null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 20 Next »

Waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en uitvoeren in relatie tot informatieveiligheid. Dit omvat o.a. (optionele) screening, vertrouwelijkheidsclausule in contracten, bewustzijncampagnes, training en een disciplinaire procedure.

Inhoud

Doel

Dit beleid omvat richtlijnen en maatregelen om ervoor te zorgen dat medewerkers en contractanten gedurende hun relatie met de organisatie hun verantwoordelijkheden op het gebied van informatieveiligheid begrijpen en nakomen. Oa. door middel van screeningsprocedures, vertrouwelijkheidsclausules in contracten, bewustmakingscampagnes, training en een disciplinair beleid.

Beleid

Voorafgaand aan het dienstverband

De personeelsdienst en betrokken leidinggevenden moeten ervoor zorgen dat potentiële werknemers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de functies en rollen waarvoor zij in aanmerking komen.

Opname van veiligheidsvereisten in functie- of rolomschrijving

Het opnemen van specifieke beveiligingstaken en -verantwoordelijkheden in functie- en rolomschrijvingen draagt bij aan het bewustzijn van medewerkers over hun rol en verantwoordelijkheid in informatieveiligheid. Bovendien bevordert dit de ontwikkeling van een bedrijfscultuur waarin iedereen zich betrokken en verantwoordelijk voelt voor het handhaven van het informatieveiligheidsbeleid.

Implementatiemaatregel

Voorafgaand aan de indiensttreding MOETEN de taken en verantwoordelijkheden van elke werknemer duidelijk worden besproken, omschreven en gedocumenteerd. De specifieke beveiligingstaken en -verantwoordelijkheden MOETEN ook worden opgenomen in de individuele functieomschrijvingen en dienen de volgende elementen te bevatten:

  • De specifieke verantwoordelijkheden van de individuele medewerker voor het toepassen en handhaven van het informatieveiligheidsbeleid.

  • Optioneel en afhankelijk van de functie of rol: De specifieke verantwoordelijkheden van de medewerker voor de beveiliging van bepaalde middelen, of voor het uitvoeren van bepaalde beveiligingsprocessen of -activiteiten.

Screening

Implementatiemaatregel

De organisatie MOET vastleggen voor welke functies of rollen screening noodzakelijk is, alsook de modaliteiten van screening vastleggen in een procedure, hierbij MOET rekening gehouden worden met:

  • De diepgang van de screening dient in verhouding te staan tot de veiligheidsvereisten voor de functie of rol, de classificatie van de informatie waartoe de kandidaat toegang zal krijgen en de vastgestelde risico’s.

  • Screening dient steeds te worden uitgevoerd in overeenstemming met de relevante wet- en regelgeving, bescherming van persoonsgegevens (AVG), arbeidswetgeving, alsook ethische overwegingen.

De organisatie MOET screening vereisten bij leveranciers contractueel vastleggen. Zie ook Leveranciersrelaties.

Procedures die de criteria en beperkingen voor screening definiëren behoren te worden opgesteld, bijv. wie is competent om personen te screenen, en hoe, wanneer en waarom worden controleonderzoeken uitgevoerd. Dergelijke procedures inzake rekrutering en selectie zijn vastgelegd in deel III van het VPS: https://www.vlaanderen.be/vlaams-personeelsstatuut/deel-iii-rekrutering-en-selectie-van-het-personeel-0. Daarnaast zijn er ook nog kwaliteitscriteria voor selecties en selectoren vastgelegd in een omzendbrief uit 2014: https://overheid.vlaanderen.be/omzendbrief-bz-2014/5

Bij het uitbesteden van diensten dient het contract met de leverancier specifieke vereisten voor screening te bevat. Leveranciers die diensten uitvoeren, dienen screening uit te voeren bij hun personeel. Hoewel individuele screeningdocumenten niet direct aan de organisatie hoeven te worden verstrekt, dient het contract een clausule te bevat die de organisatie het recht geeft om hierop audits uit te voeren. Zie ook Leveranciersrelaties.

Arbeidsvoorwaarden

Implementatiemaatregel

In de contracten en arbeidsvoorwaarden met werknemers en contractanten MOETEN zowel hun eigen verantwoordelijkheden als die van de organisatie met betrekking tot informatieveiligheid duidelijk worden omschreven.

De organisatie MOET alle relevante verplichtingen of andere afspraken formeel vastleggen en waar vereist zorgen voor ondertekening door de betreffende medewerkers en contractanten.

Alle interne personeelsleden dienen zich te houden aan de verplichtingen van het arbeidsreglement, de Vlaamse deontologische code en de bijhorende ICT-code (https://overheid.vlaanderen.be/ict-code en https://overheid.vlaanderen.be/BZ-2014-2), alsook aan de bijkomende (minder formele) afspraken die de organisatie oplegt (e.g. de afspraken in dit informatieveiligheidsbeleid). Een vertrouwelijkheidsclausule dient in de arbeidsovereenkomst te worden opgenomen of een confidentialiteitsovereenkomst dient ondertekend te worden om confidentialiteit of geheimhouding te waarborgen.

Vertrouwelijkheids- en geheimhoudingsovereenkomsten kunnen de volgende punten bevatten:

  • De omvang van de te beschermen informatie en de wijze waarop deze kan worden geïdentificeerd.

  • De te ondernemen stappen bij het beëindigen van de overeenkomst.

  • De eigendomsrechten op informatie en intellectueel eigendom.

  • De procedure voor het melden en rapporteren van ongeautoriseerde openbaarmakingen of lekken.

Externe medewerkers die bij de organisatie aan de slag gaan, dienen vooraf een document te ondertekenen waarin hun verantwoordelijkheden met betrekking tot informatieveiligheid zijn vastgesteld. Deze verantwoordelijkheden omvatten onder meer de verplichting tot geheimhouding en het naleven van het informatieveiligheidsbeleid van de organisatie. In de overeenkomsten met externe tussenpartijen, die (tijdelijke) medewerkers aan de organisatie leveren, dient te worden vastgelegd dat deze partijen ervoor zorgen dat hun werknemers deze verklaring ondertekenen.

Tijdens het dienstverband

Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun verantwoordelijkheden op het gebied van informatieveiligheid en deze nakomen.

Directieverantwoordelijkheden

Implementatiemaatregel

De directie MOET erop toezien dat alle medewerkers handelen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie. Om dit te bereiken, worden medewerkers regelmatig herinnerd aan hun verantwoordelijkheden, en wordt de naleving van het beleid op gezette tijden beoordeeld.

Het is de verantwoordelijkheid van de directie om ervoor te zorgen dat medewerkers en contractanten:

  • Duidelijke instructies krijgen over hun rollen en verantwoordelijkheden inzake informatieveiligheid voordat zij toegang krijgen tot vertrouwelijke informatie of informatiesystemen.

  • Richtlijnen ontvangen die de verwachtingen van hun rol in informatieveiligheid binnen de organisatie duidelijk maken.

  • Gemotiveerd worden om zich te houden aan de informatieveiligheidsbeleid van de organisatie.

  • Een bewustzijnsniveau ontwikkelen over informatieveiligheid dat past bij hun functie en verantwoordelijkheden binnen de organisatie.

  • Zich houden aan de arbeidsvoorwaarden of inhuurcontracten.

  • Voortdurend beschikken over de vereiste vaardigheden en kwalificaties.

  • Bekend zijn met de meldingsprocedure van inbreuken op het informatieveiligheidsbeleid en -procedures.

Bovendien dient de directie de informatieveiligheidsbeleidsregels, -procedures en -maatregelen actief te ondersteunen en als een voorbeeldfunctie te dienen.

Het melden van veiligheidskwesties moet worden aangemoedigd in een cultuur van vertrouwen en verbetering. Medewerkers moeten zich vrij voelen om openlijk te spreken, ook over hun eigen fouten, en mogen niet worden gestraft voor het melden daarvan. Het is belangrijk dat medewerkers elkaar kunnen aanspreken op het niet naleven van beleid, met steun van het directiecomité. Het inzetten van een disciplinaire procedure is een laatste stap, alleen als andere vormen van dialoog niet effectief zijn.

Bewustzijn en opleiding

Implementatiemaatregel

Alle medewerkers en contractanten MOETEN, aangepast aan hun functie- of rolniveau, bewust worden gemaakt en getraind in beveiligingsprocedures en het juiste gebruik van IT-voorzieningen.

De organisatie is verantwoordelijk voor het ontwikkelen en implementeren van een formeel bewustzijnsprogramma om alle gebruikers te informeren over het belang van informatieveiligheid. Dit programma moet regelmatig aandacht krijgen, zowel via formele opleidingssessies als door het integreren van veiligheidsaspecten in de dagelijkse werking van de organisatie, zoals tijdens presentaties en in reactie op recente veiligheidsincidenten of mediaberichten.

Het bewustzijnsprogramma zou onder andere het volgende moeten omvatten:

  • Opleidingen over beveiliging, afgestemd op specifieke rollen, aangeboden via diverse methoden zoals klassikaal of e-learning.

  • Praktische oefeningen die echte cyberaanvallen simuleren.

  • Communicatiemiddelen zoals nieuwsbrieven en posters.

Daarnaast biedt de organisatie beveiligingstrainingen aan die zijn afgestemd op de specifieke rollen, verantwoordelijkheden en toegangsniveaus van medewerkers tot informatie en informatiesystemen. Deze trainingen moeten ook algemene informatiebeveiligingsaspecten behandelen, zoals de betrokkenheid van het management, de naleving van relevante regels en verplichtingen, persoonlijke verantwoordelijkheden van medewerkers, basisbeveiligingsprocedures en contactinformatie voor aanvullend advies. Het is belangrijk dat deze trainingen periodiek worden aangeboden, niet alleen aan nieuwe medewerkers maar ook aan bestaande medewerkers die een nieuwe functie of rol aanneemt. De deelname aan deze beveiligingstrainingen dient geregistreerd en bijgehouden te worden in het personeelsdossier van elke medewerker.

Disciplinaire maatregelen

Implementatiemaatregel

Er MOET een formele disciplinair procedure zijn om actie te ondernemen tegen medewerkers die (bewust) een inbreuk hebben gepleegd op het informatieveiligheidsbeleid. Deze procedure MOET deel uitmaken van het HR-beleid.

Voor interne personeelsleden zijn de bepalingen inzake disciplinaire acties opgenomen in het Vlaams Personeelsstatuut (VPS) en het arbeidsreglement. Voor externe medewerkers gelden de bepalingen opgenomen in de tewerkstellingsovereenkomst.

Bij het beoordelen van een inbreuk wordt rekening gehouden met de ernst ervan, alsook met het feit of de inbreuk al dan niet bewust plaatsvond en of er sprake is van recidive. Gezien het streven naar een cultuur van vertrouwen en verbetering, wordt in de eerste plaats getracht om in dialoog te gaan met de overtreder(s) met als doel lessen te trekken uit de situatie en herhaling van de feiten te voorkomen. De respectieve disciplinaire procedures worden beschouwd als een laatste stok achter de deur, om op te kunnen treden tegen zware, bewuste en/of herhaaldelijke inbreuken.

Beëindiging en wijziging van het dienstverband

Het beschermen van de belangen van de organisatie als onderdeel van de wijzigings- of beëindigingsprocedure van het dienstverband.

Beëindiging van het dienstverband

Indien een medewerker een bepaalde functie of rol niet langer opneemt of indien de tewerkstelling wordt beëindigd, dienen zijn/haar verantwoordelijkheden en taken (alsook toegangsrechten) te worden overgedragen. Sommige verplichtingen met betrekking tot informatieveiligheid, m.n. geheimhouding, blijven bovendien gelden na de beëindiging of wijziging van het dienstverband. Deze verplichtingen moeten duidelijk worden beschreven en moeten nogmaals onder de aandacht van de vertrekkende medewerker worden gebracht tijdens het exitgesprek.

Bij het beëindigen van het dienstverband van een werknemer of contractant met een "hoog risico" is het cruciaal om een procedure voor “dringende uitdiensttreding” vast te stellen. Deze procedure moet ervoor zorgen dat bestaande ID's, privileges en autorisaties van de betreffende persoon onmiddellijk kunnen worden ingetrokken.

Implementatiemaatregel

De organisatie MOET ervoor zorgen dat bij beëindiging van het dienstverband of inhuurcontract: 

  • De toegangsrechten tot informatie en informatiesystemen binnen 24 uur na het einde van het dienstverband worden ingetrokken.

  • Exit-interviews worden gevoerd, indien dit mogelijk is.

  • Alle bedrijfseigendommen worden teruggevraagd.

  • Alle informatie waarvoor de vertrekkende werknemer verantwoordelijk was, wordt geïdentificeerd en een nieuwe verantwoordelijke wordt aangewezen.

De organisatie MOET een procedure vastleggen voor “dringende uitdiensttreding”

Wijziging van tewerkstelling

Wanneer een medewerker een nieuwe functie of rol binnen de organisatie opneemt, is het essentieel dat bestaande toegangsrechten die niet langer relevant zijn, binnen een redelijke termijn worden aangepast.

Implementatiemaatregel

De organisatie MOET ervoor zorgen dat: 

  • Logische en fysieke toegangsrechten tot informatie en informatiesystemen worden herzien bij een interne functie- of rolwijziging van een medewerker.

  • De aangepaste toegangsrechten worden toegepast binnen 7 dagen na de daadwerkelijke overplaatsing.

Appendix

Relatie van het beleid met andere richtlijnen en standaarden

Regelgeving en standaarden (L1)

ISO 27001:2022 (Annex A)

Document status

Titel

Auteur

Datum

Versie

Status

Opmerkingen

Human Resource beveiliging

Nathalie Claeys

23/08/2021

0.1

CONCEPT

Beleid voor personeelsbeveiliging

Fabrice Meunier

23/11/2023

1.0

IN REVIEW

Beleid voor personeelsbeveiliging

Vincent Alwicher

07/06/2024

1.0

IN REVIEW

Update op basis van feedback van HR

  • No labels