Dit beleid omvat richtlijnen en maatregelen om ervoor te zorgen dat medewerkers en contractanten gedurende hun relatie met de organisatie hun verantwoordelijkheden op het gebied van informatieveiligheid begrijpen en nakomen. Oa. door middel van screeningsprocedures, vertrouwelijkheidsclausules in contracten, bewustmakingscampagnes, training en een disciplinair beleid.

Voorafgaand aan het dienstverband

De personeelsdienst en betrokken leidinggevenden moeten ervoor zorgen dat potentiële werknemers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de functies en rollen waarvoor zij in aanmerking komen.

Opname van veiligheidsvereisten in functie- of rolomschrijving

Het opnemen van specifieke beveiligingstaken en -verantwoordelijkheden in functie- en rolomschrijvingen draagt bij aan het bewustzijn van medewerkers over hun rol en verantwoordelijkheid in informatieveiligheid. Bovendien bevordert dit de ontwikkeling van een bedrijfscultuur waarin iedereen zich betrokken en verantwoordelijk voelt voor het handhaven van het informatieveiligheidsbeleid.

Screening

Implementatiemaatregel

De organisatie MOET vastleggen voor welke functies of rollen screening noodzakelijk is, alsook de modaliteiten van screening vastleggen in een procedure, hierbij MOET rekening gehouden worden met:

• De diepgang van de screening dient in verhouding te staan tot de veiligheidsvereisten voor de functie of rol, de classificatie van de informatie waartoe de kandidaat toegang zal krijgen en de vastgestelde risico’s.

• Screening dient steeds te worden uitgevoerd in overeenstemming met de relevante wet- en regelgeving, bescherming van persoonsgegevens (AVG), arbeidswetgeving, alsook ethische overwegingen.

Functiescheiding

Bij het vastleggen van functie- of rolomschrijving dient er ook rekening te worden gehouden met het scheiden van verantwoordelijkheden, dit om het risico op fraude, fouten en het omzeilen van beveiligingsmaatregelen te verminderen.

Screening

Toelichting: Alle typen medewerkers zouden overwogen moeten worden, zowel internen (ambtenaren en contractuele ambtenaren) als externen (direct of via inhuurbureaus en leveranciers).

• In scope: Alle vaste en tijdelijke medewerkers die werken onder de supervisie van het management (bijv. directie, afdelingshoofd, teamhoofd).

• Uit scope: Medewerkers van externe leveranciers, die werkzaamheden verrichten voor of binnen onze organisatie, maar die werken onder de supervisie van de leveranciers zelf. De screening procedures van de leveranciers zijn hier van toepassing. Bij het uitbesteden van diensten dient het contract met de leverancier specifieke vereisten voor screening te bevat. Leveranciers die diensten uitvoeren, dienen screening uit te voeren op hun personeel. Hoewel individuele screeningdocumenten niet direct aan de organisatie hoeven te worden verstrekt, dient het contract een clausule te bevat die de organisatie het recht geeft om hierop audits uit te voeren. Zie ook Leveranciersrelaties.

Procedures die de criteria en beperkingen voor screening definiëren behoren te worden opgesteld, bijv. wie is competent om personen te screenen, en hoe, wanneer en waarom worden controleonderzoeken uitgevoerd. Dergelijke procedures inzake rekrutering en selectie zijn vastgelegd in deel III van het VPS: https://www.vlaanderen.be/vlaams-personeelsstatuut/deel-iii-rekrutering-en-selectie-van-het-personeel-0. Daarnaast zijn er ook nog kwaliteitscriteria voor selecties en selectoren vastgelegd in een omzendbrief uit 2014: https://overheid.vlaanderen.be/omzendbrief-bz-2014/5

Bij het uitbesteden van diensten dient het contract met de leverancier specifieke vereisten voor screening te bevat. Leveranciers die diensten uitvoeren, dienen screening uit te voeren bij hun personeel. Hoewel individuele screeningdocumenten niet direct aan de organisatie hoeven te worden verstrekt, dient het contract een clausule te bevat die de organisatie het recht geeft om hierop audits uit te voeren. Zie ook Leveranciersrelaties.

Arbeidsvoorwaarden

Implementatiemaatregel

In de contracten en arbeidsvoorwaarden met werknemers en contractanten MOETEN zowel hun eigen verantwoordelijkheden als die van de organisatie met betrekking tot informatieveiligheid duidelijk worden omschreven.

Arbeidsvoorwaarden

Alle interne personeelsleden dienen zich te houden aan de verplichtingen van het arbeidsreglement, de Vlaamse deontologische code en de bijhorende ICT-code (https://overheid.vlaanderen.be/ict-code en https://overheid.vlaanderen.be/BZ-2014-2), alsook aan de bijkomende (minder formele) afspraken die de organisatie oplegt (e.g. de afspraken in dit informatieveiligheidsbeleid). Een vertrouwelijkheidsclausule dient in de arbeidsovereenkomst te worden opgenomen of een confidentialiteitsovereenkomst dient ondertekend te worden om confidentialiteit of geheimhouding te waarborgen.

Vertrouwelijkheids- en geheimhoudingsovereenkomsten kunnen de volgende punten bevatten:

• De omvang van de te beschermen informatie en de wijze waarop deze kan worden geïdentificeerd.

• De te ondernemen stappen bij het beëindigen van de overeenkomst.

• De eigendomsrechten op informatie en intellectueel eigendom.

• De procedure voor het melden en rapporteren van ongeautoriseerde openbaarmakingen of lekken.

Externe medewerkers die bij de organisatie aan de slag gaan, dienen vooraf een document te ondertekenen waarin hun verantwoordelijkheden met betrekking tot informatieveiligheid zijn vastgesteld. Deze verantwoordelijkheden omvatten onder meer de verplichting tot geheimhouding en het naleven van het informatieveiligheidsbeleid van de organisatie. In de overeenkomsten met externe tussenpartijen, die (tijdelijke) medewerkers aan de organisatie leveren, dient te worden vastgelegd dat deze partijen ervoor zorgen dat hun werknemers deze verklaring ondertekenen.

Tijdens het dienstverband

Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun verantwoordelijkheden op het gebied van informatieveiligheid en deze nakomen.

Directieverantwoordelijkheden

Implementatiemaatregel

Het is de verantwoordelijkheid van de directie om ervoor te zorgen dat medewerkers en contractanten:

• Duidelijke instructies krijgen over hun rollen en verantwoordelijkheden inzake informatieveiligheid voordat zij toegang krijgen tot vertrouwelijke informatie of informatiesystemen.

• Richtlijnen ontvangen die de verwachtingen van hun rol in informatieveiligheid binnen de organisatie duidelijk maken.

• Gemotiveerd worden om zich te houden aan de informatieveiligheidsbeleid van de organisatie.

• Een bewustzijnsniveau ontwikkelen over informatieveiligheid dat past bij hun functie en verantwoordelijkheden binnen de organisatie.

• Zich houden aan de arbeidsvoorwaarden of inhuurcontracten.

• Voortdurend beschikken over de vereiste vaardigheden en kwalificaties.

• Bekend zijn met de meldingsprocedure van inbreuken op het informatieveiligheidsbeleid en -procedures.

Bovendien dient de directie de informatieveiligheidsbeleidsregels, -procedures en -maatregelen actief te ondersteunen en als een voorbeeldfunctie te dienen.

Het melden van veiligheidskwesties moet worden aangemoedigd in een cultuur van vertrouwen en verbetering. Medewerkers moeten zich vrij voelen om openlijk te spreken, ook over hun eigen fouten, en mogen niet worden gestraft voor het melden daarvan. Het is belangrijk dat medewerkers elkaar kunnen aanspreken op het niet naleven van beleid, met steun van het directiecomité. Het inzetten van een disciplinaire procedure is een laatste stap, alleen als andere vormen van dialoog niet effectief zijn.

Bewustzijn en opleiding

Implementatiemaatregel

De organisatie is verantwoordelijk voor het ontwikkelen en implementeren van een formeel bewustzijnsprogramma om alle gebruikers te informeren over het belang van informatieveiligheid. Dit programma moet regelmatig aandacht krijgen, zowel via formele opleidingssessies als door het integreren van veiligheidsaspecten in de dagelijkse werking van de organisatie, zoals tijdens presentaties en in reactie op recente veiligheidsincidenten of mediaberichten.

Het bewustzijnsprogramma zou onder andere het volgende moeten omvatten:

• Opleidingen over beveiliging, afgestemd op specifieke rollen, aangeboden via diverse methoden zoals klassikaal of e-learning.

• Praktische oefeningen die echte cyberaanvallen simuleren.

• Communicatiemiddelen zoals nieuwsbrieven en posters.

Daarnaast biedt de organisatie beveiligingstrainingen aan die zijn afgestemd op de specifieke rollen, verantwoordelijkheden en toegangsniveaus van medewerkers tot informatie en informatiesystemen. Deze trainingen moeten ook algemene informatiebeveiligingsaspecten behandelen, zoals de betrokkenheid van het management, de naleving van relevante regels en verplichtingen, persoonlijke verantwoordelijkheden van medewerkers, basisbeveiligingsprocedures en contactinformatie voor aanvullend advies. Het is belangrijk dat deze trainingen periodiek worden aangeboden, niet alleen aan nieuwe medewerkers maar ook aan bestaande medewerkers die een nieuwe functie of rol aanneemt. De deelname aan deze beveiligingstrainingen dient geregistreerd en bijgehouden te worden in het personeelsdossier van elke medewerker.

Gedocumenteerde procedures

Gedocumenteerde procedures zijn noodzakelijk om een consistente, reproduceerbare en veilige aanpak te waarborgen bij de uitvoering van operationele activiteiten, alsook het voorkomen dat kennis verloren gaat wanneer medewerkers of contractanten de organisatie verlaten.

Disciplinaire maatregelen

Implementatiemaatregel

Voor interne personeelsleden zijn de bepalingen inzake disciplinaire acties opgenomen in het Vlaams Personeelsstatuut (VPS) en het arbeidsreglement. Voor externe medewerkers gelden de bepalingen opgenomen in de tewerkstellingsovereenkomst.

Bij het beoordelen van een inbreuk wordt rekening gehouden met de ernst ervan, alsook met het feit of de inbreuk al dan niet bewust plaatsvond en of er sprake is van recidive. Gezien het streven naar een cultuur van vertrouwen en verbetering, wordt in de eerste plaats getracht om in dialoog te gaan met de overtreder(s) met als doel lessen te trekken uit de situatie en herhaling van de feiten te voorkomen. De respectieve disciplinaire procedures worden beschouwd als een laatste stok achter de deur, om op te kunnen treden tegen zware, bewuste en/of herhaaldelijke inbreuken.

Beëindiging en wijziging van het dienstverband

Het beschermen van de belangen van de organisatie als onderdeel van de wijzigings- of beëindigingsprocedure van het dienstverband.

Beëindiging van het dienstverband

Indien een medewerker een bepaalde functie of rol niet langer opneemt of indien de tewerkstelling wordt beëindigd, dienen zijn/haar verantwoordelijkheden en taken (alsook toegangsrechten) te worden overgedragen. Sommige verplichtingen met betrekking tot informatieveiligheid, m.n. geheimhouding, blijven bovendien gelden na de beëindiging of wijziging van het dienstverband. Deze verplichtingen moeten duidelijk worden beschreven en moeten nogmaals onder de aandacht van de vertrekkende medewerker worden gebracht tijdens het exitgesprek.

Bij het beëindigen van het dienstverband van een werknemer of contractant met een "hoog risico" is het cruciaal om een procedure voor “dringende uitdiensttreding” vast te stellen. Deze procedure moet ervoor zorgen dat bestaande ID's, privileges en autorisaties van de betreffende persoon onmiddellijk kunnen worden ingetrokken.

Implementatiemaatregel

De organisatie MOET ervoor zorgen dat bij beëindiging van het dienstverband of inhuurcontract: 

• De toegangsrechten tot informatie en informatiesystemen binnen 24 uur na het einde van het dienstverband worden ingetrokken.

• Exit-interviews worden gevoerd, indien dit mogelijk is.

• Alle bedrijfseigendommen worden teruggevraagd.

• Alle informatie waarvoor de vertrekkende werknemer verantwoordelijk was, wordt geïdentificeerd en een nieuwe verantwoordelijke wordt aangewezen.

De organisatie MOET een procedure vastleggen voor “dringende uitdiensttreding”

Wijziging van tewerkstelling

Wanneer een medewerker een nieuwe functie of rol binnen de organisatie opneemt, is het essentieel dat bestaande toegangsrechten die niet langer relevant zijn, binnen een redelijke termijn worden aangepast.

Implementatiemaatregel

De organisatie MOET ervoor zorgen dat: 

Regelgeving en standaarden (L1)

ISO 27001:2022 (Annex A)