ISMS (Information Security Management System)
GIDS INZAKE GOEDE PRAKTIJKEN MET BETREKKING TOT HET GEBRUIK VAN INTERNET EN E-MAIL
Version control – please always check if you are using the latest version. Doc. Ref.: isms.048.gids inzake goede praktijken_email_internet.nl.v.1.00.docx Release
Status
Date
Written by
NL_Error! Unknown document property name.
Final
17 juin 2013
Alain Houbaille
Edited by
Approved by
Remarque : Ce document intègre les remarques formulés par un groupe de travail auquel ont participé les personnes suivantes : messieurs Houbaille (BCSS), Costrop (Smals), Lévêque (ONVA), Bochart (BCSS), Petit (FMP), Perot (ONSS), Quewet (SPF Santé publique), Symons (ONEm), Van Cutsem (ONSS-APL), Van der Goten (INAMI).
Gids inzake goede praktijken m.b.t. het gebruik van internet en e-mailGids inzake goede praktijken m.b.t. het gebruik van internet en e-mail Information Security Guidelines Versie : Error! Unknown document property name. 11 december 2013
INHOUDSOPGAVE 1.
INLEIDING ................................................................................................................................................. 3
2.
SCOPE ......................................................................................................................................................... 3
3.
GIDS INZAKE GOEDE PRAKTIJKEN VOOR HET GEBRUIK VAN E-MAIL EN INTERNET ......... 3
3.1. 3.2. 3.3. 3.4.
ALGEMEEN .................................................................................................................................................... 3 SURFEN OP INTERNET .................................................................................................................................... 4 GEBRUIK VAN E-MAIL.................................................................................................................................... 4 CONTROLE..................................................................................................................................................... 5
P2
Gids inzake goede praktijken m.b.t. het gebruik van internet en e-mailGids inzake goede praktijken m.b.t. het gebruik van internet en e-mail Information Security Guidelines Versie : Error! Unknown document property name. 11 december 2013
1.
Inleiding
De bedoeling van dit document is om een aantal gedragsregels vast te leggen met betrekking tot het gebruik van internet en e-mail en het beheer van de communicatiemiddelen van de instelling die ter beschikking gesteld worden van de medewerker 1. Ter herinnering, de medewerker speelt een wezenlijke rol in de veiligheid van de instelling in het algemeen. Hij staat in de eerste verdedigingslinie voor wat de risico's bij de verwerking van gevoelige informatie betreft. Daarom is het belangrijk dat elke medewerker zich terdege bewust is van zijn rechten en plichten op dat vlak en van de goede praktijken binnen de instellingen van sociale zekerheid. 2.
Scope
De richtlijnen in dit document zijn van toepassing op alle medewerkers van de instelling. Deze richtlijnen gelden tevens voor alle personen die, al dan niet tijdelijk, werkzaamheden verrichten voor de instelling en gebruik maken van de internet- en e-mailfunctionaliteiten en de communicatiemiddelen 2 die binnen de instelling beschikbaar zijn voor de realisatie van de opdracht die hen toevertrouwd werd. Eenieder die onder het toepassingsgebied van deze gids valt wordt hierna aangeduid als "medewerker". 3.
Gids inzake goede praktijken voor het gebruik van e-mail en internet 3.1.
•
•
•
Algemeen
Zoals voor alle werkinstrumenten geldt, is het gebruik van de communicatiemiddelen van de instelling in principe voorbehouden voor beroepsdoeleinden. Echter, het gebruik van het mailsysteem en het internet voor privédoeleinden wordt in beperkte mate toegestaan, op voorwaarde dat het gaat om een occasioneel gebruik en dat dit de goede werking van het netwerk, het werk en de productiviteit niet in het gedrang brengt en het geen inbreuk inhoudt op de geldende wetgeving 3. Voor beroepsmatige communicaties aanvaardt de instelling enkel het gebruik van de mail en de internetdiensten die eigen zijn aan de instelling. Andere communicatiemiddelen zoals instant messaging, blogs, facebook, linked-in en andere internetdiensten mogen enkel worden gebruikt voor zover het interne beleid omtrent het gebruik van deze communicatiemiddelen het toelaat. De gebruiker zal de regels voor het gebruik van deze communicatiemiddelen strikt in acht nemen. De medewerker verbindt zich ertoe de slechte werking of het misbruik van de internet- en emailfunctionaliteiten (meer bepaald de vaststelling van virussen, pogingen tot intrusie of hacking,
1
Referentie: Conform de norm 8.1. van de minimale normen van de Kruispuntbank van de Sociale Zekerheid.
2
Zoals sociale netwerken, internetfora, blogs, ...
Gemeenschappelijke policies voor de instellingen van sociale zekerheid inzake gebruik van internet en in zake gebruik van e-mail 3
P3
Gids inzake goede praktijken m.b.t. het gebruik van internet en e-mailGids inzake goede praktijken m.b.t. het gebruik van internet en e-mail Information Security Guidelines Versie : Error! Unknown document property name. 11 december 2013
•
...), ongeacht of dit op het niveau van de centrale computers, het netwerk, de lokale computers of de software is, onmiddellijk mee te delen. De directie van de instelling behoudt zich het recht voor om het gebruik van internet en e-mail te controleren overeenkomstig de regels die uiteengezet zijn in punt 3.4. 3.2.
Surfen op internet
Internet wordt in de eerste plaats ter beschikking gesteld voor professionele doeleinden. Het verkennen van internet, in beperkte mate, voor persoonlijke vorming en ontwikkeling wordt evenwel aanvaard. In dat opzicht dient de medewerker zich ervan bewust te zijn dat: • •
•
• •
de werkgever zich het recht voorbehoudt om de toegang tot internet te beperken; surfen op internet niet zonder gevaar is en dat de kans op een aanval via bepaalde sites niet ondenkbaar is. De medewerker wordt verzocht: o niet te vergeten dat hij de instelling vertegenwoordigt wanneer hij op internet surft. Heel wat bezochte websites houden immers een spoor bij van dit bezoek en in sommige gevallen kunnen zij de herkomst van de surfer identificeren en zijn elektronische identiteit vaststellen en bijgevolg die van de instelling; o geen wijzigingen aan te brengen aan de configuratie van zijn webbrowser, noch de beveiligingssoftware (antivirus, antispam, firewall) te deactiveren. o niet-professionele sites te verlaten als hij vermoedt dat de bezochte site niet die is waar hij naar zocht. Het is eveneens verboden websites te raadplegen waarvan de inhoud indruist tegen de goede zeden of de waardigheid van een persoon kan schaden, alsook racistische websites, websites die discriminatie voorstaan op basis van geslacht, seksuele geaardheid, handicap, religie of politieke overtuiging. Eveneens is het verboden om internet te gebruiken voor illegale activiteiten, ongeacht de aard ervan. Voor wat betreft het downloaden van bestanden via internet, zal de gebruiker zich beperken tot het strikt noodzakelijke in het kader van zijn beroepsactiviteiten, voor zover de instelling het downloaden toestaat. Overeenkomstig het interne beleid van de instelling omtrent de rechten om al dan niet programma's te kunnen installeren, dient de medewerker, alvorens een bestand of een programma te installeren, zich ervan te vergewissen dat dit bestand of dit programma afkomstig is van een betrouwbare bron en dat er geen tegenstrijdigheid bestaat met het licentiebeleid van de instelling en er geen risico bestaat op het vlak van de beveiliging van de systemen. 3.3.
Gebruik van e-mail
Gelet op de inherente risico's die verbonden zijn aan het gebruik van e-mail binnen de instelling, is het belangrijk om een aantal goede praktijken in herinnering te brengen: • De verzender van een e-mail is verantwoordelijk voor de inhoud van dit bericht. Het is de medewerkers strikt verboden om e-mails te verzenden waarvan de inhoud onwettig zou zijn P4
Gids inzake goede praktijken m.b.t. het gebruik van internet en e-mailGids inzake goede praktijken m.b.t. het gebruik van internet en e-mail Information Security Guidelines Versie : Error! Unknown document property name. 11 december 2013
•
•
•
•
•
en/of in strijd met het fatsoen en de zeden (bv. e-mails met een aanstootgevende, politieke, racistische, discriminerende, ... inhoud). E-mail mag in geen geval gebruikt worden ter vervanging van de uitwisselingsmethoden die door de Kruispuntbank van de Sociale Zekerheid opgelegd worden voor de uitwisseling van persoonsgegevens. Het gebruik van e-mail dient te gebeuren in overeenstemming met de aanbevelingen inzake bescherming van de persoonlijke levenssfeer. Dus mogen er geen persoonsgegevens via e-mail worden overgemaakt. Alvorens gevoelige bestanden via e-mail te versturen, dient de medewerker ervoor te zorgen dat deze bestanden vercijferd zijn. Het gebruik van e-mail voor persoonlijke doeleinden is toegelaten. Dit gebruik voor privéaangelegenheden mag echter in geen geval een inbreuk op deze richtlijnen inhouden, noch op enige andere wettelijke of reglementaire bepaling. Als de medewerker zijn e-mail voor persoonlijke doeleinden gebruikt, dient hij in de mate van het mogelijke elke verwijzing naar zijn werkgever te verwijderen om aldus verwarring te vermijden met het beroepsmatige gebruik van de mail (hij dient daartoe de vermelding "Private" in te voegen in het onderwerp van het bericht). Bij langdurige afwezigheid van de medewerker (meerdere dagen) dient hij in de mate van het mogelijke een automatisch antwoord in te stellen zodat zijn correspondenten op de hoogte worden gesteld van zijn afwezigheid (de zogenaamde "out of office"). Idealiter geldt deze maatregel enkel voor bestemmelingen binnen de sociale zekerheid. De medewerker verbindt zich ertoe om niet onnodig e-mails naar grote groepen gebruikers te sturen (bv. "to all"), noch om grote bestanden toe te voegen die de werking van het systeem kunnen hinderen. Dergelijke grote bestanden worden bij voorkeur op het interne systeem van documentbeheer van de instelling geplaatst. De desbetreffende e-mails bevatten dan een link naar deze bestanden. Het is verboden om de ontvangen mails systematisch door te sturen naar een elektronisch adres buiten de instelling. 3.4.
Controle
De instelling zou moeten een globale en permanente controle uitoefenen, in het kader van de volgende doelstellingen: 1. de preventie van ongeoorloofde handelingen of van handelingen die indruisen tegen de goede zeden of die de waardigheid van een persoon kunnen schaden; 2. de bescherming van de belangen van de instelling; 3. de veiligheid en/of de goede technische werking van de netwerkinformaticasystemen van de instelling, met inbegrip van de beheersing van de eraan verbonden kosten, alsook de fysieke beveiliging van de installaties van de instelling; 4. de naleving van de principes en gebruiksregels inzake internet en e-mail beschreven in de punten 3.1. tot 3.3.
P5
Gids inzake goede praktijken m.b.t. het gebruik van internet en e-mailGids inzake goede praktijken m.b.t. het gebruik van internet en e-mail Information Security Guidelines Versie : Error! Unknown document property name. 11 december 2013
De instelling dient bij de controle van het gebruik van internet en e-mail echter de basisprincipes van de collectieve arbeidsovereenkomst nr. 81 4 van 26/04/2002 na te leven. Het betreft de volgende basisprincipes: • • • •
finaliteitsprincipe, proportionaliteitsprincipe, principe van transparantie, regels voor de individualisering van de elektronische on-linecommunicatiegegevens.
Ter herinnering, de bedoeling van de collectieve arbeidsovereenkomst is om de bescherming van de persoonlijke levenssfeer op de werkvloer te waarborgen wanneer een inzameling van elektronische communicatiegegevens plaatsvindt met het oog op controle ervan.
De collectieve arbeidsovereenkomst nr. 81 is in feite een aanbeveling van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer. 4
P6