Auteur: Roy van Gellekom

10 gouden regels voor dataveiligheid.

Leestijd: 8 minuten

Onderstaande kun je zo overnemen in het personeelsreglement van jouw eigen organisatie.

Wij vragen even om jouw aandacht! 

Afhankelijk van jouw functie heb jij toegang tot informatiesystemen binnen <organisatienaam>. Wij willen je erop attenderen dat het gebruik van deze systemen verbonden is aan een aantal verplichtingen. Met deze tien gouden regels vatten wij de belangrijkste hiervan samen. Wij verzoeken je deze goed door te lezen omdat zij deel uitmaken van je functioneren binnen <organisatienaam>. 

1. Wachtwoorden zijn strikt persoonlijk 

Je wachtwoorden zijn strikt persoonlijk en dienen uitsluitend door jou gebruikt te worden om toegang te krijgen tot de betreffende systemen. Geef je wachtwoord dus niet aan derden of een collega en bewaar ze op een veilige plek, dus niet in je agenda of op een geel briefje maar bijvoorbeeld in een wachtwoordkluis. Het beleid rondom wachtwoorden wordt op managementniveau vastgesteld en gecommuniceerd.

2. Melden van beveiligingsincidenten 

Binnen <organisatienaam> is de Security Officer belast met het uitvoeren van activiteiten rond het thema informatiebeveiliging. Mogelijke beveiligingsincidenten dienen zo snel mogelijk bij de Security Officer gemeld te worden. Voorbeelden voor incidenten zijn een virusmelding op het systeem, waarmee je op dat moment werkt, een inbraak of een poging tot inbraak (ook bijv. in kast of kantoor), een deur die op slot had moeten zijn maar niet op slot is, of een mailtje met gevoelige informatie naar een verkeerde persoon. 

3. Geheimhoudingsplicht 

Voor het werken en de omgang met gegevens zijn een aantal regels opgesteld, die bijvoorbeeld zijn verwoord in de Wet bescherming persoonsgegevens (WBP), inmiddels AVG. Daarom worden geheimhoudingsverklaringen ondertekent die inhouden dat je gegevens niet verder bekend mag maken dan voor de uitoefening van je functie noodzakelijk is. Dit betreft informatie waar je uit hoofde van je functie mee in aanraking komt en waarvan je weet of redelijkerwijze kunt vermoeden dat geheimhouding verplicht is.

4. Gedragscode Internet- en e-mail-gebruik 

In de gedragscode Internet- en e-mailgebruik, opgenomen in het personeelsreglement, zijn regels opgesteld die aangeven hoe de medewerkers van <organisatienaam> behoren om te gaan met Internet en e-mail op de werkplek. Tevens bevat de code regels voor de manier waarop controle op het gebruik van de werkplek kan plaatsvinden. 

5. Kennisnemen van het informatiebeveiligingsbeleid 

Het binnen <organisatienaam> geldende informatiebeveiligingsbeleid en de bijbehorende richtlijnen, instructies en protocollen zijn op iedereen in onze organisatie van toepassing. Deze zijn opgenomen in het ISMS (information security management system). Raadpleeg het personeelsreglement of vraag je leidinggevende voor meer informatie hierover. <organisatienaam> wordt op het ISMS geauditeerd, je kunt hierover vragen krijgen van de auditor!

6. Informatieverstrekking aan derden (Social Engineering) 

Telefoon en e-mail zijn geliefde hulpmiddelen voor kwaadwillenden om vertrouwelijke informatie in te winnen.  Wees met name alert op verzoeken waarin wordt gevraagd om inlognamen en wachtwoorden. Ga hier nooit op in! De Servicedesk zal hier nooit om vragen en zoals al gezegd zijn wachtwoorden persoonlijk. Ga ook niet op vragen over werkwijzen, procedures en processen als je niet 100% zeker bent over de identiteit van degene die je opbelt.  Klik niet op links in mails en open geen bijlagen als u niet zeker bent van de afzender. Als u de afzender kent maar niet zeker bent van de inhoud, vraag dit dan na bij de afzender.

7. Clear desk / clear screen policy 

De omgang met gegevens houdt o.a. in dat elke werkplek zodanig is ingericht, dat onbevoegden niet in jouw afwezigheid aan deze gegevens kunnen komen. Dat betekent dat jij je werkstation bewust dient te vergrendelen met behulp van de screensaver wanneer jij je werkplek verlaat. Ook mogen geen vertrouwelijke gegevens onbeheerd op je bureau of in een niet afsluitbare kast blijven liggen. 

8. Geen vertrouwelijke gegevens in de prullenbak 

De correcte omgang met vertrouwelijke gegevens – waaronder persoonsgegevens – is erg belangrijk binnen <organisatienaam> . Ook het vernietigen van deze gegevens moet op een veilige manier plaats vinden. Daarom zijn er papierversnipperaars aanwezig. Maak hiervan gebruik en stop vertrouwelijke gegevens nooit in de prullenbak of in een bak op je kamer die bestemd is voor oud-papier. 

9. Aanspreken van onbekende personen 

Ben je al een keer in de situatie geweest, dat je iemand binnen het gebouw tegenkwam en je niet wist wie deze persoon was en wat zij daar te doen had? Spreek deze persoon aan, stel jezelf voor en vraag, wat hij of zij hier komt doen. Nieuwe collega’s, uitzendkrachten of ander ingehuurd personeel stellen het op prijs om aangesproken te worden en op deze manier contacten te kunnen leggen. Echter, personen die niet bevoegd zijn om zich op deze plek te bevinden worden hierdoor op deze overtreding gewezen. Wijs hun beleefd, maar duidelijk, de weg naar de receptie van het gebouw en – belangrijk – begeleidt ze daar naartoe.  Maak hiervan melding bij de Security Officer.

10. Haast, stress, werkdrukte vs. informatiebeveiliging 

Informatiebeveiliging krijg je niet gratis, het kost je energie en werkt vaak tegen je als je haast hebt en de werkdrukte hoog is. Echter, informatiebeveiliging is uitermate belangrijk voor je werk en hoort bij de professionele en bekwame uitvoering van het werk. Neem het daarom zeer serieus, klanten vertrouwen erop! 

#StaySafe

Deel deze pagina
Roy-van-Gellekom-blog-avatar.jpg
Meer informatie