2. Informatieveiligheid en privacy
Vervanging Zaaksysteem
De AA-organisatie werkt al langere tijd met het Zaaksysteem Rx.Enterprise (voorheen InProces). Dit softwarepakket wordt door de gehele organisatie gebruikt voor, onder andere, de digitale dienstverlening voor inwoners en bedrijven, het persoonlijk Internetportaal voor inwoners, de websites van beide gemeenten, de werkprocessen Bezwaar en Beroepzaken, de gemeentebrede postafhandeling, het gemeentelijk archief en het subsidieproces.
Omdat het softwarepakket niet meer voldoet aan de functionele eisen van de gemeente en de leverancier het pakket niet meer verder zal doorontwikkelen op belangrijke onderdelen, is de gemeente gestart met de vervanging van het softwarepakket. Deze vervanging vindt plaats in samenwerking met de Duo+ gemeenten, die hetzelfde softwarepakket gebruiken. Dit betekent dat alle processen de komende jaren in andere toekomst vaste nieuwe systemen moeten worden opgenomen. Hiervoor is een meerjarig project gestart. De kosten hiervan zijn op dit moment nog niet volledig te begroten. Het is echter mogelijk dat deze kosten niet volledig binnen de reguliere meerjarige ICT-begroting gedekt kunnen worden.
Informatiebeveiliging
Door de hoge digitaliseringsgraad van de gemeentelijke werkprocessen is de afhankelijkheid van ICT-voorzieningen groot. Vooral de veiligheid van informatieprocessen speelt een belangrijke rol. Om de data en informatie in de systemen waar de gemeente mee werkt te beschermen, worden de nodige adequate beveiligingsmaatregelen getroffen. Door de breedte en complexiteit van de Baseline Informatieveiligheid Overheid (BIO), die sinds 1 januari 2019 van kracht is, pakt de gemeente informatiebeveiliging planmatig op. Jaarlijks wordt een risico-inventarisatie uitgevoerd en het informatiebeveiligingsbeleid getoetst. Tweejaarlijks wordt een actieplan informatiebeveiliging en privacy vastgesteld. Een belangrijk onderdeel is bewustwording, waarbij gebruikers worden getraind om alert te blijven.
Een grote ontwikkeling op het gebied van informatiebeveiliging is de komst van de NIS2-richtlijn, die medio 2025 wordt omgezet tot wetgeving. De NIS2-richtlijn betreft een bredere scope dan de huidige BIO-normen en betekent een betere beveiliging tegen (cyber)incidenten voor organisaties (ook gemeenten), omdat toeleveranciers en de eigen vitale processen in kaart gebracht moeten worden. Hierdoor zullen organisaties nog meer in control zijn over de verantwoordelijkheden, beschikbaarheid, integriteit en vertrouwelijkheid van de eigen processen. Daarnaast moeten gemeenten voldoen aan een drietal plichten onder de NIS2: zorgplicht, meldplicht en toezicht. Ook gaan substantiële boetes, mogelijk tot een bedrag van € 10 miljoen of 2 procent van de totale jaaromzet, onderdeel uitmaken van de NIS2. Soortgelijke hoge boetes kent de organisatie al van de AVG.
Verder worden technische maatregelen genomen om de kans op digitale aanvallen te verkleinen. Onder andere door het inzetten van anti-virus software, een firewall en via het Security Information & Event Management systeem (SIEM) om securitymeldingen te analyseren. Desalniettemin bestaat volledige veiligheid helaas niet. Daarbij vraagt het veilig houden van het netwerk en de ICT-systemen, vanwege de grote afhankelijkheid van digitale informatie in combinatie met de vele dreigingen, de continue aandacht van de organisatie.
Jaarlijkse worden onder andere pentests en audits (zoals de ENSIA en IT-audit) uitgevoerd op de processen en (informatie)systemen. Deze resultaten geven, samen met de uitgevoerde risico analyses, de mogelijkheid om risico’s tijdig te signaleren en te minimaliseren.
Algemene Verordening Gegevensbescherming (AVG)
Vanaf het moment dat de Algemene Verordening Gegevensbescherming (AVG) ofwel de Europese privacy verordening in werking is getreden, zijn de privacyregels verder aangescherpt. De Autoriteit Persoonsgegevens (AP) kan zelfs boetes tot een maximum van € 20 miljoen opleggen in geval van overtreding van de regels met betrekking tot de omgang met persoonsgegevens. De AVG verplicht bedrijven en overheden om een datalek te melden bij de AP en mogelijk bij alle getroffen individuen. Ook is het uitvoeren van privacyrisico-inventarisaties, de zogenaamde DPIA’s, op sommige processen verplicht. De gemeente Amstelveen heeft processen daarom ook zo ingericht dat de AVG-wetgeving geborgd is binnen de organisatie.
De AVG beperkt zich niet tot de inrichting van formele processen en het uitvoeren van DPIA’s, maar strekt zich uit tot alle handelingen van medewerkers en gegevensverwerkingen in systemen. Doordat persoonsgegevens binnen de gehele organisatie worden verwerkt blijft de naleving van de AVG veel aandacht vragen.
Artificial intelligence (AI)
De AI Act is reeds in werking getreden. Er staan flinke boetes op overtredingen: AI-systemen met een onaanvaardbaar risico zijn vanaf februari 2025 verboden. Het niet naleven van dit verbod kan leiden tot boetes van maximaal € 35 miljoen of 7% van de jaarlijkse wereldwijde omzet. Overtredingen van andere verplichtingen leiden tot boetes van € 15 miljoen of 3% van deze omzet. Het verstrekken van onjuiste informatie aan een toezichthouder kan leiden tot boetes van € 7,5 miljoen of 1%. De gemeente Amstelveen heeft tijd voor de implementatie: het grootste deel van de wet geldt pas vanaf augustus 2026. Desalniettemin vraagt ook deze wetgeving de aandacht van de organisatie.