Gedragscode voor gebruik van elektronische communicatiemiddelen

Gedragscode voor gebruik van elektronische communicatiemiddelen Bijlage 2 bij het arbeidsreglement Goedgekeurd op de OCMW-raad van xxxx/2015

xxxx 2015

Inhoudstafel A. Algemene bepalingen 1. Waarom deze gedragscode 2. Voor wie geldt deze gedragscode? 3. Verantwoordelijke voor de gedragscode? 4. Toepassingsgebied 5. Soorten gebruik

3 3 3 3 4

B. Gedragscode 1. Gebruik van hardware en software 2. Vertrouwelijke gegevens 3. Rechten en plichten 4. Ethiek 5. Gebruiksverbod 6. Publicatie van gegevens 7. Verantwoordelijkheid van de gebruiker 8. Controles en sancties

6 6 8 8 8 9 10 11

C. Overzicht rollen

13

Bijlage 1: Gids voor goede praktijken 1. Printer -en kopiegebruik 2. Surfen op het internet 3. E-mail 4. Telefoon 5. Gebruik van sociale media

14 14 17 17 20

Bijlage 2: Wachtwoordbeleid

22

Ondertekeningsverklaring

24

2 xxxx 2015

A. Algemene bepalingen 1. Waarom deze gedragscode? Het OCMW van Huldenberg gelooft dat de moderne communicatiemiddelen zoals computers en internet de interne en externe communicatie verbeteren en bijdragen tot een efficiënte dienstverlening. Deze gedragscode moet het efficiënt gebruik van die communicatiemiddelen verzekeren en duidelijke afspraken vastleggen over het gebruik, de controlemaatregelen en de eventuele sancties bij misbruik. Het opstellen van een gedragscode voor e-mail –en internetgebruik is een verplichting in het kader van de aansluiting van het OCMW bij de Kruispuntbank voor Sociale Zekerheid (verder in dit document afgekort als KSZ).

2. Voor wie geldt deze gedragscode? Dit reglement is van toepassing op alle personeelsleden van het OCMW. Dit reglement is van toepassing op alle externen die toegang hebben tot de elektronische communicatiemiddelen van het OCMW. Dit reglement is van toepassing, zelfs indien de werknemer zijn/haar eigen communicatiemiddelen gebruikt, in combinatie met die van de werkgever: bv. gebruik van het e-mailadres van het OCMW vanop een computer thuis, gebruik van een persoonlijk e-mailadres vanop de OCMW-werkplek, enz.

3. Verantwoordelijke voor de gedragscode De secretaris waakt over de naleving van dit reglement. Bij overtreding worden sancties opgelegd conform artikels 37 en 38 van het arbeidsreglement.

4. Toepassingsgebied: elektronische communicatiemiddelen en documenten 4.1. Elektronische communicatiemiddelen Elektronische communicatiemiddelen zijn alle media die het mogelijk maken gegevens te raadplegen, te verwerken, op te slaan en te verzenden: -

Apparatuur (computers, vaste en mobiele telefoons, faxmachines, modems, geheugenstick, kopieerapparaten, etc.) Netwerken (interne en externe netwerken, inclusief internet) Programma’s en toepassingen (web, elektronische post, databanken, etc.)

4.2. Elektronische documenten 3 xxxx 2015

Elektronische documenten zijn alle informatie in digitale vorm zoals bv. e-mail, websites, tekstbestanden, foto’s of muziek.

5. Soorten gebruik Elektronische communicatiemiddelen kunnen op twee manieren gebruikt worden, privé of beroepsmatig. Alle bepalingen in deze gedragscode zijn van toepassing op beide soorten gebruik. 5.1. Professioneel gebruik De secretaris beslist, op vraag van de dienstverantwoordelijke en na advies van de veiligheids-consulent wie toegang heeft tot welke communicatiemiddelen en bepaalt de voor-waarden waaraan deze toegang onderworpen is. Deze toegang is strikt persoonlijk en niet overdraagbaar. De secretaris kan te allen tijde die toegang weer intrekken, zelfs zonder verwittiging. Toegang tot de computerinfrastructuur en de communicatiemiddelen wordt verleend door individuele authentificatie. Het gebruik van een gebruikersnaam en wachtwoord is verplicht en strikt persoonlijk. De modaliteiten van het wachtwoord zijn vastgelegd in het document wachtwoordbeleid (zie bijlage). 5.2. Privégebruik Het feit dat je een toestel toegewezen krijgt, betekent niet dat alle gegevens die hierop bewaard worden, een persoonlijk karakter krijgen. Het is altijd mogelijk dat de secretaris, een dienstverantwoordelijke, systeemverantwoordelijke of veiligheidsconsulent in het kader van haar/zijn functie, kennis moet nemen van deze gegevens. E-mail en internet Het gebruik van het internet voor privédoeleinden is toegestaan tijdens de middagpauzes, vóór en na de in rekening gebrachte werkuren, in ieder geval binnen de glijuren en voor zover er een pc beschikbaar is. Buiten de ethische en wettelijke bepalingen die van toepassing zijn op het gebruik van elektronische communicatiemiddelen en beschreven staan in B.5. Gebruiksverbod zijn de volgende zaken strikt verboden in het kader van privégebruik: - Streamen van video (afspelen van filmpjes of live-uitzendigen) - Spelletjes - Professionele nevenactiviteiten beoefenen. - De OCMW-mail gebruiken voor privé-doeleinden. Gebruik daarvoor een webbased e-mailaccount (hotmail, gmail, yahoomail, etc.) Als je privé-mails toekrijgt op je OCMW-e-mail dien je de afzender ervan te verwittigen dat hij zijn/haar mails naar je privé-adres moet sturen. Kopies Je mag kopies nemen voor persoonlijk gebruik aan de volgende tarieven: 4 xxxx 2015

€ 0,10 per afdruk, voor kleine hoeveelheden; € 0,05 per afdruk voor grotere oplagen (= vanaf 50 afdrukken van éénzelfde origineel) Er mogen geen kleurenkopies gemaakt worden, tenzij na goedkeuring van de dienstverantwoordelijke. Kleurenkopies kosten € 0,15. -

GSM Bepaalde personeelsleden kunnen in hoedanigheid van hun functie of takenpakket beschikken over een GSM, in bruikleen. Deze personeelsleden verbinden zich er toe om deze enkel te gebruiken voor het uitvoeren van hun functie. Van deze personeelsleden wordt verwacht dat ze buiten hun normale werkuren (’s avonds en in het weekend) bereikbaar zijn via de GSM van het OCMW-bestuur.

5 xxxx 2015

B. Gedragscode 1. Gebruik van hardware en software 1.1. Hardware De ter beschikking gestelde apparatuur moet in goede toestand gehouden worden, mag niet onbeheerd achtergelaten worden en de door het bestuur getroffen veiligheidsmaatregelen moeten gerespecteerd worden. Hardware die geen eigendom is van het OCMW mag enkel na uitdrukkelijke toestemming van de veiligheidsconsulent worden verbonden met computers of het netwerk van het OCMW. Deze hardware betreft o.a. externe harde schijven, USB-sticks, digitale camera’s, i-pod, i-phone, blackberry, USB-modems, etc. (deze lijst is niet limitatief). PC’s moeten uitgeschakeld worden voor het naar huis gaan, behalve indien ze later die dag nog gebruikt zullen worden voor telewerk. 1.2. Software Software mag alleen door de veiligheidsconsulent of in zijn/haar opdracht worden gedownload en geïnstalleerd. Indien blijkt dat bepaalde toepassingen op pc’s werden geïnstalleerd zonder overleg met de veiligheidsconsulent, kan de systeembeheerder deze programma’s verwijderen en de gebruiker kan hiervoor worden gesanctioneerd zoals bepaald in artikel 37 en 38 van het arbeidsreglement. Niet-legale elektronische documenten, malafide software en spelprogramma’s zijn nooit toegelaten.

2. Vertrouwelijke gegevens 2.1. Algemene bepalingen Sommige werknemers van het OCMW hebben toegang tot vertrouwelijke gegevens. Deze informatie mag het OCMW-gebouw niet verlaten. Het kopiëren van software of gegevens van computers van het OCMW naar verwijderbare media zoals cd’s, dvd’s, usb-sticks of draagbare toestellen is enkel toegestaan met uitdrukkelijke toestemming van de secretaris. Deze gegevensdragers moeten dan wel steeds op een veilige plek bewaard worden en indien mogelijk geëncrypteerd of met wachtwoord beveiligd zijn. Indien achteraf misbruik van deze software of gegevens wordt vastgesteld, zijn de werknemers zelf stafrechterlijk verantwoordelijk. Bovendien mag elke elektronische overdracht van persoonsgegevens enkel gebeuren via de informatiesystemen die door het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid werden bepaald en goedgekeurd.

6 xxxx 2015

2.2. Gebruik kruispuntbank Consultatie van vertrouwelijke gegevens Bij het gebruik van de KSZ-toepassing mag je enkel de persoonsgegevens opzoeken die je nodig hebt voor de uitoefening van je functie (artikel 23, eerste lid, Kruispuntbankwet). Je bent ertoe gehouden maatregelen te treffen om het vertrouwelijk karakter van de gegevens te verzekeren en om ervoor te zorgen dat ze uitsluitend worden gebruikt voor professionele doeleinden en voor het vervullen van wettelijke verplichtingen (art. 23, tweede lid, Kruispuntbankwet). Het adres van een oude schoolvriend achterhalen of de verjaardag van een collega opzoeken is bv. totaal onaanvaardbaar en kan leiden tot strafrechtelijke vervolging en ontslag volgens artikel 37 en 38 van het arbeidsreglement. Iedere opzoeking via het netwerk van de KSZ wordt gelogd en bijgevolg kan er steeds gecontroleerd worden wie binnen het OCMW wat opgevraagd heeft. Elke drie maanden kijkt de secretaris samen met de verantwoordelijke van de sociale dienst de logs na op onregelmatigheden. Ook elke burger kan trouwens zelf nakijken wie zijn/haar dossier geconsulteerd heeft door in te loggen op my.belgium.be met zijn/haar elektronische identiteitskaart. Mededeling van vertrouwelijke gegevens Iedereen die betrokken is bij de inzameling, de verwerking of de uitwisseling van persoonsgegevens in het kader van de sociale zekerheid is gebonden door het beroepsgeheim (artikel 28 Kruispuntbankwet). Wanneer je vertrouwelijke gegevens op elektronische wijze overmaakt, moet je de gepaste maatregelen treffen om de vertrouwelijkheid en de integriteit van de overgemaakte gegevens te waarborgen, met inachtneming van de van kracht zijnde wetgevingen en reglementen (KSZ, Rijksregister van de natuurlijke personen, Bescherming van persoonsgegevens, etc.). Als je een vraag krijgt naar gegevens omtrent een cliënt, geef gevoelige informatie dan niet meteen vrij. Controleer steeds even of de aanvrager wel degelijk recht heeft op deze informatie. Vraag bijvoorbeeld het telefoonnummer en zeg dat je, zodra je de gevraagde info hebt gevonden, wel terug contact zal opnemen. Dit geeft je meer tijd om je ervan te vergewissen of de persoon die de informatie opvraagt wel degelijk is wie hij/zij beweert te zijn. Bij twijfel kan je dan altijd eerst nog bij enkele collega’s informeren. Schending Personen die met een bedrieglijk opzet of teneinde schade te berokkenen, toegang hebben, of zich onrechtmatig toegang verschaft hebben tot sociale gegevens worden gesanctioneerd volgens artikels 37 en 38 van het arbeidsreglement en strafrechtelijk 7 xxxx 2015

vervolgd. De strafbepalingen staan opgesomd in afdeling 2: artikel 60 tot 71 van de Kruispuntbankwet.

3. Rechten en plichten Het OCMW respecteert het recht op bescherming van de persoonlijke levenssfeer waarover de gebruikers van elektronische communicatiemiddelen beschikken in het kader van de arbeidsrelatie en van de rechten en plichten die deze relatie met zich meebrengt voor alle partijen. De werknemers erkennen het principe volgens hetwelk de instelling het recht heeft controle uit te oefenen op alle werkmiddelen en op het gebruik ervan door de werknemers in het kader van de uitoefening van hun contractuele of statutaire verplichtingen, ook wanneer dit gebruik onder de persoonlijke levenssfeer valt. Alle gebruikers dienen zich bewust te zijn van het feit dat de toegang tot het internet gefilterd, gecontroleerd, opgeslagen en geanalyseerd kan worden in overeenstemming met de ter zake geldende Belgische wetgeving; de collectieve arbeidsovereenkomst nr. 81.

4. Ethiek Alle gebruikers van de elektronische communicatiemiddelen van het OCMW zijn verantwoordelijk voor de ethische aspecten m.b.t. dit gebruik en dienen de aangeboden werkmiddelen dus te gebruiken als “goede huisvader”.

5. Gebruiksverbod Het OCMW kan de toegang blokkeren tot internetsites die volgens de hieronder beschreven criteria als ongepast worden beschouwd. Het gebruik van elektronische communicatiemiddelen in het OCMW is in de volgende gevallen of in gelijkaardige gevallen verboden (niet exhaustieve opsomming): -

-

vertrouwelijke informatie over het bestuur, zijn opdrachten of zijn personeel verspreiden; gegevens verspreiden of downloaden die beschermd zijn door auteursrechten en die bij wet beschermd zijn tegen schending; elektronische berichten naar anderen doorsturen (“forward”) wanneer er geen gerechtvaardigde professionele reden bestaat, bijvoorbeeld bij omstandigheden waarin afbreuk wordt gedaan aan de persoon die het originele bericht geschreven heeft; berichten doorsturen of sites bezoeken waarvan de inhoud de waardigheid van de anderen in gevaar kan brengen, namelijk het doorsturen of bezoeken van racistische of revisionistische sites, of sites die discriminerend zijn op basis van geslacht, seksuele geaardheid, handicap, godsdienst of politieke overtuigingen van een persoon of een groep personen; 8 xxxx 2015

-

-

-

-

-

-

-

persoonlijke interne of externe berichten doorsturen die niets te maken hebben met de functie (teksten, mopjes, prentjes, video’s…), gezien de belangrijke risico’s die deze kunnen inhouden (virussen verspreiden); “uitvoerbare” bestanden (programma’s, meestal te herkennen aan de .exe of .bat extentie) doorsturen en/of, in geval van ontvangst openen; deze vormen immers een ernstige bedreiging voor de stabiliteit en de veiligheid op het netwerk; erotische of pornografische websites bezoeken, zelfs als ze bij de wet toegestaan zijn; aan “kettingbrieven” meewerken; meer algemeen, zowel de interne als de externe elektronische briefwisseling of het internet of enig ander communicatiemiddel gebruiken of raadplegen voor een illegale activiteit, van om het even welke aard; documenten kopiëren (teksten, afbeeldingen, etc.) die beschermd zijn door auteursrechten zonder er de precieze referentie van te vermelden, en ook niet zonder de voorafgaande toestemming van de rechthebbende; computerprogramma’s gebruiken die beschermd zijn door derden, of iemand aanzetten deze te gebruiken en toelaten te gebruiken; deze aanbeveling is ook van kracht op het misbruik van technieken of de commercialisering van producten; de merken van anderen niet respecteren en eventueel niet correct gebruiken; mededeling via interactieve websites (zoals sociale netwerksites, forums, enz.) van feiten die verband houden met:  de veiligheid van het land;  de bescherming van de openbare orde;  de financiële belangen van het OCMW;  het voorkomen en het bestraffen van strafbare feiten;  de rechten en vrijheden van de burger;  de eerbiediging van de persoonlijke levenssfeer;  de voorbereiding van beslissingen zolang er nog geen eindbeslissing is genomen. Elke aanval op informaticasystemen en netwerken; Het meewerken aan volgende, vaak illegale, internetpraktijken: website defacement, malware, virussen, wormen, trojans, spam, phishing, hoaxen, social engineering.

-

6. Publicatie van gegevens 6.1. Publicaties buiten het OCMW Elke mededeling van gegevens die rechtstreeks dan wel onrechtstreeks een invloed heeft op het OCMW, in het kader van een professionele of privérelatie, op eender welke wijze (forum, e-mail, website, blog, sociale netwerksite, enz.), moet worden goedgekeurd door de secretaris. 6.2. Publicatie op de website van het OCMW De voorzitter geeft opdracht bepaalde inhoud op de website van het OCMW te zetten. 9 xxxx 2015

6.3. Meldingsplicht Indien je kennis hebt van welke schade ook die aan de webpagina’s van het OCMW werd toegebracht, dien je de secretaris hiervan op de hoogte te brengen (bijvoorbeeld bij website defacement).

7. Verantwoordelijkheid van de gebruiker Je bent verantwoordelijk en aansprakelijk voor alles wat onder je gebruikersidentificatie en wachtwoord gebeurt. 7.1. Informatiebeheer Je bent verantwoordelijk voor de informatie die je beheert en voor de informatie die je opvraagt voor de uitvoering van de toegewezen taken. Het gebruik is beperkt tot wat voor de uitvoering van je professionele opdracht vereist is. 7.2. Communicatie Je zorgt ervoor dat alle informatieverwerking en communicatie steeds in overeenstemming met de wetgeving wordt verricht. Voorbeelden hiervan zijn: -

Wetgeving op de bescherming van de persoonlijke levenssfeer (bv. doorgeven van informatie over personen aan derden); Wetgeving over het auteursrecht en andere intellectuele rechten (bv. downloaden of afspelen van muziek of teksten); Wetgeving ter bestrijding van het racisme (bv. communicatie met beledigende inhoud); Informatie verspreiden die strijdig is met de wetgeving over de bescherming van de goede zeden; Informatie verwerken of verspreiden die schade kan toebrengen aan derden.

Je moet bij de verwerking en verspreiding van informatie rekening houden met de belangen en gevoeligheden van het bestuur en zijn medewerkers. Je moet je ten allen tijde houden aan de deontologische code voor personeelsleden. 7.3. Bestandenlocatie Je moet bestanden opslaan op de netwerkdrive (f-schijf) en niet op de harde schijf (cschijf). Gegevens die op een lokale harde schijf van de eigen pc bewaard worden, worden immers niet mee opgenomen in de dagelijkse back-up. 7.4. Meldingsplicht Elk personeelslid dient inbreuken op dit reglement te melden aan de secretaris van het OCMW.

10 xxxx 2015

8. Controles en sancties 8.1. Controles (vastgelegd door CAO nr. 81) De secretaris kan aan alle leveranciers van elektronische communicatiemiddelen (zoals internet, e-mail, telefoon en netwerk) rapporten vragen over het gebruik van die communicatiemiddelen. De secretaris kan globale controles laten uitvoeren ter: -

-

-

preventie van ongeoorloofde feiten of van feiten die indruisen tegen de goede zeden of die de waardigheid van andere personen kunnen aantasten; (bv.: het hacken van computers, het op ongeoorloofde wijze kennis nemen van elektronische online-communicatiegegevens inzake personeelsbeheer of van vertrouwelijke medische bestanden, het raadplegen van pornografische of pedofiele websites alsook van websites die aanzetten tot discriminatie, rassenscheiding, haat of geweld jegens een groep, een gemeenschap of de leden ervan, wegens ras, huidskleur, afkomst, religie of nationale of etnische afstemming van deze leden); bescherming van de belangen van het OCMW; vrijwaring van de veiligheid en/of de goede technische werking van de online functionerende informaticasystemen van de instelling, met inbegrip van de controle van de kosten die daarop betrekking hebben en de fysieke bescherming van de installaties van het OCMW; nakijken van de naleving te goeder trouw van de principes en regels vastgelegd in deze gedragscode.

8.2. Modaliteiten voor de individualisering van de controle op het gebruik elektronische communicatiegegevens Het bestuur mag zonder formaliteiten kennis nemen van de gegevens van toepassing op het object, of op de inhoud van de elektronische online-communicatiegegevens waarvan het beroepsmatige karakter niet in twijfel wordt getrokken. In andere gevallen kan een individualisering gebeuren volgens volgende modaliteiten: 8.2.1. Directe individualisering Indien de secretaris naar aanleiding van een globale controle of op basis van een officiële klacht onregelmatigheden vaststelt in het kader van de controledoeleinden vermeld in de eerste drie punten van paragraaf B.8.1 Controles, heeft hij/zij het recht de gegevens direct te individualiseren teneinde de identiteit te achterhalen van de perso(o)-n(en) die verantwoordelijk is (zijn) voor de onregelmatigheid. 8.2.2. Indirecte individualisering met inachtneming van een voorafgaande informatiefase Als de doelstelling van de controle verband houdt met het te goeder trouw naleven van deze gedragscode, moet een alarmbelprocedure in acht worden genomen die 11 xxxx 2015

hoofdzakelijk bestaat uit een voorlichting aan de werknemers, waarbij deze beginselen en regels nog eens worden verduidelijkt, benadrukt of in herinnering gebracht. De individualisering gebeurt volgens een driestappenprocedure: -

Voorafgaande voorlichting Het bestuur brengt de gebruikers vóór elke individualisering op de hoogte van de niet-naleving van één van de in de onderneming vastgestelde gebruiksregels. Deze voorlichting heeft tot doel de gebruiker(s) op een duidelijke en begrijpelijke wijze in te lichten over het bestaan van de onregelmatigheid en over het feit dat de elektronische onlinecommunicatiegegevens geïndividualiseerd zullen worden wanneer een dergelijke onregelmatigheid opnieuw vastgesteld wordt.

-

Geïndividualiseerde controle Wanneer er opnieuw een onregelmatigheid vastgesteld wordt, kan het bestuur overgaan tot een geïndividualiseerde controle teneinde de identiteit op te sporen van de persoon (of personen) die verantwoordelijk is (zijn) voor de onregelmatigheid.

-

Opvolging van het incident Het geïdentificeerde personeelslid krijgt de mogelijkheid om tijdens een onderhoud met zijn/haar dienstverantwoordelijke en de secretaris uitleg te geven. Dit gesprek heeft plaats vóór iedere beslissing of evaluatie die de werknemer individueel kan raken. Het onderhoud heeft tot doel het personeelslid de kans te geven zijn/haar bezwaren met betrekking tot de voorgenomen beslissing of evaluatie uiteen te zetten en het gebruik van de hem/haar ter beschikking gestelde elektronische communicatiemiddelen te rechtvaardigen. Tijdens dit onderhoud kunnen de personeelsleden zich eventueel, op hun verzoek, laten bijstaan door hun vakbondsafgevaardigde.

8.3. Sancties De vastgestelde inbreuken leiden tot de tucht- of strafsancties die van toepassing zijn krachtens artikels 37 en 38 van het arbeidsreglement.

12 xxxx 2015

D. Overzicht rollen 1. Raad De Raad keurt de gedragscode goed.

2. Secretaris De secretaris: -

verleent en ontneemt toegang tot elektronische communicatiemiddelen; verleent toestemming om gegevens van het OCMW op externe gegevensdragers te zetten; verleent toestemming tot het publiceren op de website; is verantwoordelijk voor de externe publicaties; beheert het hele controleproces van alle communicatiemiddelen. controleert de KSZ-logs op onregelmatigheden samen met de verantwoordelijke van de sociale dienst.

4. Veiligheidsconsulent De veiligheidsconsulent: -

verleent toestemming om hardware aan te sluiten op het netwerk/pc's; verleent toestemming om software te installeren en installeert ze; controleert de KSZ-logs op onregelmatigheden samen met de secretaris

5. Dienstverantwoordelijke De dienstverantwoordelijken geven toestemming om kleurenkopies te nemen voor privégebruik.

6. Systeembeheerder De systeembeheerder verwijdert en installeert software op vraag van de veiligheidsconsulent.

7. Alle personeelsleden Alle personeelsleden: -

moeten vastgestelde inbreuken op deze gedragscode melden aan de secretaris; moeten onregelmatigheden die ze vaststellen op de website van het OCMW melden aan de secretaris; Moeten hun PC uitschakelen voor het naar huis gaan. 13 xxxx 2015

Bijlage 1: Gids voor goede praktijken 1. Printer en kopiegebruik De slogan die boven elke printer en kopiemachine zou moeten hangen is: “Bezint eer ge print”. Een aantal gebruiksadviezen: -

Schat eerst het aantal kopies in dat je werkelijk nodig hebt; Vermijd in kleur printen; Druk wanneer het kan af op de gemeenschappelijke printers Kopiëren of printen is niet altijd noodzakelijk; Indien mogelijk, print recto verso; Dubbel klasseren is meestal overbodig; Controleer alle gegevens met spellingcontrole en “printvoorbeeld” op scherm voordat je print;

Laat nooit documenten slingeren bij printers, kopietoestellen of fax, maar haal ze steeds onmiddellijk weg.

2. Surfen op het internet Onder surfen wordt verstaan het raadplegen van websites en het verzamelen van informatie via voorgestelde linken en opzoekingen via gespecialiseerde websites (zoekmotors en directories) met als doel relevante informatie in te zamelen die aan de behoefte van de gebruiker beantwoordt. 2.1. Gevaren Bij het surfen op het internet wordt je vaak geconfronteerd met aanvallen via websites die een bijzonder risico inhouden. Enkele tips om onaangename verrassingen te vermijden: -

-

vermijd onprofessionele websites. Denk je dat de geopende site niet die van het bedrijf/de instelling is dat/die je voor ogen had, verlaat dan de site; controleer systematisch de URL-adressen waarop je je verbindt; één van de kenmerken van phishing is immers het gebruik van URL-adressen die bijna identiek zijn aan die van de officiële websites. Sluit je sessie indien je twijfelt; ga niet in op pop-upvensters of ongevraagde reclameberichten; deze leiden vaak naar verdachte sites; controleer de mogelijkheden voor de uitvoering van scripts en controles, deze vormen immers vaak een toegangspunt voor virussen en Trojans; wijzig de instellingen van je browser (Internet Explorer, Firefox of Google Chrome) niet. Enkel de systeemverantwoordelijke heeft het recht om de voorwaarden voor het internetgebruik te bepalen;

14 xxxx 2015

2.2. Kwaliteit van de informatie Het internet is een essentieel middel binnen de instelling voor het opzoeken en inzamelen van informatie. De kwaliteit en hoeveelheid van deze gegevensinzameling kan sterk verschillen en een kritische geest van de gebruiker is vereist om problemen bij het gebruik van de gevonden informatie te vermijden. Enkele tips voor het surfen: -

-

het gebruik van zoekmotors (google, yahoo, bing, …) kan soms verrassende resultaten opleveren, beperk je niet tot één opzoekingskanaal; controleer steeds de geldigheid en vertrouwelijkheid van de verzamelde informatie. Vergelijk de bronnen om ervoor te zorgen dat je over kwaliteitsvolle informatie beschikt; vermeld steeds bronnen wanneer je gevonden gegevens gebruikt; controleer de eventuele vertrouwelijkheidsclausules (beveiligde sites) en de clausules over de auteurs- of kopierechten. Vergeet niet om indien nodig de kopierechten aan te vragen;

2.3. Deelname aan discussies Hieronder wordt verstaan elke vorm van interactie met de internetgemeenschap, zoals het online publiceren van informatie, in eender welke vorm en eender welke context, het delen van documenten, het deelnemen aan forums, het gebruik van sociale netwerken, enz. Het internet is een belangrijke informatiebron voor kwaadwillige personen, aangezien het een schat aan informatie bevat die door gebruikers werd gepost en die ogenschijnlijk onschuldig is, maar die heel wat inlichtingen kan bevatten voor iemand die bij de pinken is. 2.4. Enkele concrete voorbeelden van handelingen van internetgebruik die risico’s inhouden -

-

-

-

persoonlijke informatie die je publiceert (adres, leeftijd, telefoonnummers, emailadres, ...) kan, wanneer ze wordt gebruikt in combinatie met de gegevens die door de instelling werden gepubliceerd (functie, contactgegevens, deelname aan externe activiteiten, …), het gemakkelijker maken voor oplichters om identiteitsfraude te plegen of om aan ‘social engineering’ te doen; de mededelingen die je doet aan een 'vriendengroep' kunnen zichtbaar zijn of worden bekendgemaakt aan een grotere groep en zelfs over heel het internet worden verspreid; de professionele informatie die je verspreidt kan, wanneer ze te specifiek is, kostbare aanwijzingen bevatten over de zwaktes van de instelling (bv. een anekdote over de slechte ontvangst van bezoekers); discussieforums voor informaticaprofessionals (bv. Java-ontwikkelaars) worden vaak bezocht door hackers die op zoek zijn naar zwakke punten in de beveiliging of gewoonweg configuratiegegevens (software en versie waarvan 15 xxxx 2015

-

-

ze de zwakke punten kennen) zodat ze de informatiesystemen van je instelling gemakkelijker kunnen aanvallen; bij het delen of publiceren van documenten dien je te letten op de inhoud van de aanverwante 'metagegevens' aangezien deze gegevens “vertrouwelijke'” informatie kunnen bevatten over de personen of informatiesystemen die de documenten verwerkt hebben; sommige uitnodigingen of verzoeken die men op forums vindt, werden vaak gepubliceerd met als doel de e-mailadressen in te zamelen van de personen met wie je in contact bent gekomen, om zo gemakkelijker SPAM te kunnen verspreiden.

2.5. Enkele voorzorgsmaatregelen Hierbij enkele nuttige tips om het risico dat de informatie die je publiceert kwaadwillig wordt gebruikt, te beperken: -

wees ervan bewust dat alles wat je publiceert voor de hele wereld toegankelijk is; publiceer geen informatie over de activa van de instelling (aard van de dossiers, beveiligingssystemen, softwareversies enz.); respecteer in alle omstandigheden de ‘nettiquette’: gebruik gepaste taal, een kalme en rustige toon; geef niet te veel professionele informatie prijs die een aanduiding bevat over je functie of het OCMW. Gebruik als het kan een pseudoniem aan de hand waarvan je niet geïdentificeerd kan worden en het OCMW ook niet.

2.6. Beveiliging van transacties Het internet wordt meer en meer gebruikt als hulpmiddel waarmee je toegang krijgt tot de toepassingen en tot de gegevens die via deze toepassingen toegankelijk zijn. Om de naleving van de bescherming van deze vertrouwelijke informatie te waarborgen, werden veiligheidsmaatregelen geïmplementeerd. Als personeelslid van het OCMW dien je zelf ook bij te dragen aan de veiligheid door de volgende regels in acht te nemen: -

-

-

-

de identificatie- en authentificatiemiddelen (gebruikersnaam, paswoord, token, rsa-sleutel, elektronisch certificaat, …) zijn strikt persoonlijk en vertrouwelijk. Informatie die, of materiaal dat, het OCMW of jezelf kan identificeren of authentificeren, mag niet aan anderen worden overgemaakt en moet bewaard worden op een veilige plek; een login op een site voor gevoelige transacties is over het algemeen beveiligd met het HTTPS-protocol. Ga na of de URL van de loginpagina wel degelijk gebruik maakt van dit type toegang; de sites die door een elektronisch certificaat worden geauthentificeerd, kunnen eveneens worden gecontroleerd. Het certificaat moet geldig zijn (niet vervallen, uitgereikt en geauthentificeerd door een erkende certificatieautoriteit). Deze informatie is beschikbaar via het icoon ‘slot’, rechts van het adres van de site; professionele sites vragen je nooit om uw gebruikersnaam en paswoord opnieuw in te voeren nadat u een ‘profiel’ hebt aangemaakt. Indien je in een 16 xxxx 2015

mail of op een internetpagina wordt gevraagd om je aan te melden op een pagina om uw gegevens te bevestigen, heb je waarschijnlijk te maken met een poging tot phishing. Ga niet in op dergelijke vragen en geef alle informatie waarover je beschikt aan de veiligheidsconsulent.

3. E-mail Het e-mailadres dat het OCMW ter beschikking stelt, is bedoeld voor professionele doeleinden. Het feit dat het e-mailadres je persoonlijke naam bevat, betekent niet dat je e-mails een persoonlijk karakter krijgen. Let op aan wie je je professioneel e-mailadres geeft en waar je het achterlaat. Het ingeven van je e-mailadres op een website of reageren op een mail/forum kan ertoe lijden dat je slachtoffer wordt van spam-mails. Alle e-mail moet geregistreerd worden in het postregistratiesysteem. Alle uitgaande e-mail (en bijlagen) moet virusvrij zijn. Bij het toesturen van een besmette e-mail aan een andere organisatie kan het OCMW aansprakelijk worden gesteld voor de geleden schade. Het bestuur kan niet aansprakelijk gesteld worden voor eventueel strafbaar gedrag van medewerkers. Elke e-mail die verstuurd wordt via een “@ocmw-huldenberg.be”-adres moet afsluiten met de volgende boodschap: “Disclaimer : Het OCMW van Huldenberg is niet aansprakelijk voor de juistheid, de volledigheid of het op tijd toekomen van de informatie in deze e-mail. Aan deze e-mail kunnen geen rechten worden ontleend. Dit bericht is alleen bestemd voor de geadresseerde(n). Indien dit bericht niet voor u bestemd is, vragen wij u dit aan ons te melden en het bericht te verwijderen.”. Bij afwezigheid van minstens een week stel je best een afwezigheidsbericht in. Bij langdurige afwezigheid kan je met je dienstverantwoordelijke afspreken of je inkomende e-mails doorgestuurd worden naar een collega of niet.

4. Telefoon: 11 vuistregels om klantvriendelijk te telefoneren 1. Bereikbaarheid In principe moeten alle telefoons opgenomen worden. Als je niet bereikbaar bent voor een langere periode, bv. als je niet gestoord wilt worden om rustig door te kunnen werken of als je in een gesprek bent met een cliënt of collega kan je je telefoon doorschakelen naar een collega als die daarmee toestemt of je kan je antwoordapparaat activeren.

17 xxxx 2015

Als je in middagpauze gaat, moet je steeds je antwoordapparaat aanzetten. Kijk je telefoontoestel regelmatig na op gemiste oproepen en bel die mensen zo snel mogelijk terug. 2. Responstijd Zorg er in de eerste plaats voor dat de persoon die belt niet te lang moet wachten (maximum zes beltonen) voor je opneemt. Toch is het zo dat een persoon die in levende lijve inlichtingen wil bekomen, steeds voorrang heeft boven het inkomend gesprek. 3. Praat met een glimlach Een actieve zithouding en glimlachen aan de telefoon beïnvloedt je stem en intonatie in positieve zin. Praat enthousiast zodat de beller ervaart dat hij/zij welkom is en dat je bereid bent hem te helpen. 4. Begroeting Neem de telefoon rustig op en begroet de persoon als volgt: Goede(morgen-middag-avond) OCMW Huldenberg Met ‘voornaam (en eventueel familienaam)’ Zorg daarbij dat je niet te snel en duidelijk verstaanbaar praat. Let er bovendien op dat je niet te luid of te stil praat. Probeer daarbij zo vriendelijk mogelijk te klinken, zonder te overdrijven. De beller moet zo het gevoel hebben dat hij (telefonisch) verwelkomd wordt. 5. Luister aandachtig Luister aandachtig naar de beller en onderbreek hem/haar niet onnodig. Zorg dat je voldoende informatie hebt zodat je hem/haar op een correcte manier kan verder helpen. Stel eventueel bijkomende vragen. Richt je aandacht op het gesprek met de persoon aan de lijn. Voer tijdens een telefoongesprek geen 'gebarentaalgesprekken' met je collega's. Ook verder werken tijdens een gesprek is uit den boze. 6. Geef aan wat je gaat doen en wanneer De cliënt ziet je niet. Geef duidelijk aan wat je gaat doen. Als je bv. iets opzoekt op je computer en het duurt even, zeg dan wat je doet.

18 xxxx 2015

7. Doorverbinden Kan je de vragen niet beantwoorden of wil de persoon aan de lijn een collega spreken, dan verbind je de beller door. Doe dit niet abrupt, maar ga eerst na of je collega aanwezig is. Vervolg met: "blijft u eventjes aan de lijn, ik verbind u dadelijk door met …". Zorg ervoor dat je de beller meteen met de juiste persoon doorverbindt. Het komt erg onprofessioneel over als een beller meerdere malen (met de verkeerde persoon) doorverbonden wordt. 8. Terugbellen Kan je de beller niet onmiddellijk helpen, vertel hem/haar dat je eerst op zoek gaat naar de nodige informatie en dat je hem/haar dan zal terugbellen. Noteer zorgvuldig zijn/haar naam, telefoonnummer en de benodigde informatie. Hou je ook aan deze belofte! 9. Informatie doorgeven Als je de telefoon opneemt voor een collega die afwezig is, noteer dan de gegevens van de beller (naam, telefoonnummer, boodschap). Vraag je collega terug te bellen van zodra hij/zij terug op kantoor komt. Als je na je afwezigheid terug op kantoor komt en een boodschap ontvangt dat iemand je heeft proberen te bereiken, bel dan zo snel mogelijk. 10. Sluit het gesprek positief af Gebruik de naam van de beller, bedank hem, wens hem nog een prettige dag, geef aan wat er verder gaat gebeuren, bevestig afspraken, etc. Bij klachten kan je je excuseren voor het ongemak. 11. Haak als laatste de telefoon in Wanneer je te snel inhaakt, geef je de indruk geen tijd te hebben voor je klant. Een positief telefoongesprek kan op die manier een negatieve indruk nalaten.

19 xxxx 2015

5. Gebruik van sociale media De tips die volgen, beschrijven onze huisregels voor het gebruik van sociale media, meer bepaald wanneer je verwijst naar mensen, instellingen of diensten van OCMW Huldenberg. Deze tips hebben betrekking op je persoonlijke activiteiten op sociale media, of deze nu op het werk of in je vrije tijd gebeuren, en waarbij je geïdentificeerd kan worden als medewerker van OCMW Huldenberg. Vanaf dat moment ben je immers ambassadeur van het OCMW en dat geeft je een verantwoordelijkheid naar de organisatie, je collega's, cliënten en bewoners. Wanneer je via sociale media iets deelt, dan kijkt iedereen mee. Wees ervan bewust dat alles wat je deelt in principe voor iedereen leesbaar is en zowel voor als tegen je gebruikt kan worden. Maak de bedenking of je, wat je post, ook zou vertellen aan een zaal vol onbekenden. Als medewerker van OCMW Huldenberg ziet de buitenwereld je automatisch als een vertegenwoordiger van onze organisatie. De manier waarop je praat over je eigen organisatie bepaalt in belangrijke mate mee het beeld dat de buitenwereld krijgt van ons OCMW. Dit geldt even goed wanneer je gebruik maakt van sociale media. Hou wat je schrijft daarom respectvol en spreek je niet uit over cliënten, bewoners, collega’s of het OCMW. Op sociale media ga je in geen gevaI de discussie aan met cliënten of bewoners. Ook over collega’s laat je je niet kritisch uit. Je bent ook persoonlijk verantwoordelijk voor alle inhoud die je online plaatst. Wanneer we merken dat je zaken post die niet aanvaardbaar zijn, zal je hierop worden aangesproken. Tips voor het gebruik van sociale media 1. Respect voor de privacy van cliënten en bewoners is essentieel. Als OCMW-medewerker respecteren we het beroepsgeheim en houden we ons aan de discretieplicht. Deel dus ook via sociale media geen informatie die betrekking heeft op een cliënt. Besef dat ook vage informatie snel kan herleid worden tot een bepaalde cliënt. 2. Spreek niet op het internet over collega’s zonder hun medeweten. Plaats ook geen foto's, tenzij de betrokken persoon expliciet zijn toestemming gaf om gefotografeerd te worden in de eerste plaats en om de foto op sociale media te gebruiken in de tweede plaats. Wees je ervan bewust dat wanneer cliënten foto's nemen ze deze ook soms delen via sociale media. Je kan hen gerust vragen om de foto's te beperken voor eigen gebruik. 3. Geef aan dat je geen officiële woordvoerder van OCMW Huldenberg bent. Indien je een eigen groep of blog opstart met of voor OCMW-collega's, laat dan duidelijk blijken dat het niet om een officieel communicatiekanaal van OCMW Huldenberg gaat. 4. Hou er rekening mee dat je je in een sociale omgeving begeeft. Gedraag je op sociale media zoals je bij andere sociale gelegenheden zou doen. Zorg dat je acties en gedrag overeenstemmen met hoe je je op het werk en tegenover anderen gedraagt. 20 xxxx 2015

5. Anoniem of in een emotionele opwelling berichten plaatsen is geen goed idee. Zeker over het werk zijn posts op zo'n moment niet gepast. 6. Plaats geen persoonlijke meningen die ons OCMW kunnen schaden. 7. Op internet heb je geen non-verbale communicatie. Hou er rekening mee dat ironie en nuances hierdoor niet voor iedereen duidelijk zijn. Helder communiceren is daarom de boodschap. 8. Ook als je goede privacy-instellingen hebt, kunnen andere mensen vrij gemakkelijk jouw teksten en foto's zien. Het kan bijvoorbeeld volstaan dat een vriend(in) van jou reageert op een bericht op Facebook opdat ook zijn/haar vrienden die reactie kunnen zien. Een foute reactie achteraf weghalen kan de schade soms niet herstellen. Ook een screenshot kan de wereld rondgaan. Op internet is privacy bijna onbestaande. 9. Probeer een scheiding te houden tussen werk en privé, zorg voor een louter professionele relatie tussen jezelf en de cliënten van het OCMW. Voeg dus geen cliënten toe als vriend op Facebook. Het is mogelijk en aangewezen om op Facebook een onderscheid te maken tussen professionele en privé-contacten. 11. Tot slot nog de hamvraag: "Mag ik op facebook tijdens de werkuren?" Ja, maar alleen in het kader van een sociaal onderzoek.

21 xxxx 2015

Bijlage 2: Wachtwoordbeleid Doelstelling 1. Het opleggen van regels betreffende het veilig en efficiënt gebruik van gebruikersnaam en wachtwoord ter identificatie, authentificatie en autorisatie (wie mag wat) van een computergebruiker, om ongeoorloofde toegang tot cruciale gegevens en/of het netwerk te vermijden. Toepassingsgebied 2. Elke gebruiker van een computer die tot het OCMW behoort of aan het netwerk van het OCMW verbonden is, zowel tijdelijk als permanent. Dit wachtwoordbeleid omvat niet alleen het aanmeldingswachtwoord van een gebruiker aan een pc en/of het netwerk, maar ook de wachtwoorden voor toegang tot volgende beveiligd programma’s: Neptunus, Poseidon, Olympus, Spectra, Lepus, Porta en de Colt mail-omgeving. Algemene bepalingen 3. Elke gebruiker moet een eigen, niet voor de hand liggend, wachtwoord opstellen en dit geheim houden. Een wachtwoord moet, indien de toepassing dit toelaat, minimaal 8 karakters bevatten en bestaan uit een combinatie van letters en cijfers. Een aantal aanbevelingen: • Grote en kleine letters die elkaar afwisselen is ideaal; • Een symbool ertussen geeft dat extraatje meer; • Gebruik geen bekende of voor de handliggende namen, woorden of getallen; • Woorden die in het woordenboek staan zijn uitgesloten; • Schrijf nergens je wachtwoord op en hang het zeker niet op je scherm ter herinnering; • Zorg dat er niemand op je vingers kijkt bij het intikken van je wachtwoord; • Een degelijk wachtwoord hoeft niet moeilijk te zijn. bv. Ikweddatjeditnooitkanvindenin2005 of Hoeradelentevan2005isinhetland zijn zeer degelijke wachtwoorden en makkelijk te onthouden. 4. De gebruiker heeft de mogelijkheid om op eender welk tijdstip zelf zijn wachtwoord te wijzigen. Het periodiek (driemaandelijks) wijzigen van een wachtwoord is een verplichting. De wachtwoorden worden in gesloten briefomslag bewaard in de kluis. De veiligheidsconsulent en bij vervanging de dienstverantwoordelijke financiën en personeelsbeheer staan in voor deze bewaring. 5. Bij het minste vermoeden dat het wachtwoord ontvreemd werd of gekend is door een medewerker of derde, moet de gebruiker onmiddellijk zijn wachtwoord vervangen EN de veiligheidsconsulent of de secretaris over het eventuele misbruik inlichten. 6. Bij een vermoeden of vaststelling dat een gebruiker toegang heeft tot bestanden of netwerken waartoe hij niet geautoriseerd is, moet hij dit melden aan de veiligheidsconsulent of de secretaris. Kortom, als een gebruiker meer toegang heeft dan nodig voor de goede uitvoering van zijn taken, valt dit onder deze meldingsplicht. 22 xxxx 2015

7. Als de gebruiker zijn/haar wachtwoord vergeten is, moet hij/zij contact nemen met de veiligheidsconsulent om een nieuw aan te maken. Dit nieuwe wachtwoord moet meteen gewijzigd worden door de gebruiker zelf. De veiligheidsconsulent hoeft immers nooit het wachtwoord van een gebruiker te weten. 8. Een pc mag nooit zonder toezicht gelaten worden, aangezien om het even wie dan kan handelen in naam van de aangemelde gebruiker. Wanneer een gebruiker dus het lokaal verlaat, moet de gebruiker steeds ofwel de pc vergrendelen, ofwel zich afmelden door uit te loggen op de pc. Dit kan op een snelle manier door gebruik te maken van de toetsencombinatie windows-knop & l. 9. De schermbeveiliging moet met wachtwoord beveiligd zijn en moet ook steeds ingesteld staan zodat deze automatisch in werking treedt binnen de 5 à 10 minuten. Deze schermbeveiliging met wachtwoord volstaat echter niet om aan artikel 8 van dit beleid te voldoen. Ze fungeert enkel als noodoplossing voor het geval een gebruiker zelf manueel zijn pc is vergeten te vergrendelen. 10. a) Het is verboden een wachtwoord in te typen wanneer een andere persoon meekijkt. b) Het is verboden te kijken wanneer iemand zijn wachtwoord intypt of op een andere manier te proberen een wachtwoord te achterhalen. c) Het is verboden oneigenlijk verkregen wachtwoorden te gebruiken. d) Het kraken van wachtwoorden of inbreken in computers is verboden. 11. Afhankelijk van de software kan het dat bij het herhaald (3x) ingeven van een foutief wachtwoord de gebruiker geblokkeerd wordt. Contacteer in dat geval de veiligheidsconsulent. 12. Wanneer een programma de vraag stelt om het wachtwoord te bewaren, moet er steeds negatief op worden geantwoord. Rollen wachtwoordbeleid Secretaris: Lut Vandenbosch Dienstverantwoordelijke financiën & personeelsbeleid: Nora Van den Heuvel Veiligheidsconsulent: Peter Gysemans Laatste update 23 januari 2015

23 xxxx 2015

Verklaring Ik heb bovenvermeld reglement gelezen. De inhoud ervan is mij duidelijk en ik verklaar mij akkoord om dit reglement en deze gedragscode nauwkeurig na te leven. Ik besef dat de uitgevaardigde regels een algemeen hulpmiddel willen vormen om de onrechtmatige toegang tot en het onrechtmatig gebruik van het netwerk te voorkomen en te verhinderen. Ik zal daarnaast de nodige maatregelen nemen die in mijn specifieke werkomgeving kunnen bijdragen tot het realiseren van het vermelde doel. Ik ben mij ervan bewust dat ik door ondertekening van deze verklaring, onderworpen ben aan dit beleid en dat schending of niet naleving van de vermelde instructies, eventuele disciplinaire maatregelen tot gevolg kan hebben. Datum: Naam: Handtekening:

24 xxxx 2015