Informatieveiligheid/Gegevensbescherming - regels voor gebruikers
Inleiding
Dit document bevat de basisregels die dienen te worden toegepast wanneer informatie wordt opgesteld, ingezameld, opgeslagen, afgedrukt, uitgewisseld, gearchiveerd, vernietigd - of in het kader van elke andere actie in verband met de informatie.
Het is bestemd voor de eindgebruikers. Gedetailleerde regels voor specifieke domeinen kunnen worden teruggevonden in het veiligheidsbeleid voor de informatiesystemen .
Dankzij de toepassing van deze regels kan de door het gemeentebestuur verwerkte informatie beter worden beschermd.
Deze regels gelden voor alle informatiedragers: op papier, op de computer of zelfs in mondelinge communicatie.
Elke persoon die in contact komt met de informatie die in het bezit is van het gemeentebestuur, is verplicht om de veiligheid van die informatie te waarborgen. Elke persoon moet dit document dus bij zijn/haar indiensttreding ontvangen. Jaarlijks of bij een ingrijpende wijziging zal er een herinnering worden gestuurd.
Veiligheidsregels
- De veiligheidsregels zijn per thema gegroepeerd:
- toegang tot de informatie
- privacy
- beheer van papieren documenten
- voor het publiek toegankelijke loketten en kantoren
- gebruik van wachtwoorden, softwaresleutels, badges
- gebruik van het IT-netwerk
- gebruik van computers
- beheer van elektronische documenten
- elektronisch berichtensysteem
- internettoegang
- sociale media
- draagbare systemen
- fysieke veiligheid
- veiligheidsincidenten
1. Toegang tot de informatie
1.1. U krijgt enkel toegang tot de informatie, de documenten en de systemen waarvoor u een machtiging heeft ontvangen.
1.2. Als u per ongeluk toch toegang krijgt tot informatie waarvoor u geen toegangs- of inzagerecht heeft, dient u de informatie-eigenaar of desgevallend de veiligheidsverantwoordelijke hiervan op de hoogte te brengen. Als de informatie op een fysieke drager staat, dient u deze drager op een veilige plaats te bewaren.
1.3. Probeer niet om de toegangsbeperkingen te omzeilen.
2. Privacy
2.1. Verwerk de persoonsgegevens enkel indien u daartoe de opdracht krijgt.
2.2. Vraag geen informatie die niet strikt noodzakelijk is voor uw opdracht.
2.3. Controleer de identiteit van de persoon die informatie opvraagt.
2.4. Neem in geval van twijfel contact op met de referentiepersoon 'Persoonsgegevens' of de data protection officer (DPO).
3. Beheer van papieren documenten
3.1. Vermeld bij de opstelling van een document tot welk niveau de informatie behoort: openbaar, intern, vertrouwelijk, geheim.
3.2. Alle printers worden in 'secure print' gebruikt (gebruik van een badge of een code om het printen te starten wanneer u voor de printer staat). U dient tijdens het afdrukken echter in de buurt van de printer te blijven (behalve wanneer het voor het publiek bestemde documenten zijn) en mag de documenten niet in de buurt van de printer achterlaten.
3.3. Als u toch achtergelaten documenten bij de printer vindt die niet voor het publiek zijn bestemd, moet u de eigenaar ervan terugvinden. Als hij/zij niet kan worden geïdentificeerd, dient u het desbetreffende document af te geven op het gemeentesecretariaat of aan de referentiepersoon 'Gegevensbescherming'.
3.4. U dient uw bureau aan het einde van de dag of wanneer u uw werkpost voor een langere periode verlaat op te ruimen en ervoor te zorgen dat u geen documenten laat liggen die niet voor het publiek bestemd zijn. Berg alle niet voor het publiek toegankelijke documenten op een veilige plaats op.
3.5. Niet voor het publiek toegankelijke documenten mogen het gebouw van het gemeentebestuur enkel verlaten wanneer u daarvoor de toestemming heeft.
3.6. Als u een niet voor het publiek toegankelijk document met persoonsgegevens meeneemt buiten het gebouw van het gemeentebestuur, dient u dit in een register te noteren.
3.7. Bewaar de meegenomen documenten op een veilige plaats, zowel op het openbaar vervoer, in uw auto, bij u thuis als ergens anders.
3.8. De vernietiging van de papieren documenten moet gebeuren volgens een methode die is aangepast aan hun gevoeligheid. Gebruik bij twijfel de papierversnipperaars of vuilnisbakken met een label 'vertrouwelijke documenten'.
3.9. Vernietig geen originele documenten.
3.10. Bezorg de vertrouwelijke documenten persoonlijk. Leg ze niet in een postvakje.
4. Voor het publiek toegankelijke loketten en kantoren
4.1. Laat in de zones die worden gebruikt voor het onthaal van personen geen enkel document met niet voor het publiek toegankelijke informatie in het zicht liggen.
4.2. Draai in de onthaalzones de schermen zodat ze niet zichtbaar zijn voor het publiek.
4.3. Laat mensen geen foto's van schermen en documenten nemen.
4.4. Als u aan een gebruiker informatie op uw scherm toont, zorg er dan voor dat er geen andere informatie zichtbaar is (sluit of verberg de andere vensters, filter de rijen in de spreadsheets, enz.).
5. Gebruik van wachtwoorden, softwaresleutels, badges
5.1. Wanneer u een wachtwoord of een code ontvangt, moet u die bij het eerste gebruik wijzigen.
5.2. Sla de wachtwoorden nooit op de websites of uw computer op.
5.3. Bewaar de wachtwoorden en de toegangscodes op een veilige plaats (geen post-it op het toetsenbord of het scherm, de PIN-code nooit aan de eID-kaart bevestigen).
5.4. Geef uw gebruikersnamen, wachtwoorden en codes nooit aan een andere persoon. Ze zijn strikt persoonlijk.
5.5. Vermijd het gebruik van gedeelde accounts en wachtwoorden. Als u dergelijke gebruikersnamen gebruikt, dient u contact op te nemen met de informaticadienst om een oplossing te vinden.
5.6. Gebruik een ander wachtwoord voor uw privéaccounts (Facebook, Google, enz.) als dat van de accounts die u in het kader van uw werk gebruikt.
5.7. Baseer uw wachtwoorden niet op een formule, een sequentie of een lijst. Gebruik eerder een zin.
5.8. Wanneer u uw sleutels of badges, of een document waarop uw codes of wachtwoorden staan vermeld, verliest, of wanneer ze worden gestolen, dient u onmiddellijk contact op te nemen met de dienst die ze aflevert. U dient de wachtwoorden en de code onmiddellijk te veranderen als u ze zich herinnert. Anders dient u contact op te nemen met de informaticadienst zodat uw account wordt geblokkeerd of het wachtwoord wordt veranderd.
5.9. Gebruik op systemen die geen complexiteit en minimale lengte voor de wachtwoorden opleggen minstens 10 karakters, die een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens moeten zijn.
5.10. Wijzig dit wachtwoord om de 6 maanden.
6. Gebruik van het IT-netwerk
6.1. U mag enkel de door de informaticadienst goedgekeurde apparatuur aansluiten op het IT-netwerk.
6.2. Verplaats geen netwerkkabels, trek ze niet uit en verander ze niet zonder daarvoor de toestemming van de informaticadienst te hebben gekregen.
6.3. Doe geen "netwerkscan", passieve afluisterpogingen of pogingen om de firewall en de beveiligingsgateways te omzeilen.
6.4. Gebruik het netwerk niet om films, muziek, boeken en andere aan auteursrechten onderworpen media te downloaden of te delen.
7. Gebruik van computers
7.1. Schakel het controlesysteem met wachtwoord niet uit.
7.2. Vergrendel uw computer wanneer u uw werkpost verlaat (Windows: toets "Windows" + L).
7.3. Schakel de automatische vergrendeling van de schermen in.
7.4. Schakel de op de computer geïnstalleerde beveiligingssystemen niet uit (antivirus, endpoint control).
7.5. Verwijder en verplaats de barcodes en inventarisnummers van de computers niet.
7.6. Als u vaststelt dat iemand zijn/haar computer onvergrendeld en onbeheerd heeft achtergelaten, dient u die te vergrendelen ook al is het niet uw computer.
7.7. Verplaats de vaste computers nooit zonder de toestemming van de informaticadienst.
7.8. Maak de computers die met een veiligheidskabel zijn vastgemaakt niet los.
7.9. Installeer enkel software die door de informaticadienst is goedgekeurd.
8. Beheer van elektronische documenten
8.1. Bewaar alle documenten over de werking van de dienst op het netwerk, bij voorkeur in een voor uw team toegankelijke map.
8.2. Gebruik de door de informaticadienst geleverde software om de elektronische documenten te creëren zodat ze door uw collega's kunnen worden gelezen.
8.3. Maak geen reservekopieën op een persoonlijke externe harde schijf of USB-sticks, behalve indien deze dragers zijn versleuteld.
9. Elektronisch berichtensysteem
9.1. Stuur geen berichten van internet door, behalve wanneer ze van betrouwbare bronnen afkomstig zijn (bv. Juridat, enz.).
9.2. Indien u via e-mail vertrouwelijke of geheime documenten doorstuurt, moeten ze zijn gecodeerd (gebruik een zipbestand met wachtwoord, dat afzonderlijk via sms wordt verstuurd, of contacteer de informaticadienst).
9.3. Stuur geen professionele e-mails naar privémailboxen.
9.4. Gebruik de functie "blind carbon copy" (Bcc) indien de ontvangers van een e-mail het adres van de andere ontvangers niet mogen kennen.
9.5. Gebruik voor de externe communicatie bij voorkeur een dienstmailbox in plaats van een persoonlijke mailbox. Als u uw persoonlijke mailbox gebruikt, verplaatst de e-mails dan naar de dienstmailbox zodat uw collega's ook toegang hebben tot de informatie.
10 Internettoegang
10.1. U mag de internettoegang voor persoonlijke doeleinden gebruiken buiten de vaste tijdsblokken die in het "arbeidsreglement" van het gemeentebestuur zijn vastgelegd.
10.2. De internettoegang wordt door de informaticadienst gefilterd om websitecategorieën te blokkeren die een gevaar vormen of op grond van een beslissing van het gemeentebestuur.
10.3. U mag de internettoegang niet gebruiken om films, muziek, boeken en andere aan auteursrechten onderworpen media te downloaden of te delen.
10.4. Uw internettoegangen worden geregistreerd. De geregistreerde gegevens mogen enkel individueel voor een reeks welomlijnde doeleinden worden gebruikt.
10.5. Het gemeentebestuur kan op elk moment statistieken (zonder individualisering) opstellen over het internetgebruik.
11. Sociale media
11.1. U mag de sociale media via de door de gemeente gegeven toegangen enkel voor professionele doeleinden gebruiken.
11.2. U mag de sociale media af en toe tijdens uw pauze gebruiken voor privédoeleinden indien dit geen belemmering voor de werkprestaties vormt en dit de belangen van het gemeentebestuur niet in het gedrang brengt.
11.3. Verspreid via de sociale netwerken geen vertrouwelijke of interne gegevens van het gemeentebestuur, de gebruikers of over derden. Verspreid ook geen persoonlijke gegevens zonder de toestemming van de persoon of elke andere wettelijke basis.
11.4. Respecteer de privacy en de intellectuele-eigendomsrechten van derden, waaronder de auteursrechten.
11.5. Verspreid geen beledigende, kwetsende of racistische berichten.
11.6. Gebruik de sociale media niet voor het uitoefenen van concurrerende of handelsactiviteiten die in strijd zijn met het belang van het gemeentebestuur.
11.7. Het gemeentebestuur kan via een steekproef een controle van het internetgebruik uitvoeren, onverminderd artikels 63 tot 68 van het arbeidsreglement.
12. Draagbare systemen
12.1. Bescherm de draagbare toestellen steeds tegen diefstal. Laat ze niet zonder toezicht achter op openbare plaatsen, op parkings en in het openbaar vervoer.
12.2. Gebruik een wachtwoord, een code, een sleutel of een glief om de toegang van alle toestellen te beveiligen. Het gaat hier vooral om de tablets en de smartphones.
13. Fysieke veiligheid
13.1. Wanneer u een met een badge of een sleutel beveiligde zone betreedt, mag u niemand de toestemming geven u te volgen.
13.2. Open de deur niet voor iemand die zegt zijn/haar badge of code te zijn vergeten. Begeleid hem/haar naar het onthaal of de dienst die de badges en de codes aflevert.
14. Veiligheidsincidenten
14.1. Meld elk incident dat de vertrouwelijkheid, de integriteit of de beschikbaarheid van de informatie of een drager in gevaar brengt of zou kunnen brengen onmiddellijk aan het veiligheidsteam.
14.2. Als u vermoedt dat er een virus of spyware op uw computer aanwezig is, dient u het volgende te doen:
- breng de informaticadienst onmiddellijk op de hoogte;
- stop met het gebruiken van het toestel;
- koppel de computer los van het netwerk;
- schakel de computer niet uit.