Informatiebeveiliging
Uit de nieuwe meting die na de afsluiting van 2020 is gedaan blijkt dat de gemeente Velsen nu voor 75% aan de normen voldoet, gesteld in de Baseline Informatiebeveiliging Overheid (BIO). Ten opzichte van het beeld in het jaarverslag van vorig jaar dit een verslechtering. Echter, het beeld wordt vertekend doordat deze nog is gebaseerd op de Baseline Informatiebeveiliging Gemeenten (BIG) die door de BIO is vervangen. Ten opzichte van de BIG zijn normen in de BIO anders geformuleerd en/of verzwaard. Aan het begin van 2020 is er ook een meting uitgevoerd op basis van de BIO en daaruit bleek dat Velsen toen voor 65% aan de normen voldeed. De conclusie is dus dat er een significante vooruitgang geboekt is. In grote lijnen is dit te verklaren door het op orde brengen van procedures en documentatie met betrekking tot de ICT-voorziening, verbeteringen in de autorisatieprocessen en het houden van toezicht op beveiligingsmaatregelen bij leveranciers. Ook is er een onderzoek gedaan naar de mate waarin Velsen weerbaar is tegen incidenten die de continuïteit van de bedrijfsvoering verstoren. Met de uitkomsten kan de directie in 2021 lijnen uitzetten om tot verbetering te komen. De resultaten van 2020 zijn verwerkt in een rapportage die separaat aan de gemeenteraad wordt voorgelegd.
De ministeries van BZK en SZW vereisen een diepgaander en onafhankelijk onderzoek naar de beveiligingsmaatregelen rondom het gebruik van Suwinet en DigiD. Suwinet is een systeem dat wordt gebruikt voor het domein werk en inkomen en bevat gevoelige persoonsgegevens. Het onderzoek wordt uitgevoerd door een IT-auditor. Hoewel de definitieve rapportage nog niet is afgegeven is wel al door de auditor vastgesteld dat de gemeente Velsen in 2020 niet geheel aan de gestelde normen voor Suwinet heeft voldaan. De geconstateerde tekortkoming brengt slechts een klein risico met zich mee en kan in 2021 eenvoudig worden weggenomen. Omdat de DigiD-aansluitingen van Velsen door externe partijen worden beheerd vindt het grootste deel van het onderzoek bij hen plaats. Op grond van de opgeleverde rapportages van de leveranciers, tezamen met de controle bij de gemeente Velsen, komt de auditor tot het oordeel dat niet geheel aan de normen wordt voldaan. Aangezien de tekortkomingen in de systemen van de leveranciers zijn geconstateerd zullen zij die moeten verbeteren. Velsen zal daarbij vinger aan de pols houden. Het college legt, uiterlijk 1 mei 2021, een verklaring af aan de ministeries over DigiD en Suwinet.
Gegevensbescherming - ontwikkelingen privacyregelgeving/AVG
De impact van de in 2018 in werking getreden Algemene Verordening Gegevensbescherming (AVG) is in 2020 nog duidelijker geworden. Zowel de gemeentelijke organisatie als de burgers van Velsen zijn steeds beter bekend geworden met deze regelgeving.
Per 1 januari 2020 heeft de Vereniging van Nederlandse Gemeenten de “Standaard verwerkers-overeenkomst gemeenten” bindend verklaard voor gemeenten. Daarnaast is er een standaard verwerkingsregister uitgebracht om hiermee tot een meer uniforme werkstandaard te kunnen komen. Dit verwerkingsregister is inmiddels ook in de organisatie ingevoerd.
Voor de gemeentelijke organisatie stond het jaar 2020 in het teken van het bereiken van een hoger ‘privacyvolwassenheidsniveau’. Hiertoe zijn voor een groot aantal medewerkers (digitale) workshops georganiseerd waarin het privacybewustzijn werd vergroot. De workshops hadden tevens als doel privacy op een natuurlijke manier tot de organisatiecultuur te laten behoren.
Sinds een aantal jaar wordt op het gebied van privacy beleidsvorming en advisering nauw samengewerkt met de gemeenten Heemskerk en Beverwijk en de Omgevingsdienst IJmond. Deze samenwerking heeft al een aantal resultaten opgeleverd, waaronder recentelijk het Netwerk Woonzorg. Het streven bij de regionale samenwerking is om te komen tot een zoveel mogelijk gelijkluidend ‘IJmondiaal’ privacybeleid.