Vervanging Zaaksysteem
De AA organisatie werkt al langere tijd met het Zaaksysteem Rx.Enterprise (voorheen genaamd InProces). Dit softwarepakket wordt door de gehele organisatie gebruikt voor, onder andere, de digitale dienstverlening voor inwoners en bedrijven, het persoonlijk Internetportaal voor inwoners, de Websites van beide gemeenten, de werkprocessen Bezwaar en Beroep, de gemeentebrede postafhandeling, het gemeentelijk archief en het subsidieproces.
Omdat het softwarepakket niet meer voldoet aan de functionele eisen van de gemeente en de leverancier het pakket niet meer verder doorontwikkeld op belangrijke onderdelen, is de gemeente gestart met de vervanging van het softwarepakket. Deze vervanging vindt plaats in samenwerking met de Duo+ gemeenten, die hetzelfde software pakket gebruiken. Dit betekent dat alle processen de komende jaren in andere toekomst vaste nieuwe systemen moeten worden opgenomen. Hiervoor is een meerjarig project gestart. De kosten hiervan zijn op dit moment nog niet volledig te begroten. Het is echter mogelijk dat deze kosten niet volledig binnen de reguliere meerjarige ICT begroting gedekt kunnen worden.
Informatiebeveiliging
Door de hoge digitaliseringsgraad van de gemeentelijke werkprocessen is de afhankelijkheid van ICT voorzieningen groot. Vooral de veiligheid van informatieprocessen speelt een belangrijke rol. Om de data en de informatie in de systemen waar de gemeente mee werkt te beschermen worden de nodige adequate beveiligingsmaatregelen getroffen. Door de breedte en complexiteit van de Baseline Informatieveiligheid Overheid (BIO), die sinds 1 januari 2019 van kracht is, pakt de gemeente informatiebeveiliging planmatig op. Jaarlijks wordt een risico-inventarisatie uitgevoerd en het informatiebeveiligingsbeleid getoetst. Tweejaarlijks wordt een actieplan informatiebeveiliging en privacy vastgesteld. Een belangrijk onderdeel is bewustwording, waarbij gebruikers worden getraind om alert te blijven.
Een grote ontwikkeling op het gebied van informatiebeveiliging is de komst van de NIS2-richtlijn, die medio 2025 wordt omgezet tot wetgeving. De NIS2-richtlijn betreft een bredere scope dan de huidige BIO-normen en betekent een betere beveiliging tegen (cyber)incidenten voor organisaties (ook gemeenten), omdat toeleveranciers en de eigen vitale processen in kaart gebracht moeten worden. Hierdoor zullen organisaties nog meer in control zijn over de verantwoordelijkheden, beschikbaarheid, integriteit en vertrouwelijkheid van de eigen processen. Daarnaast moeten gemeenten voldoen aan een drietal plichten onder de NIS2: zorgplicht, meldplicht en toezicht. Ook gaan substantiële boetes (mogelijk tot een bedrag van EU 10 mln of 2 procent van de totale jaaromzet) gaan onderdeel uitmaken van de NIS2. We kennen soortgelijke hoge boetes al van de AVG.
Verder nemen wij technische maatregelen om de kans op digitale aanvallen te verkleinen (onder andere door het inzetten van anti-virus software, een firewall en via het Security Information & Event Management systeem (SIEM) om securitymeldingen te analyseren). Desalniettemin bestaat volledige veiligheid helaas niet. Daarbij vraagt het veilig houden van het netwerk en de ICT-systemen, vanwege de grote afhankelijkheid van digitale informatie in combinatie met de vele dreigingen, de continue aandacht van de organisatie.
Algemene Verordening Gegevensbescherming (AVG)
Vanaf het moment dat de Algemene Verordening Gegevensbescherming (AVG) ofwel de Europese privacy verordening in werking is getreden, zijn de privacyregels verder aangescherpt en kan de Autoriteit Persoonsgegevens (AP) zelfs boetes tot een maximum van € 20 miljoen opleggen in geval van overtreding van de regels met betrekking tot de omgang met persoonsgegevens. De AVG verplicht bedrijven en overheden om een datalek te melden bij de AP en mogelijk bij alle getroffen individuen. Ook is het uitvoeren van privacyrisico-inventarisaties, de zogenaamde DPIA’s, op sommige processen verplicht. De gemeente Amstelveen heeft processen daarom ook zo ingericht dat de AVG wetgeving geborgd is binnen de organisatie.
De AVG beperkt zich niet tot de inrichting van formele processen en het uitvoeren van DPIA’s, maar strekt zich uit tot alle handelingen van medewerkers en gegevensverwerkingen in systemen. Doordat persoonsgegevens binnen de gehele organisatie worden verwerkt blijft de naleving van de AVG veel aandacht vragen.