Informatiebeveiliging
De gemeente handelt continu product- en dienstaanvragen af. Hierbij worden op grote schaal (persoons-)gegevens verwerkt. Iedereen moet erop kunnen vertrouwen dat dit zorgvuldig, conform onder andere de Algemene Verordening Gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO) gebeurt. De Data Protection Impact Asessments (DPIA’s) op (nieuwe/gewijzigde) processen en de Security Checks (risicoanalyses) op informatiesystemen worden ook in 2026 voortgezet. In 2025 zijn circa 35 DPIA's, Security Checks en herijkingen uitgevoerd.
Daarnaast wordt geadviseerd over allerhande privacyvraagstukken. Deze processen zijn zodanig ingericht dat de privacywetgeving ten aanzien van de werkprocessen goed geborgd is binnen de AA-organisatie.
Vanwege de complexiteit en de breedte van de onderwerpen informatiebeveiliging en privacy wordt periodiek een risico-inventarisatie uitgevoerd, een (nieuw) actieplan informatiebeveiliging en privacy vastgesteld en wordt het informatiebeveiligings- en privacybeleid getoetst.
In september 2025 is de vernieuwde BIO 2.0 (Baseline Informatiebeveiliging Overheid) vastgesteld. Deze legt meer nadruk op risico gestuurd werken en het gebruik van een Information Security Management System (ISMS). De BIO 2.0 wordt juridisch gekoppeld aan de Cyberbeveiligingswet (implementatie van de Europese NIS2-richtlijn) en wordt daarmee verplicht voor overheden. Gemeenten blijven tot de inwerkingtreding van de wet de huidige BIO gebruiken, maar passen BIO 2.0 al richtinggevend toe.
De NIS2 ‑ richtlijn (nu uitgesteld tot medio 2026) heeft een bredere scope dan de huidige BIO; de richtlijn vraagt ook aandacht voor toeleveranciers en vitale processen en moet betere bescherming bieden tegen (cyber)incidenten voor organisaties (ook gemeenten). Hiervoor moeten bijvoorbeeld ook I(CT) toeleveranciers en de eigen vitale maatschappelijk processen in kaart gebracht worden. Met deze inventarisatie en beoordeling is in 2025 al een begin gemaakt en in 2026 wordt dit verder uitgebreid. Dankzij de NIS2-richtlijn zullen organisaties nog meer in control zijn over de verantwoordelijkheden, beschikbaarheid, integriteit en vertrouwelijkheid van de eigen processen.
Om de kans op digitale aanvallen te verkleinen, worden ook technische maatregelen genomen door het inzetten van onder andere antivirussoftware, een firewall, netwerksegmentering en door het analyseren van securitymeldingen via het Security Information & Event Management systeem (SIEM). Het veilig houden van het netwerk en de ICT-systemen, vanwege de grote afhankelijkheid van digitale informatie in combinatie met de vele dreigingen, vraagt hierdoor structureel de aandacht van de organisatie.
Datagovernance, ethiek en algoritmes
Het project “Datagedreven werken met datagovernance” is in 2025 officieel gestart. Hiermee wordt structuur aangebracht in onze data, en kaders en uitgangspunten vastgesteld. Met datagovernance worden processen geoptimaliseerd en dienstverlening en bedrijfsvoering verbeterd. Daarmee worden stappen gezet richting datagedreven werken en meer transparantie richting inwoners.
Datagovernance gaat behalve over datamanagement, datakwaliteit en de beveiliging ervan, ook zeker over data-ethiek en in dat kielzog ook over algoritmen. De ethische dimensie is breder en gaat over de relatie met data- en informatietechnologie; zie ook verder bij Artificial Intelligence (AI).
Artificial Intelligence
De snelle opkomst van generatieve AI is niet onopgemerkt voorbijgegaan. Al in 2024 is gestart met het verkennen van de mogelijkheden door het aanbieden van Copilot Chat, een onderdeel van Microsoft. De functionaliteiten hiervan zijn in 2025 verder verkend en uitgebreid, en de inzet van Copilot Chat in de kantooromgeving wordt onderzochte en uitgebreid. De medewerkers zijn hierin opgeleid en leren zo met AI werken. Daarnaast wordt ook breder gekeken naar andere AI-toepassingen, waaronder een beleidsbot en een chatbot op de website. Tegelijkertijd is er hard gewerkt aan beleid en spelregels op dit gebied.
Vanwege de risico’s en de vele onduidelijkheden die er mee gemoeid zijn, wordt een stap-voor-stap benadering gehanteerd waarbij van de ervaringen van andere gemeenten wordt geleerd. Op dit geheel nieuwe werkveld moet de gemeente de balans vinden in de huidige koers op ICT gebied, waarbij de gemeente zich als ‘smart follower’ richt op ‘proven technology’, ofwel ICT techniek die zich elders al bewezen heeft en de mogelijke innovatieve voordelen van de inzet van vernieuwende en niet altijd elders bewezen, AI.