Hoe je een gedragscode voor ICT-gebruik opstelt voor jouw organisatie – een stapsgewijze handleiding met template

Anders Bryde Thornild
By: Anders Bryde Thornild Cybersecurity | 9 december

Het hebben van een gedragscode voor ICT-gebruik in jouw organisatie kan helpen met het versterken van de informatiebeveiliging binnen je organisatie. Naast het aanprijzen van een cultuur met sterke informatiebeveiliging, verzekert het ook dat de gehele organisatie de neuzen dezelfde kant op heeft staan en weet hoe ze hun digitale activiteiten moeten uitvoeren. Het doel is dat iedereen in de organisatie weet wat ze wel en niet vertrouwelijk kunnen doen.

Met deze blogpost leiden we je door het proces met onze template, die je hieronder op deze pagina vindt. We zullen ook bespreken waar je je van bewust moet zijn bij het opstellen van de gedragscode voor jouw organisatie.

Er is ook een template voor het opstellen van een informatiebeveiligingsbeleid, deze vind je hier. Beide documenten zijn cruciale tools om een sterke informatiebeveiligingscultuur binnen je organisatie te bereiken.

Het verschil tussen een informatiebeveiligingsbeleid en een gedragscode voor ICT-gebruik

Bij het werken met cybersecurity in je organisatie kan het nuttig zijn om zowel een informatiebeveiligingsbeleid als een ICT gebruiksbeleid of gedragscode te hebben. Door beide documenten te combineren kan je zeer duidelijke verwachtingen en eisen stellen, wat je informatiebeveiliging zeker ten goede komt.

Informatiebeveiligingsbeleid

Het doel van een informatiebeveiligingsbeleid is het bieden van een algemene set doelstellingen voor de organisatie. Daarbovenop benadrukt het dat alle personeelsleden verantwoordelijk zijn voor de informatiebeveiliging binnen de organisatie. Het beleid is een klein document met slechts enkele pagina’s en wordt gezien als een memo van het management met de ambities inzake de informatiebeveiligingsmaatregelen die de organisatie wil nemen.

Gedragscode voor ICT-gebruik

De gedragscode voor ICT-gebruik is uitgebreider en bevat regels en richtlijnen die de hele organisatie dient te volgen. Waar het informatiebeveiligingsbeleid algemeen en strategisch is, is de gedragscode concreet en uitvoerbaar. (Als je liever de handleiding ziet voor het maken van een informatiebeveiligingsbeleid, klik dan hier)

Een gedragscode voor ICT-gebruik stelt specifieke regels

Waar het informatiebeveiligingsbeleid een strategisch doel biedt, definieert de gedragscode voor ICT-gebruik specifieke regels om te volgen. In principe is dit wat deel moet zijn van de dagelijkse werkroutine. Het kan bijvoorbeeld richtlijnen bevatten over de lengte van wachtwoorden, schone bureaus of privégebruik van bedrijfsmiddelen, zoals laptops en smartphones.

Het doel van de gedragscode is het maken van het speelveld voor de organisatie. Het dient helderheid te bieden voor alle personeelsleden, dus de richtlijnen moeten eenvoudig te begrijpen en te volgen zijn.

De gedragscode kan enkel succesvol zijn als niemand in de organisatie ooit hoeft te twijfelen over of ze al dan niet de regels aan het breken zijn. Medewerkers moeten zich eenvoudig door hun dagelijkse werkzaamheden kunnen navigeren, op een veilige manier. Het document moet daarnaast bondig zijn, want te veel regels kan leiden tot een verlaagde informatieveiligheid, omdat mensen de regels simpelweg kunnen vergeten als ze aan te veel zaken moeten denken.

Smart CTA_acceptable-use-policy NL

Hoe de template te gebruiken

Deze door ons aangeleverde template zou enkel moeten dienen ter inspiratie voor jouw gedragscode voor ICT-gebruik. Jouw organisatie heeft zijn eigen behoeften en context waardoor misschien slechts enkele van de regels relevant zijn. We raden dan ook aan dat je overneemt wat voor jou relevant is en dat je daarnaast je eigen richtlijnen toevoegt en de voor jou irrelevante richtlijnen verwijdert.

De template behandelt richtlijnen over de volgende aspecten:

  • Doel

  • Vertrouwelijkheid

  • Toegangscodes (wachtwoorden en pincodes)

  • Fysieke beveiliging

  • Omgaan met middelen en documenten op externe locaties

  • Apparatuur en software

  • Gebruikersgegevens

  • Digitale activiteit

  • Beveiligingsmonitoring en logging

  • Omgang met persoonsgegevens

  • Rapporteren van beveiligingsincidenten

De template bevat twee algemene punten: Doelstellingen en richtlijnen en uitgangpunten, waarbij de richtlijnen en uitgangpunten 10 aandachtspunten voor de regels in de organisatie bevatten. We zullen elk punt hieronder bespreken.

Purpose statement

Als eerste bieden we een doelverklaring om de toon te zetten en de doelen van de gedragscode te communiceren. Over het algemeen moet hierin staan dat dit document een set richtlijnen is waarvan verwacht wordt dat alle personeelsleden in de organisatie zich eraan houden. We geven hier een voorbeeld:

“X (naam van organisatie) richt zich op het waarborgen van de beschikbaarheid, de vertrouwelijkheid en de integriteit van zijn systemen en gegevens. Daarom moeten alle medewerkers op een verantwoordelijke, ethische en wettelijke manier te werk gaan. Alle personeelsleden, consultants en tijdelijke medewerkers bij X moeten informatie kunnen beheren met zorg en discretie, zowel geschreven, elektronisch of verbaal.

Daarom moet de omgang met informatie in overeenstemming zijn met het informatiebeveiligingsbeleid van X en met de volgende regels en uitgangspunten. Om dit te waarborgen worden de medewerkers binnen ‘X’ getraind en bewust gemaakt van onderwerpen op het gebied van IT-beveiliging en de AVG door middel van continue bewustwordingstrainingen.”

In het kort licht de doelverklaring de basisregels uit voor het gebruik van alle ICT-middelen binnen je organisatie. Het moet expliciet de verwachting uitspreken voor voortdurende training en bewustwording van het personeel.

Richtlijnen en uitgangspunten:

De richtlijnen en uitgangspunten stippen specifieke regels aan bij het gebruik van de ICT-systemen in de organisatie. Hier hebben we tien punten toegevoegd die je kunt bijvoegen met wat begeleidende tekst.

1. Vertrouwelijkheid

Vertrouwelijkheid maak normaal gezien al deel uit van bestaande contracten voor arbeid of projecten, maar het is nog steeds handig om dit in de gedragscode bij naam te noemen om het belang ervan te benadrukken. Het stipt aan dat het bedrijf vertrouwelijkheid verwacht van zijn medewerkers wanneer het op vertrouwelijke informatie aankomt zoals klantgegevens. We geven hier een voorbeeld:

“Je dient voorzichtig en discreet om te gaan met alle informatie van ‘X’. Je mag geen informatie, systemen of netwerken raadplegen of gebruiken die niet nodig zijn voor je werk. Deel geen vertrouwelijke informatie met collega’s, consultants of tijdelijke werknemers die deze informatie niet nodig hebben voor hun werk. Je mag geen vertrouwelijke informatie delen met externe partijen, tenzij dit een duidelijk commercieel doel dient. Daarom moet de externe partij tevens een geheimhoudingsverklaring hebben ondertekend.”

2. Toegangscodes (wachtwoorden en pincodes)

In deze sectie kan de organisatie eisen stellen aan de toegangscodes voor gebruikers. Je kunt bijvoorbeeld eisten stellen aan de lengte of aan het gebruik van cijfers of karakters. Je kunt deze sectie ook gebruiken om personeelsleden te ontraden om wachtwoorden te hergebruiken. We geven hier een voorbeeld:

“Alle wachtwoorden en pincodes zijn strikt persoonlijk. Om een sterk wachtwoord te creëren raden wij lange wachtwoorden aan van tenminste 12 karakters met zowel hoofdletters als kleine letters, cijfers en speciale tekens. Bij het verlaten van je werkplek dien je uit te loggen of de computer te vergrendelen. Laat wachtwoorden nooit opgeschreven achter op prikborden, papier of opgeslagen op een harde schijf/e-mailserver.”

3. Fysieke beveiliging

In het onderdeel fysieke beveiliging gaat het over informatie die wordt bewaard in de fysieke omgeving. Ook biedt dit onderdeel enkele goede praktijken en pointers over waarvan bewust te zijn in fysieke settings. We geven hier een voorbeeld:  

“Je bureau moet altijd vrij zijn van vertrouwelijke informatie. Vertrouwelijke informatie moet in afgesloten lades of kasten worden geplaatst om ongeoorloofde toegang te voorkomen. Je dient je ook bewust te zijn van de zichtbaarheid van je pc-scherm. Je mag geen vertrouwelijke en gevoelige gegevens open hebben staan wanneer er onbevoegden achter je staan die jouw activiteiten over je schouder mee kunnen volgen.”

4. Omgang met ICT-middelen en documenten op externe locaties

In deze sectie gaat het over de omgang met middelen en documenten buiten het terrein van het bedrijf/de organisatie, bijv. bij thuiswerken. Steeds meer bedrijven hebben dit recent concreet moeten definiëren, omdat thuiswerken een noodzaak is geworden.

Hier kan je bij plaatsen hoe verwachtingen anders kunnen zijn dan op kantoor. Deze sectie richt zich vooral op het beveiligen van de ICT-middelen van het bedrijf. We bieden hier een voorbeeld:

“Als je mobiele ICT-middelen meeneemt buiten de kantoren van ‘X’, moet er een pincode of wachtwoord zijn ingesteld om te zorgen voor voldoende beveiliging tegen toegang door onbevoegden. Bij vliegreizen moeten draagbare ICT-middelen (bijv. laptops of mobiele apparaten) en documenten altijd als handbagage worden meegenomen.”

5. Apparatuur en software

Nowadays, we use cloud services and software which can be quickly accessed and downloaded from the internet. Therefore, it is essential to make some general rules on what types of services may be used and downloaded, as it can be incredibly difficult to control and keep track of your team’s activity. We give an example here:

"Alle IT-systemen, middelen of opslagapparaten moeten door X worden goedgekeurd en voldoen aan de uitgeschreven bedrijfsnormen. Sluit nooit ongeautoriseerde apparatuur aan op werkstations of netwerken. Dit geldt ook voor USB-sticks en smartphones. Je mag alleen programma’s installeren en downloaden waarvoor je toestemming hebt gekregen.

Software en apparatuur zijn eigendom van X en moeten als zodanig worden behandeld. Daarom mogen ze niet uitgeleend worden, ook niet aan familieleden. Je dient de interne bestandsservers van X te gebruiken bij het verwerken van gegevens. Gebruik van cloudgebaseerde diensten zoals Google Drive, Dropbox en het webgebaseerd delen van bestanden is alleen toegestaan bij het ontvangen van gegevens van externe partijen. Het is niet toegestaan om gegevens van X te uploaden naar niet-geautoriseerde diensten. Software moet altijd worden gebruikt in overeenstemming met de licentievoorwaarden waartoe X heeft toegetreden.”

6. Gebruikersgegevens

Gebruikersgegevens omvatten gebruikersnamen en wachtwoorden die worden gebruikt om in te loggen op de ICT-systemen van de organisatie. Bijvoorbeeld kunnen meerdere gebruikers informatie delen en elkaars inloggegevens gebruiken. Wij bevelen echter aan dat je enkel je eigen gebruikersgegevens gebruikt zodat je niet in de problemen komt door andermans acties. We geven hier een voorbeeld van de richtlijn:

“Gebruikersrechten moeten worden gerespecteerd. Gebruik alleen je eigen gebruikersrechten. Je mag je gebruikersgegevens nooit delen met anderen (inclusief je werkgever). Misbruik van gegevens en ICT-middelen kan digitale sporen nalaten die een negatieve impact kunnen hebben op de reputatie van X.”

7. Digital activiteit

Hier kan je goede gewoontes en beperkingen voor digitale activiteit op bedrijfsmiddelen bespreken. Het is belangrijk om realistische verwachtingen uit te spreken waarvan een deel onder ‘gezond verstand’ hoort te vallen. Het zou bijvoorbeeld te ver gaan om het bezoeken van bepaalde websites of het bekijken van privé-mailadressen te verbieden, maar je kunt wel de hoeveelheid privéconsumptie gedurende de werktijd beperken. Illegale websites en activiteiten zouden vanzelfsprekend moeten worden verboden. Maar het is aan jouw organisatie om deze regels te specificeren op de vlakken waar je team nog vrijheid heeft en waar de grens ligt. We bieden hier een voorbeeld:

“Je dient het privégebruik van internet en e-mail via de middelen van X tot een minimum te beperken. Privé-documenten kunnen lokaal op de computer worden opgeslagen. Lokale mappen moeten worden gemarkeerd als “privé”. Het is niet toegestaan om gevoelige persoonlijke gegevens per e-mail te versturen. In geen geval mag aan werk gerelateerde online correspondentie plaatsvinden door geanonimiseerde communicatiekanalen. Het is strikt verboden om de e-mailaccounts, computers, tablets en mobiele telefoons te gebruiken voor het bekijken van pornografisch, racistisch, extremistisch of crimineel materiaal. Bij het ontvangen van een e-mail dient het e-mailadres van de afzender te worden gecontroleerd alvorens onbekende links en documenten worden geopend.”

8. Beveiligingsmonitoring en logging

Dit is om te communiceren dat jij als organisatie de digitale activiteiten van je team kunt monitoren en registreren. Het betekent niet noodzakelijkerwijs dat dit op routineuze basis gebeurt en, belangrijker, je hebt respect voor de privacy van je team. Door dit onder hun aandacht te brengen, kan je hen aanmoedigen om hun digitale activiteiten binnen de perken te houden. We bieden hier een voorbeeld:

“X respecteert de privacy van de individuele werknemer en werkt in overeenstemming met lokale wetten en regels. We behouden ons echter het recht voor om IT-gebruik te registreren en in speciale gevallen toegang te hebben tot de e-mails en bestanden van een werknemer.”

9. Omgang met persoonsgegevens

De veilige verwerking van persoonsgegevens is een van de onderdelen voor bedrijven om aan de AVG te voldoen. Normaliter vereist voldoen aan de AVG meer uitgewerkte processen dan een document met een setje regels voor ICT-gebruik. De gedragscode is echter nog steeds een plek waar werknemers bewust kunnen worden gemaakt van de algemene vereisten voor de verwerking van persoonsgegevens. Deze vereisten zeggen niet veel over de processen waarmee je aan de vereisten voldoet, maar kan bewustzijn creëren over het belang van de veilige verwerking van persoonsgegevens. We geven hier een voorbeeld:

“Bij ‘X’ zijn we zeer gericht op de bescherming van persoonsgegevens die ons door onze medewerkers, klanten en partners worden toevertrouwd. We werken voortdurend aan de ontwikkeling en implementatie van veilige processen om een wettelijke en veilige omgang met persoonsgegevens te garanderen.

We hebben de volgende algemene uitgangspunten vastgesteld voor de correcte omgang met persoonsgegevens:

  • Werknemers mogen uitsluitend toegang hebben tot persoonsgegevens die verband houden met hun werk.

  • Werknemers mogen persoonsgegevens (bijv. door klanten of partners verzonden persoonsgegevens) alleen met andere werknemers delen als deze werkgerelateerd zijn.

  • Als een e-mail met persoonsgegevens wordt doorgestuurd naar de relevante medewerker, moet de e-mail na verwerking worden verwijderd.

  • Werknemers mogen persoonsgegevens niet langer dan nodig lokaal of in hun inbox opslaan. In plaats daarvan dienen zij gebruik te maken van de systemen die voor deze doeleinden zijn ontworpen.

  • Medewerkers dienen periodiek hun bestanden en mappen (zowel fysiek als digitaal) door te nemen om ervoor te zorgen dat ze geen gegevens bewaren die niet meer nodig zijn.”

10. Rapporteren van beveiligingsincidenten

Het laatste punt is het illustreren van het belang van het rapporteren van beveiligingsincidenten. Omdat heldere communicatie de enige manier is om iedereen te waarschuwen voor en beschermen tegen incidenten, moet het verplicht zijn voor personeelsleden om beveiligingsincidenten die ze zien te rapporteren. In deze sectie kan je voorbeelden bieden van wat een beveiligingsincident kan zijn en aan wie dit gerapporteerd moet worden. Het belangrijkste is dat je team zich bewust is van wanneer op te treden en wie aan te spreken. We geven hier een voorbeeld:

“Als je een vermoeden hebt of op de hoogte bent van beveiligingsincidenten, meld dit dan onmiddellijk aan de directe manager en de IT-afdeling.”

Voorbeelden van beveiligingsincidenten:

  • Verdachte e-mails

  • E-mails met gevoelige persoonlijke informatie die naar een verkeerde ontvanger zijn gestuurd

  • Ontbrekende of verloren ICT-middelen

Twijfel niet om contact op te nemen met de leidinggevende (XXX) als je iets vermoedt. Better safe than sorry!

De richtlijnen zijn een eerste stap naar het versterken van goede gewoontes

De richtlijnen maken het mogelijk voor je team om eenvoudig te checken wat ze wel of niet kunnen doen. Het is echter belangrijk om te benadrukken dat dit niet het enige kan zijn, je kan niet simpelweg de regels opschrijven en verwachten dat iedereen deze naleeft. Je team moet voortdurend worden getraind om te zorgen dat het bewustzijn er steeds is.

Een sterke basis voor jouw cybersecurity cultuur

De gedragscode voor ICT-gebruik biedt een sterke basis voor het creëren van een sterke cultuur van informatiebeveiliging binnen jouw organisatie. Als je nu bent voorbereid en graag van start zou willen gaan met het informatiebeveiligingsbeleid, kan je hier een vergelijkbare handleiding vinden.

Het is belangrijk dat de documenten nadat ze zijn opgesteld niet enkel stof liggen te vangen, maar dat deze voortdurend worden geëvalueerd en bijgewerkt. We raden je aan dit jaarlijks te doen. Daarnaast moet je actief werken met de doelstellingen en richtlijnen van de twee documenten, zodat de informatiebeveiligingscultuur in je organisatie zich ook vertaald in concrete gedragsverandering.

We hopen dat je de template en handleiding nuttig vond!