Als gemeente hebben we veel (persoons) gegevens van onze inwoners, ondernemers en instellingen. Zij moeten erop kunnen vertrouwen dat hun gegevens bij ons veilig zijn en dat al onze medewerkers privacy bewust omgaan met deze gegevens. De steeds verder gaande digitalisering brengt nieuwe dreigingen en risico’s met zich mee. Grootschalige uitval van systemen of het nu door hacks of ransomware of energiestoringen wordt veroorzaakt kunnen een enorme impact hebben op de continuïteit van bedrijfsvoering en dienstverlening van een gemeente. Dit vraagt om een veilige en betrouwbare overheid die hoge standaarden hanteert op het gebied van informatieveiligheid en privacybescherming. Het is belangrijk om het ‘eigen huis’ op orde te hebben en te houden. En omdat de ontwikkelingen niet stil staan is het heel belangrijk om blijvend te zorgen voor een goede digitale weerbaarheid. De Agenda Digitale Veiligheid 2024-2028 van de VNG biedt hiervoor bestuurlijke handvatten. Ook als het gaat over het voorbereid zijn op digitale ontwrichting en incidenten en het werken aan het versterken van de digitale weerbaarheid van inwoners en ondernemers. Hoe waardevoller en privacygevoeliger gegevens en informatie zijn, hoe meer maatregelen nodig zijn om te zorgen dat:
- de gegevens correct, volledig en controleerbaar zijn en blijven;
- iedereen over de benodigde gegevens op de juiste plaats en moment kan beschikken;
- gegevens alleen bij de juiste (daartoe geautoriseerde) personen terecht komen;
- gegevens onderweg niet onderschept, gelezen of gemanipuleerd kunnen worden.
De Europese NIS2-richtlijn gaat in op de risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Deze richtlijn en de Nederlandse Cybersecuritywet, die naar verwachting in 2026 van kracht wordt, stelt strengere beveiligingsnormen en registratie- en meldingsvereisten voor incidenten. De Baseline Informatiebeveiliging Overheid (BIO) is op deze wetgeving aangepast en is voor ons als gemeente de baseline waaraan we moeten voldoen. Vanzelfsprekend handelen we ook in lijn met de (u) AVG. De Functionaris Gegevensbescherming en privacy adviseur zien toe op correcte toepassing daarvan en adviseren in de organisatie waar nodig. Zij coördineren het proces van rechten van betrokkenen en onderzoeken indien nodig datalekken. We houden oog voor het effect van beveiligingsmaatregelen op het primaire proces en het “gebruiksgemak”.
In onze strategische aanpak om de digitale autonomie te vergroten sluiten we aan bij het standpunt van de VNG en de ontwikkelingen die zij voorzien. De VNG wil de marktwerking versterken en de afhankelijkheid van Microsoft verminderen door in te zetten op nog meer framework afspraken. De VNG is positief over en stimuleert de ontwikkeling van een Nederlandse GPT-NL als betrouwbare en veilige AI-oplossing binnen de publieke sector.
Bij de inkoop van AI en andere IT-oplossingen gelden vele voorwaarden, ook om de veiligheid en privacy te waarborgen. In ons beleid is opgenomen dat we deze voorwaarden moeten hanteren. Daarnaast hebben we "change-procedures" waarin allerlei aspecten getoetst worden.
We brengen (hoge)privacyrisico's in kaart en er wordt (extra) ingezet op de uitvoering van DPIA's
'data protection impact assessment'. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat de organisatie maatregelen kan nemen om deze risico’s te verkleinen. Op deze wijze maken wij aantoonbaar dat we 'in control' zijn.
Onze medewerkers werken dagelijks met (persoons)gegevens en moeten zich bewust zijn van de risico’s en de gevolgen van hun handelen. Met een bewustwordingsprogramma vragen we aandacht voor zorgvuldig en privacy bewust omgaan met gegevens bij al onze medewerkers. Nieuwe medewerkers moeten binnen drie maanden na indiensttreding een e-learningmodule over informatieveiligheid en privacy hebben afgerond. Daarnaast wordt het onderwerp tijdens introductiedagen behandeld.
Artificiële intelligentie (AI) is inmiddels niet meer weg te denken. De samenleving wordt dan ook steeds meer geconfronteerd met de invloed van algoritmes en AI (alle AI bestaat uit algoritmes). Als overheid moeten we transparant zijn over het gebruik van (impactvolle) algoritmes en voldoen aan de Europese AI-act. Het recht op privacy en om niet gediscrimineerd te worden moet gewaarborgd zijn. We zijn in 2025 al aangesloten op het Algoritmeregister van de Nederlandse overheid, waarin in ieder geval de hoog-risico AI-toepassingen en impactvolle algoritmes geregistreerd worden. Dat zijn algoritmen die(rechts) gevolgen kunnen hebben voor mensen, of die zorgen dat de overheid mensen classificeert. Inmiddels is er een overheidsbrede visie voor het gebruik generatieve AI, deze zijn vertaald voor de ambtelijke organisatie in uitgangspunten voor het gebruik. Onze medewerkers zijn geïnstrueerd over het verantwoord gebruik. Het is belangrijk om in een vroeg stadium na te denken over de impact van het gebruik, en hierover transparant te zijn. In 2026 wordt de (impact)toetsing op gebruik van AI en algoritmes in bestaande en nieuwe applicaties verder geïmplementeerd in bestaande change en toetsingsprocessen om dit te borgen.
Het college legt verantwoording af aan de gemeenteraad en aan verschillende ministeries over informatieveiligheid en privacy.
Die verantwoording gaat inmiddels over:
- Basisregistratie Personen (BRP) en Reisdocumenten
- Digitale persoonsidentificatie (DigiD)
- Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet)
- Basisregistratie Adressen en Gebouwen (BAG)
- Basisregistratie Grootschalige Topografie (BGT)
- Basisregistratie Ondergrond (BRO)
Voor het gebruik van DigiD en Suwinet wordt een audit uitgevoerd door een externe RE-auditor. Het college stuurt in april een collegeverklaring over informatieveiligheid aan de raad en diverse rijksoverheden. Dat zal ook in 2026 weer het geval zijn.
Sinds 2019 valt de verwerking van persoonsgegevens door boa's onder de Wet politiegegevens (Wpg). In 2025 is hiervoor een externe audit uitgevoerd. Eventuele benodigde verbeteracties worden in 2026 opgepakt en zal hierop opnieuw een audit worden uitgevoerd. Daarnaast zal de reguliere interne audit 2026 plaatsvinden.
In de risicoparagraaf wordt ingegaan op toenemende risico's op het gebied van informatieveiligheid en cybercriminaliteit.