Informatieveiligheid en privacy
Algemene Verordening Gegevensbescherming (AVG)
De Algemene Verordening Gegevensbescherming (AVG) ofwel de Europese privacy verordening is per 25 mei 2018 in werking getreden. Vanaf dat moment zijn de privacyregels verder aangescherpt en kan de Autoriteit Persoonsgegevens (AP) zelfs boetes tot een maximum van € 20 miljoen opleggen in geval van overtreding van de regels met betrekking tot de omgang met persoonsgegevens.
Ook de meldplicht datalekken vormt een onderdeel van de AVG. Bedrijven en overheden zijn hierdoor verplicht om een datalek te melden bij de AP en mogelijk bij alle getroffen individuen. Ook is het uitvoeren van privacyrisico-inventarisaties, zogenoemde DPIA’s, op sommige processen verplicht. De gemeente Amstelveen heeft processen ingericht om de AVG wetgeving te borgen binnen de organisatie en voert DPIA’s uit waar nodig en waar verplicht. Persoonsgegevens worden binnen de gehele organisatie verwerkt. Doordat de AVG zich niet beperkt tot de inrichting van formele processen en DPIA toetsen, maar zich uitstrekt tot alle handelingen van medewerkers en verwerkingen in systemen, blijft de naleving van de AVG veel aandacht vragen.
Informatieveiligheid
Om de data en de informatie in de systemen waar de gemeente mee werkt te beschermen worden de nodige adequate beveiligingsmaatregelen getroffen. Per 1 januari 2019 is de Baseline Informatieveiligheid Overheid (BIO) van kracht. Door de breedte en complexiteit van deze nieuwe regelgeving pakt de gemeente informatieveiligheid planmatig op. Jaarlijks wordt een risico-inventarisatie uitgevoerd, een actieplan informatieveiligheid en privacy vastgesteld en het informatieveiligheidsbeleid getoetst. Een belangrijk onderdeel is bewustwording, waarbij gebruikers worden getraind om alert te blijven. Ook worden er technische maatregelen ingezet, zoals antivirus software, logging en een firewall. Desalniettemin vraagt het veilig houden van het netwerk en de ICT systemen, vanwege de grote afhankelijkheid van digitale informatie in combinatie met de huidige dreigingen (bijvoorbeeld cyberaanvallen), de continue aandacht van de organisatie.