Informatiebeveiliging
In 2021 zijn er wereldwijd weer veel beveiligingsincidenten geweest met verstrekkende gevolgen. Dicht bij huis is het samenwerkingsverband IJmond Werkt! getroffen door een ransomware-aanval, uitgevoerd door criminele hackers. Hierdoor is de dienstverlening van IJmond Werkt! zwaar getroffen en zijn er veel persoonsgegevens van kwetsbare mensen gestolen en vervolgens openbaar gemaakt. Aan het eind van het jaar werd bekend dat een kleine softwarecomponent dat in veel applicaties is ingebouwd hackers de mogelijkheid bood om hele ICT-systemen over te nemen. Dit heeft de hele ICT-wereld op zijn kop gezet en er moest ook hard aan de systemen van de gemeente Velsen gewerkt worden om de veiligheid te herstellen. Hier heeft de recente samenwerking met ICT-dienstverlener OGD zijn waarde meer dan bewezen. Het illustreert wel dat de dreiging nog steeds toeneemt en dat Velsen zich hiertegen moet wapenen. Tekortkomingen zijn er nog op het gebied van bewaking van het netwerk, bedrijfscontinuïteit/crisismanagement en risicobewustzijn. In 2022 moet Velsen hierop voortgang boeken.
Uit de nieuwe meting die na de afsluiting van 2021 is gedaan blijkt dat de gemeente Velsen nu voor 79% aan de normen voldoet, gesteld in de Baseline Informatiebeveiliging Overheid (BIO). Ten opzichte van het beeld in het jaarverslag van vorig jaar is dit een verbetering met 4%. Met de uitkomsten kan de directie in 2021 lijnen uitzetten om tot verdere verbetering te komen. De resultaten van 2021 zijn verwerkt in een rapportage die separaat aan de gemeenteraad wordt voorgelegd.
De ministeries van BZK en SZW vereisen een diepgaander en onafhankelijk onderzoek naar de beveiligingsmaatregelen rondom het gebruik van Suwinet en DigiD. Suwinet is een systeem dat wordt gebruikt voor het domein werk en inkomen en bevat gevoelige persoonsgegevens. Het onderzoek wordt uitgevoerd door een IT-auditor. Hoewel de definitieve rapportage nog niet is afgegeven is wel al door de auditor vastgesteld dat de gemeente Velsen in 2020 niet geheel aan de gestelde normen voor Suwinet heeft voldaan. Dit heeft te maken met een functie in het programma Mens Centraal dat door de IJmond-gemeenten gezamenlijk is aangeschaft voor de regie op zorgtaken die door het Rijk zijn overgedragen. Met deze functie worden Suwinet-gegevens ingelezen om, op basis van adresgegevens, de facturatie van jeugdzorgverlening bij de juiste gemeente plaatsvindt. Deze raadplegingen zijn onrechtmatig en daarbij biedt Mens Centraal geen mogelijkheid om de raadplegingen te controleren aan de hand van loggegevens. Omdat de DigiD-aansluitingen van Velsen door externe partijen worden beheerd vindt het grootste deel van het onderzoek bij hen plaats. Op grond van de opgeleverde rapportages van de leveranciers, tezamen met de controle bij de gemeente Velsen, komt de auditor tot het oordeel dat geheel aan de normen wordt voldaan. Het college legt, uiterlijk 1 mei 2022, een verklaring af aan de ministeries over DigiD en Suwinet.
Privacy
De organisatie inbedding van de Algemene Verordening Gegevensbescherming (AVG) heeft zich in 2021 verder ontwikkeld. Zowel de gemeentelijke organisatie als de burgers van Velsen zijn steeds beter bekend geworden met deze regelgeving. Naast de AVG, is sinds 2018 de Wet Politiegegevens (Wpg) in werking getreden. De organisatie is in 2021 druk bezig geweest om deze wetgeving meer in de organisatie in te bedden. Ook heeft er een interne Wpg audit plaats gevonden om goed in kaart te brengen waar de ontwikkelpunten aanwezig zijn.
Het jaar 2021 was een dynamisch jaar op het gebied van gegevensbescherming. Zo kreeg gemeente Velsen begin 2021 bezoek van Klaas van Kruistum die met zijn programma Klaas kan alles de thema’s online veiligheid en privacy bewustzijn binnen de organisatie heeft verhoogd. Daarnaast vond er een hack plaats bij IJmond Werkt! Als gevolg hiervan is er in meerdere samenwerkingsverbanden tussen de betrokken gemeente intensief samengewerkt om de afwikkeling hiervan in goede banen te leiden. Vanwege de ernst en omvang van het aard incident en de lange afwikkeling, zijn de financiële gevolgen nog niet bekend.
Omdat de ontwikkelingen waarin privacy een rol speelt zich in razendsnel tempo uitbreiden, zijn er meerdere acties uitgevoerd om een hoger privacyvolwassenheidsniveau te bereiken. Zo zijn er 11 Privacy contactpersonen (PcP’s) in de organisatie aangesteld. Deze PcP’s hebben een opleiding gevolgd en hard gewerkt aan hun invulling in de rol als PcP. Ook zijn er voor een groot aantal medewerkers (digitale) introductiebijeenkomsten georganiseerd waarin het privacy bewustzijn werd vergroot. Deze bijeenkomsten hadden tevens als doel privacy op een natuurlijke manier tot de organisatiecultuur te laten behoren. Privacy heeft daarnaast haar eigen intranetpagina gekregen. En er zijn 2 intranetpagina groepen opgericht: Privacy contactpersonen en de Privacy & Informatiebeveiliging groep.