Informatiemanagement Bezoekadres Marten Meesweg 50 3068 AV Rotterdam www.zadkine.nl Auteurs: Lela Draskovic Rien Kinnegin Ellen Slachter Documentcode/versie 1.0 Status Vastgesteld door DT na positief advies van Studentenraad en instemming OR Datum 14 november 2013 Gedragscode computer- en netwerkgebruik Inhoud 1. Voorwoord 3 2. Uitgangspunten computer- en netwerkgebruik 4 2.1 Definities 4 2.2 Uitgangspunten 4 2.3 Het gebruik van de computers en het netwerk 4 2.4 Het gebruik van e-mail 5 2.5 Het gebruik van internet 6 2.6 Algemeen toezicht en gericht onderzoek 6 2.7 Overige bepalingen 7 2.8 Ondernemingsraad en Studentenraad 7 2 1. Voorwoord Zadkine stelt zijn computers en netwerk ter beschikking aan studenten. Aan werknemers worden naast computers en netwerk ook laptops/tablets, mobiele telefoons (smartphones) ter beschikking gesteld om ondermeer gebruik te kunnen maken van onderwijs- en bedrijfsapplicaties, voorzieningen voor gegevensopslag, afdrukvoorzieningen, e-mail en internet. Uitgangspunt hierbij is dat de gebruikers van deze middelen en voorzieningen hiermee op een verantwoorde en adequate manier omgaan. Zadkine dient in het kader van verschillende door de overheid gestelde wettelijke kaders en contractuele verplichtingen (privacy, auteursrecht, intellectueel eigendom, eigendomsrecht, contract Surfnet), technische en procedurele maatregelen te nemen zodat in redelijkheid wetsovertreding / contract breuk kan worden voorkomen. Daarnaast is de huidige IT omgeving zover doorgegroeid dat het ook als publicatiemedium beschouwd kan worden. Ondoordacht gebruik daarvan kan Zadkine aanzienlijke (imago) schade toebrengen. Deze gedragscode is opgesteld om de gebruikers van de computers, tablets en mobiele telefoons (smartphones) en het Zadkine-netwerk (hierna: netwerk) bekend te maken met hetgeen Zadkine verantwoord en adequaat acht ten aanzien van gebruik ervan. Dit houdt in ieder geval in beperkt privégebruik, voorkomen van overbelasting van het netwerk, zich onthouden van computer- en netwerkgebruik dat godslasterlijk, pornografisch, intimiderend, racistisch of anderszins discriminerend is. De gebruikers van het netwerk dienen zich aan deze gedragscode te houden. Ook beoogt deze gedragscode tegen te gaan dat de gebruikers hinder ondervinden van ongewenst gebruik van het netwerk. Zadkine streeft naar een goede balans tussen gericht onderzoek naar onverantwoord gebruik en de privacybescherming van de gebruikers. Deze gedragscode stelt regels ten aanzien van computer- en netwerkgebruik, en geeft voorschriften over de wijze waarop toezicht op en onderzoek naar de naleving ervan plaatsvinden. Algemeen toezicht heeft ten doel systeem- en netwerkbeveiliging. Gericht onderzoek naar verkeersgegevens van de gebruiker in het kader van deze code heeft als hoofddoelen: tegengaan van oneigenlijk en bovenmatig gebruik van e-mail en internet, datanetwerk en opslagcapaciteit; naleving afspraken over verboden gebruik; beveiligen bedrijfssystemen en -netwerk. 3 2. Uitgangspunten computer- en netwerkgebruik 2.1 Definities Gebruiker: iedereen die gebruik maakt van het Zadkine-netwerk. Werknemer: iedereen die valt onder het begrip werknemer zoals omschreven in de CAO alsmede gasten en degene die op andere basis werkzaamheden voor Zadkine verrichten. Student: degene die als zodanig is ingeschreven bij Zadkine alsmede de extraneus en degene die anderszins een opleiding of cursus bij Zadkine volgt. Account: gebruikersnaam en wachtwoord/toegangscode waarmee de gebruiker zich authenticeert op computer, netwerk en de ICT middelen en voorzieningen waar zij uit hoofde van functie respectievelijk studie toegang toe geven. Verkeersgegevens: gegevens over afzender, bestemming, datum, tijd, hoeveelheid en omvang netwerkverkeer, waaronder e-mail en internet. 2.2 Uitgangspunten De gedragscode is van toepassing op al het gebruik van door Zadkine beschikbaar gestelde computers en netwerk, alsmede de ICT middelen waar zij de gebruiker uit hoofde van zijn functie respectievelijk studie toegang toe geven. Deze gedragscode beoogt de gangbare normen die van toepassing op voornoemd gebruik te formuleren. Enige mate van privégebruik is toegestaan. Voorwaarde is dat andere gebruikers hiervan geen hinder ondervinden en Zadkine geen (imago) schade wordt toegebracht. Toegang tot en authenticatie voor de in artikel 2 lid 1 genoemde middelen wordt verleend respectievelijk uitgevoerd op basis van door Zadkine aan gebruikers verstrekte accounts. Dit account bestaat uit de gebruikersnaam (of: loginnaam) en wachtwoord/toegangscode. Het account is strikt persoonlijk. 2.3 Het gebruik van de computers en het netwerk Voor de uitvoering van functie respectievelijk studie stelt Zadkine zijn studenten en werknemers door middel van zijn computers en netwerk ondermeer de volgende middelen beschikbaar: onderwijs- en bedrijfsapplicaties, voorzieningen voor gegevensopslag, afdrukvoorzieningen, e-mail en internet. De computers zijn ingericht voor de uitvoering van functie respectievelijk studie. De gebruiker gaat op een verantwoorde en adequate wijze om met computers en netwerk door de volgende regels in acht te nemen: De gebruikers volgen aanwijzingen en instructies voor computer- en netwerkgebruik van werknemers van de ICT-afdeling op. Het gebruikers account is strikt persoonlijk. Het is de gebruikers niet toegestaan informatie over gebruikers wachtwoorden en/of toegangscodes aan derden te versterken, tenzij er sprake is van een zwaarwegend bedrijfsbelang. Er mag geen misbruik gemaakt worden van de verstrekte account gegevens De gebruikers melden eventuele storingen aan Zadkine computers, netwerk en de hieraan gekoppelde onderwijs- en bedrijfsmiddelen direct aan de Servicedesk van de ICT-afdeling. Voor onderwijs- en bedrijfsmiddelen die door één of meer externe organisaties worden beheerd 4 kunnen andere afspraken gelden. Deze zullen bekend worden gemaakt aan de gebruikers voor wie dit relevant is. Het is de gebruikers nadrukkelijk verboden, eigen software op computers of netwerk te installeren. Gebruikers dienen de documenten die zij hebben gecreëerd in het kader van hun functie respectievelijk studie op te slaan en te bewaren op de centrale opslagsystemen die Zadkine hiervoor beschikbaar stelt. De harde schijven, bijvoorbeeld de c- en/of d-schijf, van een Zadkine PC zijn niet bestemd voor het bewaren van documenten. Zadkine is –ongeacht de oorzaak- nooit aansprakelijk voor documenten die verloren gaan op een Zadkine PC De gebruiker dient op effectieve en efficiënte wijze met deze systemen om te gaan. Dit houdt ondermeer in dat de gebruiker regelmatig zijn/haar documenten opschoont voor zover dit niet in strijd is met hetgeen door de wet en/of het (in)formele informatiebeleid van Zadkine over bewaartermijnen is bepaald. De onderliggende praktijkrichtlijn is dat de continuïteit van de activiteiten van de organisatie nooit in gevaar mag worden gebracht. Opslag en verwerking van onrechtmatig verkregen informatie of informatie waarvan het bezit strafbaar is, zijn niet toegestaan. Het is gebruikers in beperkte mate toegestaan de computer en het netwerk voor privédoeleinden te gebruiken. Voorwaarde voor dit gebruik is dat dit gebruik niet storend (overbelasting netwerk; aanstootgevend) is voor de dagelijkse werkzaamheden en studieactiviteiten van henzelf en/of andere gebruikers. 2.4 Het gebruik van e-mail Voor de uitvoering van de functie stelt Zadkine zijn werknemers een e-mail account beschikbaar. Met inachtneming van hetgeen bepaald in artikel 3.6 is incidenteel gebruik van dit e-mail account voor privédoeleinden toegestaan. De gebruiker gaat op een verantwoorde manier met het e-mail gebruik om en neemt daarbij in ieder geval de volgende regels in acht: De grootte van de bestanden die worden meegestuurd mogen de beperkingen die de eisen van de netwerksystemen stellen niet overschrijden. De gebruiker verzendt geen berichten die Zadkine op enige wijze kunnen schaden. Het is in ieder geval niet toegestaan e-mailberichten te versturen die godslasterlijk, pornografisch, racistisch of anderszins discriminerend van aard zijn. Het opzettelijk verspreiden of kopiëren van virussen, trojans of andere schadelijke programma’s is niet toegestaan. Zadkine behoudt zich te allen tijde het recht voor om in voorkomende gevallen de inhoud van het e-mail account te raadplegen en/of te gebruiken. Het betreft in ieder geval situaties waarin de continuïteit van de bedrijfsvoering dit vereist, of waarin gegronde verdenking is gerezen voor gericht onderzoek zoals bepaald in artikel 6.2(.4). Voor leden van de ondernemingsraad of bedrijfsartsen geldt deze bepaling niet. Het is niet toegestaan om de ingekomen en verzonden emailberichten van deze functionarissen te openen. Verkeersgegevens over e-mailgebruik worden niet langer bewaard dan in de wet bepaald. De bewaartermijn van e-mail is die welke bij wet is vastgesteld. 5 2.5 Het gebruik van internet Voor de uitvoering van studie en functie stelt Zadkine zijn studenten en werknemers toegang tot internet beschikbaar. Met inachtneming van hetgeen bepaald in artikel 3.6 is incidenteel gebruik van de Zadkine internetverbinding voor privédoeleinden toegestaan. Het is in ieder geval niet toegestaan internetsites te bezoeken die godslasterlijk, pornografisch, racistisch of anderszins discriminerend materiaal bevatten. In voorkomende gevallen kan op basis van gegronde redenen per geval en voor een vastgestelde periode tijdelijk onthefffing worden verleend. Eveneens is het niet toegestaan om op de door Zadkine verschafte internetpagina’s links aan te brengen naar internetpagina’s met voornoemde inhoud of materiaal van genoemde aard. Indien wenselijk of noodzakelijk zal Zadkine sites blokkeren. Richtlijnen voor gebruik van social media in de context van uitvoering van functie of studieactiviteiten. De gebruiker: – post betekenis- en respectvolle boodschappen; – respecteert de eigendomsrechten van informatie alsook de vertrouwelijkheid ervan; – zorgt dat alle inhoud die met hem wordt geassocieerd, consistent is met zijn werk of studie en de waarden en normen waar Zadkine voor staat. Verkeersgegevens over internetgebruik worden niet langer bewaard dan in de wet bepaald. 2.6 Algemeen toezicht en gericht onderzoek Doel van het toezicht op het gebruik van netwerk, e-mail en internet door gebruikers is: – het tegengaan van oneigenlijk en bovenmatig gebruik van e-mail en internet, datanetwerk en opslagcapaciteit; – de naleving van afspraken over verboden gebruik; – het beveiligen van bedrijfssystemen en -netwerk. Toezicht en onderzoek Zadkine zal bij controle van het gebruik van internet en e-mail de volgende regels in acht nemen: Beheerders ICT hebben geheimhoudingsplicht. Ingeval van een vermoeden van onjuist gebruik kunnen verkeersgegevens over e-mail- en internetgebruik langer worden bewaard dan bepaald in artikelen 4.3 en 5.5 totdat de noodzaak daartoe is vervallen. Dit zal conform de Wet bescherming persoonsgegevens worden gemeld bij het College Bescherming. Bij een vermoeden van onjuist gebruik wordt de desbetreffende werknemer respectievelijk student zo spoedig mogelijk door de directeur respectievelijk teamleider op zijn gedrag aangesproken. De werknemer respectievelijk student wordt in de gelegenheid gesteld uitleg te geven. Gericht onderzoek vindt slechts plaats naar aanleiding van gerechtvaardigde vermoedens dan wel constatering van onjuist gebruik. Het onderzoek beperkt zich in principe tot verkeersgegevens van het gebruik van e-mail en internet en in het kader van de netwerkveiligheid tot de geautoriseerde. Het onderzoek dat een student betreft, vindt plaats na schriftelijke opdracht van de directeur van het desbetreffende onderdeel. Het onderzoek dat een werknemer betreft, vindt plaats na schriftelijke opdracht van de directeur. Het College van Bestuur ontvangt een afschrift van deze opdracht en een schriftelijk verslag van de resultaten van het onderzoek. 6 Alleen bij zwaarwegende redenen vindt na schriftelijke toestemming van het College van Bestuur gericht onderzoek naar de inhoud van bestanden, waaronder e-mail, plaats. In de schriftelijke toestemming worden deze redenen genoemd. E-mailberichten van leden van de ondernemingsraad, bedrijfsartsen en andere werknemers met een vertrouwensfunctie zijn in beginsel uitgesloten van gericht onderzoek. Dit geldt niet voor het algemene toezicht op de systeem- en netwerkveiligheid. De werknemer respectievelijk student ten wiens laste een onderzoek plaatsvindt, wordt zo spoedig mogelijk schriftelijk geïnformeerd door de directeur respectievelijk teamleider over de aanleiding, de uitvoering en het resultaat van het onderzoek. De werknemer of student wordt in de gelegenheid gesteld uitleg te geven over de aangetroffen gegevens. Voor zowel student als voor de werknemer bestaat de mogelijkheid om in beroep te gaan. Het verstrekken van informatie aan de werknemer respectievelijk student wordt uitgesteld indien het onderzoek daardoor wordt geschaad. Zaken die niet in Zadkine-systemen, netwerken en computers thuishoren zoals illegale of te zeer netwerkbelastende software, films en muziek, worden in opdracht van de betrokken directeur respectievelijk teamleider of informatiemanager verwijderd. De werknemer of student wordt hierover vooraf geïnformeerd, tenzij het onderzoek daardoor wordt belemmerd. 2.7 Overige bepalingen Deze gedragscode is tot stand gekomen met instemming van de Ondernemingsraad en na advies van de Studentenraad. In gevallen waarin de regeling niet voorziet, beslist het College van Bestuur. 2.8 Ondernemingsraad en Studentenraad De werkgever kan deze regeling met instemming van de ondernemingsraad en advies van de Studentenraad wijzigen. Deze wijzigingen worden schriftelijk vastgelegd en voorafgaand aan de invoering aan de werknemers en studenten bekend gemaakt via de portals voor werknemers (mijn.zadkine.nl) en studenten (N@Tschool). Deze regeling wordt driejaarlijks geëvalueerd door de werkgever, de Ondernemingsraad en de Studentenraad. De eerstkomende evaluatie vindt plaats voor het einde van schooljaar 2015/16. Deze regeling is tot stand gekomen na positief advies van de Studentenraad en met instemming van de Ondernemingsraad en vastgesteld november 2013. 7