ICT-reglement voor medewerkers. Registratienummer: 2014/512 Vaststelling door CvB: 18 maart 2014 Instemming MR: 11 maart 2014

Transcriptie

1 ICT-reglement voor medewerkers Registratienummer: 2014/512 Vaststelling door CvB: 18 maart 2014 Instemming MR: 11 maart 2014 Dit ICT-reglement van de Hogeschool van Arnhem en Nijmegen (HAN) bevat voorschriften ten aanzien van het gebruik van ICT-voorzieningen door medewerkers van de HAN. Doel van deze regels is de goede orde te bepalen ten aanzien van: systeem- en netwerkbeveiliging, inclusief beveiliging tegen schade en misbruik, tegengaan van seksuele intimidatie, discriminatie en andere strafbare feiten, bescherming van vertrouwelijke informatie van de HAN, haar werknemers en studenten, voorkomen van negatieve publiciteit, en kosten- en capaciteitsbeheersing. Medewerkers zijn gehouden de in dit ICT-reglement beschreven voorschriften na te leven en dienen op basis van dit ICT-reglement opdrachten en instructies van een gezagdrager op te volgen. Het ICT-reglement is gebaseerd op de Integriteitscode en het Privacyreglement van de HAN (respectievelijk besluit CvB 2007/21 en 2012/287). 1

2 Artikel 1. Begripsbepaling In dit ICT-reglement wordt verstaan onder: HAN: Hogeschool van Arnhem en Nijmegen. Gezagdrager: Een lid van het College van Bestuur (CvB), een faculteitsdirecteur, de directeur van het Service Bedrijf, een instituutsdirecteur, het hoofd van een Service Unit of een andere persoon die of ingevolge de WHW of middels een besluit of een regeling van het College van Bestuur als bevoegd gezagdrager is aangewezen. Medewerker: Een persoon die op basis van een arbeidsovereenkomst, overeenkomst van opdracht, detacheringsovereenkomst of uitzendovereenkomst of anderszins bij de HAN werkzaam is. Service Unit (SU) ICT: De unit van het Service Bedrijf van de HAN die belast is met de ontwikkeling, het onderhoud en het beheer van ICT-voorzieningen. HAN-CERT: Een organisatie binnen de Service Unit ICT die zich bezighoudt met het voorkomen en afhandelen van incidenten op het gebied van informatiebeveiliging. ICT-voorzieningen: De door of namens de HAN ter beschikking gestelde computer-, communicatie- en netwerkvoorzieningen, inclusief internettoegang, vaste telefonie en mobiele telefonie. Gegevens van de HAN: Alle gegevens die voor of namens de HAN zijn aangemaakt ( , documenten, afbeeldingen, video's, databases, etc.). Artikel 2. Vaststelling en inwerkingtreding Dit ICT-reglement van de Hogeschool van Arnhem en Nijmegen treedt in werking per XX XXX Vastgesteld door het College van Bestuur van de HAN d.d Instemming door de Medezeggenschapsraad van de HAN d.d Artikel 3. Toepassingsbereik Dit ICT-reglement is van toepassing op een ieder die als medewerker in de zin van dit ICT-reglement bij de HAN werkzaam is. Artikel 4. Bevoegd gebruik 4.1. De medewerker is gerechtigd gebruik te maken van de ICT-voorzieningen welke noodzakelijk zijn voor het uitvoeren van zijn of haar functie. 2

3 4.2. De ICT-voorzieningen dienen voor de medewerkers uitsluitend ter uitvoering van de overeenkomst op basis waarvan de medewerkers bij de HAN werkzaam zijn, met uitzondering van het bepaalde in artikel Privégebruik van ICT-voorzieningen is toegestaan, maar alleen tijdens pauzes of voor zover het werk er niet onder lijdt. Tevens is beperkte en tijdelijke opslag van privégegevens op ICT-voorzieningen van de HAN toegestaan. Ook bij privégebruik dient de medewerker zich te houden aan de voorschriften in dit ICT-reglement De HAN kan voor onderwijs- en andere bedrijfsdoeleinden systemen voorschrijven, zoals een leeromgeving, multimediadienst of opslagsysteem voor documenten. De werknemer zal voor de betreffende taken bij voorkeur deze systemen gebruiken en de daarbij gestelde beperkingen en eisen stipt naleven De werknemer dient te allen tijde zorgvuldig om te gaan met zijn of haar persoonlijk inloggegevens en eventuele aanvullende authenticatiemiddelen (zoals SMS, smartcards en tokens). Persoonsgebonden inloggegevens en aanvullende authenticatiemiddelen mogen niet worden overgedragen of gedeeld De medewerker is verantwoordelijk voor alle handelingen welke onder zijn of haar inloggegevens worden verricht Het is niet toegestaan andermans inloggegevens te gebruiken. Bij een vermoeden van misbruik van inloggegevens behoudt de HAN zich het recht voor om direct het betrokken account te blokkeren Zonder toestemming van een gezagdrager is het de medewerker niet toegestaan zich toegang te verschaffen tot gegevens van andere gebruikers of pogingen te ondernemen hogere privileges of autorisaties te bemachtigen dan de aan hem of haar toegekende privileges of autorisaties De medewerker dient wijzigingen in zijn of haar gegevens, welke van belang zijn voor het gebruik van de ICT-voorzieningen, direct door te geven aan de HAN Bij het beëindiging van de arbeidsovereenkomst worden de aan de medewerker geleverde ICTvoorzieningen teruggegeven aan de HAN en worden alle toegangsrechten van de medewerker ingetrokken. Leidinggevenden wordt verzocht een exitformulier in te vullen, dat te vinden is op Insite of op aanvraag wordt verstrekt door de Servicedesk ICT. 3

4 Artikel 5. Wijze van gebruik 5.1. Het is de medewerker niet toegestaan de ICT-voorzieningen te gebruiken voor handelingen en/of gedragingen die in strijd zijn met de wet, de goede zeden, de openbare orde of dit gedragsreglement. Hieronder vallen onder meer, maar niet uitsluitend, de volgende handelingen en gedragingen: a. inbreuk plegen op auteursrechtelijk beschermde werk(en) of het anderszins handelen in strijd met de intellectuele eigendomsrechten van derden; b. bekijken, bewaren en/of verspreiden van (kinder)pornografie; c. sexueel intimideren of op andere wijze lastig vallen van personen; d. online gokken; e. verspreiden van schadelijke software, zoals computervirussen, wormen of Trojaanse paarden; f. binnendringen van een ICT-voorziening waarbij de gebruiker enige beveiliging doorbreekt en/of zich toegang verwerft door een technische ingreep met behulp van valse signalen of een valse sleutel dan wel in een valse hoedanigheid; g. beschikbaar stellen van ICT-voorzieningen aan onbevoegden; h. een ICT-voorziening gebruiken, verlaten of achterlaten, zodanig dat anderen in de gelegenheid worden gesteld hiervan misbruik te maken; i. de HAN of derden materiële of immateriële schade berokkenen; j. inbreuk maken op rechten van de HAN of derden; k. je identiteit verhullen of je voordoen als iemand anders Het is de medewerker niet toegestaan de ICT-voorzieningen onnodig bezet te houden of onnodig te belasten. Hieronder wordt onder andere verstaan: a. grote hoeveelheden data (veel of grote berichten, bestanden, streams, etc.) te verzenden, te ontvangen, te plaatsen, toegankelijk te maken door middel van hyperlinks of anderszins openbaar te maken, waarvan de medewerker weet dan wel kon of behoorde te weten dat dit storing, overlast en/of vertraging kan veroorzaken binnen het systeem, of bij de ontvanger(s) (denk hierbij bijvoorbeeld aan het verspreiden van een link naar een komische, maar niets met het werk van doen hebbende film op Youtube of aan het downloaden van speelfilms van legale of illegale sites); b. ongevraagd berichten te verzenden, te plaatsen, toegankelijk te maken door middel van hyperlinks of anderszins openbaar te maken, waarvan de medewerker weet, dan wel kon of behoorde te weten dat de berichtgeving niet ten behoeve van ontvanger(s) is noch is gedaan in het kader van het werk (denk hierbij bijvoorbeeld aan het via e- mail uitnodigen van medewerkers of studenten om een enquête in te vullen zonder dat hier toestemming voor gevraagd is); c. opzettelijk berichten of mededelingen te verzenden, te plaatsen, toegankelijk te maken door middel van hyperlinks of anderszins openbaar te maken waarvan de medewerker weet, kon of behoorde te weten dat de inhoud ervan niet juist is; d. kettingbrieven, reclameboodschappen (spam) en daarmee vergelijkbare berichten te verzenden, te plaatsen, toegankelijk te maken door middel van hyperlinks of anderszins openbaar te maken De medewerker wordt geacht kennis te nemen van informatie welke van de zijde van de HAN naar de medewerker wordt verstuurd. 4

5 5.4. Het is de medewerker niet toegestaan een apparaat aan of af te koppelen van het vaste HAN netwerk. Het aansluiten van privé-apparaten (zoals, laptops, tablets en telefoons) is alleen toegestaan op de daarvoor ter beschikking gestelde (draadloze) netwerkaansluitingen De medewerker dient vermoedelijke of gevonden onvolkomenheden in de beveiliging van ICTvoorzieningen te melden bij het HAN-CERT Artikel 6. Omgaan met gegevens 6.1. Gegevens van de HAN worden bij voorkeur opgeslagen op de door de HAN ter beschikking gestelde ICT-voorzieningen. Het opslaan van gegevens van de HAN op privé apparaten of op internet is toegestaan, mits het niet gaat om (privacy) gevoelige, vertrouwelijke of bedrijfskritische informatie Van de medewerker wordt zorgvuldigheid verwacht bij de omgang met gegevens van de HAN. Zo dient de medewerker alle redelijke maatregelen te nemen om te voorkomen dat onbevoegden toegang krijgen tot gegevens van de HAN, ook wanneer deze gegevens zich op privé apparaten of op internet bevinden. Onder andere het volgende wordt voorgeschreven: a. beveilig mobiele apparaten (laptop, tablet, mobiele telefoon, etc.) altijd met een wachtwoord, pincode of andere geschikt toegangscontrolesysteem; b. zet gevoelige gegevens niet op draagbare opslagmedia (dvd, USB stick, etc.); c. vergrendel je systeem als je hiervan wegloopt; d. sluit ruimtes met ICT-voorzieningen af wanneer daar niemand meer aanwezig is; e. geef studenten of andere niet-medewerkers geen toegang tot een voor medewerkers bedoelde ICT-voorziening; f. beveilig je privé apparaten tegen schadelijke software en houd alle software up-to-date; g. verwijder je document uit de printer na een printopdracht; h. controleer bij het opslaan van gegevens altijd wie inzage heeft. Zet gevoelige gegevens nooit publiekelijk op internet; i. kom je informatie tegen die jij of anderen niet horen te zien? Meld het dan direct bij de Servicedesk ICT De werknemer dient privacygevoelige informatie en persoonsgegevens die hij in het kader van het werk te weten komt, strikt vertrouwelijk te behandelen. Dit geldt in het bijzonder voor systeembeheerders, voor wie schending van deze plicht als een zeer ernstig plichtsverzuim wordt aangemerkt, gezien hun bijzondere positie. Voor de verwerking van persoonsgegevens zijn aparte regels opgesteld, welke te vinden zijn in het privacyreglement van de HAN. Dit reglement is te vinden op In geval van ziekte, onverwacht langdurige afwezigheid of nalatigheid van de werknemer, is de gezagdrager gerechtigd een vervanger toegang te geven tot de bestanden of mailbox van de werknemer, doch uitsluitend indien aangetoond kan worden dat toestemming van de werknemer verkrijgen onmogelijk is en dit een zwaarwegende reden van bedrijfsbelang tot toegang oplevert. Deze mag zich echter geen toegang verschaffen tot als privé gemarkeerde mappen, als privé herkenbare mails, of mails verzonden naar dan wel afkomstig van een vertrouwenspersoon / bedrijfsarts / HR-consulent / vakbond. 5

6 Artikel 7. , sociale media en andere communicatiemiddelen 7.1. Het systeem van de HAN en de bijbehorende mailbox en adres wordt aan de werknemer voor gebruik in het kader van zijn functie beschikbaar gesteld. Gebruik is derhalve verbonden aan taken die voortvloeien uit deze functie. Privégebruik van deze mailbox en bijbehorend adres wordt ontraden, hiervoor kan men terecht bij de diverse gratis diensten op internet De HAN verwacht van de medewerker een bepaalde professionaliteit bij het communiceren via , sociale media en andere communicatiemiddelen. De werknemer dient privé en zakelijke communicatie zoveel mogelijk gescheiden te houden De medewerker maakt voor werkgerelateerde communicatie met andere medewerkers, studenten of derden gebruik van het door de HAN ter beschikking gestelde systeem, mailbox en e- mailadres. Het is niet toegestaan voor deze communicatie gebruik te maken van een ander e- mailadres, bijvoorbeeld een privé adres De HAN ondersteunt de open dialoog en de uitwisseling van ideeën en het delen van kennis van de werknemer met collega s, studenten en derden via sociale media (zoals Facebook, Twitter, Google+, etc.). Indien dit werkgerelateerde onderwerpen betreft, dient de werknemer ervoor te zorgen dat het profiel en de inhoud in overeenstemming zijn met hoe hij zich in woord, beeld en geluid zou presenteren ten overstaan van collega s en studenten. Dit geldt ook wanneer de werknemer dit vanaf privé apparaten of -internetaansluitingen doet Wanneer men zich als medewerker van de HAN presenteert op sociale media doet men dat op persoonlijke titel. De medewerker stelt zich niet als de HAN op De medewerker plaatst geen gegevens, foto s, video's en dergelijke van andere medewerkers, studenten of HAN-relaties op sociale media zonder uitdrukkelijke toestemming van de betrokkene(n) Wanneer de werknemer op internet een profiel voor sociale media aanmaakt dat direct werkgerelateerd is maar op naam van werknemer is gesteld, zullen werknemer en de HAN bij beëindiging van het dienstverband een passende oplossing zoeken voor het overdragen van dit profiel of de informatie en contacten daarop. Artikel 8. Monitoring en controle 8.1. Controle van gebruik van ICT-voorzieningen vindt slechts plaats in het kader van handhaving van de regels uit dit reglement. Verboden gebruik van de ICT-voorzieningen wordt zo veel mogelijk langs technische weg onmogelijk gemaakt Ten behoeve van controle op de naleving van de regels worden gegevens over digitale handelingen geautomatiseerd verzameld (gelogd). Deze gegevens zijn alleen toegankelijk voor de direct verantwoordelijke systeembeheerders en worden alleen in geanonimiseerde vorm aan overige beheerders en andere verantwoordelijken beschikbaar gesteld. 6

7 8.3. Bij vermoedens van overtreding van de regels kan controle worden uitgevoerd op het niveau van individuele verkeersgegevens van het gebruik van ICT-voorzieningen. Slechts bij zwaarwegende redenen vindt controle op de inhoud plaats De HAN houdt zich bij het controleren op het niveau van verkeersgegevens of persoonsgegevens onverkort aan de Wet bescherming persoonsgegevens en andere relevante wet- en regelgeving. In het bijzonder beveiligt de HAN de bij controle vastgelegde gegevens tegen ongeautoriseerde toegang en zijn personen met toegang daartoe contractueel verplicht tot geheimhouding Enkele specifieke maatregelen ter controle die de HAN kan voeren, zijn: a. controle ter voorkoming van schade als gevolg van bijvoorbeeld negatieve publiciteit, wettelijke of reglementaire overtredingen of verstoring van de openbare orde vindt plaats op basis van het zoeken naar bepaalde trefwoorden of gebeurtenissen. Verdachte handelingen worden automatisch verhinderd of gerapporteerd aan de verantwoordelijke systeembeheerder; b. controle in het kader van kosten- en capaciteitsbeheersing wordt beperkt tot het op basis van verkeersgegevens nagaan van de bronnen van kosten of capaciteitsvraag. Wanneer specifiek internetverkeer tot grote kosten of overlast leidt, kan deze worden geblokkeerd of afgeknepen, zonder daarbij de vertrouwelijkheid van de inhoud van de communicatie te schenden; c. De kosten van mobiel bellen, sms'en en mobiel internet van een medewerker kunnen op aanvraag worden verstrekt aan betreffend leidinggevende of budgethouder. Artikel 9. Procedure bij misbruik 9.1. Constatering of vermoedens van misbruik van ICT-voorzieningen wordt bij het HAN-CERT gemeld. Dit kan per of schriftelijk per post (Zie voor het adres het PDF-document op: waarna per omgaande een ontvangstbevestiging wordt verzonden naar de melder Indien nodig en mogelijk zal het HAN-CERT de identiteit van de verdachte achterhalen, waarna de klacht direct wordt doorgestuurd naar de betreffende gezagdrager Bij constatering of vermoeden van misbruik van ICT-voorzieningen is het HAN-CERT bevoegd bewijsmateriaal veilig te stellen en maatregelen te nemen om meer misbruik te voorkomen. De betrokkene wordt hierover geïnformeerd De Service Unit ICT zal op verzoek van de betreffende gezagdrager de aard en de omvang van het gesignaleerde misbruik onderzoeken De gezagdrager kan de Service Unit ICT niet alleen opdracht geven onderzoek te verrichten in geval van een klacht, maar ook als hij door een derde is gewaarschuwd, dan wel indien er zodanige omstandigheden aan hem kenbaar zijn gemaakt, dat er gegronde vrees kan zijn voor onjuist gebruik van de ICT-voorzieningen De Service Unit ICT is bevoegd om, indien het dit voor de uitoefening van haar werkzaamheden nodig acht, alle betrokken verkeersgegevens en bestanden in te zien en/of hiervan kopieën te maken, met inachtneming van de geldende wetgeving en HAN-regelgeving. 7

8 9.7. Uiterlijk twee weken na het verzoek tot onderzoek brengt de Service Unit ICT schriftelijk rapport uit aan de gezagdrager over de uitkomsten van het onderzoek Na het uitbrengen van het onderzoeksrapport door de Service Unit ICT informeert de gezagdrager de medewerker schriftelijk over de uitkomsten van het onderzoek, waarna de medewerker in de gelegenheid wordt gesteld zijn zienswijze toe te lichten. Artikel 10. Maatregelen bij misbruik Tegen de medewerker die in strijd handelt met de voorschriften uit dit ICT-reglement en/of geen gehoor geeft aan een opdracht van een gezagdrager om dit gedrag te staken, alsmede tegen degene met wiens inloggegevens in strijd wordt gehandeld met dit ICT-reglement, kan de faculteitsdirecteur / directeur Service Bedrijf disciplinaire maatregelen treffen, zoals onder andere is opgenomen in het CAO HBO Daarnaast kan de gezagdrager op basis van dit ICT-reglement onverwijld informatie (laten) verwijderen of blokkeren. Daarbij kan ook andere informatie van betrokkene worden verwijderd of geblokkeerd. Artikel 11. Rehabilitatie Indien een klacht na onderzoek ongegrond blijkt en indien dit onderzoek iemand heeft benadeeld, dan volgt een rehabilitatie. De vorm en inhoud is afgestemd op de concrete situatie. Artikel 12. Aansprakelijkheid De HAN sluit iedere aansprakelijkheid uit voor schade die voortvloeit uit het gebruik van ICTvoorzieningen De HAN sluit iedere aansprakelijkheid uit voor de kwaliteit en beschikbaarheid van ICT-voorzieningen en/of de informatie die via die weg wordt verspreid De medewerker is aansprakelijk voor alle schade die hij door opzet, schuld of nalatigheid aan de HAN, in het bijzonder ICT-voorzieningen, of derden toebrengt. De medewerker dient deze schade aan de HAN of derden te vergoeden. Bij vermissing, beschadiging, dan wel vernieling van eigendommen van de HAN of derden door schuld van de medewerker, wordt de daaruit voortvloeiende schade eveneens verhaald op de desbetreffende medewerker De medewerker is aansprakelijk voor de schade die ontstaat voor de HAN of derden als gevolg van de door de HAN getroffen maatregelen in de zin van artikel 10 van dit ICT-reglement en dient deze schade te vergoeden. 8

9 12.5. De medewerker vrijwaart de HAN voor aanspraken van derden op grond van inbreuk op hun rechten. Artikel 13. Onvoorziene gevallen In die gevallen, waarin dit ICT-reglement niet voorziet beslist de betreffende gezagdrager. 9