Het college van burgemeester en wethouders van de gemeente Oegstgeest
overwegende, dat het noodzakelijk is de hoofdlijnen van het beheer voor het distributiebestand van persoonsgegevens (Key2DDS) in een regeling vast te leggen;
gelet op:
-
-
de Algemene verordening gegevensbescherming (AVG);
-
-
de Wet basisregistratie personen (wet BRP);
-
-
Strategisch Regionaal Informatiebeveiligingsbeleid.
besluit vast te stellen:
Regeling beheer voor het distributiebestand van persoonsgegevens (Key2DDs)
Paragraaf 1 Algemene bepalingen
Artikel 1
In deze regeling wordt verstaan onder:
-
-
autorisatiebesluit: besluit als bedoeld in artikel 3.2 of artikel 3.3 van de wet BRP ;
-
-
AVG: Algemene verordening gegevensbescherming;
-
-
basisregistratie: basisregistratie personen, bedoeld in artikel 1.2 van de wet BRP;
-
-
beheerder: functionaris die namens de verantwoordelijke is belast met de dagelijkse zorg voor het distributiebestand van persoonsgegevens (Key2DDS) en het beheer van het autorisatiebesluit voor organisatieonderdelen van de gemeente;
-
-
beveiligingsbeheer: geheel van activiteiten gericht op het toezicht op de naleving van de maatregelen en procedures die voortkomen uit de Baseline Informatiebeveiliging Overheid (BIO);
-
-
BRP: Basisregistratie personen;
-
-
centrale voorziening: landelijk toepassingssysteem waarmee door de Minister uitvoering wordt gegeven aan de wet BRP;
-
-
functioneel beheer: geheel van activiteiten gericht op het beheer van het distributiebestand van persoonsgegevens;
-
-
gegevensbeheer: geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende de gegevensverwerking en de informatievoorziening van het distributiebestand van persoonsgegevens;
-
-
informatiebeheer: geheel van activiteiten gericht op de ontwikkeling van kwaliteitsprocedures, beveiligingsprocedures, verstrekking- en privacyprocedures;
-
-
privacybeheer: geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer bij het verwerken van persoonsgegevens in het distributiebestand van persoonsgegevens;
-
-
verantwoordelijke: het college van burgemeester en wethouders;
Artikel 2
-
1.
De Chief Information Officer (CIO) is beheerder van het distributiebestand van persoonsgegevens (Key2DDS) en in die hoedanigheid informatiebeheerder.
-
2.
De Chief Information Officer (CIO) kan de taken en bevoegdheden van informatiebeheer geheel of gedeeltelijk mandateren aan één of meer ambtenaren.
Artikel 3
-
1.
De informatiebeheerder wijst functionarissen aan die worden belast met:
-
2.
Het beveiligingsbeheer wordt uitgevoerd door de Information Security Officers en het privacybeheer door de Privacy Officers.
Paragraaf 2 Informatiebeheer (Key2DDS)
Artikel 4
De informatiebeheerder is verantwoordelijk voor:
-
a.
administratieve beheerprocedures, voor zover hier niet bij wet in is voorzien;
-
b.
periodiek overleg met informatiebeheer BRP, beveiligingsbeheer en privacybeheer, gegevensbeheer en functioneel beheer;
-
c.
melding aan de verantwoordelijke van inbreuken op de informatiebeveiliging.
Artikel 5
De informatiebeheerder adviseert de verantwoordelijke over de navolgende aspecten:
-
a.
kwaliteit van de gegevens;
-
b.
persoonsinformatievoorziening;
-
c.
privacy en informatiebeveiliging van het distributiebestand van persoonsgegevens.
Artikel 6
De informatiebeheerder beslist:
-
a.
over de installatie van nieuwe of gewijzigde versies van de gemeentelijke voorziening;
-
b.
op verzoeken van organisatieonderdelen van de gemeente tot rechtstreekse toegang tot het distributiebestand en de centrale voorziening als bedoeld in artikel 3.2 of artikel 3.3 van de wet BRP;
-
c.
op verzoeken van organisatieonderdelen van de gemeente tot het systematisch verkrijgen van gegevens uit het distributiebestand van persoonsgegevens;
-
d.
over het toekennen van autorisaties met betrekking tot het bepaalde onder b, c .
Artikel 7
De informatiebeheerder ziet erop toe dat:
-
a.
de bij of krachtens de wet en regelgeving opgelegde verplichtingen ten aanzien van inrichting en het bijhouden, alsmede de beveiliging van het distributiebestand worden nageleefd;
-
b.
de in deze regeling opgenomen bepalingen worden nageleefd;
-
c.
de behandeling en afhandeling van verzoeken om gegevensverstrekking als genoemd in artikel 6 geschiedt volgens de bepalingen uit de wet BRP, de verordening gegevensverstrekking, het Privacyreglement BRP en aangehaakte gegevens, het autorisatiebesluit van de Rijksdienst voor identiteitsgegevens en de AVG;
-
d.
onderzoek plaatsvindt naar inbreuken op de informatiebeveiliging en zo nodig maatregelen worden getroffen om herhaling te voorkomen.
Paragraaf 3 Beveiligingsbeheer (Key2DDS)
Artikel 8
De beveiligingsbeheerder is verantwoordelijk voor:
-
a.
het toezicht op de naleving van maatregelen en procedures voortkomend uit de Baseline Informatiebeveiliging Overheid (BIO)
Artikel 9
De beveiligingsbeheerder:
-
a.
ondersteunt en adviseert de informatiebeheerder op het gebied van informatiebeveiliging;
-
b.
onderkent en reageert op incidenten en adviseert over de maatregelen die nodig zijn om de gevolgen van een incident te beperken en om herhaling te voorkomen;
-
c.
neemt deel aan het overleg, bedoeld in artikel 4, onder b.
Paragraaf 4 Privacybeheer (Key2DDS)
Artikel 10
De privacybeheerder is verantwoordelijk voor:
-
a.
het toezicht op de naleving van de privacyvoorschriften t.a.v. het distributiebestand voortvloeiende uit de AVG;
-
b.
behandeling van alle verzoekschriften als bedoeld in de artikel 15 AVG;
-
c.
behandeling van aanvragen van organisatieonderdelen van de gemeente om persoonsgegevens en om toegang te verkrijgen tot het distributiebestand voor persoonsgegevens en of de centrale voorziening als bedoeld in artikel 3.8, 3.2 of artikel 3.3 van de wet BRP.
Artikel 11
De privacybeheerder geeft gevraagd en ongevraagd advies over alle procedures en producten die betrekking hebben op het distributiebestand waarbij de waarborging van bescherming van de persoonlijke levenssfeer in het geding is.
Artikel 12
De privacybeheerder is betrokken bij alle bezwaar- en beroepsprocedures die voortvloeien uit genomen beslissingen op grond van de AVG, voor zover de bescherming van de persoonlijke levenssfeer van een belanghebbende in het geding is.
Artikel 13
De privacybeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder b.
Paragraaf 5 Gegevensbeheer (Key2DDS)
Artikel 14
-
1.
De gegevensbeheerder is verantwoordelijk voor:
-
a.
de juistheid, de volledigheid, de actualiteit, de nauwkeurigheid en de betrouwbaarheid van de gegevens die opgenomen zijn of opgenomen worden in het distributiebestand van persoonsgegevens;
-
b.
Voert controlewerkzaamheden uit ter waarborging van de kwaliteit van het distributiebestand van persoonsgegevens;
Artikel 15
De gegevensbeheerder neemt deel aan het overleg, bedoeld in artikel 4,onder b.
Paragraaf 6 Functioneel beheer (Key2DDS)
Artikel 16
De functioneel beheerder is verantwoordelijk voor de technische afhandeling van de systematische gegevensverstrekking die plaatsvindt op basis van een besluit van de verantwoordelijke krachtens de regeling;
Artikel 17
De functioneel beheerder voorziet in:
-
a.
communicatie met de gebruikers en leveranciers bij storingen in software;
-
b.
maatregelen om de gevolgen van verkeerd uitgevoerde systematische verstrekkingen ongedaan te maken;
-
c.
het bijhouden van een logboek waarin problemen, klachten en andere bijzondere gebeurtenissen worden bijgehouden;
-
d.
de toegang tot Key2DDS en of de centrale voorziening van hiertoe bevoegde organisatieonderdelen van de gemeente;
-
e.
het faciliteren en vastleggen van de autorisatieniveaus die aan overheidsorganen die een orgaan zijn van de gemeente en of via een besluit van de informatiebeheerder zijn toegewezen;
-
f.
het bijhouden van een dossier van de autorisaties, die op grond van artikel 6, onder e door de informatiebeheerder zijn toegekend;
-
g.
het bijhouden van een logboek ten aanzien van gebruikers die gegevens verwerken;
-
h.
de melding van inbreuken op de informatiebeveiliging aan de informatiebeheerder;
-
i.
het testen en installeren van nieuwe versies van de toepassing voor distributie van persoonsgegevens;
-
j.
de fysieke beveiliging van de toepassing voor distributie van persoonsgegevens
Artikel 18
De functioneel beheerder neemt deel aan het overleg, bedoeld in artikel 4, onder b.
Paragraaf 7 Slotbepalingen
Artikel 19
Deze regeling wordt geplaatst in het Gemeenteblad en treedt in werking op de eerste dag na publicatie van het Gemeenteblad.
Artikel 20
Deze regeling wordt aangehaald als Regeling beheer voor het distributiebestand van persoonsgegevens (Key2DDS) Oegstgeest 2022.
Aldus besloten in de vergadering van het college van 13 december 2022.
Het college van Oegstgeest,
de burgemeester, E.R. Jaensch
de secretaris, J. Versluis
BIJLAGE 1 – AANWIJZING VAN BEHEERFUNCTIONARISSEN DOOR HET COLLEGE
Op grond van artikel 1, van de Regeling beheer voor het distributiebestand van persoonsgegevens (Key2DDS)
is de navolgende beheerfunctionaris aangewezen:
Informatiebeheer
|
Als informatiebeheerder is aangewezen
Als plaatsvervanger is aangewezen
|
CIO SP71
|
Aldus besloten in de vergadering van het college van 13 december 2022.
Het college van Oegstgeest,
de burgemeester, E.R. Jaensch
de secretaris, J. Versluis
BIJLAGE 2 – AANWIJZING VAN BEHEERFUNCTIONARISSEN DOOR DE INFORMATIEBEHEERDER
Op grond van artikel 2 van de Regeling beheer voor het distributiebestand van persoonsgegevens (Key2DDS) zijn de navolgende beheerfunctionarissen aangewezen:
Gegevensbeheer
|
Als gegevensbeheerder is aangewezen
Als plaatsvervanger is aangewezen
|
Medewerker SP71
|
Functioneel beheer
|
Als functioneel beheerder is aangewezen
Als plaatsvervanger zijn aangewezen
|
Medewerker SP71
|
|
|
|
|
|
|
13 december 2022
De informatiebeheerder,
gegevensbeheerder Servicepunt 71
TOELICHTING OP Regeling beheer voor het distributiebestand van persoonsgegevens (Key2DDs)
Inleiding
In de praktijk vindt distributie van persoonsgegevens niet (meer) rechtstreeks vanuit de Basisregistratie Personen (BRP) plaats, maar vanuit een specifiek daartoe ingerichte toepassing (het distributiebestand persoonsgegevens, Key2DDS) in beheer bij Servicepunt 71 en vanaf 2023 de gemeente Leiden. Dat distributiebestand wordt gevoed zowel vanuit de plaatselijke basisadministratie (BRP) als vanuit de basisadministraties van andere gemeenten (GBA-V).
Voor het beheer van de ‘eigen BRP’ dienen het college van Burgemeester en wethouders een beheerregeling vast te stellen waarin de hoofdlijnen van het beheer van de basisadministratie zijn geregeld. Die beheerregeling heeft alleen betrekking op het bronbestand d.w.z. de eigen gemeentelijke basisadministratie (BRP).
Het distributiebestand (Key2-DDS) moet worden beschouwd als een technische oplossing waarop de (privacy)voorschriften van de wet BRP niet van toepassing zijn. De persoonsgegevens binnen Key2DDS vallen echter wel binnen de reikwijdte van de AVG. Het is daarom van belang om vanuit oogpunt van o.a. beheersbaarheid en privacy-beleid de relevante beheeraspecten van de informatieverwerking voor het distributiebestand ook onder te brengen in een aparte regeling: de Regeling beheer voor het distributiebestand van persoonsgegevens (Key2DDs)