Gemeentelijke organisaties werken steeds meer samen in ketens en maken meer gebruik van data met als doel een verbetering van de dienstverlening, up to date en toegankelijke digitale werkomgevingen en efficiëntere bedrijfsvoering.
Renkum werkt samen met de partners binnen de G3 (gemeenten Arnhem, Rheden en Renkum) actief aan het realiseren van deze doelen.
Informatiebeheer
De informatiefunctie is georganiseerd met veel eenmansfuncties waardoor er een grote mate van afhankelijkheid is van enkele personen op dit vlak. In verkennende gesprekken met gemeente Arnhem en Rheden wordt onderzocht of de strategie van een regionale invulling verbetermogelijkheden biedt.
Informatiebeveiliging
Baseline Informatiebeveiliging Overheid
De doelstelling voor onze informatiebeveiliging is dat we voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). Daarmee wordt de beschikbaarheid, integriteit en vertrouwelijkheid van de gemeentelijke informatie en de informatievoorziening gewaarborgd.
Om te monitoren waar we staan met het behalen van deze doelstelling gebruiken de ENSIA-zelfevaluatie als toetsmoment. ENSIA is een landelijke systematiek voor het afleggen van verantwoording over informatiebeveiliging, zowel de horizontale verantwoording aan de gemeenteraad, als de verticale verantwoording aan de rijksoverheid.
Een onafhankelijke IT-auditor heeft de landelijk verplichte audit voor de informatiebeveiliging van DigiD, Suwinet-inkijk en Suwinet uitgevoerd. De uitkomst hiervan is dat niet aan alle normen wordt voldaan. Naar aanleiding hiervan hebben wij verbeterplannen opgesteld.
Verhogen Digitale Weerbaarheid
Om het hoofd te bieden aan de toename aan cybercriminaliteit, datalekken en andere beveiligingsincidenten is het noodzakelijk om digitaal weerbaar te zijn. Zodat de impact van een incident kleiner wordt en bestuurders aan hun zorgplicht voldoen. De focus ligt daarbij op het verbeteren van online veilig gedrag van inwoners, medewerkers en bestuurders en de paraatheid van de organisatie na een aanval. Hierin wordt samengewerkt met Team Veiligheid, De Connectie, omliggende gemeenten en relevante overheidsorganisaties.
Incidenten zoals die zijn voorgevallen bij de gemeente Hof van Twente en Maastricht tonen de noodzaak aan om blijvend te investeren in informatieveiligheid en privacy. De risico’s van cyberincidenten liggen niet alleen op het gebied van dienstverlening, privacy en algemene continuïteit, maar ook op financiën. Een grote aanval met ransomware kan miljoenenschade aanrichten door onderzoeks- en herstelkosten. Daarnaast kunnen veiligheid en privacy incidenten het vertrouwen in de gemeente en overheid schaden.
Bescherming Persoonsgegevens (AVG)
Bij de verwerking van persoonsgegevens beoordelen we voor welk doel de gegevens verwerkt worden, welke minimale set van gegevens daarvoor nodig zijn en of er andere mogelijkheden zijn die de privacy van betrokkenen minder schaden. Conform de Algemene Verordening Gegevensbescherming brengen we de verschillende verwerkingen in kaart in het register van verwerkingen, handelen we AVG verzoeken af en reageren we op beveiligingsincidenten en datalekken.
Om de continuïteit en kwaliteit van de ondersteuning te borgen, overleggen wij binnen de G3 over vergaande samenwerking op het gebied van de privacy wetgeving, zonder de eigenheid en context van de eigen organisatie te verliezen. Het niet naleven van wettelijke verplichtingen in het kader van de Algemene Verordening Gegevensbescherming kan leiden tot het opleggen van boetes.
Door ICT is alles met alles verbonden en komt er steeds meer data beschikbaar. Nieuwe technologieën op het gebied van data, zoals bijv. kunstmatige intelligentie, kunnen een belangrijk middel worden bij overheidstaken en zorgen voor ethische vraagstukken. Het bestuur en management geeft daaraan richting en sturing vanuit hun eindverantwoordelijkheid voor de beveiliging en privacy van (persoons)gegevens.
In 2021 is er van 25 beveiligingsincidenten melding gemaakt, waarbij er in 7 gevallen sprake was van een datalek. In twee gevallen is daarvan een melding bij de autoriteit persoons-gegevens gedaan.
Van de meldingen van de datalekken bij de autoriteit persoonsgegevens (AP) heeft de AP een ontvangstbevestiging gestuurd en zijn de meldingen opgenomen in de statistieken over aantallen en soorten meldingen. Er zijn geen verdere vervolgacties voor de gemeente uit voortgekomen.
De privacy officer is betrokken bij de afhandeling van 3 inzageverzoeken en 1 verwijderings-verzoek. Er zijn geen cijfers beschikbaar over verzoeken die direct door de afdelingen zijn afgehandeld.
Privacy audit Wet Politiegegevens
De verwerking van persoonsgegevens door boa’s viel tot 25 mei 2018 onder de Wet bescherming persoonsgegevens (Wbp). Door de komst van de AVG valt de verwerking van persoonsgegevens rondom strafbare feiten onder een andere Europese wet, namelijk EU-Richtlijn 2016/680. Deze richtlijn is omgezet in de Wet politiegegevens (Wpg), aangevuld met het Bpg (Besluit politiegegevens), en is sinds 1 januari 2019 van kracht.
Verwerking van persoonsgegevens op strafrechtelijke grond moet voldoen aan de vereisten van de Wet politiegegevens. De gegevensverwerking door BOA’s moet periodiek gecontroleerd worden middels een jaarlijkse interne audit. Daarnaast dient er elke vier jaar een externe audit plaats te vinden.
De eerste externe audit zou in 2021 moeten worden uitgevoerd waarbij het auditrapport naar de Autoriteit Persoonsgegevens moet worden gestuurd. De autoriteit persoonsgegevens heeft hiervoor 1 jaar uitstel gegeven zodat het auditrapport uiterlijk 31 december 2022 moet zijn ingediend.
Er is een zelfevaluatie op de bescherming van persoonsgegevens is uitgevoerd om inzicht te verkrijgen in welke mate de Algemene Verordening Gegevensbescherming wordt nageleefd en welke maatregelen nog verder geïmplementeerd moeten worden.
Informatie- en communicatietechnologie (ICT)
De Connectie
In het projectmatig met elkaar werken en communiceren maken we goede stappen. We stellen echter ook vast dat we niet alle implicaties van in gang gezette trajecten zodanig in beeld hebben dat verrassingen in het lopende jaar en het meerjarenperspectief niet meer plaatsvinden. Dit voedt risico`s van onverwachte meerkosten bij het realiseren van projecten.
Middels het OGO en ondersteund door het controllersoverleg en het RCIOO (overleg van de informatieadviseurs van de 3 gemeenten en de Connectie) hebben we ingezet op een lange termijnagenda met concrete afspraken over het realiseren en prioriteren van regionale IT-projecten, gericht op samenwerken en harmonisaties en het daarbij behorende financiële meerjarige kader. Het Renkumse informatiemanagement is meer verankerd in het besluitvormingsproces van de organisatie en het RCIOO om de verbinding tussen de business (de gebruikers) en de leverancier(s) van de techniek transparanter en beter gestalte te geven.
In 2021 is de gemeente Renkum als eerste van de G3-gemeenten overgegaan naar een nieuwe ict omgeving (VDI), een technische omgeving die door de Connectie wordt beheerd en waarop alle 3 de gemeenten hun applicaties gaan draaien. Dit is een belangrijke stap op weg naar harmonisatie. Alle Centric applicaties van de gemeente Renkum zijn gemigreerd naar deze nieuwe VDI-omgeving. Ook alle overige applicaties (Ruimtelijk Domein en overige bedrijfsvoering) worden naar deze nieuwe omgeving gemigreerd.
De implementatie van Portaal, inclusief E-diensten (Burgerzaken), heeft door deze migratie echter vertraging opgelopen. We verwachten deze implementatie in 2022 te kunnen realiseren.
Digitale werkplek
Alle medewerkers hebben in 2021 de beschikking gekregen over een digitale werkplek (laptop en smartphone beveiligd met Intune) waarmee flexibel werken (kantoor-thuis) wordt gefaciliteerd. Ook de kantoorapplicaties Office 365, Onedrive (deels) en Teams zijn beschikbaar gesteld waarmee gebruikers efficiënter samen aan documenten kunnen werken en digitaal kunnen overleggen. Hiermee wordt niet alleen het flexwerken/thuiswerken ondersteund, maar biedt dit ook mogelijkheden voor het te formuleren huisvestingsbeleid.
Upgrade telefooncentrale
Op de Europese aanbesteding ter vervanging van de telefooncentrales naar één centraal platform dat aansluit op de werkplekvisie heeft geen enkele aanbieder ingeschreven. In de daarop volgende oriënterende gesprekken met geïnteresseerde aanbieders is gebleken dat er bij een aantal van hen voldoende gronden waren om in aanvullende gesprekken tot een aanbieding te kunnen komen. De implementatie schuift hiermee door naar 2022.
De telefooncentrale van de gemeente Renkum is ge-upgraded en daarmee de continuïteit van de dienstverlening gewaarborgd. De upgrade maakt het op afstand werken van het KCC mogelijk en sluit daarmee eveneens aan op de werkplekvisie.
Toegankelijkheid
In het kader van de Wet Digitale Toegankelijkheid is software geïmplementeerd waarmee het toegankelijk maken van documenten minder handelingen vergt.
Overige activiteiten in 2021
- processen inzake in- en uitstroom van personeel zijn afgestemd op de klantreis van de Connectie en beschreven
- nadere inhoudelijke taakafstemming binnen het ict-domein op gebied functioneel en technisch beheer en de samenwerking in het project gemICT
- De leverancier van het huidige zaaksysteem heeft aangegeven het beheer en onderhoud op de huidige licentie eind 2022 te stoppen. In samenwerking met de gemeente Rheden en de leverancier zijn voorbereidingen getroffen voor het technisch upgraden van het huidige zaaksysteem. Een geharmoniseerde visie op zaakgericht werken is daarbij van belang uit oogpunt van efficiency, kwaliteit en continuïteit.