Katern GEMMA Tactisch Gegevensmanagement

Hoofdstuk: Rollen en verantwoordelijkheden

Om het gegevensmanagement in een gemeente goed in te richten zijn er goede afspraken nodig over de functies, rol- en taakverdeling en verantwoordelijkheden.

Rollen gegevensmanagement

De rollen binnen gegevensmanagement bestaan voor een groot deel uit de werkzaamheden die (reeds bestaande) functies binnen de gemeente nu uitvoeren. Ter illustratie: bij veel gemeenten is al een architect aanwezig of is een ‘houder’ van de BRP-gegevens benoemd. De rollen van gegevensmanagement maken deze afspraken expliciet en verbindt de verschillende taken met elkaar. Ook zijn bepaalde rollen binnen het gegevens-werkveld vanuit de wet al eerder benoemd. Te denken valt aan de functionaris gegevensbescherming (FG) en de afnemer vanuit de algemene verordening gegevensbescherming (AVG) of de wetgeving op het gebied van basisregistraties die de rol registratiehouder en afnemer ook al onderkende. Hieronder worden de rollen opgesomd en de herkomst aangegeven.

Rollen uit het stelsel van basisregistraties

Vanuit het stelsel van basisregistraties zijn de rollen beschreven die ten aanzien van basisregistraties gelden. Deze rollen zijn:

  • Opdrachtgever - De opdrachtgever is het voor de basisregistratie verantwoordelijke ministerie dat opdrachtgever is voor de ‘verstrekker’ (de beheerder van de landelijke voorziening);
  • Bronhouder - Een bronhouder is verantwoordelijk voor het inwinnen en bijhouden van de authentieke en niet-authentieke gegevens in een basisregistratie en voor het borgen van de kwaliteit van die gegevens (onder meer naar aanleiding van ontvangen terugmeldingen). Een basisregistratie heeft één of meer bronhouders;
  • Toezichthouder - De toezichthouder is de partij die er verantwoordelijk voor is dat wordt toegezien of de basisregistratie in overeenstemming met eisen, afspraken en wetgeving opereert. Een basisregistratie heeft één of meer verantwoordelijken voor toezicht. Over het algemeen is de opdrachtgever verantwoordelijk voor het toezicht op de naleving van de bepalingen die in de wet voor de basisregistratie zijn opgenomen. Bij veel basisregistraties is het toezicht ingevuld met periodieke audits door onafhankelijke partijen in opdracht van de opdrachtgever, verstrekker en/of bronhouders;
  • Afnemer - Een afnemer (ook wel ‘gebruiker’) is een overheidsorganisatie of private partij die gegevens afneemt van een basisregistratie voor gebruik in de eigen processen. Voor bestuursorganen met een publiekrechtelijke taak (zoals gemeenten, provincies, waterschappen en zelfstandige bestuursorganen) is het afnemen en gebruiken van relevante authentieke gegevens verplicht;
  • Verstrekker - De verstrekker (ook wel ‘beheerder landelijke voorziening’) is de partij die de landelijke voorziening voor het verstrekken van gegevens beheert en exploiteert. De verstrekker is verantwoordelijk voor het verstrekken van de gegevens. De verstrekker is ook verantwoordelijk voor het faciliteren van het gebruik (zoals het leveren van kennis en ondersteuning aan afnemers voor het aansluiten op de landelijke voorziening). Een basisregistratie heeft één verstrekker.
welke Generieke gegevensmanagement rollen.png
Generieke gegevensmanagement rollen


Zie de NORA voor een beschrijving van de verschillende basisregistraties.

Generieke gemeentelijke rollen

De meeste rollen uit het stelsel van basisregistraties zijn breder toepasbaar op kern- en sectorale registraties. Deze rollen kunnen worden overgenomen en aangevuld met rollen die specifiek zijn voor gemeenten. De gemeente kan invulling geven aan één of meerdere van deze rollen. De gemeente kan bijvoorbeeld zowel afnemer, bronhouder als registratiehouder zijn. Naast de bovengenoemde rollen worden ook een aantal generieke gemeentelijke rollen onderkend. De generieke gemeentelijke rollen zijn:

  • Afnemer – De binnengemeentelijke of buitengemeentelijke persoon of entiteit die gegevens afneemt en afwijkingen terugmeld aan de bronhouder. Levering van gegevens aan de afnemer kan plaatsvinden direct via de bronhouder of via de beheerder generieke voorzieningen.
  • Gegevensmakelaar – De gegevensmakelaar is verantwoordelijk voor het maken, vastleggen en onderhouden van afspraken met gegevensleveranciers en –afnemers (gegevensleverings-overeenkomsten, GLO’s). De gegevensmakelaar is intermediair tussen afnemers en in- en externe leveranciers en zorgt voor een optimaal gebruik van aanwezige gegevens, in overeenstemming met wet- en regelgeving. Werkt nauw samen met de architect.
  • Architect - De architect is een rol of functie die zich bezig houdt met de (ICT) architectuur van de organisatie. Er zijn veel specialismen binnen de ICT architectuur. Bijvoorbeeld de enterprise-architect, business-architect, informatie-architect, gegevensarchitect, technische architect. Het is van belang voor gegevensmanagement dat de organisatie een vorm van organisatiebrede gegevensarchitectuur opstelt. De architect toetst wijzigingen in het gegevenslandschap aan deze architectuur.
  • Beheerder generieke voorzieningen - Implementeren van de (gewijzigde) gegevensmodellen en oplossingen, die de gegevensarchitect ontworpen heeft. In bedrijf nemen en houden van deze modellen en oplossingen met bijzondere aandacht voor onderhoudbaarheid en versiebeheer. Monitoren van de continue werking van de generieke voorzieningen, consistentiecontroles uitvoeren en actie ondernemen bij afwijkingen of verstoringen. Werkt nauw samen met de distributeur. De beheerder generieke voorzieningen ontvangt, conform overeengekomen GLO’s, gegevens van bronregistraties en verzorgt (namens de bronhouder) de verstrekking van brongegevens aan afnemers. De beheerder generieke voorzieningen is zelf geen bronhouder van gegevens. De verantwoordelijkheid voor het definiëren van de autorisaties van afnemers van gegevens die door de gegevensmakelaar geleverd worden ligt bij de bronhouders. De beheerder generieke voorzieningen implementeert deze autorisaties en levert op basis hiervan gegevens op aan afnemers. Bronhouders hebben dus grip op welke gegevens aan wie geleverd worden. De beheerder generieke voorzieningen is verantwoordelijk voor de vastlegging van de verwerking van gegevens, bijvoorbeeld ten behoeve van het werk van de auditor. Een voorbeeld van een mogelijk ondersteunend informatiesysteem voor de rol van de beheerder generieke voorzieningen is een gegevensdistributiesysteem.
  • Gegevensmanagement functionaris: Het geweten van de gemeente op het gebied van gegevensmanagement. In de praktijk belegd bij verschillende functies zoals een gegevensmanager, informatiemanager, hoofd informatiemanagement, demand manager. De gegevensmanagement functionaris geeft uitvoering aan de uitgezette lijnen die door de CIO of een andere bestuurlijke houder van het onderwerp gegevensmanagement zijn vastgesteld.
  • Auditor/Kwaliteitscontrole - De auditor controleert de naleving van procedures, regels en richtlijnen. De rol van auditor kan worden verdeeld in domeinspecifieke auditor en een auditor gemeentebreed. Een domein specifieke auditor is verantwoordelijk voor het (laten) uitvoeren van audits die specifiek voor een domein zijn. Denk hierbij aan de zelfevaluatie BRP en een audit op het gebruik van Suwinet. De auditor gemeentebreed is verantwoordelijk voor het (laten) uitvoeren van audits die over de verschillende domeinen heen lopen. Denk hierbij aan audits op het gebied van het gebruik van gegevens door processen en toetsing van proportionaliteit en subsidiariteit.
  • Concerncontroller - De concerncontroller is een financiële functie binnen de gemeente die veelvuldig voorkomt waarin ook een aantal verplichte wettelijke audit taken op het gebied van (financiële) bedrijfsvoering of kwaliteitscontrole taken (o.a. Gemeentewet, art. 212, art. 213 en art. 213a) . Of zoals de gemeentewet stelt: “de controller is eindverantwoordelijk voor een optimale bedrijfsvoering in de gemeentelijke organisatie. (...) De concerncontroller adviseert het college en de algemeen directeur gevraagd en ongevraagd over alle zaken de gemeentelijke bedrijfsvoering betreffende."

Of een gemeente aan al de generieke gemeentelijke rollen via losse functionarissen invulling geeft is mede afhankelijk van de omvang van de gemeente. Het bundelen van rollen is uiteraard mogelijk.

Naast de bovenstaande rollen zijn de volgende rollen sterk gerelateerd aan gegevensmanagement:

  • Functionaris voor de gegevensbescherming (FG) - Gemeenten hebben, net als andere publieke- en private organisaties, de verplichting zelf een interne toezichthouder op de verwerking van persoonsgegevens aan te stellen. Dat is de functionaris voor de gegevensbescherming (FG).
  • Privacy Officer (PO) - Om de AVG uit te voeren hebben veel gemeenten een privacy officer aangesteld. Hij is naast verantwoordelijk voor de uitvoer van de AVG ook betrokken bij de DPIA’s en het opzetten van privacy management.
  • CISO (Chief Information Security Officer) - De CISO heeft binnen de gemeentelijke organisatie een spilfunctie, om er voor te kunnen zorgen dat binnen de gemeente de juiste acties worden genomen voor informatiebeveiliging.
  • ENSIA Coördinator - De coördinator werkt mee aan het begeleiden, bewaken en waar nodig bijsturen van het ENSIA- verantwoordingsproces. De kerntaken komen neer op het creëren van bewustzijn over informatieveiligheid voor de hele gemeente en het organiseren van samenwerking.

Verantwoordelijkheden per rol

In een RACI matrix zijn de rollen en verantwoordelijkheden weergegeven die onderscheiden worden. Daarbij is ook aangegeven welke verantwoordelijkheden onderscheiden worden voor de verschillende producten.

In kleinere gemeenten kunnen niet alle rollen door verschillende functionarissen worden uitgevoerd. We kunnen niet genoeg benadrukken dat dit groeimodel in rollen verschillend is per gemeente en daarnaast afhankelijk van de mate van volwassenheid van inrichting van gegevensmanagement.

  • R = Responsible / Verantwoordelijk
  • A = Accountable / Eindverantwoordelijk
  • C = Consulted / Raadplegen
  • I = Informed / Informeren
RACI matrix
Figuur - RACI matrix gegevensmanagement rollen


Zie het gegevensfunctiehuis om inzicht te krijgen in de verschillende rollen en verantwoordelijkheden. Via deze pagina is ook een Excel bestand beschikbaar waarin de rollen en verantwoordelijkheden in een RACI-matrix voor verschillende aandachtsgebieden, waaronder gegevensmanagement, uiteen zijn gezet.

Deze pagina is voor het laatst bewerkt op 29 mei 2024 om 13:00.