Algemene policy inzake het gebruik van e-mail

Versie 0.30 23/06/2010 ISMS (Information Security Management System) Algemene policy inzake het gebruik van e-mail Version control please always check if you re using the latest version Doc. Ref. : isms_041_email_policy_nl_v1.doc Release Status Date Written by Approved by NL_0.30 Voorstel van de en van sociale zekerheid 23/06/2010 Patrick BOCHART Werkgroep Informatieveiligheid Opmerking: in dit document zijn de opmerkingen verwerkt van een werkgroep waaraan de volgende personen hebben deelgenomen: de heren Bochart (KSZ), Costrop (Smals), Petit (FBZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van Cutsem (RSZPPO), Vandergoten (RIZIV).

Inhoudsopgave 1. INLEIDING... 4 2. DRAAGWIJDTE... 4 3. DEFINITIES... 4 3.1. MALWARE... 4 3.2. VIRUS... 4 3.3. WORM... 5 3.4. PAARD VAN TROJE (TROJAN HORSE)... 5 3.5. SPAM... 5 3.6. PHISHING... 6 3.7. HOAX... 6 3.8. TAG / TAGGING... 7 3.9. PRIVÉBERICHT... 7 3.10. SOCIAL ENGINEERING... 7 4. INDELING VAN HET GEBRUIK VAN E-MAIL... 8 4.1. PROFESSIONEEL GEBRUIK... 8 4.1.1. Eindgebruiker... 8 4.1.2. Systemen & Toepassingen... 8 4.2. PRIVÉGEBRUIK... 9 5. GEDRAGSCODE... 9 5.1. VERTROUWELIJKE GEGEVENS... 9 5.2. RECHTEN EN PLICHTEN... 10 5.3. ETHIEK... 10 5.4. GEBRUIKSVERBOD... 10 6. BEVEILIGING VAN E-MAIL... 11 6.1. BESCHERMING TEGEN MALWARE... 11 6.2. BESCHERMING TEGEN SPAM... 11 6.3. OVERDRACHT... 11 6.4. ELEKTRONISCHE HANDTEKENING & LEGITIMITEIT... 11 7. GIDS VOOR GOEDE PRAKTIJKEN VOOR DE EINDGEBRUIKER... 12 7.1. BESTEMMELING IN TO : / CC : / BCC : /... 12 7.2. SAMENSTELLING VAN HET ONDERWERP... 12 7.2.1. Professioneel gebruik... 12 7.2.2. Privégebruik... 12 7.3. INHOUD... 13 7.4. STIJL... 13 7.5. GROOTTE VAN DE BERICHTEN... 13 7.6. ATTACHMENTS... 13 7.7. HANDTEKENINGBLOK... 14 7.8. DISCLAIMER... 14 7.9. ONTVANGST-/LEESBEVESTIGING... 14 7.10. ANTWOORD... 14 7.11. CONVERSATIE... 15 7.12. DE MELDING VAN AFWEZIGHEID... 15 7.13. VEILIGHEID... 15 7.13.1. SPAM... 15 7.13.2. Phishing... 15 7.13.3. Kettingbrief... 16 7.13.4. Hoax... 16 P 2

7.13.5. Trojan... 18 7.14. EFFICIËNT GEBRUIK VAN DE MAPPEN... 18 7.15. INSCHRIJVEN VOOR NIEUWSBRIEVEN (NEWSLETTERS)... 18 8. CONTROLES & SANCTIES... 19 8.1. CONTROLES... 19 8.2. MODALITEITEN VOOR DE INDIVIDUALISERING VAN DE ELEKTRONISCHE COMMUNICATIEGEGEVENS... 19 8.3. SANCTIES... 20 P 3

1. Inleiding Net zoals alle andere werkmiddelen die u ter beschikking worden gesteld, mogen de communicatiemiddelen van de enkel voor beroepsmatig gebruik worden aangewend. Deze POLICY kadert in het veiligheidsbeleid van het netwerk van de sociale zekerheid zoals uiteengezet in het document Information Security Management System dat goedgekeurd werd door het Algemeen Coördinatiecomité van de Kruispuntbank van de Sociale Zekerheid. De bedoeling ervan is de regels en verplichtingen vast te leggen van: de gebruikers; de sociale en. De toepasselijke lokale, regionale, nationale en internationale wetgevingen en regels dienen in acht te worden genomen. 2. Draagwijdte Deze veiligheidspolicy omvat alle aspecten met betrekking tot het gebruik van e-mail en is bestemd voor alle gebruikers van e-mail (eindgebruikers, ontwikkelaars, systeembeheerders, ). Het doel van de policy is om een Gids voor goede praktijken voor de eindgebruiker (zie punt 7) ter beschikking te stellen van deze gebruikers. 3. Definities 1 3.1. Malware De term malware is een samentrekking van malicious (kwaadaardig, schadelijk) en software en wordt gebruikt om schadelijke software aan te duiden, nl. software die ontwikkeld werd om schade toe te brengen aan een informaticasysteem. De twee bekendste voorbeelden van schadelijke software zijn virussen en wormen. 3.2. Virus In de strikte zin van het woord is een informaticavirus een informaticaprogramma dat geschreven werd om zich te verspreiden naar andere computers door zich in legitieme gegevens of programma s te nestelen, de zogenaamde hosts. Een informaticavirus kan er ook toe leiden dat er (al dan niet opzettelijk) schade wordt toegebracht doordat het virus de werking van de besmette computer in meer of mindere mate verstoort. Het virus kan zich verspreiden via elk middel aan de hand waarvan digitale gegevens kunnen worden uitgewisseld, zoals het internet, diskettes, cd-roms, USB-sleutels, enz. Informaticavirussen mogen niet worden verward met wormen. Wormen zijn programma s die zich op zichzelf kunnen verspreiden en voortplanten zonder daarbij een gastprogramma (host program) aan te tasten. 1 De definities zijn gebaseerd op de definities beschikbaar in de vrije encyclopedie Wikipedia. P 4

3.3. Worm In tegenstelling tot een informaticavirus heeft een worm geen gastprogramma nodig om zich voort te planten. Een worm gebruikt echter de verschillende bestaande of beschikbare middelen om zich voort te planten. De definitie van een worm omvat enkel de manier waarop de worm zich van computer naar computer verspreidt, maar het eigenlijke doel van dergelijke programma s kan veel verder liggen dan het zich louter voortplanten. Het doel van een worm kan er namelijk in bestaan te spioneren, een verborgen toegangspunt (backdoor) te openen, gegevens te vernietigen, schade aan te richten, een website te overspoelen met requests zodat de site het begeeft, enz. Een worm kan ook als neveneffect hebben dat de besmette computer of het netwerk trager functioneert, dat er diensten crashen of dat het systeem crasht, enz..... Wormen die in de vorm van scripten zijn geschreven, kunnen zich in een e-mail of op een HMLinternetpagina nestelen. Ze worden geactiveerd door handelingen van de gebruiker die denkt dat hij informatie raadpleegt die voor hem bestemd is en volledig betrouwbaar is. 3.4. Paard van Troje (Trojan horse) Een Trojan horse is een ogenschijnlijk legitieme software die in werkelijkheid ontwikkeld werd om heimelijk (op een verborgen manier) handelingen uit te voeren zonder dat de gebruiker hiervan weet heeft. Over het algemeen probeert een Trojan horse de rechten van zijn omgeving te gebruiken om gegevens te stelen, te verspreiden of te vernietigen, of om een backdoor te openen aan de hand waarvan een hacker van op afstand de controle over de computer kan overnemen. Een Trojan horse is geen informaticavirus in die zin dat het zich niet zelf voortplant, wat wel een essentieel kenmerk is om een software als een virus te kunnen beschouwen. Een Trojan horse wordt echter ontwikkeld met de bedoeling dat het wordt verspreid wanneer naïeve gebruikers, die aangetrokken worden door de functionaliteiten die het programma te bieden heeft, downloaden of kopiëren. Een Trojan horse dient heel vaak om een backdoor op een computer te openen. Hierbij wordt dus schade berokkend aan de gebruiker doordat een hacker op elk moment van op afstand (via het internet) de controle over diens computer kan overnemen. Een Trojan horse bestaat uit twee afzonderlijke delen: het deel "server" en het deel "klant". Het deel klant is de component die naar het slachtoffer wordt verstuurd, terwijl het deel server op de computer van de hacker blijft. De component "klant" wordt via mail verstuurd in de vorm van een software-upgrade (bv. MSN, Adobe Photoshop, Safari, ), of in de vorm van een IQ-test of van een spel met winstoogmerk. Deze component kan zich kortom in talrijke vormen voordoen. Een Trojan horse sluipt dus de computer binnen en nestelt zich in de registry editor, van waaruit het een backdoor opent in de computer en een verbinding met de computer van de hacker tot stand brengt. De component server zorgt voor het versturen van de gegevens. De hacker kan zelf de commando s bepalen die hij op een pc wenst uit te voeren (hij kan de muis en het toetsenbord controleren, maar ook afprinten, de harde schijf formatteren, een webcam activeren, enz.). Het onderscheid tussen een Trojan horse, spyware, een keylogger en een backdoor is dus vaak slechts een kwestie van woordgebruik en hangt vaak af van de context. 3.5. SPAM De term SPAM duidt aan dat er massaal een mededeling wordt verzonden voor reclame- of malafide doeleinden, meer bepaald in de vorm van ongewenste e-mail aan de ontvangers. Het niveau van relevantie dat aan een spambericht wordt toegekend, varieert van gebruik tot gebruiker. De associatie van SPAM met ongewenst is ontstaan uit een komische sketch van Monty Python, waarin datzelfde woord, dat in deze context hesp van slechte kwaliteit in blik aanduidde, de conversatie en de menukaart van een restaurantje ging overheersen. Deze sketch was bovendien een parodie op één van de eerste vormen van ongewenste berichten. De sketch was immers gebaseerd op een radiospot waarin publiciteit werd gemaakt voor SPAM en waarin de naam van het merk meermaals werd herhaald. P 5

SPAMS bevatten over het algemeen reclame voor verschillende diensten en producten, waaronder pornodiensten, medicijnen, financieel krediet, online casino s, namaakhorloges, enz. Deze ongewenste berichten worden meestal voortgebracht door schadelijke software die een systeem (systemen) heeft aangetast. Deze software gebruikt over het algemeen een eigen interne motor om SPAMS te verspreiden. In sommige gevallen kan software echter ook gebruik maken van het e-mailsysteem dat reeds op het besmette systeem (systemen) is geconfigureerd. De laatste evolutie van SPAM is phishing, een methode die erin bestaat de ontvanger te misleiden doordat de SPAM wordt verstuurd als een officieel bericht van diens bank of van eender welke dienst die met een paswoord is beschermd. Het doel is de persoonsgegevens van de ontvangers te achterhalen (met name paswoorden, een bankkaartnummer) door hen naar een nepsite te lokken die al hun acties registreert. 3.6. Phishing Phishing is een techniek die door fraudeurs wordt gebruikt om persoonlijke informatie te verkrijgen, met als doel identiteitsfraude te plegen. De techniek bestaat erin het slachtoffer te doen geloven dat het zich tot een trusted third party richt (bank, overheid, enz.), om het zo zijn persoonlijke gegevens te ontfutselen (paswoord, creditkaartnummer, geboortedatum enz.). Het is een soort van informatica-aanval op basis van social engineering. Phishing kan gebeuren via e-mail, valse websites of andere elektronische middelen. 3.7. Hoax In de informatica komen valse berichten of hoax vaak voor als e-mail of als eenvoudige kettingbrief. In dit laatste geval versterkt het internet enkel een fenomeen dat al langer in de traditionele post bestond. Het woord hoax is een vereenvoudiging van het eerste woord van de uitdrukking hocus pocus, wat bedrog of oplichting betekent. In tegenstelling tot SPAMS, die meestal automatisch worden verzonden naar een lijst ontvangers, worden hoax handmatig verstuurd door mensen die zich van geen kwaad bewust zijn en die gevraagd worden het bericht terug te sturen naar al hun kennissen, of naar een welbepaald e-mailadres. Hoax gebruiken vaak dezelfde methode als urban legends (stadslegendes). In dat geval verspreiden ze zich door forwarden, waardoor hun impact en publiek nog vergroten. Er wordt geprobeerd om op een nogal grove manier op uw gevoel in te spelen: red Brian! De aangehaalde feiten zijn over het algemeen zeer vaag ( in Brazilië bijvoorbeeld, zonder meer details, of binnen drie maanden, zonder begindatum). Er worden over het algemeen geen referenties gegeven of de referenties zijn te gewichtig (het Pentagon, Microsoft, enz.). Er worden u buitensporige beloftes gemaakt die inspelen op de ongelijkheid in de wereld van vandaag: snel en gemakkelijk miljardair worden, een boot winnen, enz. U ontvangt alarmerende berichten of valse virusalarmen, die als doel hebben paniek te zaaien bij nieuwe gebruikers en hen soms ook aan te zetten tot gevaarlijke handelingen in hun informaticasysteem (voorbeelden: Opgelet, dit virus vernietigt alle gegevens op de harde schijf, Ultima de athenas). Er worden zeer veel e-mailadressen bekendgemaakt, aangezien gebruikers soms niet weten hoe ze deze adressen in bcc mode kunnen zetten. Spammers maken hier dankbaar gebruik van. Soms wordt u herhaaldelijk gerustgesteld met de boodschap dat het geen hoax betreft en dat een vriend overtuigd werd door het bericht. Natuurlijk ligt hierin geen waarheid. Soms ontvangt u verrassende reclameberichten waarin u wordt beloofd dat u flessen champagne van een duur merk of bordeauxwijnen van een bekend kasteel of een ander cadeau zal ontvangen indien u de e-mail naar twintig adressen uit uw adressenlijst doorstuurt. P 6

Dan bestaat er ook nog een variant, de zogenaamde viroax, een combinatie van een virus en een hoax. De viroax profiteert van de goedgelovigheid van de ontvanger en zet hem ertoe aan een bestand op zijn computer te verwijderen (dit bestand kan soms noodzakelijk zijn voor de werking van het besturingssysteem, het anti-virussysteem of de firewall), door hem te doen geloven dat het om een virus gaat. Soms wordt het initiële bericht jammer genoeg geheel te goeder trouw verstuurd (verkoop van pups, verdwijning van een persoon, verzoek om beenmerg af te staan, ), maar wordt het vervolgens nog jaren talrijke malen doorgestuurd door een massa personen (en zeer vaak zelfs gewijzigd), lang nadat het probleem al werd opgelost. Men neemt zo dus eigenlijk deel aan de massale verspreiding van persoonlijke gegevens over personen die zodanig worden overspoeld door de gebeurtenissen dat ze hun e-mailadres, telefoonnummer enz. dienen af te sluiten om opnieuw rust te vinden. Zowel verenigingen, en als ziekenhuizen werden hier reeds het slachtoffer van (bijvoorbeeld de American Cancer Society). 3.8. TAG / TAGGING Een tag (of etiket, opmaakcode, markering, label) is een (relevant) sleutelwoord of term dat/die verband houdt met informatie of aan deze informatie wordt toegekend (bijvoorbeeld een afbeelding, een artikel, een videoclip). Zo wordt het dataobject beschreven, en kan de informatie op basis van sleutelwoorden ingedeeld worden. 3.9. Privébericht Onder privébericht wordt verstaan: elk bericht dat geen verband houdt met de beroepsactiviteit. 3.10. Social engineering Social engineering is een vorm van oplichting in de informatica, met als doel een voorwerp te bekomen of een gegeven te achterhalen. Deze praktijk maakt misbruik van het menselijke en sociale aspect van de organisatie waarmee het beoogde informaticasysteem is verbonden. Met zijn kennis en charisma of durf, of door middel van bedrog maakt de hacker misbruik van het vertrouwen, de onwetendheid of de goedgelovigheid van degenen van wie hij iets probeert te bekomen. In zijn werk The Art of Deception theoretiseert en populariseert Kevin Mitnick deze praktijk, die zich richt op de menselijke factor van een informaticasysteem om het systeem zo onveilig te maken. De term social engineering wordt vooral gebruikt in het informaticajargon om de methodes aan te duiden die informaticahackers volgen (categorie van de Black-hathackers). Deze hackers maken gebruik van social engineering om toegang te verwerven tot een informaticasysteem of om simpelweg hun nieuwsgierigheid te bevredigen. Tegenwoordig worden er inspanningen geleverd om de gebruikers van beveiligde informaticasystemen op te leiden en voor te bereiden op dergelijke praktijken. De departementen informaticabeheer laten documenten rondgaan waarin de basisveiligheidsregels worden beschreven: de manier om een paswoord te kiezen dat lang genoeg is en dat niet in het woordenboek staat, de raad om nooit je paswoord aan iemand te geven, zelfs niet aan een werknemer van het informaticadepartement, enz. Binnen de grootste organisaties worden van tijd tot tijd conferenties georganiseerd met specialisten inzake informatie en informaticaveiligheid, om de gebruikers meer bewust te maken van de gevaren. De bedoeling van deze opleidingen is de werknemers erop attent te maken niet per ongeluk gevoelige informatie te onthullen, en alarm te slaan bij een poging tot ontfutseling van dergelijke informatie. P 7

4. Indeling van het gebruik van e-mail E-mail is voornamelijk een communicatiemiddel; het is niet aangeraden e-mail te gebruiken als een systeem voor het documenteren of opslaan van dossiers/gegevens. Er zijn twee soorten van e-mailgebruik: 4.1. Professioneel gebruik Een e-mailbericht kan afkomstig zijn van: de eindgebruiker, de toepassing, het systeem waarop één of meerdere toepassingen draaien. 4.1.1. Eindgebruiker Om de doeleinden van de te bereiken, dienen andere tools, zoals businesstoepassingen gebruikt te worden. Er dient aan te worden herinnerd dat bij de verwerking van persoonsgegevens/sociale gegevens een aantal regels en vereisten in acht dienen te worden genomen. E-mail beantwoordt over het algemeen aan geen enkele van deze regels en vereisten. Belangrijke informatie zoals de beschrijving van procedures, de policy s, de gedragsregels, de instructies, de verslagen, de contracten, de overeenkomsten, de witboeken, technische schema s, projectplannen, enz. moet via andere middelen worden aangemaakt en dient in een geschikte gegevensopslagruimte te worden opgeslagen; bijvoorbeeld in bestandssystemen of systemen voor documentbeheer. Enkel de goedgekeurde e-mailcliënt mag gebruikt worden om te communiceren met de server waarop de mailbox van de gebruiker staat. 4.1.2. Systemen & Toepassingen Bij de verzending van berichten die afkomstig zijn van de servers, en dus van de eigenlijke systemen en toepassingen, dienen bepaalde regels in acht te worden genomen. Het bepalen van deze regels hangt af van de eindbestemming en van het type bericht. Twee hoofdtypes berichten kunnen hierbij worden onderscheiden: het bericht dat afkomstig is van een toepassing en bestemd is voor een gebruiker of een derde. Het bericht bevat een request van het type informatie/vraag/bevestiging; het bericht dat afkomstig is van een toepassing of van het systeem zelf, maar dat bestemd is voor een persoon of groep van personen die de rol van beheerder van deze toepassing of van dit systeem vervullen. Het betreft dus een bericht van het type systeem dat systeemgebonden informatie/meldingen of alarmen bevat. De berichten die door de toepassing of het systeem worden verzonden, dienen in elk geval enkel en alleen naar het platform voor de overdracht van berichten ( mail-relay ) te worden verzonden. Het bronadres dient duidelijk de oorsprong aan te duiden. De manier waarop het bronadres is opgebouwd, varieert naargelang het type bericht. Voor berichten van het type 'request' kan een adres van het type application@institution.fgov.be worden overwogen. Voor berichten van het type systeem is het echter belangrijk dat aan de hand van het bronadres kan worden bepaald van welk intern proces het bericht afkomstig is, bijvoorbeeld application.host@internal.institution.fgov.be. Het systeem voor de overdracht van berichten dient de berichten te filteren, zodat een systeem bericht niet buiten de kan verzonden worden met uitzondering van de support supplier. P 8

Om problemen bij het vertrek van een medewerker te vermijden, mogen systeem berichten enkel aan een groeps- of functieadres worden gericht, en nooit aan een adres van een eindgebruiker. 4.2. Privégebruik Het gebruik van de elektronische communicatiemiddelen die ter beschikking worden gesteld door de, is principieel beperkt tot professionele doeleinden. Het beperkte gebruik van het e-mailsysteem voor privédoeleinden, bijvoorbeeld met het oog op de persoonlijke ontwikkeling en vorming, is echter toegestaan op voorwaarde dat dit gebruik occasioneel gebeurt en redelijk blijft, geen afbreuk doet aan de goede werking van het netwerk, aan de goede uitoefening van het werk of aan de productiviteit, en geen inbreuk vormt op de van kracht zijnde wetgeving. De body van het bericht mag geen vermelding m.b.t. de bevatten (bijvoorbeeld automatische handtekening) of een andere indicatie waaruit zou kunnen worden begrepen dat het bericht in het kader van de functie-uitoefening werd opgesteld. Het is sterk aangeraden, zelfs verplicht, dat het onderwerp van elke privémail die wordt verzonden, de tag [PRIVATE] of een gelijkaardige tag (Private, Privé, Privaat, ) bevat. De volgende paragrafen dienen te worden beschouwd als een goede praktijk voor het privégebruik van e- mail. Deze berichten zullen in een specifieke map worden opgeslagen: [PRIVATE MAIL]. Elke mail met in het onderwerp [PRIVATE] of (PRIVATE) zal automatisch naar een map worden gestuurd. Indien de gebruiker bovendien een boodschap ontvangt waarvan het onderwerp geen privétags bevat en de inhoud geen verband houdt met de of met zijn functie of werk, zal de gebruiker dit privébericht manueel verplaatsen naar de specifieke map. Het is aangeraden dat een automatische procedure elk privébericht dat 30 dagen oud is en zich in deze map bevindt, archiveert in een daartoe bestemde opslagruimte op de lokale harde schijf van het werkstation. Deze archivering zal geen deel uitmaken van een back-upprocedure. 5. Gedragscode 5.1. Vertrouwelijke gegevens Alle gegevens van persoonlijke of medische aard die elektronisch moeten worden doorgestuurd, mogen enkel worden overgemaakt via de informatiesystemen die door de bevoegde sectorale comités werden bepaald en goedgekeurd. Bij de elektronische uitwisseling van vertrouwelijke gegevens dienen de gepaste maatregelen te worden getroffen teneinde de vertrouwelijkheid en de integriteit van de overgemaakte gegevens te waarborgen, met inachtneming van de van kracht zijnde wetten en reglementeringen (Kruispuntbank van de Sociale Zekerheid, Rijksregister van de natuurlijke personen, bescherming van persoonsgegevens,...). E-mail mag standaard niet worden beschouwd als een veilig elektronisch uitwisselingskanaal aan de hand waarvan de vertrouwelijkheid en de integriteit van de gegevens in het bericht kunnen worden gewaarborgd. P 9

5.2. Rechten en plichten De respecteert het recht op bescherming van de persoonlijke levenssfeer waarover de gebruikers van het e-mailsysteem beschikken in het kader van de werkrelatie en van de rechten en verplichtingen die deze relatie met zich meebrengt voor alle partijen. De gebruikers van het e-mailsysteem erkennen het principe volgens hetwelk de het recht heeft controle uit te oefenen op de werktool en op het gebruik van deze tool door de gebruikers in het kader van de uitoefening van hun contractuele verplichtingen, ook wanneer dit gebruik onder de persoonlijke levenssfeer valt. 5.3. Ethiek Alle gebruikers van het e-mailsysteem van de dienen dit systeem als "goede huisvaders" te gebruiken. Ze worden dan ook geacht bepaalde gedragsregels in acht te nemen. Deze zijn in de onderstaande niet-exhaustieve lijst opgenomen: wees beleefd: gebruik geen grove taal in de berichten die u verstuurt; houd de berichten opbouwend en professioneel qua inhoud en toon. Behandel mensen in het e- mailverkeer met dezelfde beleefdheid en respecteer hen zoals u dat face-to-face zou doen; gebruik gepaste taal. Vloek niet, gebruik geen scheldwoorden of ander ongepast taalgebruik. Verricht geen handelingen die verboden zijn krachtens de nationale wetgeving; gebruik het netwerk niet op een zodanige manier dat u het gebruik ervan stoort (bijvoorbeeld door een e-mail te verzenden naar al het personeel, );. 5.4. Gebruiksverbod Het gebruik van het e-mailsysteem van de is verboden in de volgende gevallen of in gelijkaardige gevallen: betrokkenheid bij illegale, frauduleuze of kwaadwillige activiteiten; mededeling of opslag van elk element met een beledigend, obsceen (bv. pornografisch), raciaal, onterend of politiek karakter; mededeling van gegevens die auteursrechtelijk beschermd zijn, in strijd is met de wetten ter bescherming van dit recht; verzenden van e-mail zonder gerechtvaardigd professioneel doel, in omstandigheden waarin schade kan worden berokkend aan de auteur van het originele bericht; verzenden van berichten waarvan de identiteit van de verzender verborgen of vervalst is; deelname aan kettingbrieven; paswoord delen; verspreiding, verzoek of aanbod voor de verkoop of aankoop van goederen of diensten; inschrijving op nieuwsbrieven die geen verband houden met de activiteit (bv. grap, ); verspreiding van feiten in verband met: o de veiligheid van het land; o de bescherming van de openbare orde; o de financiële belangen van de overheid; o het voorkomen en het bestraffen van strafbare feiten; o het medisch beroepsgeheim; o de rechten en vrijheden van de burger; o de eerbiediging van de persoonlijke levenssfeer; o de voorbereiding van beslissingen zolang er nog geen eindbeslissing is genomen. P 10

6. Beveiliging van e-mail 6.1. Bescherming tegen malware Het e-mailsysteem is één van de meest gebruikte methodes voor de verspreiding van malware. De dient dan ook verschillende veiligheidsniveaus te implementeren om te vermijden dat dergelijke schadelijke toepassingen in de mailbox terechtkomen. Elke poging tot deactivering, wijziging van de configuratie, omzeiling van de beveiligingssystemen is dan ook verboden. Het openen van attachments die afkomstig zijn van onbekende, onbetrouwbare personen, of het openen van verdachte attachments zonder vooraf na te gaan wie de verzender is, kan ernstige gevolgen hebben voor het gehele interne netwerk en voor de gegevens die in dit netwerk zijn opgeslagen of er in circuleren. 6.2. Bescherming tegen SPAM De dient een beveiligingssysteem te implementeren om ervoor te zorgen dat ongewenste berichten niet in de mailbox terechtkomen. Dit systeem voert een aantal testen uit op de binnenkomende berichten. In functie van het resultaat van deze testen, wordt er een score aan het bericht toegekend. Indien aan het bericht een bepaalde score wordt toegekend, wordt het beschouwd als ongewenst bericht. Om te vermijden dat de zich op de blacklist 2 bevindt, dient de een technische basisconfiguratie te implementeren die vermijdt dat meldingen van afwezigheid buiten het (de) vertrouwde maildomein(en) worden verzonden. 6.3. Overdracht De systematische overdracht van alle e-mails die in een mailbox komen naar een adres buiten de is verboden, aangezien deze automatische overdracht de vertrouwelijkheid van de gegevens in gevaar zou kunnen brengen. 6.4. Elektronische handtekening & legitimiteit Een e-mail heeft standaard geen juridische waarde. De juridische waarde kan enkel gegarandeerd worden mits het nemen van specifieke maatregelen. De wet van 9 juli 2001 legt de regels vast met betrekking tot het juridisch kader voor elektronische handtekeningen en certificatiediensten 2 Sommige anti-spamsystemen kunnen een out-of-office mail (mail met melding van afwezigheid) als SPAM beschouwen. Indien de toestaat dat deze meldingen van afwezigheid buiten de worden verzonden, is het mogelijk dat een reeks van deze meldingen een alarm genereert en het maildomein (of het (de) publieke adres(sen) van de relay servers) van de op de blacklist zet. P 11

7. Gids voor goede praktijken voor de eindgebruiker 7.1. Bestemmeling in TO : / CC : / BCC : / Beperk het aantal ontvangers in het TO:-veld tot een minimum en beperk deze lijst indien mogelijk tot één enkele persoon. Duid in het TO:-veld enkel de ontvangers aan die waarschijnlijk op het bericht zullen moeten reageren of antwoorden. Het CC: (Carbon Copy)-veld is bestemd voor de ontvangers die in kopie staan, zodat ze op de hoogte worden gebracht van de inhoud van het bericht. Voeg uw hiërarchie niet systematisch in alle mails in CC toe. Deze beschikt over andere middelen aan de hand waarvan hij kan weten of u actief werkt. Behalve indien dit specifiek gevraagd wordt, dienen de verantwoordelijken enkel in kopie te worden gezet in geval van (al dan niet terugkerende) belangrijke problemen. Gebruik het BCC: (Blind Carbon Copy)-veld om een mail te verzenden naar een lijst van ontvangers die elkaars adressen niet mogen zien. Dit is specifiek het geval voor een mailing list. Indien het BCC:-veld exclusief wordt gebruikt, moeten de TO:- en CC:-velden leeg blijven of mogen ze enkel in bepaalde gevallen uw eigen adres bevatten. Indien u een bericht met één of meerdere attachments ontvangt en dit bericht dient te beantwoorden of door te sturen, ga dan op voorhand na of het nodig is het (de) attachment(s) bij te voegen, zodat de grootte van de berichten die worden doorgestuurd en opgeslagen, beperkt kan worden. 7.2. Samenstelling van het onderwerp Het onderwerp is geen verplicht veld, maar het is wel sterk aangeraden dit veld te gebruiken. Berichten met een leeg onderwerp kunnen immers als ongewenste berichten (spam) worden gemarkeerd. Het onderwerp dient duidelijk te zijn, aangezien het de ontvanger zal helpen zijn berichten te beheren. Het onderwerp moet kort zijn, maar toch voldoende beschrijvend, zodat de ontvanger het goed kan begrijpen. Om het beheer en de verwerking van e-mail door de ontvanger te vergemakkelijken, zou er in het begin van het onderwerp een tag (opmaakcode) kunnen of moeten worden gebruikt in functie van het soort bericht (professioneel of privé). Deze tags kunnen zowel worden gebruikt voor het verzenden van berichten als voor het aankondigen van evenementen (persoonlijke afspraak, vergadering,...). 7.2.1. Professioneel gebruik Voor professionele e-mails kan het nuttig zijn dat in het begin van het onderwerp een tag wordt toegevoegd met een code waarop de mail betrekking heeft (bijvoorbeeld de titel, referentie van het project, van het dossier, ). Aan de hand van deze tag kunnen de verzender en de ontvanger de mail sneller klasseren en kunnen ze gemakkelijker opzoekingen verrichten. 7.2.2. Privégebruik Voor privéberichten dient het onderwerp van het (de) bericht(en) met [PRIVATE] / (PRIVATE) te beginnen. De bedoeling van deze tagging is om een onderscheid te maken tussen professionele en privéberichten. Indien één of meerdere personen bij afwezigheid van de betrokkene de toegangsrechten hebben gekregen, zullen ze bovendien weten dat dit bericht geen betrekking heeft op de dienst en zullen ze er dus geen aandacht aan besteden. P 12

7.3. Inhoud Het wordt sterk aangeraden slechts één onderwerp per mail te behandelen, dit om verwarring bij het beantwoorden van een mail te vermijden of om ervoor te zorgen dat de ontvanger de mail gemakkelijker kan klasseren. 7.4. Stijl De stijl van het bericht moet duidelijk en direct zijn. Het is aangeraden om een standaardlettertype van Windows/Office te gebruiken (bv. Arial, Times New Roman, ), zodat de ontvangers, vooral de ontvangers buiten de, het bericht kunnen lezen. 7.5. Grootte van de berichten De grootte van de e-mailberichten kan door de systeemadministratoren worden beperkt, zowel voor de verzending als voor de ontvangst. Veel privébedrijven of en maken gebruik van deze beperking en bepalen over het algemeen de maximumgrootte die een bericht mag hebben. De opgelegde beperking is afhankelijk van elke /elk bedrijf. Het is dan ook steeds mogelijk, en zelfs heel waarschijnlijk, dat bepaalde e-mailberichten geweigerd worden, gewoonweg omdat de bestemmingsserver (destination server) het ontvangen van grote e-mailberichten niet toelaat. De toevoeging van zware attachments moet zoveel mogelijk worden vermeden. Indien alle betrokkenen (ontvanger van de mail(s)) toegang hebben tot een gemeenschappelijke beveiligde opslagruimte, is het aanbevolen dat de verzender van de mail de link vermeldt naar de plaats waar deze attachments worden opgeslagen, in plaats van de attachments bij de mail bij te voegen. Dankzij het gebruik van linken kan de grootte van de berichten worden beperkt en kan de totale grootte van de mailbox dus worden verkleind. 7.6. Attachments Aangezien de grootte van de berichten kan worden beperkt, kan ook het type attachments worden beperkt. De meeste anti-spam- of anti-malwaresystemen kunnen bepaalde soorten attachments blokkeren of verbieden, bv.: bestanden die de systemen kunnen wijzigen of virussen kunnen bevatten: BAT, COM, EXE, SCR, PIF, VBS audiobestanden: MP3, MP4, MPA, MPE, MPV, MPV2, WM, WMA videobestanden: MPEG, MPG, M1V, M2V, MP2, AVI, MOD, WMV, WMF Het is dus steeds mogelijk, en zelfs heel waarschijnlijk, dat bepaalde e-mails worden geweigerd omdat het bestemmingssysteem een bericht met dergelijke attachments niet toelaat. P 13

7.7. Handtekeningblok Het gebruik van een handtekening is aangeraden. Deze handtekening dient de contactgegevens te bevatten. Omwille van verschillende redenen is het niet aangeraden logo s te gebruiken : de berichten worden aanzienlijk groter en het handtekeninglogo wordt als een bijlage beschouwd, vooral wanneer de mail in tekstformaat is omgezet. 7.8. Disclaimer Het is sterk aangeraden een disclaimer te gebruiken. Deze tekst kan worden aangeleverd door de juridische dienst van de. De disclaimer dient steeds op het einde van de handtekening te worden toegevoegd, ofwel als tekst, ofwel in de vorm van een URL die verwijst naar een specifieke disclaimerpagina op de website van de. Hierbij een voorbeeld dat door de juridische dienst van de Kruispuntbank van de Sociale Zekerheid werd geleverd. *** De Kruispuntbank van de Sociale Zekerheid sluit elke aansprakelijkheid uit in verband met de juistheid, de volledigheid of het tijdig toekomen van de informatie in deze e-mail. Aan deze e-mail kunnen geen rechten worden ontleend en deze e-mail houdt in geen geval een erkenning van welkdanige aansprakelijkheid in. Dit bericht is alleen bestemd voor de geadresseerde. Indien dit bericht niet voor u bestemd is, verzoeken wij u dit onmiddellijk aan ons te melden en het bericht te vernietigen. *** La Banque Carrefour de la Sécurité Sociale décline toute responsabilité quant à l'exactitude, à l'exhaustivité et au délai de transmission des informations contenues dans cet e-mail. Aucun droit ne peut être revendiqué sur cet e-mail et cet e-mail n'implique en aucun cas une reconnaissance de responsabilité, quelle qu'elle soit. Ce message s'adresse uniquement au destinataire. Si ce message ne vous est pas destiné, nous vous prions de nous le signaler immédiatement et de détruire le message. 7.9. Ontvangst-/leesbevestiging Het gebruik van een ontvangst-/leesbevestiging kan zeer handig zijn bij belangrijke e-mails waarvan de schrijver wenst te weten of de ontvanger ze ontvangen en/of gelezen heeft. Bepaalde anti-spamsystemen beschouwen dit soort verzoek als ongewenst. Daarom moet er in het bijzonder worden opgelet bij het gebruik van een dergelijke bevestiging bij e-mailverkeer met de buitenwereld. 7.10. Antwoord Wanneer u een e-mailbericht beantwoordt, vraag u dan af of het nodig is de hele berichtgeschiedenis bij te voegen. Een te lange historiek kan de berichten moeilijk leesbaar maken. Wanneer u een bericht beantwoordt, ga dan steeds na of uw antwoord verband houdt met het ontvangen bericht. Indien dit niet het geval is, verzend dan eerder een nieuw bericht met een nieuw onderwerp. Vermijd het gebruik van de Reply To All -functie wanneer u een mail beantwoordt. De meeste mensen hoeven immers niet telkens een kopie te ontvangen van elk antwoord op hetzelfde bericht. Besef dat de verzendlijst ook externe ontvangers kan bevatten. Maak enkel gebruik van de Reply To All -functie nadat u alle ontvangers in aanmerking hebt genomen en u ervan overtuigd bent dat uw commentaren een meerwaarde zullen bieden. P 14

7.11. Conversatie Het e-mailsysteem is geen discussieforum ( chat system ). Let er dus op dat uw mail geen lange discussies bevat, vooral wanneer er meerdere personen in kopie (CC) staan. 7.12. De melding van afwezigheid Wanneer u op verplaatsing bent of tijdens vakanties en verlof, dient de melding van afwezigheid te worden geactiveerd, met vermelding van de voorziene datum van terugkeer en van de contactgegevens van de perso(o)n(en) waarop in dringende gevallen een beroep kan worden gedaan. Omwille van veiligheidsredenen dient deze melding van afwezigheid in principe enkel te worden geactiveerd voor het interne domein van de. 7.13. Veiligheid Tenzij er gecertificeerde versleutelingstechnieken (encryptietechnieken) worden gebruiken, dient e-mail als tamelijk onveilig te worden beschouwd. Het verzonden bericht kan immers door iemand anders dan uw eindbestemmeling worden gelezen. Aangezien e-mailheaders gemakkelijk kunnen worden vervalst, is het mogelijk dat het ontvangen bericht afkomstig is van een persoon die zich als iemand anders voordoet om zo vertrouwen in te boezemen (oplichterij en inbreuk). U dient dus nooit vertrouwelijke gegevens zoals paswoorden, toegangscodes, persoonlijke gegevens enz. via e-mail mee te delen. 7.13.1. SPAM De verspreiding van spam is één van de grootste gevaren voor de e-mail- en netwerksystemen, doordat spam een groot deel van de opslagruimte en van de bandbreedte inneemt. Het beantwoorden van dit type bericht leidt er doorgaans toe dat het adres van de wordt gevalideerd en dat er dus andere berichten die mogelijk malware bevatten, worden geactiveerd en verzonden. 7.13.2. Phishing U denkt dat uw mailbox goed beveiligd is, maar hier duikt alweer een nieuwe vorm van spam op. Dit type ongewenste e-mail is veel gevaarlijker dan de gewone spam. Bij dit type spam loopt u immers het risico dat uw kredietkaartnummer, uw paswoorden, uw rekeningnummer en andere vertrouwelijke informatie worden gestolen. Phishing is een vorm van vervalsing en heeft als doel uw identiteit te stelen. Zo kan een kwaadwillig persoon onder valse voorwendselen proberen informatie te achterhalen, zoals uw kredietkaartnummer, uw paswoorden, uw rekeningnummer of andere vertrouwelijke informatie. Dergelijke aanvallen gebeuren over het algemeen via ongewenste e-mail of pop-upvensters. Een kwaadwillige gebruiker verstuurt miljoenen valse berichten die afkomstig lijken te zijn van bekende of betrouwbare websites, zoals de website van uw bank of van uw kredietkaartbeheerder. Deze berichten en de websites waarnaar ze verwijzen, lijken vaak zo sterk op het origineel dat veel mensen zich hieraan laten vangen en hun kredietkaartnummers, paswoorden, rekeningnummers en andere persoonlijke informatie meedelen. Om deze berichten nog realistischer te maken, voegen oplichters vaak een e-mailadres toe dat met een officiële website lijkt overeen te komen, maar dat in werkelijkheid naar een valse website leidt, of zelfs naar een pop-upvenster dat een kopie is van de officiële website. Deze kopieën worden soms spoofed Websites (misleidende websites) genoemd. Wanneer u zich eenmaal op dit type website bevindt, loopt u het risico nog meer persoonlijke informatie bekend te maken die in de handen van de maker van de site kan vallen. Deze laatste kan de informatie dan later gebruiken om iets aan te kopen, een nieuwe kredietkaart aan te vragen of om uw identiteit te stelen. P 15

Net zoals oplichters in real life zijn cyberoplichters steeds op zoek naar meer en meer doeltreffende en snode manieren om uw rijkdom buit te maken. Met behulp van de volgende vijf stappen kunt u echter uw gegevens beschermen. Deel persoonlijke gegevens nooit via e-mail mee. Contacteer in geval van twijfel de die u zogezegd het bericht heeft gestuurd. Raadpleeg de websites door de URL in uw adresbalk in te typen. Verzeker u ervan dat de website versleuteling gebruikt. Kijk regelmatig uw bankuittreksels en kredietkaartuittreksels na. Meld misbruik van uw persoonlijke gegevens aan de bevoegde autoriteiten. 7.13.3. Kettingbrief Een kettingbrief is een (post- of elektronisch) bericht waarin de ontvanger wordt verzocht een kopie van de brief naar al zijn kennissen door te sturen, want als hij dit niet doet, zal hem een ongeluk overkomen. Soms wordt de lezer zelfs voorgespiegeld dat hij een geschenk of een som geld zal ontvangen. Het proces herhaalt zich zo en verspreidt zich in tijd en ruimte volgens het sneeuwbaleffect. Het is het meest gebruikte middel om hoax te versturen. De auteurs van kettingbrieven spelen voornamelijk in op de naïviteit van de mensen. Vooraleer u dit type bericht aan uw familie, vrienden en kennissen doorstuurt, is het sterk aangeraden de geldigheid van de meegedeelde informatie te controleren. 7.13.4. Hoax Hoax zijn berichten die de lezer verzoeken de mail door te sturen naar zoveel mogelijk e-mailgebruikers. Vaak betreft het geruchten. Hoax kunnen op verschillende manieren worden verspreid: e-mail; gespreksfora. De voornaamste risico s: als u deelneemt aan dergelijke hoax of er het slachtoffer van bent, stelt u zowel uzelf als uw aan bepaalde risico s bloot: bewuste deelname aan een denial-of-service-aanval; aanbeveling van valse veiligheidsmaatregelen die schade kunnen veroorzaken; bekendmaking van de interne organisatie van uw bedrijf, of zelfs van de lijst van de meest goedgelovige personen; denial-of-service van e-mailtools; banalisering van het veiligheidsrisico. Om de lezer ertoe aan te zetten het bericht naar zoveel mogelijk personen door te sturen, speelt het bericht over het algemeen in op het gevoel van de ontvanger. Zelfwaarde, waarbij het bericht de ontvanger wijsmaakt dat hij een goede daad verricht (een ziek kind helpen, de nakende verspreiding van een informaticavirus tegengaan, ) en geld, waarbij de lezer wordt voorgespiegeld dat hij goedkoop bepaalde interessante voorwerpen kan kopen (een gsm, een aantrekkelijk beeld, ), worden hierbij als belangrijkste drijfveren gebruikt. Om de lezer te overtuigen van de echtheid van het bericht, wordt vaak een beroep gedaan op verschillende elementen: P 16

gezagsargumenten: het bericht beweert bijvoorbeeld geen hoax te zijn, of het beweert dat de informatie geverifieerd werd door een erkende autoriteit (FBI, anti-virusleverancier, ziekenhuis, internetprovider, informaticadienst, Microsoft of elke andere grote softwareleverancier, enz.); het bericht wordt voorgesteld als de directe getuigenis van een betrokken persoon; er worden elementen uit de actualiteit aangehaald: de ontvanger zal des te meer geneigd zijn het bericht te vertrouwen als hij het in verband kan brengen met een context van gebeurtenissen die hij kent; het bericht is afkomstig van een kennis, die zelf het slachtoffer is van het gerucht: deze situatie heeft tot doel u minder waakzaam te maken. Aangezien het iemand is die ik ken die mij vraagt om een bericht door te sturen, veronderstel ik dat deze persoon overtuigd is van de gegrondheid van het verzoek en ga ik dus ook uit van deze gegrondheid. Om de doeltreffendheid van het bericht te verhogen, wordt de ontvanger vaak met een dringende situatie geconfronteerd. Zo krijgt hij niet veel tijd om na te denken over het bericht; hij moet snel beslissen of hij het bericht doorstuurt en gaat ervan uit dat hij beter vals nieuws verspreidt dan een ramp te veroorzaken. Een eerste risico bestaat erin dat uw netwerken en e-mailservers overbelast worden. Het is ook mogelijk dat er systematisch een bericht wordt verzonden wanneer de hoax wordt ontvangen. Dit kan gebeuren: automatisch, door een kwaadaardig element in de broncode van de pagina wanneer de tekst van het bericht in HTML wordt weergegeven; manueel, door de ontvanger te verzoeken een specifiek adres toe te voegen aan de mailing list (in het bericht worden argumenten gegeven waarom het nodig is deze ontvanger toe te voegen). De persoon die aan de oorsprong ligt van de hoax kan verschillende voordelen halen uit het verzenden hiervan: wanneer de ontvanger van dit bericht een slachtoffer is, wordt hij overspoeld door een stroom berichten. In dit geval maakt het lezen en doorsturen van het bericht hem medeplichtig aan een denial-of-service-aanval op een derde; wanneer de ontvanger van dit automatisch verzonden bericht de kwaadwillige persoon is, bekomt deze de lijst van uw correspondenten. Aan de hand van deze lijst kan hij zich een beeld vormen van de structuur van uw entiteit en van de netwerken van personen binnen de entiteit. Bovendien ontvangt hij dan de lijst van de meest goedgelovige personen (zij die de mails doorsturen). Deze informatie kan later worden gebruikt om met minder risico gevoeligere informatie te verkrijgen. Er bestaat eveneens een variant waarbij u gevraagd wordt uw visitekaartjes te versturen naar een ernstig ziek kind wiens enige passie het verzamelen van dergelijke kaartjes is. Zo beschikt een kwaadwillig persoon over de informatie aan de hand waarvan hij kan beweren dat hij u kent en dat hij met u heeft gewerkt, en zich zelfs als u kan voordoen. Hij kan hieruit ook het organogram van uw entiteit afleiden. Soms vraagt het bericht u bepaalde handelingen uit te voeren die gezien het dringende karakter de enige doeltreffende oplossing zijn. Deze handelingen zijn echter gevaarlijk. Zo wordt u bijvoorbeeld gevraagd om: de stekker van de computer uit het stopcontact te trekken zonder hem correct uit te schakelen, om te vermijden dat hij wordt besmet met een virus; al uw elektronische documenten, die waarschijnlijk al besmet zijn, te verwijderen. Het heeft geen zin om te proberen uit te maken of dergelijke geruchten, die via e-mail verspreid worden, al dan niet gegrond zijn. Dit is een valse piste. U dient objectief een beslissing te nemen over datgene waartoe het bericht u aanspoort. Wanneer u een bericht ontvangt: met veel ontvangers; met een zeer emotioneel geladen tekst; met een dringend karakter; P 17

waarin u wordt aangespoord om iets te doen wat u niet spontaan doet, Dient u te beseffen dat u waarschijnlijk met een hoax te maken heeft. Ongeacht de gegrondheid van het gerucht, doet een e-mailgebruiker er nooit goed aan het bericht massaal door te sturen. Indien u een dergelijk bericht ontvangt, dient u de verantwoordelijke voor de informatieveiligheid hiervan op de hoogte te brengen. 7.13.5. Trojan Net zoals in de Griekse mythologie dringt het paard van Troje binnen in de beschermde ruimte, de slachtoffercomputer, zodat de externe hacker zich toegang kan verschaffen tot deze ruimte. In de informatica opent het Paard van Troje (Trojan horse) een backdoor (beschreven in punt 3. Definities) aan de hand waarvan een kwaadwillige gebruiker de controle over de aangetaste computer kan overnemen en deze kan gebruiken zonder dat de eigenaar van de computer hiervan weet heeft. Een Trojan horse zit over het algemeen verborgen in een programma dat er onschadelijk of gebruikelijk uitziet. Een trojan wordt dus geactiveerd door een handeling van de gebruiker (uitvoering van het programma). Door middel van eenvoudige handelingen en een correct gebruik van zijn informaticatool kan de gebruiker zich wapenen tegen de risico's die een Trojan horse met zich meebrengt. Zo dient hij enkel programma s te installeren en uit te voeren indien hij zeker is over hun bron en inhoud. 7.14. Efficiënt gebruik van de mappen Niet ieder van ons is dé perfecte organisator die een classificatiesysteem kan beheren aan de hand waarvan een bericht dat van enkele jaren geleden dateert, gemakkelijk kan worden teruggevonden. Hierbij enkele tips om uw classificatiesysteem te optimaliseren. Bepaal uw informatieprioriteiten. Wat zijn de voornaamste categorieën van informatie waarvan u regelmatig gebruik maakt? Probeer coherent te zijn in de organisatie van uw mappen op uw werkstation, in het e-mailverkeer en bij het klasseren van documenten. Maak een map [PRIVATE MAIL] aan waarin u alle privéberichten klasseert. Let er bij het aanmaken van een map op dat u de begrippen gedeelde map of privémap in het e- mailsysteem correct gebruikt. 7.15. Inschrijven voor nieuwsbrieven (Newsletters) Inschrijven op nieuwsbrieven is enkel toegestaan indien deze nieuwsbrieven verband houden met het werk. De gebruiker die zich voor nieuwsbrieven heeft ingeschreven, dient zich vóór zijn vertrek op al deze nieuwsbrieven uit te schrijven. De gebruiker dient zijn officiële adres en geen aliasadres te gebruiken wanneer hij zich voor een nieuwsbrief inschrijft, zodat hij zich later kan uitschrijven. P 18

8. Controles & sancties De verbindt zich ertoe de geldende wetten en reglementeringen na te leven. 8.1. Controles De wordt aangeraden een globaal controlesysteem te implementeren aan de hand waarvan de onderstaande doeleinden kunnen worden gecontroleerd: de preventie van ongeoorloofde feiten of van feiten die indruisen tegen de goede zeden of die de waardigheid van andere personen kunnen aantasten; (bv.: het hacken van computers, het op ongeoorloofde wijze kennis nemen van elektronische onlinecommunicatiegegevens inzake personeelsbeheer of van vertrouwelijke medische bestanden, het raadplegen van pornografische of pedofiele websites alsook van websites die aanzetten tot discriminatie, rassenscheiding, haat of geweld jegens een groep, een gemeenschap of de leden ervan, wegens ras, huidskleur, afkomst, religie of nationale of etnische afstemming van deze leden); de bescherming van de belangen van de ; de veiligheid en/of de goede technische werking van de online functionerende informaticasystemen van de, met inbegrip van de controle van de kosten die daarop betrekking hebben, alsmede de fysieke bescherming van de installaties van de ; de naleving te goeder trouw van de principes en regels voor het gebruik van de onlinetechnologieën. 8.2. Modaliteiten voor de individualisering van de elektronische communicatiegegevens Het bestuur mag zonder formaliteiten kennis nemen van de gegevens van toepassing op het object, of op de inhoud van de elektronische on-linecommunicatiegegevens waarvan het beroepsmatige karakter niet in twijfel wordt getrokken. In andere gevallen kan een individualisering gebeuren volgens volgende modaliteiten. Directe individualisering Indien de werkgever naar aanleiding van een globale controle of op basis van een officiële klacht die goedgekeurd werd door de verantwoordelijke voor het dagelijks bestuur onregelmatigheden vaststelt in het kader van de controledoeleinden vermeld in de eerste drie punten van paragraaf 8.1, heeft hij het recht de gegevens direct te individualiseren teneinde de identiteit te achterhalen van de perso(o)n(en) die verantwoordelijk is (zijn) voor de onregelmatigheid. Indirecte individualisering mits de inachtneming van een voorafgaande informatiefase Als de doelstelling echter verband houdt met het te goeder trouw naleven van de in de onderneming geldende regels en beginselen inzake het gebruik van de technologieën, moet een alarmbelprocedure in acht worden genomen die hoofdzakelijk bestaat uit een voorlichting aan de werknemer, waarbij deze beginselen en regels nog eens worden verduidelijkt, benadrukt of in herinnering worden gebracht. De individualisering gebeurt volgens een driestappenprocedure: o Voorafgaande voorlichting P 19

Het bestuur brengt de gebruikers vóór elke individualisering op de hoogte van de niet-naleving van één van de in de onderneming vastgestelde gebruiksregels. Deze voorlichting heeft tot doel de gebruiker(s) op een duidelijke en begrijpelijke wijze in te lichten over het bestaan van de onregelmatigheid en over het feit dat de elektronische onlinecommunicatiegegevens geïndividualiseerd zullen worden wanneer een dergelijke onregelmatigheid opnieuw vastgesteld wordt. o Geïndividualiseerde controle Wanneer er opnieuw een onregelmatigheid vastgesteld wordt, kan het bestuur overgaan tot een geïndividualiseerde controle teneinde de identiteit op te sporen van de persoon (of personen) die verantwoordelijk is (zijn) voor de onregelmatigheid. o Opvolging van het incident In het kader van de incidentopvolging verbindt de zich ertoe de wetten en reglementen die van kracht zijn binnen de, na te leven. Een procedurevoorstel in lijn met de CAO81 is evenwel dat de administrateur-generaal of een bestuurslid in het kader van een tegensprekelijke procedure de aldus geïdentificeerde gebruiker de mogelijkheid geeft om tijdens een onderhoud uitleg te geven. Dit onderhoud heeft plaats vóór iedere beslissing of evaluatie die de gebruiker individueel kan raken. Het onderhoud heeft tot doel de gebruiker de kans te geven zijn bezwaren met betrekking tot de voorgenomen beslissing of evaluatie uiteen te zetten en het gebruik van de hem ter beschikking gestelde elektronische onlinecommunicatiemiddelen te rechtvaardigen. Tijdens dit onderhoud kan de gebruiker zich eventueel, op zijn verzoek, laten bijstaan door zijn vakbondsafgevaardigde. 8.3. Sancties De vastgestelde inbreuken leiden tot de tucht- of strafsancties volgens de van kracht zijnde wetten, richtlijnen en reglementeringen, en in het bijzonder krachtens het (de) arbeidsreglement(en) en de collectieve arbeidsovereenkomst (naargelang het geval) van de. P 20