  • 1.

    De beveiligingsbeheerder kan in overleg met de informatie-eigenaar GRSA2 of van de gemeente hem toekomende taken in het kader van de zelfevaluatie laten uitvoeren door andere functionarissen.

  • 2.

    De beveiligingsbeheerder is samen met de CISO bevoegd tot het geven van aanwijzingen aan functionarissen inzake het bewaren en vernietigen van BRP-bescheiden en andere zaken op het gebied van informatiebeveiliging.

  • 3.

    De beveiligingsbeheerder is samen met de CISO bevoegd gevraagd en ongevraagd aanbevelingen te doen over alle instructies, werkzaamheden en producten inzake informatiebeveiliging op het gebied van de BRP.

Artikel 44 Taken

  • 1.

    De beveiligingsbeheerder zorgt voor het treffen van voorbereidingen, het coördineren van werkzaamheden, het uitvoeren van onderzoeken, het opstellen van instructies en uitvoeringsmaatregelen, het geven van aanwijzingen aan andere functionarissen en het rapporteren aan de informatie-eigenaar over informatiebeveiliging op het gebied van de BRP.

  • 2.

    De beveiligingsbeheerder zorgt voor de beantwoording van de vragen van het informatiekundig onderdeel van de ENSIA. Hij zorgt tevens voor de voorbereiding op de ENSIA en de zelfevaluatie BRP, het coördineren van bijbehorende werkzaamheden, het aantonen van de beantwoording van de vragenlijst en het aan de CISO en de ENSIA-coördinator verlenen van de gevraagde medewerking.

  • 3.

    De beveiligingsbeheerder zorgt voor het uitvoeren van risicoanalyses.

  • 4.

    De beveiligingsbeheerder:

    • a.

      onderkent en reageert op incidenten en adviseert over de maatregelen die nodig zijn om de gevolgen van een incident te beperken en om herhaling te voorkomen;

    • b.

      stelt passende normen en controlemaatregelen op;

    • c.

      implementeert beveiligingsmaatregelen;

    • d.

      coördineert en handhaaft de uitvoering van de beveiligingsmaatregelen.

  • 5.

    De beveiligingsbeheerder functioneert als aanspreekpunt ten aanzien van de informatiebeveiliging op het gebied van de BRP.

  • 6.

    De beveiligingsbeheerder draagt bij aan het bevorderen van het beveiligingsbewustzijn bij gebruikers.

  • 7.

    De beveiligingsbeheerder rapporteert periodiek aan de informatie-eigenaar van de GRSA2 en van de gemeente over de voortgang van de beantwoording van de vragenlijst van de zelfevaluatie en de uitvoering van het informatiebeveiligingsbeleid.

  • 8.

    De beveiligingsbeheerder adviseert de informatie-eigenaar van de GRSA2 en van de gemeente omtrent de uitwijk, in samenspraak met de functioneel beheerder en de technisch beheerder.

  • 9.

    De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de bewaring en de vernietiging van de BRP-bescheiden en stelt indien nodig hiertoe instructies op en geeft de noodzakelijke aanwijzingen.

  • 10.

    De beveiligingsbeheerder volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

 

Paragraaf 11 De CHIEF Information Security Officer (CISO)

Artikel 45 Verantwoordelijkheid

De CISO is verantwoordelijk voor het actueel houden van het informatiebeveiligingsbeleid, het coördineren van de uitvoering van het beleid, het adviseren bij projecten, het beheersen van risico’s, evenals het opstellen van rapportages.

Artikel 46 Bevoegdheid

  • 1.

    De CISO krijgt de volledige medewerking van de in dit Reglement genoemde functionarissen voor zover die noodzakelijk is voor de beschreven taakuitvoering;

  • 2.

    De CISO is bevoegd gevraagd en ongevraagd onderzoek uit te voeren naar zaken op het gebied van informatiebeveiliging, beveiligingsrisico’s onder de aandacht te brengen en aanbevelingen te doen om te komen tot het gewenste en gedefinieerde informatiebeveiligingsniveau;

  • 3.

    De CISO kan de verantwoordelijke adviseren met betrekking tot informatiebeveiliging op het gebied van de BRP;

  • 4.

    De CISO is bevoegd tot het geven van aanwijzingen aan de functionarissen genoemd in dit Reglement inzake informatiebeveiliging.

Artikel 47 Taken

  • 1.

    De CISO coördineert het formuleren van informatiebeveiligingsbeleid;

  • 2.

    De CISO rapporteert rechtstreeks aan de Directieraad en het college van B&W;

  • 3.

    De CISO coördineert de prioritering van informatieveiligheidsmaatregelen uit het Uitvoeringsplan Informatiebeveiliging en Privacy;

  • 4.

    De CISO ondersteunt de directie en de afdelingshoofden met kennis over informatieveiligheid en privacy, zodat zij hun verantwoordelijkheid voor de betrouwbaarheid en vertrouwelijkheid van de informatievoorziening juist kunnen invullen;

  • 5.

    De CISO is aanspreekpunt voor medewerkers van de gemeente over het onderwerp informatieveiligheid en privacy;

  • 6.

    De CISO volgt de externe ontwikkelingen en bedreigingen die van invloed zijn op de risico’s en het informatiebeveiligingsbeleid;

  • 7.

    De CISO bevordert het veiligheids- en privacy-bewustzijn in de organisatie;

  • 8.

    De CISO houdt de registratie van veiligheidsincidenten bij in een incidentenregister en is verantwoordelijk voor de juiste afhandeling en evaluatie van incidenten;

  • 9.

    De CISO voert periodiek een informatiebeveiligingsaudit uit.

 

Paragraaf 12 De ENSIA-coördinator

Artikel 48 Verantwoordelijkheid

De ENSIA-coördinator is verantwoordelijk voor het interne toezicht op het proces rondom het informatiekundig onderdeel van de ENSIA. De ENSIA coördinator werkt onder verantwoording van de CISO en rapporteert over de voortgang en uitkomsten van de zelfevaluatie ENSIA.

Artikel 49 Bevoegdheid

De ENSIA-coördinator krijgt de volledige medewerking van de in dit Reglement genoemde functionarissen voor zover die noodzakelijk is voor de beschreven taakuitvoering.

Artikel 50 Taken

  • 1.

    De ENSIA coördinator verzorgt de verantwoording over informatiebeveiliging en privacy en Waar Staat Je Gemeenten, onderdeel informatiebeveiliging. In deze zelfevaluatie zit tevens de verantwoording verwerkt over de volgende informatiesystemen: DigiD, Suwinet, BAG, BGT, PUN, BRP en BRO.

  • 2.

    De ENSIA coördinator houdt overzicht over de lopende acties rondom het ENSIA traject, de vragen die nog beantwoord dienen te worden en de onderlinge afstemming.

  • 3.

    De ENSIA coördinator is aanspreekpunt voor collega’s bij vragen over ENSIA, en onderhoud hij contacten met de IT-auditor, de ministeries van BZK en SZW, de beheerder van ENSIA en VNG-Realisatie

     

Paragraaf 13 De raadpleger

Artikel 51 Taken

  • 1.

    De raadpleger maakt slechts gebruik van zijn toegang tot de BRP-gegevens voor zover noodzakelijk bij de uitvoering van de taak op basis waarvan hij is geautoriseerd.

  • 2.

    De raadpleger neemt de bepalingen uit hoofdstuk 2 van dit Reglement in acht.

  • 3.

    De raadpleger volgt de aanwijzingen die krachtens dit Reglement door de bevoegde functionarissen worden gegeven.

Hoofdstuk 4 Slotbepalingen

Artikel 52 Persoonsregister

De in dit Reglement opgenomen bepalingen gelden naast de BRP – voor zover van toepassing – ook voor het persoonsregister, bedoeld in het Besluit bevolkingsboekhouding.

Artikel 53 Intrekking oude regeling

Het Reglement basisregistratie personen, vastgesteld door het college van burgemeester en wethouders op 27 november 2018, en de Beheerregeling Basisregistratie personen gemeente Valkenswaard, vastgesteld door het college van burgemeester en wethouders op 27 september 2016, worden ingetrokken met ingang van de dag waarop dit nieuwe Reglement BRP in werking treedt.

Artikel 54 Inwerkingtreding

Dit Reglement treedt in werking met ingang van de dag na bekendmaking.

Artikel 55 Citeertitel

Dit Reglement wordt aangehaald als: Reglement BRP Valkenswaard.

De burgemeester,

drs. A.B.A.M. Ederveen

De secretaris,

drs. W.J.S.A. Weeterings

Bijlage 1 Systematische verstrekking aan een binnengemeentelijke afnemer

 

Conform het gesteld in artikel 11, tweede lid van dit reglement, hebben medewerkers, die aannemelijk kunnen maken dat zij voor de uitvoering van de wettelijke taken inzage nodig hebben in persoonsgegevens, toegang tot persoonsgegevens door middel van inzage in het gegevensmagazijn of een rechtstreekse toegang tot de raadpleegfunctie van de BRP applicatie. Medewerkers die persoonsgegevens ontvangen middels de rapportage applicatie, hebben dezelfde autorisatie als toegekend in het gegevensmagazijn en/of de raadpleegfunctie van de BRP applicatie.

 

Aan een medewerker wordt een inzage autorisatie toegekend op basis van het profiel dat is toegekend aan de werkzaamheden die deze medewerker uitvoert.

 

Profiel 1: Basisprofiel raadplegen natuurlijke personen (profiel gegevensmagazijn: RPLNPSBAS)

 

Profiel 2: Raadplegen personen incl. gezag en curatele (profiel gegevensmagazijn: JEUGDWMO)

 

Profiel 3: Profiel inburgering ( profiel gegevensmagazijn: INBURG)

 

Profiel 4: Raadplegen VTH (profiel gegevensmagazijn: VTHRPL)

 

Profiel 5: Functioneel Beheer (profiel gegevensmagazijn: FUNCBEH)

 

Profiel 6: Belastingen (profiel BRP raadpleegfunctie: belastingen_prod_VW )

 

Profiel 7: Jeugdzorg (profiel BRP raadpleegfunctie: jeugdzorg_prod_VW )

 

Profiel 8: Werk en Inkomen (profiel BRP raadpleegfunctie: werk_en_inkomen_prod_VW )

 

Profiel 9: WMO (profiel BRP raadpleegfunctie: wmo_prod_VW )

 

Categorie gegevens

Profiel 1

Profiel 2

Profiel 3

Profiel 4

Profiel 5

Profiel 6

Profiel 7

Profiel 8

Profiel 9

Persoon

X

X

X

X

X

X

X

X

X

Ouders

X

X

X

X

X

X

X

X

Nationaliteit

X

X

X

X

X

X

Huwelijk/geregistreerd partnerschap

X

X

X

X

X

X

X

X

Overlijden

X

X

X

X

X

X

X

X

X

Inschrijving

X

X

X

X

X

Kiesrecht

X

Verblijfplaats

X

X

X

X

X

X

X

X

X

Kind

X

X

X

X

X

X

X

Verblijfstitel

X

X

X

X

X

X

X

Gezagsverhouding

X

X

X

X

X

X

Reisdocument

X

X

X

Verwijsgegevens

X

X

X

X

X

Adres

X

X

X

X

X

X

X

X

X

Bewoning

X

X

X

X

X

X

X

X

X

Geheimhouding

X

X

X

X

X

X

X

X

X

Historische adresgegevens

X

X

X

X

Historische bewoners

X

X

Historische verblijfstitel

X

X

X

 

Wettelijke kader/taken

Gegevensset Basisregistratie Personen

Gegevensset BRP-V

Wet BRP, Kieswet, Besluit Burgerlijke Stand, Burgerlijk Wetboek, Nationaliteitswetgeving, Wet op de lijkbezorging, Wet op de justitiële documentatie, Vreemdelingenwet, Paspoortwet en Regelgeving rijbewijzen, begraafplaatsadministratie/grafrechten, uitvoeren parkeerbeleid en gehandicaptenparkeerkaarten, aanvragen van verklaring omtrent gedrag, registratie van gevonden voorwerpen, meldingen openbare ruimte

Alle gegevens op PL, verwijsgegevens en aangehaakte gegevens

idem

Alcoholwet, omgevingswet, wet kwaliteitsborging, APV, handhaving en (adres)onderzoekstaken BOA’s, omgevingsvergunning, diverse vergunningen, uitvoering en handhaving parkeerbeleid, winkeltijden, wet milieubeheer, wet verontreiniging oppervlaktewater, wet goed verhuurschap, wet woonoverlast, gemeentewet, opiumwet.

Profiel 4

idem

Wet maatschappelijke ondersteuning, zorgtaken en taken in het kader van de participatiewet, Wet op de leerplicht, leerlingenadministratie, leerlingenvervoer. Uitvoering van beleid op wonen, welzijn, onderwijs, sport, subsidie, cultuur. Uitvoering Jeugdzorg. Huisvestingstaakstelling, uitvoering van sociale wetgeving

Profiel 2, 7 en 9

idem

Openbare orde en veiligheid, wijkgericht werken, aanpak van ondermijning en het lokale ondermijningsoverleg, uitvoeren van werkzaamheden in het kader van een tijdelijk huisverbod, het verzamelen van gegevens in het kader van rampenbestrijding.

Profiel 4

idem

Duurzaamheid & milieu, ruimtelijke ordening en vastgoed

Profiel 1

idem

Oppakken van diverse programma’s en projecten voor de gemeente Valkenswaard. BRP gegevens kunnen worden gebruikt voor onderzoeksdoeleinde. Het verzamelen van gegevens ten behoeve van het maken van statistische informatie en het doen van onderzoek

Profiel 1

idem

Beheer en onderhoud van de openbare ruimte in de gemeente Valkenswaard

Profiel 1

idem

Leerlingenadministratie

Profiel 1

idem

Toekennen bijstandsuitkering. Financiële afhandeling van zaken rond de uitkering. Bijhouden mutaties op de uitkeringenadministratie. Fraudeonderzoek op het gebied van werk en inkomen. Inburgering nieuwkomers.

Profiel 3 en 8

idem

Het uitvoeren van financiële taken betreffende de legesheffing, de debiteurenadministratie, crediteurenadministratie en de fiscale verantwoording waaronder het verzenden van nota’s, het zorgdragen voor invorderingen en de informatieverstrekking aan de fiscus. Het uitvoeren van de Wet waardering onroerende zaken (WOZ) en gemeentelijke belastingtaken.

Profiel 1 en 6

idem

(Applicatie)beheer van systemen die persoonsgegevens verwerken, het waarborgen van een juiste en veilige werking van apparatuur & het netwerk. Vullen Geo informatie, datadistributie, controle naw-gegevens en registratie post, Digitaal archiveren en ordenen van archiefbescheiden (archiefwet), informatiemanagement

Toegang tot alle in het systeem aanwezige gegevens

idem

Bestuur en management ondersteuning t.b.v. taken van het Kabinet van de Commissaris van de Koning, zoals huwelijksjubilea en 100-jarigen, 4 en 5-mei, Koninklijke onderscheidingen, overige decoraties en/of speciale gelegenheden

Profiel 1

idem

Financiën, control en auditing, personeelsadministratie t.b.v. pensioenen raadsleden en wethouders en wachtgelden gemeenten, juridische taken (controle gegevens voor aanschrijven burgers in verband met uitvoering juridische procedures), inkoop.

Profiel 1

idem

Bijlage 2 Verstrekking aan derden

 

Bijlage bij artikel 13, tweede lid.

 

Derde

Doel

Bibliotheek (geen onderdeel van de gemeente)

Bevorderen culturele en maatschappelijke vaardigheden van inwoners

Instellingen of organisaties die werkzaamheden binnen de gemeente verrichten op het terrein van:

  • -

    Algemene/geestelijke gezondheidszorg

  • -

    Patiëntenverenigingen

  • -

    Gehandicaptenzorg

  • -

    Jeugdwelzijnswerk

  • -

    Kinderopvangwerk

  • -

    Maatschappelijke dienstverlening

  • -

    Migrantenhulp

  • -

    Inburgeringswerk

  • -

    Ouderenzorg/ondersteuning

  • -

    Vrouwenorganisaties

  • -

    Slachtofferhulp

  • -

    Reclassering/verslaafdenzorg

  • -

    Schuldhulpverlening

  • -

    Sociaaljuridische zorgverlening

  • -

    Sociale werkvoorziening

  • -

    Thuiszorg

  • -

    Vakorganisaties

Ondersteunen van organisaties en instellingen die de belangen en het welzijn van de inwoners van de gemeente vertegenwoordigen

Bewindvoerder/bewindvoerderskantoor

Slechts voor het achterhalen van gegevens van de cliënt voor taken die onder het bewind vallen

Sportorganisaties en -verenigingen

Stimuleren sport en beweging

Woningcorporaties

Eerlijke verdeling van sociale woonruimte en tegengaan woonfraude zoals illegale (spook) bewoning

Ziekenhuizen in Nederland

Patiëntenzorg, het verlenen van medische zorg, innen van rekeningen i.v.m. die zorg

Niet gemeentelijke crematoria en begraafplaatsen

Bijhouden begraafplaatsadministratie, uitvoering Wet op de Lijkbezorging en het terugvinden van nabestaanden

Culturele organisaties

Bevorderen van cultuur en behoud van cultureel erfgoed. Cultuurorganisaties die een subsidie van de gemeente ontvangen

Fondsenwervende organisaties met een keurmerk van het CBF

Ondersteunen van organisaties met een doelstelling die ten goede komt aan de inwoners

Onderwijsinstellingen

Een juiste registratie in de leerlingenadministratie en de bevordering van de toegankelijkheid tot onderwijs

Onderzoeksinstellingen die voldoen aan de criteria in art. 3.13 van de wet BRP en art. 44 van het besluit BRP

Voor het uitvoeren van wetenschappelijk, statistisch of historisch onderzoek

Kredietbank (privaatrechtelijk, bijv. een stichting)

Schuldhulpverlening

Uitvaartverzorgers

Bevorderen van zorg voor nabestaanden

Oorlogsgravenstichting

Contact leggen met nabestaanden over het bijhouden van en administratie over graven

Aangewezen derden zoals vermeld in bijlage 4 van het besluit BRP*

De werkzaamheden die worden genoemd in bijlage 4 van het besluit BRP

Instellingen, verenigingen of stichtingen met een maatschappelijk of filantropisch doel. Bijvoorbeeld het Rode Kruis, Astmafonds, Lilianefonds, Nierstichting, Bloedbank,..etc

Ondersteunen van maatschappelijke of filantropische doelen zoals het bevorderen van publiek welzijn en gericht op de verbetering van levensomstandigheden

Buitenlandse EU-overheidsorganen (met toestemming van de ingeschrevene)

Uitvoering van een verdrag of besluit van een volkenrechtelijke organisatie dat in de verstrekking van gegevens voorziet

Buitenlandse EU-overheidsorganen, belast met de bestuurlijke aanpak van georganiseerde criminaliteit/ondermijning

Bestuurlijke aanpak van (grensoverschrijdende) georganiseerde criminaliteit/ondermijning

Buitenlandse niet EU-overheidsorganen (met toestemming van de ingeschrevene)

Uitvoering van een verdrag of besluit van een volkenrechtelijke organisatie dat in de verstrekking van gegevens voorziet

Overheidsorganen van de Caribische landen (Aruba, Curaçao en Sint Maarten) en het Caribisch deel van Nederland (Bonaire, Sint Eustatius en Saba)

Uitvoering van wettelijke taken of de uitvoering van algemeen verbindend voorschrift

Buitenlandse rechtspersonen (o.a. instellingen voor sociale zorg en zekerheid) (met toestemming van de ingeschrevene)

Het dienen van een Nederlands publiek belang zoals sociale zekerheid

Rechtspersonen die niet in de gemeentelijke verordening benoemd zijn (met toestemming van de ingeschrevene/gezaghouder)

Werkzaamheden met een gewichtig maatschappelijk belang, waarbij het doel verschillend van aard kan zijn per aanvrager
  • *

    Lukt het niet om via de landelijke voorziening een adres te raadplegen, dan is het indienen van een schriftelijk verzoek bij de gemeente mogelijk mits overlegging van een no-hit verklaring

Schriftelijke toestemming:

Wanneer de door een ingeschrevene vooraf aan een derde verstrekte schriftelijke toestemming ouder is dan 6 weken, worden gegevens niet verstrekt.

 

Proportionaliteitsbeginsel:

Een verzoek om gegevensverstrekkingen van een derde met een gewichtig maatschappelijk belang wordt afzonderlijk beoordeeld op rechtmatigheid en doelmatigheid en zal alleen plaatsvinden nadat op basis van het proportionaliteitsbeginsel een belangen afweging is gemaakt.

 

Doel verstrekkingen:

De verstrekking vindt plaats in het kader van de zorg en taak van de aan hun opgedragen taak.

 

Toelichting  

Dit Reglement beschrijft privacy- en beheeraspecten met betrekking tot de basisregistratie personen (BRP). Hieronder wordt per hoofdstuk een toelichting gegeven.

 

Hoofdstuk 1 Algemene bepalingen

In het eerste hoofdstuk zijn de algemene bepalingen opgenomen. Dit hoofdstuk omvat de volgende onderdelen:

  • -

    Toelichting op de gebruikte begrippen, waarbij met het oog op de gewenste eenduidigheid zoveel mogelijk aansluiting is gezocht bij de begrippen uit de Wet BRP (artikel 1);

  • -

    Aanwijzen van de informatie-eigenaar van de gemeente en GRSA2 en andere functionarissen (artikel 2). Deze functionarissen worden belast met het beheer van de BRP;

  • -

    Het verkrijgen van toegang tot de applicatie vindt pas plaats na het afleggen van een schriftelijke verklaring met als doel een betere bescherming van de privacy van ingeschrevenen en een correct gebruik van de applicatie (artikel 3);

  • -

    Bepalingen ten aanzien van een verwerker (artikel 4);

  • -

    De bepalingen ten aanzien van de gemeentelijke BRP-voorziening gelden voor zover van toepassing ook voor het gebruik van de landelijke BRP-voorziening (artikel 5);

  • -

    Het bepalen van aangehaakte gegevens: gegevens die bij de persoonslijst worden opgeslagen, niet op grond van de Wet BRP maar op grond van dit Reglement (artikel 6);

  • -

    De bepaling dat het college doelstellingen betreffende de datakwaliteit en de betrouwbaarheid van de BRP-gegevens benoemt in het plan Informatiebeveiliging BRP (artikel 7). Dit beoogt de kwaliteit van de gegevens en daarmee de dienstverlening aan burgers te verbeteren.

Hoofdstuk 2 Bepalingen over verstrekkingen

De eerste paragraaf richt zich op het gebruik van de gegevens door de gemeentelijke organisatie. Op grond van de Wet gelden de volgende regels:

  • -

    Organisatieonderdelen zijn, bij de uitvoering van de taken waarbij persoonsgegevens nodig zijn, verplicht om deze gegevens uit de BRP te gebruiken (artikel 8);

  • -

    Burgers hebben het recht op eenmalige gegevensverstrekking. Organisatieonderdelen mogen in principe niet vragen om de gegevens waar zij al over (zouden moeten) beschikken (artikel 9);

  • -

    Organisatieonderdelen zijn verplicht om bij twijfel over de juistheid van de gegevens, dit te melden bij de bronhouder van de BRP (artikel 10).

De afdeling van de informatie-eigenaar van de gemeente vervult een belangrijke rol binnen de gemeente als het gaat om het gebruik van BRP-gegevens. Twijfel over de juistheid van gegevens wordt daarom gemeld bij deze afdeling. Indien de medewerker constateert dat de melding een verschil betreft tussen de BRP-gegevens en de gegevens die opgenomen zijn in het gegevensmagazijn, zal deze de melding doorgestuurd worden aan de afdeling van de informatie-eigenaar van de GRSA2 om de inconsistente melding op te pakken. Om dit op een effectieve wijze te organiseren, is de informatiebeheerder bevoegd om voorwaarden te stellen over de wijze van terugmelden.

 

De tweede paragraaf regelt de verstrekkingen uit de BRP. De volgende bepalingen worden hieronder toegelicht:

  • a.

    Het beschikbaar stellen van BRP-gegevens aan organisatieonderdelen (artikel 11);

  • b.

    De incidentele selectieverstrekkingen (artikel 12);

  • c.

    Overige gegevensverstrekkingen (artikel 13);

  • d.

    De verstrekking van aangehaakte gegevens (artikel 14);

  • e.

    De leges die in rekening worden gebracht voor de verstrekkingen (artikel 15).

Ad a.

Het doel van artikel 11 is het regelen van de systematische binnengemeentelijke verstrekkingen. Systematisch betekent hier dat het gaat om verstrekkingen die structureel plaatsvinden, waarbij het doel vooraf is bepaald, evenals de te verstrekken gegevens, de wijze waarop de verstrekking plaatsvindt en de criteria waaraan de gegevens moeten voldoen.

 

In de Wet BRP is het voorgeschreven dat deze regels bij of krachtens verordening worden bepaald. In de Verordening BRP is dit overgedragen aan het college. Het college geeft met dit artikel nadere invulling hieraan. Dit artikel omvat de volgende regels:

  • -

    Het college van burgemeester en wethouders wijst na een voorstel van de informatie-eigenaar een organisatieonderdeel aan dat de beschikking krijgt over gegevens uit de BRP;

  • -

    In bijlage 1 van dit Reglement zijn de organisatieonderdelen opgenomen die gegevens ontvangen;

  • -

    Het organisatieonderdeel moet voldoen aan de AVG en de BIO.

Het organisatieonderdeel dat gegevens uit de BRP ontvangt (of hiertoe een verzoek doet), is zelf verantwoordelijk voor de gegevensverwerking en dient de gegevensverwerking af te stemmen met de informatiemanager. Eventueel wordt daarbij de functionaris gegevensbescherming en de CISO betrokken. De informatie-eigenaar is niet voor de gegevensverwerking door het ontvangende organisatieonderdeel verantwoordelijk, maar wel voor de verstrekking uit de BRP voor dit doel.

 

Er zijn verschillende wijzen van gegevensverstrekking. Zo kan dat door middel van een directe of indirecte koppeling tussen de BRP en de afnemende applicatie, er kan gebruik worden gemaakt van een inzageapplicatie en het is mogelijk om selectiebestanden te leveren. Met een indirecte koppeling wordt de tussenkomst van een voorziening als een datadistributiesysteem, gegevensmagazijn of een ‘application programming Interface’ (API) bedoeld. Kenmerk van deze systemen is dat ze gegevens doorgeven, ophalen of opslaan voor vervolggebruik. De verstrekking van BRP-gegevens via deze ‘tussenvoorziening’ mag slechts plaatsvinden op basis van dit Reglement, wat betekent dat het derde en vierde lid van artikel 12 van toepassing is op elke verstrekking van BRP-gegevens uit deze voorziening. Overigens is in alle gevallen het ontvangende organisatieonderdeel na de verstrekking uit de BRP verantwoordelijk voor de verdere verwerking van de persoonsgegevens.

 

Ad b.

Artikel 12 regelt de incidentele selectieverstrekkingen. Dit zijn verstrekkingen die op meerdere personen betrekking hebben. De selectie komt tot stand door gebruik te maken van enkele criteria, zoals personen woonachtig in een bepaald gebied of van een bepaalde leeftijd. Met incidenteel wordt bedoeld dat het niet een systematische verstrekking is, de verstrekking heeft dus geen terugkerend karakter.

 

Voor de regels is aansluiting gezocht bij de regels op grond van artikel 11. Een belangrijk verschil is dat de privacy beheerder BRP beslist op incidentele verzoeken, zonder dat hier nog een collegebesluit voor nodig is.

 

In het derde lid is verduidelijkt dat indien het verzoek betrekking heeft op een enkel persoon die bij het verzoek is geïdentificeerd, dit geen selectie betreft. Vaak betreft dit een verzoek om een gewaarmerkt afschrift. De gegevensverwerker handelt dergelijke verzoeken af.

 

Ad c.

Artikel 13 bevat bepalingen over gegevensverstrekking aan derden. Verstrekking aan een derde is mogelijk als aan beide volgende voorwaarden wordt voldaan:

  • de derde behoort tot een categorie van derden als benoemd in artikel 4 van de Verordening BRP en voert werkzaamheden uit die hierbij zijn benoemd, en

  • de derde is aangewezen door het college om gegevens verstrekt te krijgen en opgenomen in bijlage 2 van dit Reglement.

De aanwijzing door het college van burgemeester en wethouders volgt na een voorstel van de informatie-eigenaar. De derde moet aan voorwaarden op het gebied van informatiebeveiliging en aan privacy voorschriften voldoen. De Verordening BRP biedt geen ruimte voor het aanwijzen van een verzoeker indien deze hiermee een commercieel gebruik tot doel heeft.

 

Of er daadwerkelijk verstrekt wordt na een verzoek van een aangewezen derde, is afhankelijk van de beoordelingscriteria die zijn opgenomen in dit artikel.

 

Ad d.

Op grond van artikel 6 worden er aangehaakte gegevens opgenomen. Dit zijn extra gegevens, meer gegevens dan is voorgeschreven in de Wet BRP. In artikel 14 zijn bepalingen opgenomen over het ter beschikking stellen van gegevens. In principe worden deze gegevens alleen ter beschikking gesteld aan functionarissen die zich bezighouden met de verwerking van gegevens in de BRP. Deze gegevens worden alleen aan anderen verstrekt, wanneer hiertoe een wettelijke grondslag bestaat.

 

Ad e.

Voor de verstrekking van gegevens kunnen kosten in rekening worden gebracht (artikel 15). Dit is geregeld in de legesverordening.

 

Hoofdstuk 3 Bepalingen over het beheer

Paragraaf 1 De informatie-eigenaar

Paragraaf 1 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de informatie-eigenaar. De informatie-eigenaar van de gemeente is verantwoordelijk voor de dagelijkse zorg voor de BRP. De informatie-eigenaar van de GRSA2 is verantwoordelijk voor alles wat te maken heeft met informatiebeveiliging, de zelfevaluatie, de datakwaliteit, de datadistributie en de betrouwbaarheid van de gegevens. Daarvoor beschikt de informatie eigenaar van de gemeente en van de GRSA2 over bevoegdheden zoals het toewijzen van taken aan ondergeschikte functionarissen en het vaststellen van instructies. Daarnaast heeft de informatie-eigenaar van de GRSA2 taken zoals het voorzien in een informatiebeveiligingsplan, het rapporteren aan het college over de datakwaliteit en de betrouwbaarheid van gegevens en het verlenen van medewerking aan de coördinator ENSIA ten behoeve van de zelfevaluatie.

 

Paragraaf 2 De gegevensverwerker BRP

Paragraaf 2 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de gegevensverwerker. De gegevensverwerker, aangewezen door de informatie-eigenaar van de gemeente, is verantwoordelijk voor het bijhouden, onderzoeken en verstrekken van de gegevens. Daarvoor beschikt de gegevensverwerker over de bevoegdheid om te beslissen op verzoeken en om (bron)documenten te beoordelen. De taken bevinden zich op het gebied van de uitvoering en liggen in het verlengde van de verantwoordelijkheden.

 

Paragraaf 3 De gegevensbeheerder BRP

Paragraaf 3 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de gegevensbeheerder BRP. De gegevensbeheerder BRP, aangewezen door de informatie-eigenaar van de GRSA2, is verantwoordelijk voor de zaken rondom de datakwaliteit en de betrouwbaarheid van de gegevens en daarom beschikt hij over bevoegdheden om aanwijzingen te geven aan de gegevensverwerkers en om te beslissen in uitzonderlijke situaties. De gegevensbeheerder is ook belast met de distributie van BRP gegevens aan afnemers binnen de gemeente. De taken die daarbij horen zijn bijvoorbeeld het verzorgen van instructies en actualiseren van de procedures, adviseren bij de verwerking van BRP gegevens, het zorgdragen voor de uitvoering van de zelfevaluatie BRP en de distributie van de BRP gegevens aan binnengemeentelijke afnemers.

 

Paragraaf 4 De functioneel beheerder

Paragraaf 4 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de functioneel beheerder. De functioneel beheerder, aangewezen door de informatie-eigenaar GRSA2, is samen met de technisch beheerder verantwoordelijk voor het functioneren van de applicatie, het opschonen van bestanden en de werking van het berichtenverkeer. Daarvoor beschikt hij over bevoegdheden om te beslissen op installaties van gewijzigde versies van de applicatie en is hij bevoegd om aanwijzingen te geven over het gebruik van de applicatie. De taken liggen in het verlengde van de verantwoordelijkheden.

 

Paragraaf 5 De applicatiebeheerder

Paragraaf 5 bepaalt dat de verantwoordelijkheden, bevoegdheden en taken van de applicatiebeheerder worden vastgelegd in een overeenkomst met de rechtspersoon die hiervoor zorg draagt. Dit omvat de ontwikkeling van de applicatie en de wijze waarop wordt samengewerkt.

 

Paragraaf 6 De technisch beheerder

Paragraaf 6 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de technisch beheerder. Mogelijk dat het technisch beheer (deels) door een andere partij wordt uitgevoerd. Is dat het geval, dan gelden de bepalingen uit deze paragraaf onverkort, tenzij iets anders is overeengekomen of dat dit redelijkerwijs niet kan worden verwacht.

 

De technisch beheerder is verantwoordelijk voor de server, de database, de verbindingen en de beschikbaarheid van de applicatie. Daarvoor beschikt hij over de bevoegdheid om direct maatregelen te treffen als dat nodig zou zijn en om aanwijzingen te geven op dit gebied. De taken bevinden zich onder meer op het terrein van de beveiliging, de uitwijk, de back-up en de installatie van gewijzigde versies van de applicatie.

 

Paragraaf 7 De Functionaris Gegevensbescherming (FG)

Paragraaf 7 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de Functionaris Gegevensbescherming (FG). De FG, is de wettelijke interne toezichthouder op de verwerking van alle persoonsgegevens binnen de hele organisatie. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de privacywetgeving. De wettelijke taken en bevoegd- heden van de FG geven deze functionaris een onafhankelijke positie in de organisatie.

 

Paragraaf 8 De privacybeheerder BRP

Paragraaf 8 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de privacybeheerder BRP. De privacybeheerder, aangewezen door de informatie-eigenaar GRSA2, is verantwoordelijk voor de bescherming en de vertrouwelijkheid van de gegevens en voor het verstrekken van gegevens. Hij is bevoegd om instructies op te stellen en functionarissen aanwijzingen te geven over verstrekkingen, hij beslist over een verzoek tot toegang tot de inzageapplicatie of de koppeling van de BRP gegevens met de vakapplicatie en mag aanwijzingen geven over het gebruik van deze applicatie of BRP gegevens. De taken liggen in het verlengde van de verantwoordelijkheden.

 

Paragraaf 9 De toezichthouder BRP

Paragraaf 9 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de toezichthouder BRP. De toezichthouder BRP is als toezichthouder, aangewezen door het college, verantwoordelijk voor het toezicht op de naleving van de verplichtingen van de burger ingevolge hoofdstuk 2, afdeling 1, paragraaf 5 van de Wet BRP. Dit omvat onder meer de verplichtingen om aangifte te doen van adreswijziging of het vertrek uit Nederland, het verstrekken van inlichtingen en het overleggen van brondocumenten. Wat de bevoegdheid betreft wordt voornamelijk verwezen naar de bevoegdheden op grond van de Algemene wet bestuursrecht. De belangrijkste taak van de toezichthouder BRP is het afleggen van huisbezoeken, met het doel om de feitelijke bewoning vast te stellen. Hiervan maakt hij een rapportage, welke door de gegevensverwerker kan worden gebruikt bij een adresonderzoek.

 

Paragraaf 10 De beveiligingsbeheerder

Paragraaf 10 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de beveiligingsbeheerder. De beveiligingsbeheerder, aangewezen door de informatie-eigenaar GRSA2, is verantwoordelijk voor zaken op het gebied van informatiebeveiliging van de BRP. Daarvoor beschikt hij samen met de CISO over de bevoegdheid om aanwijzingen te geven aan functionarissen en kan hij aanbevelingen doen over informatiebeveiliging. De taken bevinden zich op het terrein van informatiebeveiliging en de zelfevaluatie BRP en ENSIA.

 

Paragraaf 11 De Chief Information Security Officer (CISO)

Paragraaf 11 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de CISO. De CISO is onafhankelijk van de uitvoering. Hij is verantwoordelijk voor het actueel houden van het informatiebeveiligingsbeleid, het adviseren bij projecten, het beheersen van risico’s evenals het opstellen van rapportages. Hij is samen met de ENSIA coördinator verantwoordelijk voor het toezien op het proces van de ENSIA. De CISO is bevoegd om onderzoek en aanbevelingen te doen, aanwijzingen te geven en de gewenste medewerking te krijgen. Wat zijn taken betreft, het volgende. De uitvoering van de zelfevaluatie via ENSIA (voor de onderdelen BRP en waardedocumenten) wordt grotendeels door de informatie-eigenaar van de gemeente en de GRSA2 en de beveiligingsbeheerder gedaan, maar de CISO ziet samen met de ENSIA-coördinator erop toe dat hierbij de gewenste objectiviteit in acht wordt genomen. De CISO is immers onafhankelijk van de informatie-eigenaar BRP. Verder rapporteert hij, na input van en samen met de beveiligingsbeheerder en de ENSIA-coördinator, jaarlijks aan het college over de resultaten van de zelfevaluatie BRP en de ENSIA en adviseert hij de informatie-eigenaar bij het opstellen van een verbeterplan.

 

Paragraaf 12 De ENSIA-coördinator

Paragraaf 12 voorziet in de verantwoordelijkheden, bevoegdheden en taken van de ENSIA-coördinator. Alle gemeenten dienen jaarlijks verantwoording af te leggen middels een zelfevaluatie ENSIA. De ENSIA Coördinator verzorgt de verantwoording over informatiebeveiliging en privacy en Waar Staat Je Gemeenten, onderdeel informatiebeveiliging. In deze zelfevaluatie zit tevens de verantwoording verwerkt over de volgende informatiesystemen: DigiD, Suwinet, BAG, BGT, PUN, BRP en BRO. De ENSIA Coördinator houdt overzicht over de lopende acties rondom het ENSIA traject, de vragen die nog beantwoord dienen te worden en de onderlinge afstemming. Daarnaast is hij aanspreekpunt voor collega’s bij vragen over ENSIA, en onderhoud hij contacten met de IT-auditor, de ministeries van BZK en SZW, de beheerder van ENSIA en VNG-Realisatie. De ENSIA Coördinator werkt onder verantwoording van de CISO en hij rapporteert over de voortgang en uitkomsten van de zelfevaluatie ENSIA.

 

Paragraaf 13 De raadpleger

Paragraaf 13 gaat over de raadpleger. Een raadpleger is een medewerker van een organisatieonderdeel met toegang tot de BRP-gegevens via de inzageapplicatie. Deze raadpleger mag slechts gegevens gebruiken waarvoor hij is geautoriseerd en alleen voor uitvoering van de taak waarvoor hij is geautoriseerd. Hij moet de aanwijzingen volgen die worden gegeven op grond van dit Reglement, bijvoorbeeld over privacyvoorschriften en het gebruik van de applicatie.

 

Hoofdstuk 4 Slotbepalingen

In hoofdstuk 4 zijn bepalingen opgenomen over het oude bevolkingsregister, het intrekken van de oude regelingen, de inwerkingtreding en de citeertitel.

 

Naar boven