Do s en Don ts voor pro Justitia rapporteurs

1

PROTOCOL VEILIG OMGAAN MET INFORMATIE Do’s en Don’ts voor pro Justitia rapporteurs

Pagina 1 van 10

Nederlands Instituut voor Forensische Psychiatrie en Psychologie

Inhoudsopgave Inleiding ............................................................................................................... 1 Veilig omgaan met informatie zowel thuis als buiten .................................................. 4 Veilig omgaan met ICT middelen ............................................................................. 4 Veilig gegevensverkeer ......................................................................................... 5 Internet: een glazen huis ....................................................................................... 7 Zakelijk of privé ................................................................................................. 7 Meedoen: zorgvuldig, gericht, gedoseerd .............................................................. 8 Nieuwe media op een rij...................................................................................... 8 NIFP Net en informatiebeveiliging ............................................................................ 9 Incident? De rol van de IBF bij incidenten ........................................................................... 9 Tot slot ...............................................................................................................10 Overzicht relevante wet- en regelgeving ..................................................................10

bijlage 4 bij samenwerkingsovereenkomst tussen NIFP en rapporteurs 18 april 2011

Pagina 2 van 10


Inleiding Als PJ rapporteur rapporteert u voor Justitie door tussenkomst van het NIFP. In uw werk bent u dagelijks bezig met vertrouwelijke informatie. U spreekt met collega‟s, met ketenpartners, met gedetineerden (cliënten). U verwerkt vervolgens informatie in uw rapporten. Dit wordt ondersteund door diverse technische mogelijkheden; we leven immers in een informatiemaatschappij. In uw werk als professional zult u dagelijks risico‟s afwegen, maar weegt u in het werken met vertrouwelijke informatie ook de informatierisico‟s af? Controleert u bijvoorbeeld altijd of het door u verzonden document ook daadwerkelijk bij het NIFP is aangekomen? Gebruikt u altijd een beveiligde USB-stick? Realiseer u dat u bij de verwerking van gegevens (opslaan, verzenden, e.d.) rekening dient te houden met de relevante wetgeving. Dat betreft de Wet Bescherming Persoonsgegevens, de strafrechtelijke regelgeving en de voor uw beroepsgroep geldende regels uit het gezondheidsrecht . Op grond van deze wetgeving bent u verplicht tot geheimhouding en dient u zorgvuldig om te gaan met de u toevertrouwde informatie. Dit betekent onder andere dat deze gegevens beveiligd moeten zijn tegen inzage door onbevoegden, diefstal, misbruik en openbaarmaking. Dat u hier niet altijd aan denkt is begrijpelijk en daarom is deze brochure ontwikkeld. Hoe meer u zich bewust bent van het belang van informatiebeveiliging, hoe beter incidenten voorkomen kunnen worden. Deze bewustwording wil het NIFP, en breder heel het ministerie van Justitie, bereiken door het informeren van medewerkers en rapporteurs. Bij DJI werken inmiddels vijftig Informatiebeveiligings-functionarissen (IBF-ers). Zij melden en registreren incidenten; formuleren verbetervoorstellen en werken aan bewustwording. Dit laatste is niet vrijblijvend; elke medewerker en elke rapporteur heeft een eigen verantwoordelijkheid. Wij nodigen u uit deze informatie goed door te lezen en daaruit de gevolgen te trekken voor uw gedrag en voorzieningen.


Pagina 3 van 10


Veilig omgaan met informatie zowel thuis als buiten Velen van u werken (deels) vanuit huis. U werkt uw rapport uit, print stukken en verstuurt e-mails. Als u dit op een veilige manier doet, is er niets aan de hand. Maar ook thuis kunnen anderen geconfronteerd worden met informatie die aan u is toevertrouwd. Wat u zelf kunt doen: 1. Sla geen vertrouwelijke informatie op op uw privé laptop of privé computer. Werk altijd en enkel vanaf de door het NIFP uitgegeven beveiligde USB Stick. Vervoer deze ook veilig en voor uzelf vindbaar, dus niet los in uw tas of broekzak. 2. Vervoer uw rapportages/dossiers in een deugdelijk af te sluiten tas/koffer en niet in een plastic tasje, zoals helaas maar al te vaak gebeurt. 3. Bespreek geen gegevens over strafzaken en onderzochten per (mobiele) telefoon in een voor het publiek bestemde ruimte(bus, station, café) 4. Clean desk: zorg er ook thuis voor dat vertrouwelijke stukken goed opgeborgen zijn. Vergeet ook niet de printer en de prullenbak na te kijken Wat het NIFP voor u kan doen: Het NIFP kan u voorzien van een beveiligde USB stick. De beveiligde USB stick kunt u verkrijgen door het invullen van een formulier dat verkrijgbaar is bij de NIFP locatie die voor u bemiddelt. Het NIFP kan u adviseren in het op een zo veilig mogelijke wijze omgaan met informatie Het NIFP geeft richtlijnen uit over het veilig omgaan met informatie, digitale media etc. Veilig omgaan met ICT middelen Laptops, BlackBerry‟s en I-Phones: ze zijn niet meer weg te denken uit ons dagelijks straatbeeld en ons werkterrein. Het gebruik van deze digitale middelen vraagt om extra zorg. De apparaten zijn klein en kunnen dus makkelijk vergeten of gestolen worden met alle gevolgen van dien. Over dergelijke incidenten kunnen zelfs vragen in de Tweede Kamer gesteld worden. Wat u zelf kunt doen: 1. Verlies uw laptop, BlackBerry of USB stick nooit uit het oog. Laat de laptop nooit achter in de kofferbak van uw auto, maar ook niet in de woonkamer op de tafel zonder dat u daarbij bent. Een recent incident heeft weer aangetoond dat een steen snel door een raam is gegooid. Gevolg: een gestolen laptop waarop een aantal Pro Justitia rapporten stonden


Pagina 4 van 10


2. Kies een veilig wachtwoord (combinatie van cijfers, letters, kleine en hoofdletters, minimaal acht tekens, cijfers en lee$teken$) 3. Voor uw werkomgeving dient u op uw PC of Mac een apart account aan te maken met beperkte gebruikersrechten. Wanneer u bij het aanmaken van het account de map “Mijn Documenten” laat verwijzen naar het beveiligde deel van uw USB stick is de kans klein dat er tijdens het opslaan en het bewerken van het document per ongeluk iets mis gaat. (icoon: mijn documenten/rechtermuisknop/eigenschappen/doel zoeken/usb stick). Met de bovengenoemde werkwijze heeft u altijd de meest recente versie op uw USB stick staan, zodat bij uitwisseling op de dienst niet blijkt dat de bewerkte versie nog op de thuiscomputer staat. 4. Het spreekt voor zich dat u op uw computer de noodzakelijke beveiligingsmaatregelen heeft genomen (firewall aan en een up to date antivirus/beveiligingsprogramma). 5. Dossiers die niet meer in bewerking zijn kunt u het beste opslaan in hard copy of op een dvd/cd‐rom schijf. 6. Indien uw USB stick niet meer werkt verzend deze dan aangetekend en deugdelijk verpakt naar het SSC ICT conform de procedure die u heeft gekregen bij de ontvangst van de USB stick. 7. Bij vervanging van uw computer is het in elk geval raadzaam uw harde schijf te formatteren, maar dat biedt geen garantie. U kunt uw oude computer aanbieden aan het SSC BU Midden te Ede. Deze kunnen uw computer tegen een kleine vergoeding vernietigen. (dit is besproken met het SSC BU Midden) Veilig omgaan met e-mail Blijf kritisch op wat u per e-mail verzendt. E-mail kan ongemerkt worden onderschept of in een onbewaakt moment naar een verkeerd adres worden (door)gestuurd. Gaat het om vertrouwelijke informatie (zoals een Pro Justitia rapportage), verzend deze dan niet via e-mail. Ga er vanuit dat e-mail berichten door anderen bekeken kunnen worden. Wees u bewust van de risico‟s die deze informatie in een andere omgeving teweeg kan brengen. Ook op het oog onschuldige informatie, zoals een gsm-nummer of een foto kan misbruikt worden als het in verkeerde handen valt. Verstuur e-mail alleen naar direct betrokkenen, houdt het zakelijk en verzend niet meer gegevens dan nodig is. In de volgende paragraaf gaan wij u informeren op welke wijze u Pro Justitia rapportages kunt aanbieden bij het NIFP


Pagina 5 van 10


Veilig uw rapportage naar de NIFP locatie verzenden In het recente verleden heeft u vaak de door u opgemaakte rapportages doorgestuurd naar een NIFP locatie. Dit kon per post, maar ook kon u bij het NIFP een beveiligde Usb stick uitgereikt krijgen. In de praktijk werden rapporten vaak per e-mail verstuurd naar het NIFP. Om veiligheidsredenen wordt dit door DJI niet meer toegestaan. Daar heeft het NIFP zich aan te houden. Voor u als rapporteur kan het versturen van rapportages via email ook vervelende consequenties hebben (zie ook „Veilig omgaan met e-mail‟). Denk aan het versturen naar een foutief e-mail adres of het niet aankomen van de mail. In samenwerking met het SSC-i en de firma TELE 2 is een oplossing gevonden voor het uitwisselen van rapporten in een beveiligde digitale omgeving. De werkwijze wordt hieronder puntsgewijs weergegeven: 1. U logt in als rapporteur op het extranet voor rapporteurs op www.nifpnet.nl 2. Op het extranet bevindt zich een link die zodra u daar op klikt en een wachtwoord invult u doorlinkt naar een beveiligde webserver. 3. Deze webserver heeft een zogeheten postbusfunctie, niets meer en niets minder. 4. U kunt op deze beveiligde server uw opgemaakte rapport uploaden en afleveren. 5. Vervolgens belt u naar de desbetreffende NIFP locatie en geeft u door dat u een rapport op de server heeft geplaatst 6. Bij de NIFP locatie wordt het rapport van commentaar voorzien en weer terug op de server geplaatst 7. Vervolgens kunt u het rapport er weer af halen en waar nodig bewerken waarna het proces zich herhaalt. Het gebruik van de server is alleen toegestaan voor het up- en downloaden van vertrouwelijke rapportages waarvoor u, door tussenkomst van het NIFP, een opdracht heeft gekregen. Het is niet toegestaan om privé documenten te up- en downloaden. Wanneer u gebruik maakt van de beveiligde bestandsoverdracht via kennisnet dient u er voor te zorgen dat: Alleen de laatste versie van het concept rapport op de server staat; U zich houdt aan de naamconventies zoals deze genoemd zijn in de gebruikershandleiding. Rapportages welke afgerond zijn niet meer op de server bewaard worden.


Pagina 6 van 10


Internet: een glazen huis Wie op een verantwoorde manier gebruik wil maken van internet, is zich bewust van de mogelijkheden en risico's die dat met zich meebrengt. Internet biedt heel veel voordelen, maar er zijn ook risico's. De grens tussen werk en privé kan makkelijk vervagen. Weet dus waar u bent, wie er achter een site zit, weet wie de doelgroep ervan is en wat uw doel is als u deelneemt aan bijvoorbeeld een platform. Realiseer u dat internetlezers vrij makkelijk achter uw identiteit kunnen komen door profielen en andere informatiesporen op het net aan elkaar te linken. Werken op internet is werken in een glazen huis, hou dat steeds in uw achterhoofd. Zakelijk of privé In artikel 7 van de Grondwet staat dat iedereen recht heeft op vrije meningsuiting. Dit betekent dat iedereen op het internet mag zeggen of schrijven wat hij wil. Kritisch zijn mag. Zorg dat u zichzelf wel bewust bent van het feit dat uitspraken jaren later nog steeds teruggelezen kunnen worden. U heeft een groot bereik, anderen kunnen op uw bijdrage reageren, u bent persoonlijk zichtbaar en u heeft direct contact met andere deelnemers.

Daarnaast is het belangrijk om u bewust te zijn van de positie van waaruit u dingen zegt. Doet u een privé uitspraak of reageert u vanuit uw onafhankelijke positie als rapporteur of (indien op u van toepassing) als medewerker van een organisatie? Velen van u zullen gebruik maken van LinkedIn, waarbij u een zakelijk e-mailadres gebruikt, maar waarbij u ook contact onderhoudt met vrienden en kennissen. Of u schrijft op uw werk, maar wel op persoonlijke titel, een stuk voor een bepaalde site. Treedt u dan op als privé persoon, als onafhankelijk rapporteur of als (indien op u van toepassing) medewerker van een organisatie? Kortom, de scheiding tussen privé en zakelijk is niet altijd helder. Bekijk daarom steeds in welke hoedanigheid u optreedt, weeg risico‟s af en gebruik uw gezond verstand. Wat u zelf kunt doen: Bedenk altijd: bijdragen op internet blijven vaak jarenlang staan en kunnen gemakkelijk door andere media worden overgenomen. Geef nooit vertrouwelijke of persoonlijke informatie. Blijf binnen de wettelijke kaders van het auteursrecht. Onthoudt u van uitspraken die beledigend kunnen zijn. Stel uzelf de vraag: zou ik me op mijn gemak voelen als mijn bijdrage morgen in de krant staat?


Pagina 7 van 10


Meedoen: zorgvuldig, gericht, gedoseerd Online is een ruim begrip en de vormen en mogelijkheden zijn eindeloos. Buiten dat het internet ons voorziet van een schat aan informatie, zijn vooral de sociale media sterk in opkomst. Zo kunnen we chatten, foto's en filmpjes uploaden, bloggen, Twitteren, vrienden maken en zelfs een virtueel leven leiden. Ook hier geldt weer: wees u bewust van wat u op het internet plaatst. Privé foto‟s of filmpjes van uw Hyves/Facebook pagina kunnen gemakkelijk in verband worden gebracht met uw zakelijke Linkedin profiel. Toch brengt het meedoen met de nieuwe media ook vele voordelen met zich mee. Wist u namelijk al dat het NIFP ook Twittert?1 Wij maken bewust gebruik van dit nieuwe medium om onze rapporteurs met korte berichten snel op de hoogte te brengen. Deelname aan nieuwe media maakt het mogelijk om: 1. Direct in contact te komen met collega‟s/vrienden/doelgroepen waardoor persoonlijke relaties kunnen worden opgebouwd en onderhouden. 2. Snel in contact te komen met rapporteurs en andere professionals/ketenpartners. Samen weet u meer dan één en het werken met verschillende disciplines en invalshoeken werkt verrijkend en inspirerend. 3. Snel op de hoogte te zijn van actuele ontwikkelingen en daarop in te spelen. Maar wat mag nu wel en niet op bijvoorbeeld Twitter? Dat is moeilijk te zeggen en wij, het NIFP, hanteren daarbij ons gezond verstand. Zo klappen we niet uit de school en twitteren we niet over zaken die intern in de organisatie zijn besproken. Natuurlijk brengen we nooit informatie naar buiten over zaken uit het verleden of zaken die nu lopen. Nieuwe media op een rij Wat u zelf kunt doen in het gebruik van nieuwe media: 1. Profielsites als Hyves, LinkedIn, Facebook Dit is uw privédomein, dat echter ook kan uitstralen naar u als professional. Geef hier geen vertrouwelijke informatie prijs. U kunt zonder risico een profiel aanmaken. 2. Eigen weblog, eigen site

1

Volg het NIFP op Twitter, via PJrapporteurs of lees de Twitter berichten op de Home pagina van het Rapportage extranet. (www.nifpnet.nl)


Pagina 8 van 10


Vermeld ook hier geen vertrouwelijke informatie. Blogt u over uw vakgebied, maak uw rol daarin dan duidelijk. Klap niet uit de school. Plaats geen foto's van of informatie over collega's zonder hun toestemming. 3. Twitter, microbloggen Maak uitspraken in besloten sfeer niet openbaar. Vermeld geen vertrouwelijk informatie. 4. Video- en fotokanalen als YouTube en Flickr Gebruik uw gezond verstand bij het plaatsen van filmpjes, geluidsbestanden of foto's. Houdt rekening met wie er gefilmd wordt, overleg voor plaatsing met de betrokkenen. 5. Wikipedia Corrigeer onjuiste lemma's en informeer bezoekers over feiten, maar doe dat alleen over uw eigen werkterrein en eventueel met functievermelding. NIFP Net en informatiebeveiliging Het NIFP heeft op de website www.nifpnet.nl een extranet opgezet, speciaal voor de rapporteurs. Hier vindt u informatie over informatiebeveiliging en kunt u zich abonneren op de digitale rapporteursnieuwsbrief die het NIFP een keer of zes per jaar verstuurt. In deze nieuwsbrief is ook altijd een item opgenomen over informatiebeveiliging. Ontvangt u de nieuwsbrief nog niet, meld u dan snel aan voor de meest actuele informatie. Melding bij incident En dan gebeurt het toch een keer; u bent slachtoffer van een diefstal van uw laptop of u laat uw BlackBerry met daarop vertrouwelijke informatie in de trein achter, of uw tas met dossiers wordt uit uw hand gerukt op het station. Incidenten gebeuren nu eenmaal in het dagelijks leven, de kunst is om er zorg voor te dragen dat deze niet escaleren. Dus wat te doen? Breng onmiddellijk telefonisch het hoofd van de NIFP locatie die voor u bemiddelt op de hoogte van het incident. Deze zal op zijn beurt de informatiebeveiligigsfunctionaris op de hoogte stellen en kan u adviseren over het informeren van de opdrachtgever(s) van rapportages en de onderzochte(n). De rol van de IBF bij incidenten Na uw melding beoordeelt de IBF of actie moet worden ondernomen. Hij doet onderzoek of adviseert voor het onderzoek een deskundige in te schakelen. In overleg bekijkt hij hoe de schade zoveel mogelijk beperkt kan blijven en kijkt hij samen met u naar mogelijkheden voor verbetering. De IBF stelt vervolgens een adviesrapport op voor de Algemeen Directeur. Houd er reke-


Pagina 9 van 10


ning mee dat er bij ongewenste media aandacht politieke consequenties uit een incident voort kunnen vloeien. Dit kan mogelijk ook gevolgen hebben voor u als professional.

Tot slot Als NIFP geven wij u graag richtlijnen op het gebied van informatiebeveiliging. Daarbij verlenen wij u enkele services, zoals het leveren van beveiligde USB sticks en, een beveiligde bestandsoverdracht via het nifpnet. Informatiebeveiliging is een verantwoordelijkheid van ons allen. Neem de tips die wij u gegeven hebben ter harte en, mocht het tot een incident komen, meldt dit dan direct bij het hoofd van de NIFP-locatie. Bij eventuele vragen rond andere kwesties zal hij u kunnen doorverwijzen naar de informatiebeveiligingsfunctionaris van het NIFP, Dhr. R. Bergström.

Overzicht relevante wet- en regelgeving Wet bescherming persoonsgegevens (Wbp) Wet Openbaarheid van Bestuur (WOB) Auteurswet (Aw) Archiefwet Wet Computercriminaliteit Voorschrift Informatiebeveiling Rijksoverheid Code voor Informatiebeveiliging Gedragscode e-mail en internetgebruik van het ministerie van Justitie Documentaire Informatie Voorziening (DIV) Gedragsprotocol DJI


Pagina 10 van 10

Do s en Don ts voor pro Justitia rapporteurs

Recommend Documents