Versie: 1.0 Datum: 1 oktober Integriteitscode ICT

Transcriptie

1 Versie: 1.0 Datum: 1 oktober 2011 Integriteitscode ICT

2 Toelichting Voor u ligt de 'Integriteitscode ICT van de Erasmus Universiteit Rotterdam (EUR). De integriteitscode bevat een overzicht van de huidige wet- en regelgeving die van toepassing is op medewerkers die ICT-systemen beheren. De EUR hanteert als voorwaarde voor aanstelling dat kandidaten voor functies met verregaande bevoegdheden op ICTsystemen de integriteitscode ondertekenen. Beheerders van ICT-systemen bij de EUR beschikken vanuit hun functie over die verregaande bevoegdheden binnen informatieverwerkende systemen. Door de ondertekening van deze integriteitscode committeert u zich nadrukkelijk aan de specifieke verantwoordelijkheden die de omgang met (privacy)gevoelige gegevens met zich meebrengen. De ondertekende integriteitscode wordt in uw personeelsdossier bewaard. Integriteitscode ICT van de Erasmus Universiteit Rotterdam Artikel 1 1. Deze integriteitscode is van toepassing op beheerders van ICT-systemen van de EUR en is een verbijzondering van artikel 1.8 en 1.16 van de CAO Nederlandse Universiteiten van 1 maart 2010 tot 1 januari Onder beheerders van ICT-systemen wordt voor de toepassing van deze code verstaan: a. medewerkers die in dienst zijn van de EUR en vanwege beheerswerkzaamheden beschikken over verregaande bevoegdheden binnen ICT-systemen. Dit geldt voor alle medewerkers die activiteiten uitvoeren op het gebied van Functioneel Beheer; Technisch beheer; Applicatiebeheer, b. alle overige medewerkers die vallen binnen de familiefunctie ICT van het Hay-profiel en bepaalde organisatieonderdeel-specifieke functies waarop de Integriteitscode van toepassing is verklaard door de beheerder van het betreffende onderdeel. c. derden die beheerwerkzaamheden aan ICT-systemen van de EUR verrichten. Artikel 2 Onverminderd het in de wet, de CAO voor Nederlandse Universiteiten en deze code bepaalde, zijn beheerders van ICT-systemen verplicht tot geheimhouding van wat hen uit hoofde van hun functie ter kennis komt voor zover die verplichting uit de aard der zaak volgt of hen uitdrukkelijk is opgelegd. Deze verplichting geldt ook na beëindiging van het dienstverband c.q. werkzaamheden bij de EUR. Artikel 3 De in artikel 2 bedoelde verplichting bestaat niet voor zover een goede uitoefening van de functie schending van de geheimhouding noodzakelijk maakt. Artikel 4 Conform artikel 12 lid 1 Wet Bescherming Persoonsgegevens verwerken beheerders van ICT-systemen de persoonsgegevens waartoe ze toegang hebben slechts in opdracht van het CvB van de EUR of van directeuren, behoudens afwijkende wettelijke verplichtingen. Integriteitscode ICT v1.0.doc Page 2 of 5

3 Artikel 5 Conform artikel 12 lid 2 Wet Bescherming Persoonsgegevens zijn beheerders van ICTsystemen verplicht tot geheimhouding van de persoonsgegevens waarvan ze uit hoofde van hun functie kennis nemen, tenzij enig wettelijk voorschrift hen tot mededeling verplicht dan wel uit hun taak of uit bepalingen van het Reglement 1 de noodzaak tot mededeling voortvloeit. Deze geheimhoudingsbepaling is een verplichting op grond van een wettelijk voorschrift als bedoeld in artikel 272 lid 1 Wetboek van Strafrecht. Artikel 6 Tegen beheerders van ICT-systemen die de geheimhouding als beschreven in artikel 5 schenden wordt aangifte gedaan wegens overtreding van artikel 272 lid 1 Wetboek van Strafrecht, waarop een gevangenisstraf of geldboete kan staan. Artikel 7 Beheerders van ICT-systemen zullen gericht onderzoek naar handelingen die in strijd zijn met het Reglement, conform artikel 5 c uit het Reglement, alleen na uitdrukkelijke en schriftelijke opdracht van het CvB uitvoeren. Artikel 8 Indien bij steekproefsgewijze algemene controle op informatiestromen en/of het gebruik van ICT-systemen of bij onderzoek naar aanleiding van incidenten kennis genomen wordt van de inhoud van documenten of van medewerkers of studenten van de EUR geldt de geheimhoudingsverplichting van de beheerders van ICT-systemen als bedoeld in artikel 1.16 van de CAO Nederlandse Universiteiten niet ten opzichte van het CvB of de directeuren. Artikel 9 Beheerders van ICT-systemen houden zich bij de uitoefening van hun werkzaamheden en in het bijzonder bij het gebruik van ICT-systemen en overige ICT-faciliteiten van de EUR aan de bestaande wettelijke bepalingen en richtlijnen. Artikel 10 Beheerders van ICT-systemen zullen zich bij de uitoefening van hun werkzaamheden onthouden van gedrag dat afbreuk doet aan de reputatie van de EUR of van het organisatieonderdeel van de EUR waarvoor ze werkzaam zijn. Dit houdt in ieder geval in dat beheerders van ICT-systemen geen publieke uitlatingen doen over mogelijk zwakke plekken in de beveiliging van ICT-systemen van de EUR. Artikel 11 Beheerders van ICT-systemen zullen bij het gebruik van informatie de grootst mogelijke zorgvuldigheid betrachten. Dit houdt in ieder geval in dat de beheerders van ICT-systemen maatregelen nemen om te voorkomen dat derden informatie te zien krijgen, die niet voor hen bestemd is. Artikel 12 Beheerders van ICT-systemen zullen al wat redelijkerwijs van hen verlangd mag worden, doen om de vertrouwelijkheid, integriteit en beschikbaarheid te waarborgen van de gegevens die aanwezig zijn op de voor hen toegankelijke ICT-systemen. 1 Reglement voor Computer en Netwerkgebruik: Integriteitscode ICT v1.0.doc Page 3 of 5

4 Artikel 13 Beheerders van ICT-systemen hebben specifieke bevoegdheden, benodigd voor het uitvoeren van werkzaamheden direct voortvloeiend uit hun functie en/of taken. Beheerders van ICT-systemen mogen deze bevoegdheden niet door anderen laten gebruiken. Artikel 14 Het gebruik van de aan beheerders van ICT-systemen toegekende specifieke bevoegdheden is werkgerelateerd. Beheerders van ICT-systemen mogen de bevoegdheden niet voor andere doeleinden gebruiken dan voor werkzaamheden direct voortvloeiend uit hun functie en/of taken. Artikel 15 Het niet naleven van deze integriteitscode kan gezien worden als plichtsverzuim. Artikel 16 Deze code kan worden aangehaald als Integriteitscode ICT en treedt in werking op 1 januari Ondergetekende verklaart bij het ondertekenen van de Integriteitscode ICT akkoord te gaan met de regels en voorwaarden zoals die in dit document zijn opgesteld. Naam: Datum: Plaats: Handtekening voor akkoord: Integriteitscode ICT v1.0.doc Page 4 of 5

5 Appendix Uit de CAO Nederlandse Universiteiten: Artikel 1.8 Algemeen 2. De werknemer is gehouden zijn functie naar zijn beste vermogen uit te oefenen, zich te gedragen als een goed werknemer en te handelen naar de aanwijzingen door of vanwege de werkgever gegeven. Artikel 1.16 Geheimhouding 1. De werknemer is verplicht tot geheimhouding van hetgeen hem uit hoofde van zijn functie ter kennis komt, voor zover die verplichting uit de aard der zaak volgt of hem uitdrukkelijk is opgelegd. Deze verplichting geldt ook na beëindiging van het dienstverband. 2. De in lid 1 bedoelde verplichting bestaat niet tegenover hen, die delen in de verantwoordelijkheid voor een goede uitoefening van zijn functie door de werknemer, noch tegenover hen, wier medewerking bij die uitoefening noodzakelijk is te achten, indien en voor zover deze zelf tot geheimhouding verplicht zijn of zich daartoe verplichten. Het in de vorige zin gestelde geldt met inachtneming van wettelijke bepalingen inzake het beroepsgeheim. Artikel 6.10 Algemeen Indien een werkgever aan een werknemer van een openbare universiteit een disciplinaire maatregel oplegt, is het bepaalde in deze paragraaf van toepassing. Artikel 6.12 Disciplinaire maatregelen 1. De werkgever kan aan de werknemer die zich aan plichtsverzuim schuldig maakt een disciplinaire maatregel opleggen welke in verhouding staat tot het plichtsverzuim. 2. Plichtsverzuim omvat zowel het overtreden van enig voorschrift als het doen of nalaten van iets, wat een goed werknemer in gelijke omstandigheden behoort na te laten of te doen. 3. De werkgever kan met betrekking tot het opleggen van een disciplinaire maatregel nadere regels vaststellen. Wet bescherming persoonsgegevens - Artikel 12: 1. Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen. 2. De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. Het 2 de lid van artikel 272 Wetboek van Strafrecht is niet van toepassing. Wetboek van Strafrecht - Artikel 272: 1. Hij die enig geheim waarvan hij weet of redelijkerwijs moet vermoeden dat hij uit hoofde van ambt, beroep of wettelijk voorschrift dan wel van vroeger ambt of beroep verplicht is het te bewaren, opzettelijk schendt, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie. 2. Indien dit misdrijf tegen een bepaald persoon gepleegd is, wordt het slechts vervolgd op diens klacht. Reglement voor gebruik van computer- en netwerkfaciliteiten - Artikel 5c: Het CvB van de EUR behoudt zich het recht voor in het kader van onderzoek na gerezen verdenking van handelen in strijd met dit Reglement, gerichte controle uit te laten voeren door de toezichthouder op het - en netwerkverkeer van individuele gebruikers. Integriteitscode ICT v1.0.doc Page 5 of 5