Beheersregeling GBA gemeente Wijk bij Duurstede Gegevens van de regeling Overheidsorganisatie: Officiële naam regeling: Citeertitel: Vastgesteld door: Onderwerp: Deze versie is geldig tot(als de vervaldatum is vastgesteld):
Gemeente Wijk bij Duurstede Beheersregeling gemeentelijke basisadministratie persoonsgegevens van de gemeente Wijk bij Duurstede Beheersregeling GBA gemeente Wijk bij Duurstede Gemeenteraad Burgerzaken
Wettelijke grondslag(en) of bevoegdheid waarop de regeling is gebaseerd
1. Wet gemeentelijke basisadministratie persoonsgegevens 2. Verordening gemeentelijke basisadministratie persoonsgegevens Datum Terugwerkende inwerkingtreding kracht
Versies van deze regeling
Betreft
Ontstaansbron / Kenmerk Inwerkingtreding: voorstel datum ondertekening; bron bekendmaking 19-10-2004
Beheersregeling GBA Gemeente Wijk bij Duurstede
Gemeente Wijk bij Duurstede Burgemeester en wethouders van de gemeente Wijk bij Duurstede; gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens en de Verordening gemeentelijke basisadministratie persoonsgegevens van Wijk bij Duurstede; besluiten: vast te stellen de navolgende: Beheersregeling gemeentelijke basisadministratie persoonsgegevens van de gemeente Wijk bij Duurstede.
Hoofdstuk 1 1.
Algemene bepalingen
Daar waarin deze regeling de mannelijke persoonsvorm wordt gebruikt dient ook de vrouwelijke persoonsvorm te worden gelezen.
Artikel 1
Begripsbepalingen
Deze regeling verstaat onder: a. de Wet GBA: de Wet gemeentelijke basisadministratie persoonsgegevens; b. verordening GBA: de Verordening gemeentelijke basisadministratie persoonsgegevens; c. GBA: de gemeentelijke basisadministratie persoonsgegevens; d. verantwoordelijke: het college van burgemeester en wethouders; e. beheerder: de functionaris die onder verantwoordelijkheid van de verantwoordelijke belast is met de dagelijkse zorg voor de GBA; f. informatiebeheer: het geheel van activiteiten gericht op beleidsvoorbereiding ter zake de gemeentelijke basisadministratie, de ontwikkeling van kwaliteitsprocedures, beveiligingsprocedures, verstrekkingsprocedures en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures. g. gegevensbeheer: het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het gegevens verzamelen, de gegevensverwerking en de informatievoorziening; h. applicatiebeheer: het geheel van activiteiten gericht op het onderhouden en ondersteunen van het GBAtoepassingssysteem en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening; i. privacybeheer: het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer van de ingeschrevenen bij het gegevens verzamelen, gegevens verwerken en de informatievoorziening; j. beveiligingsbeheer: het geheel van activiteiten gericht op geautoriseerde toegang tot gebouwen, ruimtes, toepassingssystemen en informatie; k. gegevensverwerking: het ontlenen van gegevens aan documenten en deze op een voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opnemen in een gegevensbestand; l. gegevensverwerker: degene die de gegevensverwerking uitvoert; m. ingeschrevene: degene ten aanzien van wie een persoonslijst als bedoeld in artikel 1 van de Wet GBA in de GBA van de gemeente is opgenomen; n. netwerk: het netwerk als bedoeld in artikel 4 van de Wet GBA; o. berichtenverkeer: het verzenden en ontvangen van berichten via het netwerk; p. persoonslijst: het geheel van gegevens als bedoeld in artikel 34, eerste lid, van de wet, over één persoon in de GBA; q. aangehaakte gegevens: de in de GBA opgenomen gegevens die niet behoren tot de persoonslijst; r. bevroren bevolkingsregisters: de registers die zijn ingericht op basis van de Wet op de bevolkings- en verblijfsregisters en het besluit bevolkingsboekhouding en die ingevolge de intrekking van die wet en dat besluit per 1 oktober 1994 niet meer worden bijgehouden; s. afnemer: bestuursorgaan als bedoeld in artikel 1:1, eerste lid van de Algemene wet bestuursrecht; t. binnengemeentelijke afnemer: elke afnemer die een orgaan is van de gemeente. Hieronder valt tevens te verstaan door de verantwoordelijke aangewezen instanties die taken uitoefenen die door het gemeentebestuur zijn opgelegd en/of belast zijn met de uitvoering van publiekrechtelijke taken; u. derde: elke andere persoon, instelling of rechtspersoon dan een afnemer en de ingeschrevene; v. autorisatie: het verlenen van rechtstreekse toegang tot de GBA.
© Versie oktober 2004
- 1 van 10-
Beheersregeling GBA Gemeente Wijk bij Duurstede
Artikel 2
Beheer van de GBA
Het hoofd van de afdeling Publiekszaken is beheerder van de gemeentelijke basisadministratie persoonsgegevens en in die hoedanigheid informatiebeheerder. Deze beheerstaken kunnen geheel of gedeeltelijk ondergemandateerd worden aan een of meer medewerkers van de afdeling Publiekszaken en de backoffice Burgerzaken van de afdeling Welzijn, Onderwijs en Burgerzaken. De plaatsvervangend informatiebeheerder is de clustercoördinator Samenlevingszaken.
Artikel 3
Overige beheerstaken
1.
Burgemeester en wethouders wijzen functionarissen aan die worden belast met: - het systeembeheer; - het beveiligingsbeheer; en voorziet daarbij tevens in diens vervanging.
2.
De beheerder wijst functionarissen aan die worden belast met: - het gegevensbeheer; - het applicatiebeheer; - het privacybeheer; en voorziet daarbij tevens in diens vervanging.
3.
De beheerder wijst medewerkers aan die belast worden met de gegevensverwerking.
Artikel 4
Reikwijdte van de Beheersregeling
De in deze regeling opgenomen bepalingen gelden naast de GBA tevens voor het bevroren bevolkingsregister en de in de GBA aangehaakte gegevens die onder de werkingssfeer van de Wet bescherming persoonsgegevens vallen.
Hoofdstuk 2 Artikel 5
Informatiebeheer
Verantwoordelijkheden
De informatiebeheerder is verantwoordelijk voor: 1. de naleving bij of krachtens de Wet opgelegde verplichtingen ten aanzien van inrichting en bijhouding van de GBA; 2. de naleving van de in deze regeling opgenomen bepalingen; 3. het op de hoogte stellen van alle in artikel 3 genoemde functionarissen van de installatie van nieuwe of gewijzigde versies van het GBA toepassingsysteem en van de gevolgen van deze installatie; 4. de uitvoering van de ‘periodieke GBA-audit’; 5. jaarlijkse evaluatie en rapportage ten aanzien van de eisen uit het (Informatie)Beveiligingsbeleid en de realisatie hiervan, e.e.a. zoals is vastgelegd in het Beveiligings- en Privacy handboek GBA; 6. de communicatie van wijzigingen in het (Informatie)Beveiligingsbeleid en het Beveiligings- en Privacy handboek GBA naar de medewerkers; 7. het beheer van het Beveiligings- en Privacy handboek GBA.
Artikel 6
Bevoegdheden
De informatiebeheerder: 1. adviseert burgemeester en wethouders over de navolgende aspecten die voortvloeien uit de GBA te weten: a. kwaliteit van de gegevens, en: b. persoonsinformatievoorziening. 2. beslist over de installatie van nieuwe of gewijzigde versies van het GBA-toepassingssysteem. 3. kan de bij deze regeling behorende bijlagen wijzigen of aanvullen. De wijziging of aanvulling wordt aan een ieder bekend gemaakt. 4. neemt namens de verantwoordelijke de beslissingen op aangiften en/of verzoekschriften die op grond van de wet worden gedaan, voorzover hier niet op andere wijze in is voorzien.
Artikel 7
Taken
De informatiebeheerder voorziet in: 1. een jaarlijkse planning van de beheersactiviteiten; 2. administratieve beheersprocedures, voorzover hier niet door of bij de Wet in is voorzien; 3. periodiek overleg tussen hem en de gegevens-, de applicatie-, de systeem- en de privacybeheerder;
© Versie oktober 2004
- 2 van 10-
Beheersregeling GBA Gemeente Wijk bij Duurstede
4.
neemt namens de verantwoordelijke deel aan buitengemeentelijk overleg inzake onderwerpen die het beheer van de gemeentelijke basisadministratie aangaan of hij voorziet in zijn vertegenwoordiging.
Hoofdstuk 3 Artikel 8
Gegevensbeheer
Verantwoordelijkheden
De gegevensbeheerder is verantwoordelijk voor: 1. de juistheid, actualiteit en betrouwbaarheid van de gegevens die opgenomen zijn of worden in de GBA, overeenkomstig de Wet GBA en het Logisch Ontwerp; 2. de afhandeling van het netwerkverkeer en de verwerking van de foutverslagen en signaleringen voortvloeiend uit het netwerkverkeer; 3. de toezending van de complete persoonslijst aan de geregistreerde ingeval van een: a. 1e inschrijving in de gemeentelijke basisadministratie persoonsgegevens; b. een vervolginschrijving uit het buitenland; 4. de verzending van een kennisgeving aan de geregistreerde voor wat betreft de verwerking van: a. wijziging van het naamgebruik; b. wijziging van de geheimhouding; c. verbetering van gegevens, na het beroep op het correctierecht; d. de verwijdering van gegevens; e. vervolginschrijving voorzover het betreft een binnengemeentelijke verhuizing en een vervolginschrijving die leidt tot opname in de gemeentelijke basisadministratie persoonsgegevens; 5. de toezending van de hoofdlijnen van de GBA conform artikel 78, 3e lid van de Wet GBA; 6. het minimaal één maal per maand draaien van de controleprogrammatuur. Van de geconstateerde fouten stelt hij de informatiebeheerder in kennis. Hij is voorts verantwoordelijk voor een juiste correctie van deze gesignaleerde fouten; 7. een juiste archivering van verwerkte brondocumenten in de GBA; 8. jaarlijkse beproeving van de mutatiereconstructie en rapportage van de reconstructie, een en ander in overleg met systeembeheer; 9. de afhandeling van terugmeldingen van afnemers en derden; 10. de procedures in het Beveiligings- en Privacy handboek GBA ten aanzien van het gegevensbeheer.
Artikel 9
Bevoegdheden
De gegevensbeheerder is bevoegd: 1. vanuit de in artikel 8 vermelde verantwoordelijkheden en artikel 10 vermelde taken, de gegevensverwerkers aanwijzingen te geven inzake de opname en bijhouding van gegevens in de GBA; 2. de gegevensverwerkers of de applicatiebeheerder aanwijzingen te geven dan wel hem te doen bijstaan in de in artikel 10, lid 7 genoemde controlewerkzaamheden.
Artikel 10
Taken
De gegevensbeheerder: 1. beheert de documentatie op het gebied van de Wet en overige regelgeving op het gebied van de GBA; 2. beslist over de verzoeken van de burger als bedoeld in artikel 80, 81 en 82 van de Wet GBA; 3. beslist over de verzoeken van afnemers en derden om informatie als bedoeld in artikel 98, 99 en 100 van de Wet GBA; 4. beslist over de afhandeling van procedures als bedoeld in artikel 83, 84, 85 en 86 van de Wet GBA; 5. coördineert de onderzoeken naar woon- en/of briefadressen. Deze kan hieromtrent de gegevensverwerkers, die belast zijn met het onderzoek aanwijzingen geven; 6. verzorgt de communicatie met de afnemers en andere verantwoordelijken van gemeentelijke basisadministraties met betrekking tot gegevensvraagstukken; 7. controleert dagelijks de actualiseringen in de GBA; 8. voorziet in een jaarlijkse kwaliteitssteekproef op het bestand met persoonslijsten van ingeschrevenen en de rapportage van deze steekproef; 9. beslist aan de hand van artikel 36 van de Wet GBA over de waarde die aan overlegde brondocumenten kan worden toegekend; 10. voorziet in maatregelen voor reconstructie van mutaties.
© Versie oktober 2004
- 3 van 10-
Beheersregeling GBA Gemeente Wijk bij Duurstede
Hoofdstuk 4 Artikel 11
Systeembeheer
Verantwoordelijkheden
De systeembeheerder is verantwoordelijk voor: 1. de technisch inrichting, het onderhoud en continuïteit van en de ondersteuning bij het gebruik van het toepassingssysteem; 2. de technische installatie van gewijzigde of nieuwe versies van het toepassingssysteem. Installatie van gewijzigde of nieuwe versies van het toepassingssysteem geschiedt niet eerder, dan dat daartoe instemming is verkregen van de applicatiebeheerder. Na verkregen instemming geschiedt de installatie zo spoedig mogelijk. Van stagnaties bij het installatieproces stelt de systeembeheerder de informatiebeheerder direct op de hoogte; 3. de fysieke beveiliging van het toepassingssysteem; 4. een zo optimaal mogelijk gebruik van de toegangsbeveiligingen tot het toepassingssysteem; 5. een beschikbaarheid van het toepassingssysteem overeenkomstig de daarover gemaakte afspraken; 6. een zo spoedig mogelijke oplossing van storingen binnen het toepassingssysteem en schakelt eventueel een derde in; 7. jaarlijkse beproeving van de back-upvoorziening (restore) en rapportage van de beproeving, een en ander in overleg met gegevensbeheer; 8. jaarlijkse beproeving van de uitwijkvoorziening en rapportage van de beproeving; 9. de procedures in het Beveiligings- en Privacy handboek GBA ten aanzien van het systeembeheer (technisch beheer).
Artikel 12
Bevoegdheden
De systeembeheerder is bevoegd: 1. aanwijzingen te geven omtrent het gebruik van het informatiesysteem; 2. in overleg met de informatiebeheerder maatregelen te treffen als de continuïteit van het toepassingssysteem of de daarin opgeslagen informatie acuut in het geding is, om aanwijzingen te geven over: a. beheer toepassingssystemen; b. beheer van bestanden; c. productiewerkzaamheden; d. reconstructiemaatregelen. 3. direct maatregelen te treffen als de continuïteit van het toepassingssysteem of de daarin opgeslagen informatie acuut in het geding is, mits achteraf rapportage plaatsvindt aan de informatiebeheerder; 4. de informatiebeheerder te adviseren over gehele of gedeeltelijke inwerkingtreding van uitwijkprocessen.
Artikel 13
Taken
De systeembeheerder voorziet in: 1. de fysieke beveiliging van het toepassingssysteem; 2. de beschikbaarheid van het toepassingssysteem overeenkomstig hetgeen daarover intern en met derden is overeengekomen; 3. een uitwijkvoorziening; 4. het transport en een beveiligde opslag van verwijderbare gegevensdragers, evenals een deugdelijke vernietiging van onbruikbare gegevensdragers; 5. logging in het toepassingssysteem voor handelingen van de medewerkers, de gegevensbeheerder, de applicatiebeheerder, systeembeheerder en de leverancier van het toepassingssysteem; 6. een dagelijkse back-up van alle GBA-bestanden die wordt ondergebracht in een daartoe uitgeruste en beveiligde ruimte op een andere locatie dan de ruimte waarin de GBA apparatuur is opgesteld; 7. een logische toegangsbeveiliging voor interne en externe datacommunicatie.
Hoofdstuk 5 Artikel 14
Applicatiebeheer
Verantwoordelijkheden
De applicatiebeheerder is verantwoordelijk voor: 1. de vormgeving en inhoud van documenten, die rechtstreeks aan de gemeentelijke basisadministratie worden ontleend; 2. de afhandeling van verzoeken omtrent statistische gegevens, voorzover deze niet tot een persoon zijn te herleiden; 3. de afhandeling van de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de minister. Van bijzondere gebeurtenissen houdt de applicatiebeheerder een logboek bij en legt periodiek verantwoording af over de verzendingen via alternatieve media;
© Versie oktober 2004
- 4 van 10-
Beheersregeling GBA Gemeente Wijk bij Duurstede
4. 5.
het beheer van de verzameling van de autorisaties die zijn toegekend voor gegevensverstrekking en rechtstreekse toegang en legt periodiek verantwoording af over de actualiteit; de procedures in het Beveiligings- en Privacy handboek GBA ten aanzien van het applicatiebeheer.
Artikel 15
Bevoegdheden
De applicatiebeheerder is bevoegd: 1. gegevensverwerkers en allen die rechtstreeks toegang hebben tot de GBA aanwijzingen te geven over het gebruik van het toepassingssysteem; 2. kan één of meerdere medewerkers van de afdeling Burgerzaken aanwijzen die hem bijstaan in de werkzaamheden die voortvloeien uit de taak genoemd in artikel 16 lid 5; 3. de informatiebeheerder te adviseren over gehele of gedeeltelijke inwerkingtreding van uitwijkprocessen.
Artikel 16
Taken
De applicatiebeheerder: 1. geeft ondersteuning bij het gebruik van het toepassingssysteem; 2. kent in overleg met de privacybeheerder aan binnengemeentelijke afnemers de autorisatie van rechtstreekse toegang tot de GBA toe; 3. kent in overleg met de informatiebeheerder de autorisatieniveaus toe aan de gegevensverwerkers, de gegevensbeheerder, de privacybeheerder en de informatiebeheerder; 4. test en evalueert de nieuwe versies van het toepassingssysteem, alsmede het testen en evalueren van nieuwe apparatuur; 5. beoordeelt de gevolgen van de installatie van nieuwe en of gewijzigde versies van het toepassingssysteem en geeft hierover voorlichting aan de gegevensverwerkers; 6. stelt overeenkomstig de voorschriften die krachtens de Wet GBA zijn gesteld, de minister in kennis van de installatie van gewijzigde of nieuwe versies van het toepassingssysteem, een afschrift van de kennisgeving wordt gearchiveerd; 7. verzamelt alle problemen en klachten, die bij het gebruik van het toepassingssysteem ontstaan en zorgt, door inschakeling van andere beheerders of een derde, voor een oplossing; 8. beheert de tabellen van de GBA; 9. beheert de gebruikersdocumentatie; 10. stelt een planning op van periodieke gegevensverstrekking die op basis van autorisatiebesluiten worden gedaan en voert deze uit; 11. coördineert de communicatie bij storingen in hard- en software; 12. neemt deel aan het externe gebruikersoverleg; 13. verzorgt de afhandeling van verzoeken om managementgegevens.
Hoofdstuk 6 Artikel 17
Privacybeheer
Verantwoordelijkheden
De privacybeheerder is verantwoordelijk voor: 1. controle op de naleving van regels ten aanzien van de bescherming van de privacy; 2. periodieke controle op het gebruik en toegang tot de GBA-gegevens en rapportage van deze controles; 3. de inhoudelijke afhandeling van de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister van Binnenlandse Zaken c.a. en de systematische gegevensverstrekking die plaatsvindt op grond van het gemeentelijke privacyreglement of op basis van een besluit van het gemeentebestuur; 4. het ongedaan maken van verkeerd uitgevoerde systematische verstrekkingen; 5. de procedures in het Beveiligings- en Privacy handboek GBA ten aanzien van de privacybescherming.
Artikel 18
Bevoegdheden
De privacybeheerder is bevoegd: 1. op grond van het in artikel 19, lid 1, genoemde taak alle gebruikers van het toepassingssysteem aanwijzingen te geven; 2. beleidsregels op te stellen over alle procedures en producten die betrekking hebben op de GBA, waarbij de waarborging voor bescherming van de persoonlijke levenssfeer in het geding is.
Artikel 19
Taken
De privacybeheerder: 1. heeft het dagelijkse toezicht op de naleving van de privacyvoorschriften die voortvloeien uit de Wet GBA, alsmede de Wet Bescherming persoonsgegevens en het gemeentelijke beleid;
© Versie oktober 2004
- 5 van 10-
Beheersregeling GBA Gemeente Wijk bij Duurstede
2. 3. 4. 5. 6.
beoordeelt privacyaspecten van binnengemeentelijke afnemers die een verzoek doen tot rechtstreekse toegang tot de GBA; voorziet in de afhandeling van de verzoeken overeenkomstig artikel 102, 1e, en 2e lid van de Wet GBA; voorziet in een jaarlijkse bekendmaking als bedoeld in artikel 102, 5e lid van de Wet GBA; behandelt alle verzoekschriften die op basis van artikel 79, 103 en 104 van de Wet GBA worden ontvangen; is betrokken bij, het bij of krachtens de wet gestelde en alle bezwaarschriftenprocedures, die voortvloeien uit genomen beslissingen op grond van de wet met daarbij behorende regelingen en de Wet Bescherming persoonsgegevens, voorzover hierbij privacyaspecten aan de orde zijn.
Hoofdstuk 7 Artikel 20
Beveiligingsbeheer
Verantwoordelijkheden
De beveiligingsbeheerder is verantwoordelijk voor: 1. de procedures in het Beveiligings- en Privacy handboek GBA ten aanzien van de beveiliging.
Artikel 21
Bevoegdheden
De beveiligingsbeheerder is bevoegd: 1. medewerkers van de afdeling Burgerzaken aanwijzingen te geven ten aanzien van beveiligingsvoorschriften, die voortvloeien uit de Wet GBA en het beveiligingshandboek GBA; 2. beleidsregels op te stellen over de beveiligingsaspecten die uit de Wet GBA en het beveiligingshandboek GBA voortvloeien.
Artikel 22
Taken
De beveiligingsbeheerder ziet toe op de naleving van: 1. beveiligingsvoorschriften die voortvloeien uit de Wet GBA en het beveiligingshandboek GBA; 2. de in deze regeling opgenomen bepalingen inzake beveiliging.
Hoofdstuk 8 Artikel 23 1. 2.
Overige bepalingen
Slotbepalingen
Deze regeling treedt in werking op de dag na publicatie. Deze regeling wordt aangehaald als “Beheersregeling GBA gemeente Wijk bij Duurstede”. Aldus vastgesteld door het college van Burgemeester en Wethouders van de gemeente Wijk bij Duurstede op 19 oktober 2004 Secretaris, J.W. Wijnands
© Versie oktober 2004
- 6 van 10-
Burgemeester, G.K. Swillens
Beheersregeling GBA Gemeente Wijk bij Duurstede
Toelichting concept Beheersregeling GBA Inleiding Ingevolge de wet GBA artikel 14 is iedere gemeente verplicht een beheersregeling voor de GBA te hebben. Tot nu toe was de behoefte aan een dergelijke beheersregeling niet erg groot. De GBA-audit, die is opgesplitst in een inhoudelijk, een procesmatig en een privacy deel, heeft de behoefte aan een beheersregeling groter gemaakt. Om in de behoefte te voorzien is een concept beheersregeling gemaakt, deze moet getoetst worden aan de plaatselijke situatie. Het is n.l. niet denkbeeldig dat in de gemeente bepaalde functies anders zijn samengesteld of taken, bevoegdheden en verantwoordelijkheden anders zijn toebedeeld. In een beheersregeling worden niet alleen de taken, verantwoordelijkheden en bevoegdheden van gegevensbeheerder, privacybeheerder, systeembeheerder, beveiligingsbeheerder en informatiebeheerder vastgelegd. De begrenzing van deze onderdelen wordt ook bepaald. De beheersregeling vervult daarom als het ware een spilfunctie binnen het procesmatige deel van de GBA-audit. Dit houdt echter geenszins in dat het overleggen van een beheersregeling garant staat voor een succesvolle uitkomst van de procesmatige audit. Het is beslist af te raden om deze beheersregeling één op één over te nemen omdat u dan bij de audit alsnog in de problemen kunt raken. Dit concept moet worden gezien als een startpunt bij het vaststellen van de processen rondom de GBA. De GBA-beheersregeling is regelend, maar ook voorwaardenscheppend en heeft hierdoor ook een - wettelijk voorgeschreven - openbaar karakter. De geregistreerde (ingeschrevene in de GBA, dus: de burger) verkrijgt, door de GBA-beheersregeling, een inzicht en rechtszekerheid over de wijze waarop het College van B&W met zijn of haar gegevens omgaat. Voor elk hoofdstuk van de beheersregeling zijn een beperkte checklist, aanwijzingen en verwijzingen toegevoegd, waarin wordt aangegeven welke documenten en acties noodzakelijk zijn om aan het gestelde in dat hoofdstuk te kunnen voldoen. Daarnaast wordt de relatie tussen de beheersregeling, het Logisch Ontwerp en de vragenlijst, behorende bij het procesmatige en privacy deel van de GBA audit, aangegeven.
Checklist, aanwijzingen en verwijzingen Hoofdstuk 1 ALGEMENE BEPALINGEN artikel 1 t/m 4: In artikel 1 wordt een opsomming gegeven van alle gebruikte termen en afkortingen. Artikel 2 benoemt de beheerder van de GBA en diens plaatsvervanger. Artikel 3 regelt de benoemingen en wie de plaatsvervanger is. Ga na of de terminologie in deze artikelen ook in uw organisatie wordt gebruikt en pas zonodig één en ander aan. Ga na of de in artikel 1 genoemde onderdelen wel bij u worden uitgevoerd en bepaal of je dat in de toekomst ook wilt gaan doen. Controleer of er van de vermelde functies functiebeschrijvingen of functietyperingen bestaan. Ga na of deze functiebeschrijvingen of typeringen overeenstemmen met de artikelen in dit hoofdstuk. Wanneer 2 en 3 niet van toepassing zijn moeten beschrijvingen/typeringen worden gemaakt of aangepast. Door de betreffende functiebeschrijvingen/typeringen bij deze regeling te voegen wordt duidelijk gemaakt hoe aan de opdracht van artikel 3 invulling is gegeven. Bij het vaststellen van functieprofielen en de aanwijzing van de genoemde functionarissen moet rekening gehouden worden met het aanbrengen van functiescheidingen. In deze regeling is een voorziening opgenomen die aanwijzing van de benodigde functionarissen mandateert aan de informatiebeheerder (hoofd van de afdeling Burgerzaken). Is dat bij u ook zo?? Met dit hoofdstuk voldoet u voor een deel aan wat In L.O. 7.4 wordt gesteld.
Hoofdstuk 2 HET INFORMATIEBEHEER artikel 5 t/m 7: Het informatiebeheer richt zich voornamelijk op de algehele afstemming van alle activiteiten die zich in het verzamel-, verwerkings- en verstrekkingsproces afspelen, alsmede de beheersing daarvan. Daarnaast worden vanuit deze beheersfunctie de gemeentelijke bestuursorganen voorzien van beleidsadviezen op het gebied van de
© Versie oktober 2004
- 7 van 10-
Beheersregeling GBA Gemeente Wijk bij Duurstede
gemeentelijke basisadministratie van persoonsgegevens. Bij deze activiteiten is het binnen de functie van belang, dat er telkens een juist evenwicht wordt gezocht en gevonden tussen de twee hoofddoelstellingen die de gemeentelijke basisadministratie heeft, t.w. enerzijds een effectieve en efficiënte informatievoorziening en anderzijds de bescherming van de persoonlijke levenssfeer van de individuele burger. De artikelen 5 t/m 7 regelen de verantwoordelijkheid, de bevoegdheden en de taken (VBT’S) van de informatiebeheerder. Deze VBT’s zijn uiteraard opgenomen in de functiebeschrijving van de functionaris. De in artikel 5 lid 5 en volgende artikelen genoemde gemeentelijk procedure handboek, is een handboek waarin alle procedures zijn opgenomen die om welke reden dan ook betrekking hebben op de GBA. De regie van dit handboek ligt bij de informatiebeheerder. De inhoudelijke juistheid is belegd bij andere beheerders en is ook als zodanig aangegeven. De in artikel 6 genoemde persoonsinformatievoorziening houdt eveneens het privacybeleid in. Voor de te nemen maatregelen dient de informatiebeheerder de gehele vragenlijst GBA-procesaudit te controleren. Dit kan het beste in overleg met gegevensbeheer, systeembeheer, applicatiebeheer, privacybeheer en beveiligingsbeheer. Artik 7 geeft de informatiebeheerder (het hoofd van de afdeling) bepaalde verplichtingen. Mede door het opstellen van jaarverslagen, voortgangsrapportage, het vastleggen van procedures, het houden van overleg en het vastleggen van bepaalde ad-hoc beslissingen kan aan deze verplichtingen worden voldaan. De maatregelen, die in ad3 ) en ad 8) van diezelfde vragenlijst worden genoemd, moeten dagelijks door de gegevensverwerkers worden uitgevoerd. Zij zouden dus vooraf geïnformeerd moeten worden. Verwijzing L.O.: 7.4, beheer (informatiebeheer, personeel, schouwing en toetsing en testbestand)
Hoofdstuk 3 HET GEGEVENSBEHEER artikel 8 t/m 10: De activiteiten binnen deze beheersfunctie zijn met name gericht op de juistheid, volledigheid, tijdigheid en betrouwbaarheid van de gegevens in de gemeentelijke basisadministratie. Deze artikelen regelen de TBV’s van de gegevensbeheerder over de inhoud van de GBA en de verantwoordelijkheid voor de documentatie rond de GBA. Deze TBV’s zijn opgenomen in de functiebeschrijving van de functionaris. Artikel 10 lid 5 geeft de opdracht tot een periodieke kwaliteitssteekproef. In deze tekst is gekozen voor een jaarlijkse steekproef. Controle van te nemen maatregelen voor gegevensbeheerder, zie vragenlijst GBA-audit ad 3) 4) en 8)
Hoofdstuk 4 HET SYSTEEMBEHEER artikel 11 t/m 13: Het systeembeheer draagt zorg voor het technisch onderhoud en ondersteuning van het computersysteem waar de GBA-toepassing op werkt. De systeembeheerder heeft onder meer tot taak het beschikbaar stellen en bruikbaar houden van het computersysteem, systeemprogramma's en de aangesloten werkstations en randapparatuur. Over de beschikbaarheid van deze middelen zal de informatiebeheerder bindende afspraken maken met de systeembeheerder. Overigens is de systeembeheerder wel bevoegd af te wijken van deze afspraken, indien er sprake is van een direct gevaar voor de opgeslagen informatie in het systeem. De artikelen 11 t/m 13 regelen het systeembeheer. Veelal wordt het systeembeheer uitgevoerd op een andere afdeling dan Burgerzaken. Het is voor een goede uitvoering van de taak daarom noodzakelijk dat de informatiebeheerder (het hoofd van de afdeling Burgerzaken) zich ervan verzekert dat taken van het systeembeheer zoals de technische ondersteuning, beveiliging, continuïteit, wijzigingen, uitwijk, back-up goed worden uitgevoerd en zijn beschreven. Verwijzing naar L.O.: 7.2: beschikbaarheid en responstijden Verwijzing naar L.O.: 7.4: continuïteit, betrouwbaarheid en beheer Controle van te nemen maatregelen door systeembeheer, zie vragenlijst GBA-audit ad 1) 2) 3) 4) 5) 8) en 9)
Hoofdstuk 5 HET APPLICATIEBEHEER artikel 14 t/m 16: De activiteiten binnen de beheersfunctie zijn terug te brengen tot het onderhouden en ondersteunen van het GBA-toepassingssysteem. Het bijzondere karakter van deze beheersfunctie bestaat uit het feit, dat de activiteiten ervoor zorgen dat, wat mag, via de toepassing geschiedt en dat wat niet mag door de toepassing wordt geblokkeerd. Dus enerzijds zorgen de maatregelen voor continuïteit en anderzijds voor veiligheid, c.q. beveiliging.
© Versie oktober 2004
- 8 van 10-
Beheersregeling GBA Gemeente Wijk bij Duurstede
Een andere belangrijke deelfunctie is terug te vinden in de zorg voor de inhoud en vormgeving van documenten en producten die rechtstreeks uit de gemeentelijke basisadministratie - door toepassing van de programmatuur worden ontleend. Het uitgangspunt bij de vervaardiging van producten binnen de sectie Burgerzaken is namelijk, dat hiervoor in eerste aanleg het GBA-toepassingssysteem wordt gebruikt. Het versiebeheer is weer een andere deelfunctie binnen het applicatiebeheer. Al eerder is aangehaald, dat de toepassing moet doen wat van haar wordt verwacht, zeker als je van de toepassing verwacht dat zij interactief op het netwerk communiceert met andere toepassingen. Binnen het applicatiebeheer wordt er dan ook op toegezien, dat de gemeentelijke basisadministratie wordt gehouden middels de juiste versie van de toepassingsprogrammatuur. Daarnaast worden vanuit deze taak ook alle overige gebruikers binnen de sectie en de gemeente voorzien van informatie rondom de installatie van een nieuwe of gewijzigde versie van de toepassingsprogrammatuur. Daarnaast worden vanuit deze taak ook alle overige gebruikers binnen de sectie en de gemeentelijke organisatie voorzien van informatie rondom de installatie van een nieuwe of gewijzigde versie van de toepassingsprogrammatuur. Want, zouden de gebruikers deze kennis ontberen, dan is de “kwaliteit” ver te zoeken en zijn de gevolgen vaak niet meer te overzien. Een ander belangrijk aspect is het tabellenbeheer. Hierbij dient onderscheid te worden gemaakt in landelijke tabellen en gemeentelijke tabellen. De landelijke tabellen worden door middel van berichtenverkeer vaker geactualiseerd. De gemeentelijke tabellen vallen onder verantwoordelijkheid van de applicatiebeheerder. Deze moet er voor zorgdragen dat zij actueel zijn. Aan de applicatiebeheerder kunnen bepaalde bevoegdheden worden toegewezen zoals deze in artikel 15 zijn opgenomen, deze bevoegdheden zijn afhankelijk van de interne organisatie en de mate waarin bevoegdheden zijn opgenomen in de functiebeschrijving van de applicatiebeheerder. Dit artikel regelt ook de adviserende rol (aan het afdelingshoofd) in het geval van uitwijk. Artikel 16 geeft een opsomming van taken die direct voortvloeien uit wet- en regelgeving, welke kunnen worden opgedragen aan de applicatiebeheerder. Vertegenwoordiging in een overleg met externe (mede-)gebruikers is geregeld in artikel 16 lid 14. In dit model is uitgegaan van een systeem waarbij functies beperkt zijn omschreven. In ieder geval zal bekeken moeten worden hoe invulling gegeven wordt aan de taken van het applicatiebeheer. Verwijzing naar L.O.: 7,4 beheer. Controle van te nemen maatregelen door applicatiebeheerder zie vragenlijst GBA-audit ad 3) 4 ) 7) 8) en 10)
Hoofdstuk 6 HET PRIVACYBEHEER artikel 17 t/m 19 In het privacybeheer zijn de maatregelen opgenomen die voorzien in een naleving van de privacyvoorschriften die bij Wet GBA, Wet Bescherming Persoonsgegevens (WBP), en gemeentelijke verordening persoonsregistraties zijn gesteld. Deze beheersfunctie heeft een speciaal karakter ten opzichte van de andere functies, omdat hij zich in tegenstelling tot de andere functies niet bezighoudt met maatregelen gericht op de doelstelling van een “effectieve en efficiënte informatievoorziening”, maar zich richt op de andere doelstelling uit de GBA de bescherming van de persoonlijke levenssfeer. Alhoewel deze doelstellingen elkaar binnen het GBA-stelsel niet bijten, eerder elkaar aanvullen, is het privacybeheer aan een aparte functionaris toegewezen. De privacybeheerder dient vanuit zijn functioneren geen direct belang te hebben bij de informatievoorziening uit de GBA. Vanuit zijn taak als privacybeheerder, waarbij de functionaris toe ziet op de naleving van de voorschriften die de bescherming van de persoonlijke levenssfeer moeten waarborgen, zal deze functionaris tevens mede betrokken worden bij de behandeling van enkele bezwaarschriften van de burger. Het gaat hier onder meer om ingediende bezwaarschriften omtrent weigering van gegevensverstrekking uit de GBA en het weigeren van verzoeken om geheimhouding van gegevens. Grootste zorg binnen de functie van het privacybeheer gaat uit naar de toepassing van de privacyvoorschriften. Het gaat hierbij of verstrekking mag geschieden en/of protocollering van de verstrekking op correcte wijze verloopt. Voor toezicht is het noodzakelijk dat er regels rond de waarborging van de privacy in de gemeente zijn vastgesteld. De verstrekkingen aan binnengemeentelijke afnemers en vrije derden moeten geregeld zijn. Artikel 17 bepaalt dat de privacybeheerder inhoudelijk verantwoordelijk is voor het toezicht op de (inhoud van) gegevensverstrekkingen vanuit de personenadministratie. Het betreft zowel de systematische verstrekkingen (via het GBA-systeem) als de ad-hoc verstrekkingen (bijvoorbeeld via uittreksels). Artikel 18 bepaalt de bevoegdheid tot het geven aanwijzingen en advies. Artikel 19 formuleert de opdracht aan de privacybeheerder inzake de afhandeling van verzoeken om geheimhouding van gegevens alsmede de afhandeling van verzoeken van de burger om inzage in de geregistreerde gegevens, verstrekte gegevens (protocollering) en gegevensverwerking.
© Versie oktober 2004
- 9 van 10-
Beheersregeling GBA Gemeente Wijk bij Duurstede
Artikel 19 lid 6 regelt de betrokkenheid van de privacybeheerder inzake beslissingen waarbij privacyaspecten een rol spelen. Controle van de door de privacybeheerder te nemen maatregelen zie vragenlijst GBA-audit ad 3) 4) 7) 8) 10) en 11) (vragen 1 t/m 9 van de privacy audit / brief BPR200/U95610/10-11-2000)
Hoofdstuk 7 HET BEVEILIGINGSBEHEER artikel 20 t/m 22: De beveiligingsmaatregelen binnen de verschillende onderdelen van het GBA-systeem zullen met elkaar in evenwicht moeten zijn en tegen de volgende bedreigingen gericht moeten zijn: - inzage van GBA-gegevens door onbevoegden; - wijziging van GBA-gegegevens door onbevoegden - moedwillige handelingen (sabotage, acties) om de goede werking van de GBA te verstoren. Daarbij zullen zowel preventieve als correctieve maatregelen (gericht op het beperken van gevolgen) genomen moeten worden. De beveiligingsmaatregelen voor de GBA zijn vereist met het oog op de bescherming van de persoonlijke levenssfeer (privacy). Het in deze artikelen genoemde beveiligingshandboek GBA is een handboek, waarin de technische en organisatorische aspecten rond de beveiliging van GBA zijn beschreven en eventueel vastgelegd in procedures. Verwijzing naar L.O. 7.3: Beveiliging. Verwijzing naar artikel 51 en 53 Besluit GBA. Verwijzing naar de gangbare beveiligingsnormen in het "Besluit Voorschrift Informatiebeveiliging Rijksdienst" (VIR), de Code Informatievoorziening en het rapport Beveiliging van persoonsregistraties van de Registratiekamer. Controle van de door de beveiligingsbeheerder te nemen maatregelen zie vragenlijst GBA-audit ad 6) 7) 8) en 9)
© Versie oktober 2004
- 10 van 10-