We bezitten veel informatie over de inwoners en bedrijven van Almere
Daarom hebben we als gemeentelijke overheid een grote verantwoordelijkheid op het gebied van informatieveiligheid en privacy. Zo hebben we onder andere beleidsdocumenten en werkzaamheden aangepast aan de beveiligingseisen van deze tijd, bewustwordingscampagnes gehouden onder de medewerkers en gewerkt aan het volwassen maken van de organisatie op het gebied van informatieveiligheid en privacy. Met als doel dat iedere medewerker zich bewust is van het feit hoe om te gaan met informatie.
We gebruiken verschillende richtlijnen (gebaseerd op wetgeving) om goed om te gaan met informatie
De Algemene verordening gegevensbescherming (AVG) geeft aan hoe we om moeten gaan met persoonsgegevens zowel intern als extern. De Wet Politie Gegevens (WPG) geeft ditzelfde aan voor de politiegegevens. Daarnaast is er de Baseline Informatieveiligheid Overheid (BIO) die beschrijft hoe de informatie veilig beheerd moet worden. Daarnaast komt er in 2025 een verdere aanscherping van de huidige BIO, BIO-2. BIO is het basisnormenkader voor informatiebeveiliging binnen de overheid. Dit normenkader wordt komend jaar doorontwikkeld in zowel de wetgeving als binnen de organisatie. Daarnaast wordt er op 18 oktober een nieuwe Europese cyberbeveiligingsrichtlijn, NIS-2 (Network & Information Security) vastgesteld. Deze richtlijn richt zich op de risico’s die netwerk- en informatiesystemen bedreigen. De richtlijn wordt medio 2025 opgenomen in nationale wetgeving. Ook overheden, waaronder gemeente Almere, moeten in 2025 voldoen aan de cyberbeveiligingswetgeving. Dit brengt toezichthoudende taken, onderzoekstaken en verantwoordingslast met zich mee.
Op 1 augustus 2024 is de AI Act in werking getreden
Deze Europese Verordening stelt eisen voor de ontwikkeling en het gebruik van AI-systemen, waaronder de inzet van algoritmen. Hiervoor is in 2024 het Kader en Actieplan Algoritmen uit 2023 geactualiseerd en uitgebreid. Vanaf 2024 wordt dit het Kader en Inrichting Algoritmen en AI genoemd. Dit kader is ook van toepassing voor 2025. Vooralsnog zijn wij als organisatie niet voldoende voorbereid om te kunnen voldoen aan de eisen die deze wet stelt voor de ontwikkeling en inzet van AI/algoritmen in onze processen. In 2025 zullen de 3B’s (beschermen, beheren en beveiligen) inzichtelijk maken binnen welke processen er gebruik gemaakt wordt van AI en/of een algoritme. Daarnaast bepalen we per algoritme in welke risicocategorie het algoritme valt.
Verder zullen we vanuit de 3B’s voor wat betreft de verbeterplannen met de afdelingen verder gaan zoals we in 2024 zijn gestart. De focus ligt vooralsnog op het in kaart brengen van de processen en het verder aanvullen en/of up to date maken van de IGO. Daarbij zal ook aandacht zijn voor het inzichtelijk maken van algoritmen.
Eind 2024 is in het kader van bewustwording vanuit de 3B’s een adviseur ingeschakeld die gespecialiseerd is in gedragsverandering. Er zal met deze persoon in samenwerking met de 3B’s, die de vakinhoudelijke kennis leveren, een plan worden opgesteld waarin wordt opgenomen hoe de organisatie in 2025 zal investeren in het bewustzijn van haar medewerkers op het gebied van privacy, informatiebeheer en -beveiliging.