• FINAAL CONCEPT
  • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    Personeelsbeveiliging

    Waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en uitvoeren in relatie tot informatieveiligheid. Dit omvat o.a. (optionele) screening, vertrouwelijkheidsclausule in contracten, bewustzijncampagnes, training en een disciplinaire procedure.

    Inhoud

     

     

    Doel

     

    Dit beleid omvat richtlijnen en maatregelen om ervoor te zorgen dat medewerkers en contractanten gedurende hun relatie met de organisatie hun verantwoordelijkheden op het gebied van informatieveiligheid begrijpen en nakomen. Oa. door middel van screeningsprocedures, vertrouwelijkheidsclausules in contracten, bewustmakingscampagnes, training en een disciplinair beleid.

    DOELSTELLINGEN

    Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

    • Page:
      OD.17

      We zorgen voor duidelijk kader en ondersteuning naar het personeel.

    DREIGINGEN

    Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

     

    Beleid

     

    Voorafgaand aan het dienstverband

    De personeelsdienst en betrokken leidinggevenden moeten ervoor zorgen dat potentiële werknemers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de functies en rollen waarvoor zij in aanmerking komen.

    Opname van veiligheidsvereisten in functie- of rolomschrijving

    Het opnemen van specifieke beveiligingstaken en -verantwoordelijkheden in functie- en rolomschrijvingen draagt bij aan het bewustzijn van medewerkers over hun rol en verantwoordelijkheid in informatieveiligheid. Bovendien bevordert dit de ontwikkeling van een bedrijfscultuur waarin iedereen zich betrokken en verantwoordelijk voelt voor het handhaven van het informatieveiligheidsbeleid.

    Functiescheiding

    Bij het vastleggen van functie- of rolomschrijving dient er ook rekening te worden gehouden met het scheiden van verantwoordelijkheden, dit om het risico op fraude, fouten en het omzeilen van beveiligingsmaatregelen te verminderen.

    Screening

    Toelichting: Alle typen medewerkers zouden overwogen moeten worden, zowel internen (ambtenaren en contractuele ambtenaren) als externen (direct of via inhuurbureaus en leveranciers).

    • In scope: Alle vaste en tijdelijke medewerkers die werken onder de supervisie van het management (bijv. directie, afdelingshoofd, teamhoofd).

    • Uit scope: Medewerkers van externe leveranciers, die werkzaamheden verrichten voor of binnen onze organisatie, maar die werken onder de supervisie van de leveranciers zelf. De screening procedures van de leveranciers zijn hier van toepassing. Bij het uitbesteden van diensten dient het contract met de leverancier specifieke vereisten voor screening te bevat. Leveranciers die diensten uitvoeren, dienen screening uit te voeren op hun personeel. Hoewel individuele screeningdocumenten niet direct aan de organisatie hoeven te worden verstrekt, dient het contract een clausule te bevatten die de organisatie het recht geeft om hierop audits uit te voeren. Zie ook Leveranciersrelaties.

    Procedures die de criteria en beperkingen voor screening definiëren behoren te worden opgesteld, bijv. wie is competent om personen te screenen, en hoe, wanneer en waarom worden controleonderzoeken uitgevoerd. Dergelijke procedures inzake rekrutering en selectie zijn vastgelegd in deel III van het VPS: https://www.vlaanderen.be/vlaams-personeelsstatuut/deel-iii-rekrutering-en-selectie-van-het-personeel-0. Daarnaast zijn er ook nog kwaliteitscriteria voor selecties en selectoren vastgelegd in een omzendbrief uit 2014: https://overheid.vlaanderen.be/omzendbrief-bz-2014/5

    Arbeidsvoorwaarden

    Alle interne personeelsleden dienen zich te houden aan de verplichtingen van het arbeidsreglement, de Vlaamse deontologische code en de bijhorende ICT-code (https://overheid.vlaanderen.be/ict-code en https://overheid.vlaanderen.be/BZ-2014-2), alsook aan de bijkomende (minder formele) afspraken die de organisatie oplegt (e.g. de afspraken in dit informatieveiligheidsbeleid). Een vertrouwelijkheidsclausule dient in de arbeidsovereenkomst te worden opgenomen of een confidentialiteitsovereenkomst dient ondertekend te worden om confidentialiteit of geheimhouding te waarborgen.

    Vertrouwelijkheids- en geheimhoudingsovereenkomsten kunnen de volgende punten bevatten:

    • De omvang van de te beschermen informatie en de wijze waarop deze kan worden geïdentificeerd.

    • De te ondernemen stappen bij het beëindigen van de overeenkomst.

    • De eigendomsrechten op informatie en intellectueel eigendom.

    • De procedure voor het melden en rapporteren van ongeautoriseerde openbaarmakingen of lekken.

    Externe medewerkers die bij de organisatie aan de slag gaan, dienen ook vooraf kennis te nemen van het informatieveiligheidsbeleid en hun verantwoordelijkheden met betrekking tot informatieveiligheid. Deze verantwoordelijkheden omvatten onder meer de verplichting tot geheimhouding en het naleven van het beleid. In de overeenkomsten met externe tussenpartijen, die (tijdelijke) medewerkers aan de organisatie leveren, dient te worden vastgelegd dat deze partijen ervoor zorgen dat hun werknemers deze verklaring ondertekenen. Het is niet in alle gevallen mogelijk of ongewenst om externe medewerkers bepaalde documenten te laten ondertekenen in het kader van mogelijke schijnzelfstandigheid. Raadpleeg ten alle tijden personeelszaken voor advies.

    Tijdens het dienstverband

    Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun verantwoordelijkheden op het gebied van informatieveiligheid en deze nakomen.

    Directieverantwoordelijkheden

    Het is de verantwoordelijkheid van de directie om ervoor te zorgen dat medewerkers en contractanten:

    • Duidelijke instructies krijgen over hun rollen en verantwoordelijkheden inzake informatieveiligheid voordat zij toegang krijgen tot vertrouwelijke informatie of informatiesystemen.

    • Richtlijnen ontvangen die de verwachtingen van hun rol in informatieveiligheid binnen de organisatie duidelijk maken.

    • Gemotiveerd worden om zich te houden aan het informatieveiligheidsbeleid van de organisatie.

    • Een bewustzijnsniveau ontwikkelen over informatieveiligheid dat past bij hun functie en verantwoordelijkheden binnen de organisatie.

    • Zich houden aan de arbeidsvoorwaarden of inhuurcontracten.

    • Voortdurend beschikken over de vereiste vaardigheden en kwalificaties.

    • Bekend zijn met de meldingsprocedure van inbreuken op het informatieveiligheidsbeleid en -procedures.

    Bovendien dient de directie de informatieveiligheidsbeleidsregels, -procedures en -maatregelen actief te ondersteunen en als een voorbeeldfunctie te dienen.

    Het melden van veiligheidskwesties moet worden aangemoedigd in een cultuur van vertrouwen en verbetering. Medewerkers moeten zich vrij voelen om openlijk te spreken, ook over hun eigen fouten, en mogen niet worden gestraft voor het melden daarvan. Het is belangrijk dat medewerkers elkaar kunnen aanspreken op het niet naleven van beleid, met steun van het directiecomité. Het inzetten van een disciplinaire procedure is een laatste stap, alleen als andere vormen van dialoog niet effectief zijn.

    Bewustzijn en opleiding

    De organisatie is verantwoordelijk voor het ontwikkelen en implementeren van een formeel bewustzijnsprogramma om alle gebruikers te informeren over het belang van informatieveiligheid. Dit programma moet regelmatig aandacht krijgen, zowel via formele opleidingssessies als door het integreren van veiligheidsaspecten in de dagelijkse werking van de organisatie, zoals tijdens presentaties en in reactie op recente veiligheidsincidenten of mediaberichten.

    Het bewustzijnsprogramma zou onder andere het volgende moeten omvatten:

    • Opleidingen over beveiliging, afgestemd op specifieke rollen, aangeboden via diverse methoden zoals klassikaal of e-learning.

    • Praktische oefeningen die echte cyberaanvallen simuleren.

    • Communicatiemiddelen zoals nieuwsbrieven en posters.

    Daarnaast biedt de organisatie beveiligingstrainingen aan die zijn afgestemd op de specifieke rollen, verantwoordelijkheden en toegangsniveaus van medewerkers tot informatie en informatiesystemen. Deze trainingen moeten ook algemene informatiebeveiligingsaspecten behandelen, zoals de betrokkenheid van het management, de naleving van relevante regels en verplichtingen, persoonlijke verantwoordelijkheden van medewerkers, basisbeveiligingsprocedures en contactinformatie voor aanvullend advies. Het is belangrijk dat deze trainingen periodiek worden aangeboden, niet alleen aan nieuwe medewerkers maar ook aan bestaande medewerkers die een nieuwe functie of rol aannemen. De deelname aan deze beveiligingstrainingen dient geregistreerd en bijgehouden te worden in het personeelsdossier van elke medewerker.

    Gedocumenteerde procedures

    Gedocumenteerde procedures zijn noodzakelijk om een consistente, reproduceerbare en veilige aanpak te waarborgen bij de uitvoering van operationele activiteiten, alsook het voorkomen dat kennis verloren gaat wanneer medewerkers of contractanten de organisatie verlaten.

    Disciplinaire maatregelen

    Voor interne personeelsleden zijn de bepalingen inzake disciplinaire acties opgenomen in het Vlaams Personeelsstatuut (VPS) en het arbeidsreglement. Voor externe medewerkers gelden de bepalingen opgenomen in de tewerkstellingsovereenkomst.

    Bij het beoordelen van een inbreuk wordt rekening gehouden met de ernst ervan, alsook met het feit of de inbreuk al dan niet bewust plaatsvond en of er sprake is van recidive. Gezien het streven naar een cultuur van vertrouwen en verbetering, wordt in de eerste plaats getracht om in dialoog te gaan met de overtreder(s) met als doel lessen te trekken uit de situatie en herhaling van de feiten te voorkomen. De respectieve disciplinaire procedures worden beschouwd als een laatste stok achter de deur, om op te kunnen treden tegen zware, bewuste en/of herhaaldelijke inbreuken.

    Beëindiging en wijziging van het dienstverband

    Het beschermen van de belangen van de organisatie als onderdeel van de wijzigings- of beëindigingsprocedure van het dienstverband.

    Beëindiging van het dienstverband

    Indien een medewerker een bepaalde functie of rol niet langer opneemt of indien de tewerkstelling wordt beëindigd, dienen zijn/haar verantwoordelijkheden en taken (alsook toegangsrechten) te worden overgedragen. Sommige verplichtingen met betrekking tot informatieveiligheid, m.n. geheimhouding, blijven bovendien gelden na de beëindiging of wijziging van het dienstverband. Deze verplichtingen moeten duidelijk worden beschreven en moeten nogmaals onder de aandacht van de vertrekkende medewerker worden gebracht tijdens het exitgesprek.

    Bij het beëindigen van het dienstverband van een werknemer of contractant met een "hoog risico" is het cruciaal om een procedure voor “dringende uitdiensttreding” vast te stellen. Deze procedure moet ervoor zorgen dat bestaande ID's, privileges en autorisaties van de betreffende persoon onmiddellijk kunnen worden ingetrokken.

    Wijziging van tewerkstelling

    Wanneer een medewerker een nieuwe functie of rol binnen de organisatie opneemt, is het essentieel dat bestaande toegangsrechten die niet langer relevant zijn, binnen een redelijke termijn worden aangepast.

     

    Appendix

     

    Relatie van het beleid met andere richtlijnen en standaarden

     

    Regelgeving en standaarden (L1)

    ISO 27001:2022 (Annex A)

     

    Document status

     

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Human Resource beveiliging

    Nathalie Claeys

    23/08/2021

    0.1

    CONCEPT

     

    Beleid voor personeelsbeveiliging

    Fabrice Meunier

    23/11/2023

    1.0

    IN REVIEW

     

    Beleid voor personeelsbeveiliging

    Vincent Alwicher

    07/06/2024

    1.0

    finaal concept

    Update op basis van feedback

    Dit is een document voor publiek gebruik.