Dit beleid omvat richtlijnen en maatregelen om ervoor te zorgen dat medewerkers en contractanten gedurende hun relatie met de organisatie hun verantwoordelijkheden op het gebied van informatieveiligheid begrijpen en nakomen. Oa. door middel van screeningsprocedures, vertrouwelijkheidsclausules in contracten, bewustmakingscampagnes, training en een disciplinair beleid.

Voorafgaand aan het dienstverband

De personeelsdienst en betrokken leidinggevenden moeten ervoor zorgen dat potentiële werknemers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de functies en rollen waarvoor zij in aanmerking komen.

Opname van veiligheidsvereisten in functie- of rolomschrijving

Het opnemen van specifieke beveiligingstaken en -verantwoordelijkheden in functie- en rolomschrijvingen draagt bij aan het bewustzijn van medewerkers over hun rol en verantwoordelijkheid in informatieveiligheid. Bovendien bevordert dit de ontwikkeling van een bedrijfscultuur waarin iedereen zich betrokken en verantwoordelijk voelt voor het handhaven van het informatieveiligheidsbeleid.

Functiescheiding

Bij het vastleggen van functie- of rolomschrijving dient er ook rekening te worden gehouden met het scheiden van verantwoordelijkheden, dit om het risico op fraude, fouten en het omzeilen van beveiligingsmaatregelen te verminderen.

Screening

Toelichting: Alle typen medewerkers zouden overwogen moeten worden, zowel internen (ambtenaren en contractuele ambtenaren) als externen (direct of via inhuurbureaus en leveranciers).

• In scope: Alle vaste en tijdelijke medewerkers die werken onder de supervisie van het management (bijv. directie, afdelingshoofd, teamhoofd).

• Uit scope: Medewerkers van externe leveranciers, die werkzaamheden verrichten voor of binnen onze organisatie, maar die werken onder de supervisie van de leveranciers zelf. De screening procedures van de leveranciers zijn hier van toepassing. Bij het uitbesteden van diensten dient het contract met de leverancier specifieke vereisten voor screening te bevat. Leveranciers die diensten uitvoeren, dienen screening uit te voeren op hun personeel. Hoewel individuele screeningdocumenten niet direct aan de organisatie hoeven te worden verstrekt, dient het contract een clausule te bevatten die de organisatie het recht geeft om hierop audits uit te voeren. Zie ook Leveranciersrelaties.

Procedures die de criteria en beperkingen voor screening definiëren behoren te worden opgesteld, bijv. wie is competent om personen te screenen, en hoe, wanneer en waarom worden controleonderzoeken uitgevoerd. Dergelijke procedures inzake rekrutering en selectie zijn vastgelegd in deel III van het VPS: https://www.vlaanderen.be/vlaams-personeelsstatuut/deel-iii-rekrutering-en-selectie-van-het-personeel-0. Daarnaast zijn er ook nog kwaliteitscriteria voor selecties en selectoren vastgelegd in een omzendbrief uit 2014: https://overheid.vlaanderen.be/omzendbrief-bz-2014/5

Arbeidsvoorwaarden

Alle interne personeelsleden dienen zich te houden aan de verplichtingen van het arbeidsreglement, de Vlaamse deontologische code en de bijhorende ICT-code (https://overheid.vlaanderen.be/ict-code en https://overheid.vlaanderen.be/BZ-2014-2), alsook aan de bijkomende (minder formele) afspraken die de organisatie oplegt (e.g. de afspraken in dit informatieveiligheidsbeleid). Een vertrouwelijkheidsclausule dient in de arbeidsovereenkomst te worden opgenomen of een confidentialiteitsovereenkomst dient ondertekend te worden om confidentialiteit of geheimhouding te waarborgen.

Vertrouwelijkheids- en geheimhoudingsovereenkomsten kunnen de volgende punten bevatten:

• De omvang van de te beschermen informatie en de wijze waarop deze kan worden geïdentificeerd.

• De te ondernemen stappen bij het beëindigen van de overeenkomst.

• De eigendomsrechten op informatie en intellectueel eigendom.

• De procedure voor het melden en rapporteren van ongeautoriseerde openbaarmakingen of lekken.

Externe medewerkers die bij de organisatie aan de slag gaan, dienen ook vooraf kennis te nemen van het informatieveiligheidsbeleid en hun verantwoordelijkheden met betrekking tot informatieveiligheid. Deze verantwoordelijkheden omvatten onder meer de verplichting tot geheimhouding en het naleven van het beleid. In de overeenkomsten met externe tussenpartijen, die (tijdelijke) medewerkers aan de organisatie leveren, dient te worden vastgelegd dat deze partijen ervoor zorgen dat hun werknemers deze verklaring ondertekenen. Het is niet in alle gevallen mogelijk of ongewenst om externe medewerkers bepaalde documenten te laten ondertekenen in het kader van mogelijke schijnzelfstandigheid. Raadpleeg ten alle tijden personeelszaken voor advies.

Tijdens het dienstverband

Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun verantwoordelijkheden op het gebied van informatieveiligheid en deze nakomen.

Directieverantwoordelijkheden

Het is de verantwoordelijkheid van de directie om ervoor te zorgen dat medewerkers en contractanten:

• Duidelijke instructies krijgen over hun rollen en verantwoordelijkheden inzake informatieveiligheid voordat zij toegang krijgen tot vertrouwelijke informatie of informatiesystemen.

• Richtlijnen ontvangen die de verwachtingen van hun rol in informatieveiligheid binnen de organisatie duidelijk maken.

• Gemotiveerd worden om zich te houden aan het informatieveiligheidsbeleid van de organisatie.

• Een bewustzijnsniveau ontwikkelen over informatieveiligheid dat past bij hun functie en verantwoordelijkheden binnen de organisatie.

• Zich houden aan de arbeidsvoorwaarden of inhuurcontracten.

• Voortdurend beschikken over de vereiste vaardigheden en kwalificaties.

• Bekend zijn met de meldingsprocedure van inbreuken op het informatieveiligheidsbeleid en -procedures.