Permalink
PrintenPermanente link
Naar de actuele versie van de regeling
http://lokaleregelgeving.overheid.nl/CVDR453156
Naar de door u bekeken versie
http://lokaleregelgeving.overheid.nl/CVDR453156/1
PROTOCOL WERKPLEKMONITORING 2017 Gemeente Den Haag
Geldend van 13-04-2017 t/m heden
Intitulé
PROTOCOL WERKPLEKMONITORING 2017 Gemeente Den HaagPROTOCOL WERKPLEKMONITORING 2017
PROTOCOL WERKPLEKMONITORING 2017 Gemeente Den Haag
HET COLLEGE VAN BURGEMEESTER EN WETHOUDERS,
-met instemming van de centrale ondernemingsraad van de gemeente Den Haag.
Besluit:
vast te stellen het bijgevoegde Protocol Werkplekmonitoring 2017.
Den Haag, 13 april 2017
Het college van burgemeester en wethouders,
de secretaris, de locoburgemeester,
mw. A.W.H. Bertram mw. P. Krikke
PROTOCOL WERKPLEKMONITORING 2017
INLEIDING
De gemeente Den Haag heeft in het Beleidskader Informatieveiligheid 2015-2018 (RIS 280309) de ambitie uitgesproken om aan de top te staan op het gebied van informatieveiligheid. Dat betekent dat ook de ICT op de werkplek zo veilig mogelijk moet zijn. Daarvoor is het geautomatiseerd monitoren van die werkplek, met alle ICT-middelen en –apparaten die daarvoor in aanmerking komen, noodzakelijk.
Het monitoren van de werkplek kan op gespannen voet staan met de bescherming van de privacy van de medewerker. Om die reden wordt in dit protocol vastgelegd hoe in de gemeentelijke organisatie de verkregen gegevens uit de werkplekmonitoring worden verwerkt, voor welk doeleinde gemonitorde gegevens mogen worden verwerkt en wie toegang hebben tot deze gegevens. Hiermee wordt opvolging gegeven aan het toetsingskader privacy van de COR: gegevensverwerking in de personele sfeer. Met dit protocol voldoen we aan een bepaling in de in 2012 voorgestelde herziening van de Europese privacyregelgeving.
In dit protocol wordt verstaan onder het begrip “monitoring”: het volgen of bewaken van bepaalde eigenschappen van een werkplek / ICT-middel. Dat betekent dat in brede zin alle activiteiten op dat ICT-middel “gezien” worden. Het is iets anders dan “logging”, dat vastlegging betekent, zoals het wettelijk verplichte vastleggen van opvragingen uit de BRP. Monitoring in de zin van dit protocol is ook niet het filteren van internetsites (contentfilter) die niet door medewerkers van de gemeente geraadpleegd mogen worden.
Artikel 1 Begrippen
- 1.
In dit protocol worden de volgende begrippen gehanteerd:
- -
gemeente:
- -
de gemeente Den Haag;
-college:
het college van burgemeester en wethouders van de gemeente;
-werkgever:
de gemeente Den Haag;
-medewerker:
degene die werkzaam is bij of voor de gemeente;
-ICT-middelen:
ICT-middelen als bedoeld in de Regeling gebruik ICT-middelen en gemeentelijke informatie 2014, voor zover deze worden gebruikt voor toegang tot de gemeentelijke ICT-infrastructuur en bestanden;
-monitoring:
een op ICT-middelen aangebracht systeem of geheel van systemen dat activiteiten registreert met als doel besmetting van, schade aan of diefstal van gemeentelijke gegevens, apparatuur of infrastructuur te voorkomen of te signaleren. Deze registratie wordt tevens gebruikt om de situatie voorafgaand aan een besmetting te herstellen en om het bestand van bekende bedreigingen bij te werken;
-persoonsgegevens:
elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van de Wet Bescherming Persoonsgegevens, waartoe in ieder geval behoren: de naam van de gebruiker, zijn of haar account(s) voor netwerk en applicaties en het mailadres;
-verwerken van persoonsgegevens:
elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Artikel 2 Doel en werkingssfeer protocol
-
1. Dit protocol heeft tot doel een eenduidig beleid met betrekking tot het monitoren van ICT-middelen te ondersteunen. Leidend daarbij zijn een verantwoord gebruik van deze middelen en de bescherming van de privacy van de medewerkers die voor de uitoefening van hun werkzaamheden gebruik maken van deze middelen.
-
2. Dit protocol is van toepassing op iedereen die werkzaam is bij of voor de gemeente en die van gemeentelijke ICT-middelen gebruik maakt.
-
3. De werkgever informeert de medewerker die gebruik maakt van ICT-middelen dat deze onderhevig zijn aan monitoring. Ook wordt de medewerker over de mogelijkheden ervan en de mogelijke controles geïnformeerd en wordt het protocol aan de medewerkers bekend gemaakt.
Artikel 3 Verantwoordelijkheden en beheer
-
1. Het college is verantwoordelijk voor de verwerking van persoonsgegevens als bedoeld in dit concernkader.
-
2. De beheerder is namens het college belast met de organisatie, uitvoering, controle en beveiliging van de verwerking van persoonsgegevens overeenkomstig de wettelijke voorschriften. Beheerder van de monitoringsystemen is het hoofd IDC Automatisering (IDC/A). Aangewezen medewerkers van IDC/A hebben toegang tot de monitoringsystemen en de informatie uit die systemen.
-
3. Met behulp van monitoring worden ook gegevens verzameld die uiteindelijk herleidbaar zijn naar natuurlijke personen. Die gegevens mogen uitsluitend door bevoegde medewerkers worden gebruikt die op grond van artikel 5 van dit protocol door de werkgever zijn aangewezen.
Artikel 4 Doel van monitoring en de verwerking van gegevens uit de gerelateerde systemen
Monitoring heeft tot doel:
- a.
in het algemeen bekende en onbekende bedreigingen te signaleren en indien mogelijk te blokkeren voordat deze schade aanrichten;
- b.
het voorkómen van besmetting door virussen, phishing mails en dergelijke;
- c.
het bevorderen van de veiligheid van bestanden en gegevens die op de ICT-werkplek gebruikt worden;
- d.
het afhandelen van meldingen en incidenten met behulp van door monitoring geregistreerde gegevens.
Artikel 5 Toegang tot gegevens uit monitoring
-
1. De werkgever wijst een beperkt aantal medewerkers van IDC/A en Bureau CIO aan die toegang hebben tot de door monitoring geregistreerde gegevens.
-
2. Elke aangewezen medewerker ontvangt een persoonsgebonden wachtwoord. Het wachtwoord mag niet worden gedeeld met anderen, met inbegrip van de leidinggevende.
-
3. Opvragingen van informatie uit de monitoringsystemen worden automatisch geregistreerd, waarbij wordt vastgelegd wie, wat en wanneer heeft opgevraagd.
-
4. Een aangewezen medewerker rapporteert aan de CIO over in de geregistreerde gegevens aangetroffen bedreigingen, besmettingen of andere veiligheidsrisico’s.
-
5. Naar aanleiding van een redelijk vermoeden van onrechtmatig gebruik of van een strafbaar feit kan een controle worden uitgevoerd op ICT-middelen, de monitoringsystemen en de daaruit gegenereerde gegevens, volgens het centrale onderzoeksprotocol voor vermoedelijke integriteitschendingen.
Artikel 6 Het verstrekken van gegevens uit monitoring
Gegevens uit monitoring kunnen worden verstrekt aan:
- a.
serviceteams van IDC/A ten behoeve van het oplossen van incidenten en problemen, waarbij slechts die (persoons-)gegevens worden verstrekt die noodzakelijk zijn voor de oplossing;
- b.
de directie van de Bestuursdienst of IDC/A ten behoeve van beleidsontwikkeling of verbetermaatregelen, voor zover de gegevens niet tot individuele personen herleidbaar zijn;
- c.
de algemeen directeur ten behoeve van een zorgvuldig en behoorlijk onderzoek bij vermeende integriteitsschending met inachtneming van de bepalingen van het centrale onderzoeksprotocol voor vermoedelijke integriteitsschendingen.
Artikel 7 Inzage- en correctierecht
-
1. Elke medewerker die gebruik maakt van ICT-middelen kan een verzoek tot inzage indienen met betrekking tot de voor hem/haar relevante gegevens uit monitoring.
-
2. De medewerker dient zijn verzoek om inzage schriftelijk in bij de directie van de dienst waar de medewerker werkzaam is.
-
3. De werkgever verstrekt de medewerker, binnen één week na diens verzoek om inzage, de gevraagde informatie uit de monitoringsystemen. Op verzoek geeft de werkgever ook informatie over de wijze waarop de gegevens worden verwerkt.
-
4. De medewerker kan de werkgever verzoeken om de op hem betrekking hebbende gegevens te corrigeren, waarbij hij of zij de gewenste wijzigingen dient aan te geven.
-
5. Correctie houdt in:
- a.
verbeteren;
- b.
aanvullen;
- c.
verwijderen;
- d.
afschermen; of
- e.
op een andere manier er voor zorgen dat de werkgever de onjuiste gegevens niet langer gebruikt. Dit laatste kan het geval zijn als het technisch niet mogelijk is de gegevens te verbeteren. In dat geval moet de werkgever andere maatregelen nemen: bijvoorbeeld een bestand met aanvullingen en verbeteringen opnemen.
- a.
-
6. De werkgever is alleen verplicht de gegevens te corrigeren als deze:
- a.
feitelijk onjuist zijn;
- b.
onvolledig of niet ter zake doende zijn voor het doel waarvoor ze worden verwerkt; of
- c.
op andere wijze in strijd zijn met de Wet bescherming persoonsgegevens of andere wet- en regelgeving.
- a.
Artikel 8 Verplichtingen van de werknemer
-
1. Het gebruik van ICT-middelen en gemeentelijke informatie door medewerkers is gereguleerd in de Regeling gebruik ICT-middelen en gemeentelijke informatie 2014.
-
2. Als de medewerker twijfelt aan de juiste werking van de middelen, meldt hij of zij dit direct aan de Servicedesk en zo nodig ook aan zijn of haar leidinggevende of Dienst Information Security Officer (DISO).
Artikel 9 Verplichtingen van de werkgever
-
1. De werkgever houdt op Werknet een actueel overzicht bij van de middelen waarvan gebruik wordt gemaakt voor monitoring als bedoeld in artikel 4, met vermelding van de redenen.
-
2. De werkgever informeert de medewerkers op Werknet over monitoring op ICT-middelen, waaronder de vermelding van de gegevens die worden verzameld, de wijze waarop en het gebruik van die gegevens.
-
3. De werkgever rapporteert minimaal jaarlijks en geanonimiseerd op Werknet over de resultaten van de monitoring.
Artikel 10 Bewaartermijnen
-
1. De geregistreerde persoonsgegevens worden verwijderd en daarna vernietigd, uiterlijk zes maanden na het moment van registratie, tenzij de gegevens nog noodzakelijk zijn voor het doel van de verwerking.
-
2. Vernietiging van de gegevens gebeurt met inachtneming van de Archiefwet.
-
3. De geregistreerde gegevens kunnen in niet tot individuele personen herleidbare vorm bewaard blijven.
Ziet u een fout in deze regeling?
Bent u van mening dat de inhoud niet juist is? Neem dan contact op met de organisatie die de regelgeving heeft gepubliceerd. Deze organisatie is namelijk zelf verantwoordelijk voor de inhoud van de regelgeving. De naam van de organisatie ziet u bovenaan de regelgeving. De contactgegevens van de organisatie kunt u hier opzoeken: organisaties.overheid.nl.
Werkt de website of een link niet goed? Stuur dan een e-mail naar regelgeving@overheid.nl