2. Informatieveiligheid en privacy
Vervanging Zaaksysteem
De AA organisatie werkt al langere tijd met het Zaaksysteem InProces. Dit softwarepakket wordt door de gehele organisatie gebruikt voor, onder andere, de digitale dienstverlening voor inwoners en bedrijven, het persoonlijk Internetportaal voor inwoners, de Websites van beide gemeenten, de werkprocessen Bezwaar en Beroep, de gemeentebrede postafhandeling, het gemeentelijk archief en het subsidieproces.
In 2022 ontving de AA organisatie het bericht van de leverancier, dat zij gaat stoppen met het softwarepakket voor hun klanten. Dit betekent dat al deze processen de komende jaren in andere toekomstvaste nieuwe systemen moeten worden opgenomen. Hiervoor is een meerjarig project gestart. De kosten hiervan zijn op dit moment nog niet te begroten. Het is echter mogelijk dat deze kosten niet binnen de reguliere meerjarige ICT begroting gedekt kunnen worden.
Informatiebeveiliging
Om de data en de informatie in de systemen waar de gemeente mee werkt te beschermen worden de nodige adequate beveiligingsmaatregelen getroffen. Door de breedte en complexiteit van de Baseline Informatieveiligheid Overheid (BIO), die sinds 1 januari 2019 van kracht is, pakt de gemeente informatiebeveiliging planmatig op. Jaarlijks wordt een risico-inventarisatie uitgevoerd en het informatiebeveiligingsbeleid getoetst. Tweejaarlijks wordt een actieplan informatiebeveiliging en privacy vastgesteld. Een belangrijk onderdeel is bewustwording, waarbij gebruikers worden getraind om alert te blijven. Verder nemen wij technische maatregelen om de kans op digitale aanvallen te verkleinen (onder andere door het inzetten van anti virus software, een firewall en via het Security Information & Event Management systeem (SIEM) om securitymeldingen te analyseren). Desalniettemin bestaat volledige veiligheid helaas niet. Daarbij vraagt het veilig houden van het netwerk en de ICT systemen, vanwege de grote afhankelijkheid van digitale informatie in combinatie met de vele dreigingen, de continue aandacht van de organisatie.
Algemene Verordening Gegevensbescherming (AVG)
Vanaf het moment dat de Algemene Verordening Gegevensbescherming (AVG) ofwel de Europese privacy verordening in werking is getreden, zijn de privacyregels verder aangescherpt en kan de Autoriteit Persoonsgegevens (AP) zelfs boetes tot een maximum van € 20 miljoen opleggen in geval van overtreding van de regels met betrekking tot de omgang met persoonsgegevens. De AVG verplicht bedrijven en overheden om een datalek te melden bij de AP en mogelijk bij alle getroffen individuen. Ook is het uitvoeren van privacyrisico-inventarisaties, de zogenaamde DPIA’s, op sommige processen verplicht. De gemeente Amstelveen heeft processen daarom ook zo ingericht dat de AVG wetgeving geborgd is binnen de organisatie.
De AVG beperkt zich niet tot de inrichting van formele processen en het uitvoeren van DPIA’s, maar strekt zich uit tot alle handelingen van medewerkers en gegevensverwerkingen in systemen. Doordat persoonsgegevens binnen de gehele organisatie worden verwerkt blijft de naleving van de AVG veel aandacht vragen.