Informatiebeveiliging NEN 7510
GEDRAGSCODE VOOR GEBRUIK COMPUTERFACILITEITEN 2010
3-83-8-2010 Westfriesgasthuis Hoorn
VERSIEBEHEER Dit document staat onder versiebeheer. Onderstaande tabel betreft een historisch overzicht van versies van dit document tot op heden.
Versie 0.1 0.2
0.4 0.5 0.6
Naam auteur Chantal Hofenk Rosalyn Reus/ Hans Wagenaar Rosalyn Reus/ Hans Wagenaar Hans Wagenaar Rob Kuijpers Rosalyn Reus
1.0
Hans Wagenaar
03-08-2010
0.3
Datum 25-3-2010 05-04-2010
Reden van wijziging Opstellen document Wijzigingen en aanvullingen
19-04-2010
Wijzigingen
22-04-2010 06-05-2010 25-05-2010
Wijzigingen Kleine tekstuele wijzigingen ICT hfdstk 4 Kleine tekstuele wijziging onderdeel 4.8; status defintief concept ter verzending projectgroep Kleine tekstuele wijzigingen->Definitieve versie
Omschrijving
Gedragscode voor gebruik computerfaciliteiten
Datum
28-12-2009 tot 03-8-2010
Versie
1.0
Opsteller(s)
C. Hofenk/H. Wagenaar
Status
Definitief
Beoordelaar(s)
Werkgroep 8 IB/Projectgroep IB Beheerder
H. Wagenaar
Autorisatie
pagina: 2 / 8
03-08-2010
Gedragscode voor gebruik computerfaciliteiten versie 1.0 definitief.doc Westfriesgasthuis Inleiding Veel medewerkers van het Westfriesgasthuis maken in diverse vormen gebruik van computerfaciliteiten. Het is van belang dat zorgvuldigheid wordt betracht bij dit gebruik. Aan computerfaciliteiten, waaronder internet en e-mail, zijn grote voordelen, maar ook risico's verbonden. Daarom worden in deze gedragscode regels en voorwaarden gesteld aan het gebruik van computerfaciliteiten. Bij het opstellen en toepassen van deze gedragscode wordt gestreefd naar een goede balans tussen controle op verantwoord gebruik van de computerfaciliteiten en de bescherming van de privacy van de werknemers op de werkplek. Primair wordt er van uitgegaan dat medewerkers hun (professionele) verantwoordelijkheid nemen.
Doelstelling Het instellen van deze gedragscode heeft tot doel de regels en voorwaarden voor het gebruik van computerfaciliteiten, inclusief de wederzijdse rechten en plichten van de werkgever en de werknemer, bekend te maken. Daarnaast wordt beoogd te voorkomen dat: − misbruik en overbelasting van de computerfaciliteiten ontstaat; − onnodige vergissingen, incidenten of schade door het gebruik van de computerfaciliteiten optreedt; − schade aan de goede naam van het Westfriesgasthuis wordt aangebracht.
Gehanteerde begrippen In deze gedragscode worden de volgende begrippen gehanteerd: − Beheerder: degene die toezicht houdt op het functioneren van de computerfaciliteiten van het Westfriesgasthuis. Op centraal niveau wordt deze functie ingevuld door (onderdelen van) de ICT-afdeling. Binnen de meeste organisatieonderdelen zijn hiervoor functionarissen en afdelingen verantwoordelijk; − Computerfaciliteiten: alle hulpmiddelen die worden gebruikt voor de geautomatiseerde informatievoorziening, waaronder apparatuur, programmatuur, netwerken, internet en e-mail; − Gebruiker: degene die gebruik maakt van de computerfaciliteiten van het Westfriesgasthuis; − Leidingevende: de direct of naasthogere leidinggevende − Spam: onpersoonlijke, ongevraagde commerciële emailberichten of ongevraagde massale emailberichten; − Werkplek: de plaats waar het gebruik van de computerfaciliteiten plaatsvindt, inclusief de apparatuur die hiervan onderdeel uitmaakt.
1. Werkingssfeer 1.1.
Deze gedragscode is van toepassing op: − Personen die een aanstelling hebben bij het Westfriesgasthuis of waarmee een detachering- of een stageovereenkomst is gesloten; − Personen werkzaam bij een organisatie waarmee het Westfriesgasthuis een inleen- of samenwerkingsovereenkomst heeft waarin o.a. het gebruik van computerfaciliteiten is geregeld; pagina: 3 / 8
Gedragscode voor gebruik computerfaciliteiten versie 1.0 definitief.doc Westfriesgasthuis − Overige personen aan wie het recht tot het gebruik van de computerfa1.2.
ciliteiten van het Westfriesgasthuis is verleend. De in paragraaf 1.1 vermelde personen worden in het vervolg van deze gedragscode aangeduid als 'gebruiker'.
2. Algemene regels en voorwaarden Voor het gebruik van computerfaciliteiten gelden binnen het Westfriesgasthuisde volgende voorwaarden: 2.1. De aan de gebruiker ter beschikking gestelde computerfaciliteiten zijn bedoeld voor zakelijk gebruik. Privé-gebruik is alleen in zeer beperkte mate toegestaan, als dit de dagelijkse werkzaamheden niet negatief beinvloedt, niet schadelijk is voor de (prestaties van) computerfaciliteiten van het Westfriesgasthuis en het gebruik geen uitstel dult. 2.2. Het is niet toegestaan computerfaciliteiten van het Westfriesgasthuis te gebruiken of te exploiteren voor commerciële doeleinden anders dan die welke voortvloeien uit hoofde van de functievervulling bij het Westfriesgasthuis, tenzij hiervoor expliciet toestemming van de leiding is verkregen. 2.3. Het gebruik van computerfaciliteiten moet binnen de grenzen van de wet plaatsvinden. 2.4. De gebruiker is verplicht zich te houden aan algemene instructies voor het gebruik van computerfaciliteiten. Instructies en aanwijzingen die tijdens het gebruik van computerfaciliteiten worden gegeven moeten worden opgevolgd. 2.5. Toegang tot computerfaciliteiten van het Westfriesgasthuis wordt verleend op basis van een combinatie van gebruikersnaam en een persoonlijk wachtwoord of andere vergelijkbare identificatie- en authenticatiemiddelen 2.6. Voor het beheer van het persoonlijke wachtwoord gelden de volgende regels: − De gebruiker is verantwoordelijk voor het gebruik van de bevoegdheden die aan de combinatie van gebruikersnaam en wachtwoord zijn verbonden. De gebruiker moet dus alle redelijke maatregelen voor de beveiliging en geheimhouding van het wachtwoord hebben getroffen; − Het wachtwoord mag niet in herkenbare c.q. leesbare vorm genoteerd worden op enige gegevensdrager of opgeslagen op opslagmedia; − Het wachtwoord is strikt persoonlijk en niet overdraagbaar; − Ten aanzien van het wachtwoord is geheimhouding verplicht; − Het is de gebruiker niet toegestaan gebruikersnaam en wachtwoord tijdelijk beschikbaar te stellen aan anderen; − De gebruiker zal bij constatering van misbruik van zijn combinatie van gebruikersnaam en wachtwoord de leidinggevende hiervan onverwijld in kennis stellen. De gebruiker zal zijn werkplek zorgvuldig gebruiken en beheren en ervoor zorgdragen dat deze werkplek bij tijdelijke of langdurige afwezigheid niet onbeheerd wordt achtergelaten. 2.7. Het is de gebruiker niet toegestaan zich ongeautoriseerd toegang te verschaffen tot gegevens van andere gebruikers of ongeautoriseerd programma's te gebruiken. pagina: 4 / 8
Gedragscode voor gebruik computerfaciliteiten versie 1.0 definitief.doc Westfriesgasthuis2.8. Het is de gebruiker niet toegestaan de door het Westfriesgasthuis ter be-
schikking gestelde programmatuur, gegevensbestanden of documentatie ongeautoriseerd te kopiëren of ter beschikking te stellen aan derden. 2.9. De gebruiker zal geen acties ondernemen of pogingen hiertoe doen die de continuïteit of de beveiliging van de computerfaciliteiten van het Westfriesgasthuis ondermijnen en daarmee de continuïteit van het primaire proces en de algehele bedrijfsvoering in gevaar brengt. 2.10. Het is niet toegestaan andere gebruikers met behulp van de computerfaciliteiten onheus te bejegenen of lastig te vallen. 2.11. De gebruiker zal zorgvuldigheid betrachten bij het gebruik en het beheer van mobiele apparatuur en gegevensdragers. Dit geldt ook voor het aansluiten van mobiele apparatuur op het netwerk van het Westfriesgasthuis. 2.12. De gebruiker is verantwoordelijk voor het afdrukken van gegevens op printers en zal de vertrouwelijkheid van afgedrukt materiaal waarborgen.
3. Regels en voorwaarden voor het gebruik van email en internet Voor het gebruik van e-mail en internet gelden binnen het Westfriesgasthuis de volgende voorwaarden: 3.1 De gebruiker van internet en e-mail handelt professioneel en integer jegens diegenen met wie hij in dat gebruik te maken heeft. 3.2 Het gebruik van het aan de gebruiker op persoonlijke titel ter beschikking gestelde emailadres is strikt persoonlijk. 3.3 Het is de gebruiker niet toegestaan een niet voor hem geldend emailadres te gebruiken. 3.4 Het is niet toegestaan emailberichten op enigerlei wijze te vervalsen. 3.5 Het is niet toegestaan met behulp van de computerfaciliteiten van het Westfriesgasthuis spam te versturen. 3.6 Het is niet toegestaan voor andere gebruikers bestemde emailberichten doelbewust ongeautoriseerd te lezen, kopiëren, wijzigen, door te sturen of te vernietigen. 3.7 Het is gebruikers niet toegestaan elektronische kettingbrieven of waar schuwingsberichten van virussen aan (groepen van) gebruikers te ver zenden. 3.8 Het is de medewerker niet toegestaan om door middel van e-mail - anoniem of onder een fictieve naam berichten te versturen; - racistische, discriminerende, seksueel getinte, dreigende of beledigende berichten, alsmede kettingmailberichten te verzenden of door te sturen; - iemand elektronisch lastig te vallen. 3.9 De medewerker die berichten van deze aard aangeboden krijgt is verplicht dat te melden aan zijn of haar werkgever. 3.10 Het is niet toegestaan informatie die strijdig is met de wet of de goede zeden (o.a. pornografisch materiaal), informatie die de goede naam van het Westfriesgasthuis aantast, informatie die een discriminerend, opruiend, aanstootgevend of bedreigend karakter heeft met behulp van computerfaciliteiten van het Westfriesgasthuis te produceren, benaderen, op te slaan, te verzenden of in de openbaarheid te brengen. 3.11 De medewerker die ongevraagd informatie of materiaal krijgt aangeboden zoals genoemd in 3.11, is verplicht dat te melden aan zijn of haar werkgever. pagina: 5 / 8
Gedragscode voor gebruik computerfaciliteiten versie 1.0 definitief.doc Westfriesgasthuis3.12 Het gebruik van het internet voor persoonlijke doeleinden is alleen in zeer
beperkte mate toegestaan en alleen wanneer het gebruik geen uitstel dult. 3.13 Onder persoonlijke doeleinden worden in ieder geval begrepen: - het spelen of downloaden van spelletjes; - winkelen; - gokken of deelnemen aan kansspelen; - het bezoeken van chat- en babbelboxen; - deelname aan niet-zakelijke nieuwsgroepen; - abonnementen op e-zines, nieuwsbrieven e.d. voor niet- zakelijk gebruik. 3.14 Het is niet toegestaan auteursrechtelijk beschermd materiaal, waaronder programmatuur, teksten, beeldmateriaal of muziek, te kopiëren, te downloaden of aan derden ter beschikking te stellen zonder toestemming van de auteursrechthebbende. Bovendien moet bij het downloaden alles in het werk worden gesteld om het binnenhalen van virussen te voorkomen en de beschikbaarheid van de computerfaciliteiten niet in gevaar te brengen. 3.15 Het is niet toegestaan vertrouwelijke informatie, waaronder patiëntgegevens, op internet onbeveiligd ter beschikking te stellen of onbeveiligd via openbare netwerken (o.a. e-mail via internet) te verspreiden. 3.16 Een gebruiker mag zich op het internet niet ongeoorloofd toegang verschaffen tot niet- openbare bronnen of toegangsrechten van (gebruikers van) het Westfriesgasthuis misbruiken en hierdoor deze bronnen aan der den ter beschikking stellen. 3.17 Bij deelname aan discussiegroepen op het internet mag een gebruiker geen mededelingen doen namens het Westfriesgasthuis, maar moet aan gegeven worden dat meningen op persoonlijke titel worden geuit. 3.18 Het is niet toegestaan het e-mailadres en de naam van de zorginstelling achter te laten op websites, tenzij hiertoe toestemming is verkregen door het bevoegd management. 3.19 Wanneer de beveiliging of de continuïteit van de elektronische berichten voorziening dit vereist, is de Manager I&MT (of een door de Manager I&MT gemandateerde functionaris) gerechtigd voor gebruikers bestemde berichten te lezen, kopiëren, te vernietigen of bijlagen te verwijderen.
4. Privacy, toezicht en controle Voor de waarborging van de privacy bij het gebruik van computerfaciliteiten en de controle van dit gebruik gelden de volgende voorwaarden: 4.1. De verantwoordelijkheid voor en het toezicht op het juiste gebruik van de computerfaciliteiten van het Westfriesgasthuis ligt bij de leiding van de gebruiker(s). 4.2. Controle op het gebruik van computerfaciliteiten, waaronder e-mail en internet, vindt alleen plaats in het kader van de doelstelling van deze gedragscode en het beheer van de computerfaciliteiten. 4.3. Controle vindt, met uitzondering van het in artikel 4.5 gestelde, plaats op het niveau van getotaliseerde gegevens die niet herleidbaar zijn tot individuele personen. 4.4. In het kader van technisch systeem- en netwerkbeheer vindt vastlegging van gebruikers- en verkeerinformatie (logging) plaats. Deze gegevens worden niet langer dan een periode van drie maanden bewaard. pagina: 6 / 8
Gedragscode voor gebruik computerfaciliteiten versie 1.0 definitief.doc Westfriesgasthuis4.5. De werkgever heeft het recht om na een gerezen verdenking van hande-
4.6.
4.7.
4.8.
4.9.
4.10. 4.11.
4.12.
4.13. 4.14.
4.15.
len in strijd met deze gedragscode door de Manager I&MT of door hem aangewezen personen, in het kader van een onderzoek gedurende een beperkte periode gerichte en indien noodzakelijk individuele controle uit te laten voeren op het gebruik van e-mail, netwerkverkeer, internetgebruik of andere computersystemen. De leidinggevende van betrokkene(n) moet vooraf toestemming geven voor het uitvoeren van een gerichte individuele controle. Periodiek kunnen door de Manager I&MT of door hem aangewezen personen ook collectieve steekproeven worden uitgevoerd. Bij geconstateerde (beveiligings)incidenten heeft de beheerder het recht om apparatuur en/of gebruikers de toegang tot computers en/of netwerken (tijdelijk) te ontzeggen. Leden van de Ondernemingsraad en Onderdeelscommissies, bedrijfsartsen en andere medewerkers met een specifieke vertrouwensfunctie, zijn gedurende hun wettelijke beschermingsperiode in beginsel uitgesloten van persoonlijke controle, voor zover dit voortvloeit uit hun specifieke vertrouwensfunctie. Uitzonderingen hierop kunnen alleen worden gevormd door hetgeen in het hiernavolgende artikel wordt gesteld. Indien hiertoe gedwongen of gesommeerd door een vertegenwoordiging van de rechterlijke macht, in de rang van rechter-commissaris of hoger, zal de werkgever medewerking verlenen aan verstrekking van informatie aangaande gebruik van computerfaciliteiten door individuele gebruikers, voor zover dit niet in strijd is met een eventueel beroepsgeheim. Gebruikers hebben met betrekking tot hetgeen over hen in het kader van het gebruik van computerfaciliteiten is vastgelegd de volgende rechten: inzagerecht, recht op correctie, recht op kopiëren, recht op verwijdering en vernietiging wanneer vastlegging van deze gegevens niet meer ter zake doende is. Het gebruik van internet en e-mail wordt vastgelegd. Op het gebruik van internet en e-mail wordt toegezien door steekproefsgewijze controle en aan de hand van (geanonimiseerde) lijsten van bezochte internet sites en verzonden e-mails. Inkomend materiaal en berichten worden door de ICT-afdeling gecontroleerd op virus en andersoortige verontreinigingen. Materiaal of een bericht dat virus of andersoortige verontreinigingen bevat wordt tegengehouden. De afzender en de geadresseerde worden daarover geïnformeerd. De medewerker die materiaal of een bericht ontvangt ten aanzien waarvan hij vermoedt dat het virus of andersoortige verontreinigingen bevat is verplicht dat te melden aan de helpdesk van de ICT-afdeling. De aldus verkregen gegevens worden bewaard zolang dat voor het onderzoek en de afwikkeling daarvan noodzakelijk is.
5. Sancties In geval van overtreding van de in deze gedragscode opgenomen regels en voorwaarden gelden de volgende bepalingen: 5.1. Bij constatering van misbruik van computerfaciliteiten of het gebruik in strijd met de regelgeving of wettelijke bepalingen, kan de werkgever disciplinaire maatregelen treffen. Afhankelijk van de aard en de ernst van de pagina: 7 / 8
Gedragscode voor gebruik computerfaciliteiten versie 1.0 definitief.doc overtreding zullen die maatregelen arbeidsrechtelijke consequenties kunWestfriesgasthuis 5.2.
nen hebben. In beginsel zal eerst een waarschuwing worden afgegeven en vervolgens passende maatregelen worden genomen. Het onmiddellijk opzeggen van de arbeidsovereenkomst om een dringende reden kan één van deze maatregelen zijn. Bij ernstige schending van de in deze gedragscode opgenomen regels en voorwaarden zal een waarschuwing achterwege kunnen blijven.
6. Overige bepalingen Voor het gebruik van computerfaciliteiten gelden binnen het Westfriesgasthuis de volgende overige bepalingen: 6.1. Vaststelling van deze gedragscode geschiedt door de Raad van Bestuur volgens de gangbare besluitvormingsprocedure. 6.2. De werkgever informeert de gebruikers voorafgaande aan de invoering en bij wijziging van deze gedragscode over de inhoud van deze code, waaronder hetgeen over toezicht en controle is opgenomen. 6.3. In alle gevallen waarin deze gedragscode niet voorziet, beslist de Raad van Bestuur.
7. Inwerkintreding Voor de inwerkingtreding van deze gedragscode geldt de volgende bepaling. 7.1. Deze gedragscode treedt per direct in werking.
pagina: 8 / 8