GBA-beheerregeling 2007 Wetstechnische informatie Gegevens van de regeling Overheidsorganisatie Officiële naam regeling Citeertitel Besloten door Deze versie is geldig tot (als de vervaldatum is vastgesteld) Onderwerp
gemeente Lelystad GBA-beheerregeling 2007 GBA-beheerregeling Lelystad 2007 college van burgemeester en wethouders 16-12-2010
Opmerkingen m.b.t. de regeling Deze regeling vervangt de GBA-beheerregeling Lelystad 2003.
Grondslagen 1. Wet gemeentelijke basisadministratie persoonsgegevens, art. 14
Regelgeving die op deze regeling is gebaseerd (gedelegeerde regelgeving) 1. Geen.
Overzicht van in de tekst verwerkte wijzigingen Datum inwerkingtreding
Terugwerkende kracht
Betreft
Ontstaansbron: Inwerkingtreding: Voorstel datum ondertekening; datum ondertekening; gemeenteraad bron bekendmaking bron bekendmaking
16-12-2010
intrekking
29-9-2007
nieuwe regeling
21-9-2010 Flevopost, 15-122010 18-9-2007 Flevopost, 28-092007
21-9-2010 Flevopost, 15-122010 18-9-2007 Flevopost, 28-092007
Nr. B10-06390 Nr. B07.15809
1
Het College van de gemeente Lelystad, Gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit: De GBA-beheerregeling 2003 in te trekken en Vast te stellen de navolgende GBA-beheerregeling 2007:
Hoofdstuk 1 Algemene bepalingen Artikel 1 In deze regeling wordt verstaan onder: a.
de Wet de Wet gemeentelijke basisadministratie persoonsgegevens (Wet GBA, Stb. 1994, nr. 494, zoals nadien gewijzigd);
b. GBA: gemeentelijke basisadministratie persoonsgegevens als bedoeld in artikel 2 van de wet; c.
kwaliteitssteekproef een controle op de inhoud van gegevenselementen aan de hand van de daaraan ten grondslag liggende brondocumenten en procedures, over een representatief aantal persoonslijsten;
d. brondocumenten: documenten zoals aangeduid in artikel 36 van de Wet die gebruikt worden voor het ontlenen van gegevens die betrekking hebben op de burgerlijke staat; e. foutberichtenverslag: het automatisch door het systeem aangemaakte overzicht van fouten die ontdekt zijn in de over het netwerk binnenkomende berichten; f.
autorisatie: het binnen de GBA toekennen van het niveau van gebruikersmogelijkheden aan een persoon of afdeling of het binnen de GBA toekennen van het niveau van gegevensverstrekking aan bestuursorganen en derden;
g. binnengemeentelijke afnemer: hetgeen daaronder wordt verstaan in artikel 1 van de wet, te weten: elke afnemer die een orgaan is van de gemeente waarvan het college van de gemeente Lelystad de verantwoordelijke is voor de verwerking van persoonsgegevens in de basisadministratie;
2
h. autorisatiebesluit: besluit van het ministerie van Binnenlandse Zaken inzake de GBA autorisatie; i.
netwerkverkeer: een beveiligd netwerk voor het met behulp van telecommunicatie geautomatiseerd verzenden en ontvangen van berichten in verband met de uitvoering van de wet.
Artikel 2 1. Het hoofd van de afdeling Burgerzaken, Belastingen en Leerlingzaken (BBL) is beheerder van de GBA en in die hoedanigheid zowel informatiebeheerder GBA als privacybeheerder; 2. Deze beheertaken kunnen geheel of gedeeltelijk gemandateerd worden aan een of meer aan het afdelingshoofd ondergeschikte ambtenaren; 3. In het Handboek Beveiliging GBA en in de notitie Algemeen Beveiligingsbeleid staat vermeld door welke functionarissen de in de artikelen 4 t/m 28 van deze beheerregeling genoemde taken worden vervuld. Artikel 3 Het hoofd van de afdeling Burgerzaken, Belastingen en Leerlingzaken wijst functionarissen aan die worden belast met: het gegevensbeheer; de gegevensverwerking het applicatiebeheer. Het college van de gemeente Lelystad wijst functionarissen aan die worden belast met: het systeembeheer; het beveiligingsbeheer.
Het informatiebeheer GBA Artikel 4 De informatiebeheerder GBA voorziet in: a. een jaarlijks werkplan waarin o.a. de beheeractiviteiten worden opgenomen; b. een jaarverslag waarin o.a. wordt gerapporteerd aan het college van de gemeente Lelystad over het hiervoor bedoelde werkplan, waarbij tevens inzicht wordt gegeven in de kengetallen van de bijhoudings- en beheerprocedures; c. een jaarlijkse rapportage over de resultaten die voortvloeien uit de in artikel 10 van deze beheerregeling bedoelde kwaliteitssteekproef; d. uitvoering van de driejaarlijkse periodieke audit GBA; e. administratieve beheerprocedures, voor zover hier niet door of bij de Wet in is voorzien; f. periodiek overleg met de gegevensbeheerder, de applicatiebeheerder, de systeembeheerder, de (plaatsvervangend) privacybeheerder en de beveiligingsbeheerder; g. melding aan het college van de gemeente Lelystad en/of de Directeur Diensten en Beheer van inbreuken op de informatiebeveiliging;
3
Artikel 5 De informatiebeheerder GBA adviseert het college van de gemeente Lelystad als verantwoordelijke voor de GBA over de navolgende aspecten die voortvloeien uit de GBA te weten: a. kwaliteit van de vastgelegde gegevens; b. persoonsinformatievoorziening. Artikel 6 De informatiebeheerder GBA beslist over de installatie van nieuwe of gewijzigde versies van de GBA. Artikel 7 De informatiebeheerder GBA ziet er op toe dat: a. de bij of krachtens de Wet opgelegde verplichtingen ten aanzien van inrichting en bijhouding van de GBA worden nageleefd; b. de in deze regeling opgenomen bepalingen worden nageleefd; c. de management samenvatting van de driejaarlijkse periodieke GBA audit ter kennis wordt gebracht van de gemeenteraad; d. dat alle in artikel 3 genoemde functionarissen op de hoogte zijn gesteld van de installatie van nieuwe of gewijzigde versies van de GBA en van de gevolgen van deze installatie; e. onderzoek plaatsvindt naar inbreuken op de informatiebeveiliging en maatregelen worden genomen om herhaling te voorkomen; f. naar aanleiding van ontvangen terugmeldingen, zoals genoemd in artikel 8 sub c van deze beheerregeling, een onderzoek ingesteld wordt conform hetgeen vastgelegd is in de betreffende procedure van het Handboek Beveiliging GBA.
Het gegevensbeheer Artikel 8 De gegevensbeheerder is verantwoordelijk voor: a de juistheid, actualiteit, en betrouwbaarheid van de gegevens die opgenomen zijn of worden in de GBA; b het beheer van documentatie op het gebied van de Wet en overige regelgeving op het gebied van de GBA; c. het verwerken van terugmeldingen gedaan door gebruikers van de GBA, met als doel de integriteit van de gegevens te bewaken en te bevorderen. Iedere gebruiker van de GBA is verplicht eventuele fouten of vermeende afwijkingen te melden bij de informatiebeheerder. De informatiebeheerder draagt de correctie van gegevens over aan de gegevensbeheerder en ziet toe op uitvoering hiervan, zie artikel 7 sub f van deze beheerregeling. Artikel 9 De gegevensbeheerder is bevoegd vanuit de in artikel 8 van deze beheerregeling bedoelde verantwoordelijkheid de gegevensverwerkers aanwijzingen te geven inzake de opname en bijhouding van gegevens in de GBA.
4
Artikel 10 De gegevensbeheerder voorziet in een jaarlijkse kwaliteitssteekproef op het bestand van persoonslijsten van ingeschrevenen.
Het systeembeheer Artikel 11 De systeembeheerder is verantwoordelijk voor het technisch onderhoud van de GBA. Artikel 12 De systeembeheerder voorziet in: a. de fysieke beveiliging van de GBA; b. de technische installatie van gewijzigde of nieuwe versies van de GBA; c. de beschikbaarheid van de GBA overeenkomstig hetgeen daarover intern en met derden is overeengekomen; d. de noodzakelijke uitwijkvoorzieningen; e. een dagelijkse back-up die wordt ondergebracht in een daartoe uitgeruste en beveiligde ruimte op een andere locatie dan de ruimte waarin de GBA apparatuur is opgesteld; f. het transport, de veilige opslag van verwijderbare gegevensdragers alsmede de periodieke vernietiging daarvan; g. de logging in de GBA van de applicatiebeheerder, de systeembeheerder en de externe leverancier van de GBA. Artikel 13 De systeembeheerder is bevoegd: a. Na overleg met de informatiebeheerder maatregelen te treffen als de continuïteit van de GBA of de daarin opgeslagen informatie acuut in het geding is; b. Aanwijzingen te geven over: o beheer van de toepassingssystemen; o beheer van bestanden; o reconstructiemaatregelen.
Het applicatiebeheer Artikel 14 De applicatiebeheerder is verantwoordelijk voor: a. de ondersteuning bij het gebruik van de GBA; b. het tijdig opschonen van de database bestemd voor via het netwerk ontvangen berichten waarvan de cycli zijn afgehandeld; c. de technische afhandeling van de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister van Binnenlandse Zaken en de systematische gegevensverstrekking die plaatsvindt op basis van de verordening GBA of een besluit van het college van de gemeente Lelystad; d. het beheer van de tabellen van de GBA; e. het beheer van de gebruikersdocumentatie.
5
Artikel 15 De applicatiebeheerder is bevoegd gegevensverwerkers en bestuursorganen, die rechtstreeks toegang hebben tot de GBA, aanwijzingen te geven over het gebruik van de GBA. Artikel 16 De applicatiebeheerder voorziet in: a. een planning van periodieke gegevensverstrekking die op basis van autorisatiebesluiten wordt gedaan; b. de communicatie bij storingen in hard- en software; c. een logboek waarin bijzondere gebeurtenissen, problemen en klachten worden bijgehouden; d. de rechtstreekse toegang tot de GBA van hiertoe geautoriseerde binnengemeentelijke afnemers; e. de toekenning van de autorisatieniveaus die aan gegevensverwerkers zijn toegewezen; f. de bijhouding van een verzameling van de autorisaties, die overeenkomstig dit artikel zijn toegekend; g. het testen en evalueren van nieuwe versies van de GBA, alsmede het testen en evalueren van nieuwe apparatuur; h. de beoordeling van de gevolgen van de installatie van nieuwe en of gewijzigde versies van de GBA; i. de bijhouding van een verzameling van alle problemen en klachten, die bij het gebruik van de GBA ontstaan; j. het zo spoedig mogelijk inschakelen van de systeembeheerder of een derde in geval van storing; k. de voorlichting aan de gegevensbewerkers met betrekking tot de gevolgen van een nieuwe of gewijzigde versie van de GBA; l. de coördinatie van de werkzaamheden in geval van uitwijk; m. de vormgeving en inhoud van documenten, die rechtstreeks aan de GBA worden ontleend; n. de afhandeling van verzoeken omtrent managementgegevens; o. maatregelen om de gevolgen van verkeerd uitgevoerde systematische verstrekkingen ongedaan te maken; p. de logging van medewerkers die GBA-gegevens raadplegen en van medewerkers die GBA-gegevens muteren; q. het melden van inbreuken op de informatiebeveiliging aan de informatiebeheerder. Artikel 17 De applicatiebeheerder adviseert de informatiebeheerder over: a. gehele of gedeeltelijke inwerkingtreding van uitwijkprocessen; b. Installatie van nieuwe of gewijzigde versies van de GBA.
6
Het privacybeheer Artikel 18 De privacybeheerder is verantwoordelijk voor: a. de inhoudelijke afhandeling van de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister van Binnenlandse Zaken en de systematische gegevensverstrekking die plaatsvindt op grond van de Verordening GBA of op basis van een besluit van het college; b. het dagelijkse toezicht op de naleving van de privacyvoorschriften die voortvloeien uit de Wet, de Verordening GBA en/of de Wet Bescherming Persoonsgegevens Artikel 19 De privacybeheerder is bevoegd: a. op grond van het in artikel 18 onder b van deze beheerregeling genoemde toezicht, alle gebruikers van de GBA aanwijzingen te geven; b. advies uit te brengen aan het college van de gemeente Lelystad of aan een, door de gemeente aangestelde, functionaris belast met gegevensbescherming, over alle procedures en producten die betrekking hebben op de GBA, waarbij de waarborging voor bescherming van de persoonlijke levenssfeer in het geding is. Artikel 20 De privacybeheerder voorziet in: e a. de afhandeling van de verzoeken overeenkomstig artikel 102, 1 lid van de Wet e b. de afhandeling van de verzoeken overeenkomstig artikel 102, 2 lid van de Wet e c. de jaarlijkse bekendmaking als bedoeld in artikel 102, 5 lid van de Wet; d. de behandeling van alle verzoekschriften die op basis van artikel 79, 103 en 104 van de Wet worden ontvangen Artikel 21 De privacybeheerder is betrokken bij alle bezwaarschriftenprocedures die voortvloeien uit genomen beslissingen op grond van de Wet met daarbij behorende regelingen en de Wet Bescherming Persoonsgegevens voor zover hierbij de bescherming van de persoonlijke levenssfeer van de belanghebbende aan de orde is.
7
De gegevensverwerking Artikel 22 De gegevensverwerker voorziet in: a. het bewerken van de gegevens overeenkomstig de krachtens de wet en aanvullende regelgeving voorgeschreven wijze, voor zover hij/zij daartoe door de applicatiebeheerder is geautoriseerd; b. de behandeling van verzoeken als bedoeld in artikel 80, 81 en 82 van de Wet; c. het doorsturen van bezwaren als bedoeld in artikel 83 en 86 aan het College van de gemeente; d. het verzamelen en archiveren van de daarvoor bestemde brondocumenten; e. de behandeling van het netwerkverkeer, met uitzondering van de periodieke gegevensverstrekking; f. de behandeling van het foutberichtenverslag; g. de toetsing van de waarde die aan overgelegde brondocumenten kan worden toegekend aan de hand van artikel 36 van de Wet; h. de dagelijkse controle van in het systeem aangebrachte actualiseringen; e i. de toezending van de hoofdlijnen van de GBA conform artikel 78, 3 lid van de Wet; j. de kennisgeving aan de geregistreerde voor wat betreft de verwerking van: wijziging van het naamgebruik wijziging van gegevens inzake wijziging van het geslacht k. de toezending van de complete persoonslijst aan de geregistreerde ingeval van een: e 1 inschrijving in de GBA; een vervolginschrijving uit het buitenland. Artikel 23 De gegevensverwerker beslist op aangiften en/of verzoekschriften die op grond van de Wet worden gedaan, voor zover hier niet op andere wijze in is voorzien.
Het beveiligingsbeheer Artikel 24 De beveiligingsbeheerder, ook wel aangeduid als beveiligingsfunctionaris GBA, is verantwoordelijk voor het beheer van het Handboek Beveiliging GBA. Artikel 25 De beveiligingsbeheerder is bevoegd om medewerkers van de afdeling Burgerzaken, Belastingen en Leerlingzaken en van de afdeling Stadswinkel aanwijzingen te geven ten aanzien van beveiligings-voorschriften, die voortvloeien uit de GBA en het beveiligingshandboek GBA. Deze aanwijzingen zijn instructief van aard. Indien aanwijzingen betrekking hebben op leidinggevende aspecten schakelt de beveiligingsbeheerder hiervoor de verantwoordelijk leidinggevende in.
8
Artikel 26 De beveiligingsbeheerder ziet er op toe dat: a. de beveiligingsvoorschriften die voortvloeien uit de Wet en het Handboek Beveiliging GBA worden nageleefd; b. de in deze regeling opgenomen bepalingen inzake beveiliging worden nageleefd; c. overige binnengemeentelijke vastgestelde beveiligingsmaatregelen worden nageleefd. Artikel 27 De beveiligingsbeheerder adviseert het College van de gemeente Lelystad als verantwoordelijke voor de GBA over: a. de beveiligingsaspecten die uit de Wet, het Handboek Beveiliging GBA en overige binnengemeentelijke vastgestelde beveiligingsmaatregelen voortvloeien; b. de fysieke beveiliging in en om ruimten waar hardware ten behoeve van de bijhouding van de GBA aanwezig is. Artikel 28 De beveiligingsbeheerder voorziet in een halfjaarlijks verslag (management rapportage) over de activiteiten inzake het Beveiligingsbeheer.
Slotbepalingen Artikel 29 De in deze regeling opgenomen bepalingen gelden naast de GBA tevens voor het bevroren bevolkingsregister en de in de GBA aangehaakte gegevens die onder de werkingssfeer van de Wet Bescherming Persoonsgegevens vallen. Artikel 30 Deze regeling treedt in werking op de dag na die waarop de regeling is bekend gemaakt. Door de inwerkingtreding van deze regeling vervalt de GBA-beheerregeling Lelystad 2003. Artikel 31 Deze regeling wordt aangehaald als “GBA-beheerregeling Lelystad 2007”.
9
