ADM Gedragscode voor Informatiebeheerders

Transcriptie

1 ADM Gedragscode voor Informatiebeheerders Deze gedragscode werd opgesteld door de ADM Werkgroepen Safety and Security en Legal ondersteund door Dr Patrick Van Eecke van het advocatenkantoor DLA Piper. Context Niemand zal er vandaag de dag nog aan twijfelen dat ICT een cruciale rol speelt in het economisch leven. Het behoorlijk functioneren van netwerken, systemen en toepassingen is van groot belang voor talloze overheden, bedrijven en particulieren die in grote mate afhankelijk zijn van hun ICT infrastructuur en, bij uitbreiding, ook van hun informatiebeheerders. De informatiebeheerder is eenieder die toegangsrechten heeft die dat van het functioneel gebruik van de gegevens overschrijden. Het gaat met name om systeembeheerders, databeheerders, applicatie-beheerders, netwerkbeheerders, consultants, veiligheidsbeheerders enzovoort. Het is aangewezen om enige houvast te geven in de vorm van een gedragscode. Dit gebeurde eerder al in de Verenigde Staten, Australië en andere landen. Deze code heeft niet de ambitie om de precieze taak van de informatiebeheerder te omschrijven of om een technische handleiding te zijn voor informatiebeheerders. Dat is immers al gebeurd in andere documenten zoals "best practices", de "security policy", arbeidsreglementen, enzovoort. De code kan al evenmin een concrete oplossing bieden voor elk ethisch of beleidsprobleem waarmee een informatiebeheerder kan geconfronteerd worden in de uitvoering van zijn functie. Wel wil de code alle informatiebeheerders bewust maken van het belang hun bevoegdheden op een ethisch verantwoorde manier uit te oefenen: de integriteit van een informatiebeheerder maakt deel uit van zijn professionaliteit. De informatiebeheerder kan dus de code gebruiken als richtsnoer bij het maken van beleids- en andere keuzes. Bovendien moet de informatiebeheerder de code zien als een voortdurende uitnodiging om zijn professioneel handelen ethisch te toetsen en waar nodig aan te passen. Voor de overige werknemers van de onderneming is het nuttig te weten dat de uitoefening van de bevoegdheden van informatiebeheerder ingebed is in regels. Voor de werkgever is het nuttig om te preciseren hoe de informatiebeheerder gebruik moet maken van zijn bevoegdheden in het belang van de onderneming. De werkgever kan ervoor opteren om in het arbeidsreglement een verwijzing op te nemen naar deze code. Hij kan er ook voor kiezen om de code als apart document (al dan niet ter ondertekening) voor te leggen aan de informatiebeheerder. Bovendien kan de informatiebeheerder ook een verkorte versie van de code aangeboden worden, waarin de inhoud van de code puntsgewijs wordt weergegeven. Indien voor informatiebeheerderswerknemers sancties worden gekoppeld aan deze verplichtingen, dienen de correcte procedures voor een wijziging van het arbeidsreglement te worden gevolgd. Deze gedragscode voor informatiebeheerders gaat uit van drie basisbegrippen: integriteit, informatiebescherming en informatieplicht. Bij integriteit gaat het zowel over ethische integriteit van de informatiebeheerder als over integriteit van het computersysteem en/of -netwerk. Informatiebescherming handelt over privacybescherming en het omgaan met vertrouwelijke informatie. Informatieplicht gaat over het informeren van gebruikers en het documenteren van het computersysteem en/of -netwerk. 1

2 1 Ethische integriteit van de informatiebeheerder 1.1 De informatiebeheerder stelt zich objectief en onpartijdig op in de uitvoering van zijn functie. Toelichting: Dit is een algemene richtlijn die de houding van de informatiebeheerder omschrijft. De informatiebeheerder vervult zijn functie op een kritische en verantwoorde manier. Hij houdt zoveel mogelijk rekening met de verschillende in het spel zijnde belangen en baseert zijn beslissingen op een rationele beoordeling van alle relevante informatie. Het gaat bij wijze van voorbeeld om onafhankelijkheid en onpartijdigheid ten opzichte van verschillende diensten in de onderneming zoals de marketing- en financiële afdeling, en tussen verschillende personen in de onderneming. 1.2 De informatiebeheerder streeft ernaar persoonlijke belangenconflicten te vermijden. Wanneer deze zich toch voordoen zal hij daar zijn oversten over inlichten. Toelichting: Hier kan het gaan om persoonlijke belangen die onverenigbaar zijn met het belang van de onderneming. Bijvoorbeeld het veiligstellen van zijn positie binnen de onderneming via praktijken en gedragingen die duidelijk ongeoorloofd zijn; enzovoort. 1.3 De informatiebeheerder zal zijn vaardigheden steeds op gepaste wijze ten dienste stellen van de onderneming en de gebruikers van de ICT systemen. Toelichting: Een informatiebeheerder beschikt over zeer waardevolle kennis, maar hij moet erover waken deze op gepaste wijze te gebruiken, dat wil zeggen niet tegen het belang van de onderneming in. 1.4 De informatiebeheerder streeft ernaar in de best mogelijke verstandhouding samen te werken met iedereen binnen de onderneming. Toelichting: Dit artikel streeft ernaar te vermijden dat de informatiebeheerder een soort buitenstaander wordt ten opzichte van de onderneming of een dergelijke houding gaat aannemen. Dit kan immers onethisch gedrag in de hand werken dat de onderneming schade berokkent. Voor de toepassing van deze clausule worden externe consultants beschouwd als zijnde werkzaam in de onderneming. 1.5 De informatiebeheerder vermijdt foutieve voorstellingen van zijn eigen capaciteiten te geven en zal wanneer dit nodig blijkt professionele hulp inroepen voor technische bijstand. Toepassing: Wanneer de taak van informatiebeheerder over verschillende mensen in de onderneming verdeeld is, en bijvoorbeeld het veiligheidsbeheer wordt uitgevoerd door een Security Administrator, dan mag alleen de veiligheidsbeheerder handelingen stellen die een impact hebben op het veiligheidsbeheer. De andere informatiebeheerders moeten er zich dan van onthouden dergelijke handelingen te stellen. 1.6 De informatiebeheerder zal een voortdurende inspanning leveren om op de hoogte te blijven van de stand van de techniek en van maatschappelijke aangelegenheden die een impact hebben op de manier waarop hij zijn functie uitoefent. 2

3 2 Integriteit van het computersysteem en/of -netwerk 2.1 De informatiebeheerder staat in voor het behoorlijk functioneren van het systeem. De informatiebeheerder mag enkel die handelingen stellen die nodig zijn om de integriteit van het computersysteem of -netwerk te verzekeren. Toelichting: De informatiebeheerder onthoudt er zich met andere woorden van professionele handelingen te verrichten voor enig ander doel dan het verzekeren van de goede werking van het computersysteem in het belang van de onderneming. Hij houdt bij het stellen van deze handelingen steeds rekening met de bepalingen van deze code inzake informatiebescherming. Toelichting: De bepalingen inzake informatiebescherming zijn terug te vinden in deel Hij waakt er tevens over dat deze handelingen niet het verlies of de beschadiging van gegevens tot gevolg hebben. Als het nodig blijkt bepaalde gegevens of bestanden te wijzigen, kiest de informatiebeheerder steeds voor de oplossing die het minste invloed heeft op de informatie en die de gebruikservaring het minst verstoort. Bijvoorbeeld: de informatiebeheerder zal voor zover mogelijk bestanden hernoemen of verplaatsen in plaats van ze te bewerken of te verwijderen. 2.3 Aangezien bepaalde handelingen van gebruikers de integriteit van het computersysteem of -netwerk kunnen schaden, mag de informatiebeheerder, mits respect voor artikel 2.1, ook handelingen stellen met het doel toe te zien op de naleving door de gebruikers van de bedrijfspolitiek inzake aanvaardbaar gebruik van het computersysteem ("Acceptable Use Policy"). Toelichting: Het is normaal dat de naleving van de Acceptable Use Policy gecontroleerd wordt. Dit moet echter gebeuren met respect voor de regels, beschreven in deel 3 "Informatiebescherming". 2.4 Informatiebeheerders waken erover dat toegang tot het systeem voorbehouden blijft aan diegenen voor wie dergelijke toegang vereist is uit hoofde van hun functie. 3

4 3 Informatiebescherming 3.1 Respect voor de privacywetgeving Informatiebeheerders hebben toegang tot grote hoeveelheden persoonsgegevens, waarop de privacywetgeving van toepassing is. Toelichting: "Persoonsgegevens" is een ruim begrip waaronder wordt verstaan "iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon". Als identificeerbaar wordt beschouwd "een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit." De informatiebeheerder is zich bewust van het dwingend karakter van de regels uit de privacywetgeving. Hij ziet er dus nauwgezet op toe deze regels na te leven, met bijzondere aandacht voor de regels inzake verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens met betrekking tot gezondheid of seksuele oriëntatie. Toelichting: Hoewel het zeker zo is dat de privacywetgeving voor alle persoonsgegevens moet nageleefd worden, vestigt deze clausule nog eens extra de aandacht op gevoelige gegevens De informatiebeheerder neemt passende technische en organisatorische maatregelen met betrekking tot de beveiliging en bescherming van persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens. Toelichting: Om te bepalen wat "passende" beveiligingsmaatregelen zijn, wordt rekening gehouden met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen enerzijds, en met de aard van de te beveiligen gegevens en de potentiële risico's anderzijds. Zie artikel 16 van de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. De Referentiemaatregelen voor de beveiliging van de verwerking van persoonsgegevens, opgesteld door de Privacycommissie, kunnen hierbij als leidraad dienen ( De informatiebeheerder stelt derden en externe medewerkers die toegang krijgen tot de gegevens, op de hoogte van hun verplichting de privacywetgeving te respecteren. Toelichting: Men denke aan onderhoud of herstelling van het systeem door externen. Ook zij moeten bewust gemaakt worden van de relevante verplichtingen. 4

5 3.2 Controle van elektronische on-linecommunicatiegegevens en inzage in bestanden De informatiebeheerder kan enkel overgaan tot controle van elektronische onlinecommunicatiegegevens wanneer aan de wettelijke voorwaarden voldaan is. In principe mag de controle op de elektronische on-linecommunicatiegegevens geen inmenging in de persoonlijke levenssfeer van de werknemer tot gevolg hebben. Als de controle toch een inmenging in de persoonlijke levenssfeer van de werknemer tot gevolg heeft, moet deze inmenging tot een minimum beperkt worden. Voor ondernemingen geldt hierbij ondermeer de naleving van de C.A.O. nr. 81. Dit betekent dat geheime controles verboden zijn. Daarenboven mag er enkel gecontroleerd worden voor: 1 het voorkomen van ongeoorloofde of lasterlijke feiten, feiten die strijdig zijn met de goede zeden of de waardigheid van een andere persoon kunnen schaden; 2 de bescherming van de economische, handels- en financiële belangen van de onderneming die vertrouwelijk zijn alsook het tegengaan van ermee in strijd zijnde praktijken; 3 de veiligheid en/of de goede technische werking van de IT-netwerksystemen van de onderneming, met inbegrip van de controle op de kosten die ermee gepaard gaan alsook de fysieke bescherming van de installaties van de onderneming; 4 het te goeder trouw naleven van de in de onderneming geldende beginselen en regels voor het gebruik van onlinetechnologieën De informatiebeheerder kan zich enkel toegang verschaffen tot bestanden van gebruikers en deze raadplegen, indien hij de voorafgaande toestemming van de betrokken gebruiker heeft verkregen. Toelichting: Voor toegang tot bestanden van gebruikers moet rekening gehouden worden met de regels inzake informaticacriminaliteit, met name het verbod de toegangsbevoegdheid tot een informaticasysteem te overschrijden. De toestemming van de gebruiker kan bijvoorbeeld worden verkregen door de ondertekening van een IT-policy, of via de nodige bijlagen bij het arbeidsreglement In de mate dat dit binnen de bevoegdheden van de informatiebeheerder valt, is het aangewezen dat de informatiebeheerder ervoor zorgt dat de nodige disclaimers in uitgaande s worden opgenomen. Zo wordt bijvoorbeeld best vermeld dat de e- mails kunnen worden gelezen door derden. Toelichting: Gelet op de strenge wettelijke voorwaarden inzake kennisname van elektronische communicatie, is het aangewezen derden buiten de onderneming op de hoogte te brengen van het feit dat de communicatie kan worden gelezen (steeds conform hetgeen vermeld in punt 3.2.1). Hoewel dergelijke disclaimer niet kan gelijk worden gesteld met toestemming, is de onderneming op deze wijze in elk geval transparant. 3.3 Vertrouwelijke gegevens De informatiebeheerder is er zich van bewust dat alle informatie en communicatie van de onderneming in beginsel als vertrouwelijk beschouwd en behandeld moet worden. Toelichting: Men denke met name aan bedrijfsgeheimen, know-how en andere commercieel gevoelige informatie. De informatiebeheerder mag hier geen misbruik van maken. 5

6 3.3.2 De informatiebeheerder verbindt zich ertoe vertrouwelijke gegevens niet te gebruiken of te circuleren binnen de onderneming behoudens voor zover strikt noodzakelijk voor de uitoefening van zijn functie. Toelichting: In het kader van zijn functie heeft de informatiebeheerder vaak toegang tot allerlei vertrouwelijke gegevens. Het is van belang dat de informatiebeheerder deze vertrouwelijkheid niet enkel extern respecteert, maar tevens intern binnen de onderneming zelf. 6

7 4 Informatieplicht 4.1 Informeren van de gebruikers De informatiebeheerder zorgt ervoor dat de gebruikers terdege geïnformeerd zijn over de bedrijfspolitiek inzake aanvaardbaar gebruik van het computersysteem ("Acceptable Use Policy"). Deze bedrijfspolitiek wordt gecommuniceerd in bewoordingen die voor niet-it-professionals verstaanbaar zijn. Toelichting: De Acceptable Use Policy is vaak een omvangrijk document dat voor leken moeilijk te begrijpen is. Hier is een inspanning vereist van de opstellers van het document Naar aanleiding van een operationele interventie licht de informatiebeheerder zijn handelingen toe zodat de gebruiker behoorlijk geïnformeerd is over de gevolgen hiervan voor het gebruik van het systeem. Deze informatie wordt tijdig verstrekt en is geformuleerd in verstaanbare bewoordingen. Toelichting: Hier gaat het om tussenkomsten van de informatiebeheerder bij concrete vragen of problemen van de gebruiker. Ook kan het gaan om onderhoud van het systeem (dat vooraf aangekondigd dient te worden), pannes en dergelijke meer. 4.2 Inventariseren van de infrastructuur De informatiebeheerder zorgt dat er steeds een geactualiseerde documentatie voorhanden is die de infrastructuur van het netwerk en/of het systeem (hard- en software) op zodanige wijze beschrijft dat elke professionele informatiebeheerder zich op basis van deze documentatie een precies en volledig beeld zou kunnen vormen van de betrokken infrastructuur en in staat zou zijn het ononderbroken beheer ervan te verzekeren. Toelichting: Hier wordt gedacht aan de hypothese dat de informatiebeheerder om welke reden dan ook zijn functie niet meer zou kunnen uitoefenen. Een andere informatiebeheerder moet dan op een vlotte manier het beheer kunnen voortzetten. Hiervoor is een goede inventarisering van de infrastructuur vereist. 7