Als gemeente is het van belang dat je een sterke informatieveilige en privacybewuste omgeving hebt. Zowel op het vlak van techniek als op het vlak van de mens. Een informatiebeveiligingsbeleid is alleen doeltreffend wanneer collega’s ook slim en doordacht omgaan met informatiebeveiligingsaspecten en überhaupt weten wat er van hen verwacht wordt. Niet voor niets worden er in de Baseline Informatiebeveiliging Overheid (BIO) eisen benoemd als het gaat om personele beveiliging (hoofdstuk 7). In deze blog lees je hoe je kunt zorgen voor een veilige instroom, doorstroom en uitstroom van medewerkers.

Als gemeente moet je bouwen aan een ‘beveiligingspositieve’ omgeving waarin elke collega zich bewust is van de risico’s en zijn eigen handelen als het gaat om informatiebeveiliging en privacy. Dit vereist een professionele en zorgvuldige omgang met onderwerpen als informatiebeveiligingen privacy. Vanaf het moment dat je binnenkomt tot het moment dat je vertrekt. Het is dus belangrijk dat dit een structureel karakter heeft en dat er een relatie is met het HR-beleid van de gemeente.

Instroom nieuwe medewerkers

Laten we beginnen bij het begin: de instroom van nieuwe medewerkers (incl. inhuur en externen). De BIO stelt dat je dient te ‘waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de rollen waarvoor zij in aanmerking komen’ (BIO 7.1). Maar hoe doe je dat?

1. Sollicitatieprocedure
   Allereerst moet je al bij het opstellen van de functieomschrijving nadenken over of er aandachtspunten zijn als het gaat om het werken met (gevoelige) informatie. Heeft de functie bepaalde integriteit- en/of veiligheidsrisico’s? Moet iemand bijvoorbeeld in bepaalde informatiesystemen werken met vertrouwelijke informatie, zoals Suwinet? Deze aandachtspunten kun je meenemen tijdens het sollicitatiegesprek. Is iemand bereid zich aan de kaders en grenzen, die de gemeente stelt als het gaat om veilige omgang met informatie, te houden? Heb je het idee dat iemand hier niet aan voldoet? Dan kun je jezelf afvragen of deze persoon wel de juiste persoon is binnen een gemeentelijke werkomgeving waar alles draait om het werken met privacygevoelige gegevens van burgers en bedrijven. Let hierbij wel op dat de vragen die gesteld worden en de informatie die hieruit wordt verkregen, relevant zijn voor de sollicitatieprocedure. De sollicitatieprocedure is een proces waarbij veel persoonsgegevens verwerkt worden. Het is vanuit AVG-oogpunt belangrijk om op een zorgvuldige manier met deze gegevens om te gaan. Een sollicitatieprocedure is niet alleen van toepassing op het aannemen van een nieuwe medewerker, maar wordt ook gebruikt bij het doorstromen (intern solliciteren/doorgroeien) van een medewerker.
   
   
2. Screening
   Onderdeel van de sollicitatieprocedure is screening. Het doel van screening is het verkleinen van integriteits- en beveiligingsrisico’s bij na de start van het dienstverband. Bij veel gemeenten is voorafgaand aan de indiensttreding van een medewerker een Verklaring Omtrent Gedrag (VOG) vereist. Ook externe medewerkers moeten vóór aanvang van hun werkzaamheden een gemeentelijke geheimhoudingsverklaring te ondertekenen en/of een VOG te overhandigen. Alle screeningsactiviteiten die worden uitgevoerd moeten uiteraard in overeenstemming te zijn met relevante wet- en regelgeving. Zo moet je rekening houden met privacy, persoonlijke gegevens en arbeidsrechtelijke wetgeving. Zie het operationele product ‘Handleiding screening personeel’ van de IBD voor meer informatie over screening. Andere bekende screeningsinstrumenten zijn het sollicitatiegesprek, identificatie, diploma’s, het curriculum vitae, getuigschriften en/of referenties. De BIO geeft aan dat je als gemeente een screeningsbeleid moet hebben, waarin wordt beschreven op welke wijze er wordt gescreend, wanneer screening wordt toepast en bij welke functiegroepen.
   
   
3. Arbeidsvoorwaarden
   Zorg dat de verantwoordelijkheden op het gebied van informatiebeveiliging en privacy zijn opgenomen in het arbeidscontract. Hiermee schep je vooraf heldere verwachtingen maar heb je ook iets om op terug te vallen, indien iemand de regels overtreedt. Dit geldt voor zowel interne als externe medewerkers. Zo kun je denken aan zaken als relevante wet- en regelgeving waar de medewerker zich aan heeft te houden (AVG), omgang met gemeentelijke (ICT-)middelen of het gebruik van bepaalde informatiesystemen. Omdat we tegenwoordig (en zeker in de huidige tijd) plaats- en tijdsonafhankelijk werken, is het ook belangrijk op te nemen dat deze regels zowel op kantoor als thuis gelden. Daarnaast is het belangrijk dat elke nieuwe medewerker wordt gewezen op het informatiebeveiligingsbeleid en bijhorende procedures/handleidingen. Nieuwe medewerkers moeten weten wat er van hen verwacht wordt qua gedrag of wat hun gedrag voor invloed kan hebben op aanwezige risico’s als zij zich niet houden aan de beveiligingsregels. Zorg bijvoorbeeld dat elke nieuwe medewerker binnen drie maanden na indiensttreding een passende bewustzijnsopleiding en/of -training krijgt.

Tijdens dienstverband

Uiteraard wil je je medewerkers zolang mogelijk behouden en hoop je dat ze zich doorontwikkelen binnen de organisatie. Daarbij moet je er wel voor zorgen dat medewerkers zich continu bewust zijn én blijven van hun verantwoordelijkheden op het gebied van informatiebeveiliging en privacy en deze ook nakomen (BIO 7.2). De rol van het management is hierin cruciaal.

1. Verantwoordelijkheden
   Leidinggevenden moeten namelijk zorgen dat medewerkers zich bewust zijn van wat van hen verwacht wordt als het gaat om informatiebeveiliging en privacy. Als leidinggevende ben je verantwoordelijk voor het veilig gebruik van informatie(systemen) binnen het proces waar je eigenaar van bent en moet je zorgen voor de naleving van richtlijnen, gedragscodes en specifieke maatregelen of procedures. Als leidinggevende ben je degene die medewerkers begeleidt bij de verandering naar een informatieveilige gemeente en dit ook moet uitdragen. Ofwel, als leidinggevende moet je het gesprek voeren. Dit betekent dat informatiebeveiliging en privacy niet alleen worden opgenomen in beleid en jaarplannen, maar dat het ook geagendeerd wordt in afdelingsoverleggen, en dat je als leidinggevende het goede voorbeeld geeft, collega’s aanspreekt op ongewenst gedrag en gewenst gedrag beloont. Andersom is het ook belangrijk dat collega’s anoniem en veilig informatiebeveiligingsincidenten kunnen melden. De BIO stelt dan ook om aansluiting te zoeken bij een (reeds bestaande) klokkenluidersregeling van de organisatie.
   
   
2. Bewustzijn en training
   Een belangrijk onderdeel/hulpmiddel hierbij is de inzet van een bewustzijnsopleiding en/of -training. Net zoals je bij de start van je dienstverband een eed aflegt en een integriteitstoets ondergaat, moet ook de basiskennis die je moet hebben over informatieveilig gedrag geleerd én op regelmatige basis getoetst worden. Daarom zouden alle medewerkers van de organisatie een passende bewustzijnsopleiding en/of -training en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie, moeten krijgen. Andersom kun je als medewerker uiteraard ook zelf om (extra) uitleg vragen over de wijze waarop je moet handelen in bepaalde situaties, indien dit niet bekend is. Ook dat is bewustwording.
   
   
3. Personeelsgesprekken
   Het is belangrijk om ook procesmatig te sturen op veiligheidsbesef. Dit is noodzakelijk om inbedding in mentaliteit van medewerkers een feit te laten worden. Dit kun je doen door het onderwerp informatiebeveiliging en privacy niet alleen als vast onderdeel toe te voegen aan recruitmentgesprekken maar ook aan functionerings- en beoordelingsgesprekken. Dit zou als onderwerp kunnen worden toegevoegd aan het formulier dat wordt gebruikt tijdens deze gesprekken. Let op: in het kader van dit laatste is het vanuit AVG-oogpunt belangrijk te noemen dat het personeelsdossier aan bepaalde eisen moet voldoen. (Mocht er nog behoefte zijn om een blog waarbij we specifiek ingaan op de privacy-eisen rondom personeelsdossiers/administratie, laat het ons dan weten!).
   
   
4. Disciplinaire procedure
   Wanneer medewerkers zich (on)opzettelijk niet houden aan het informatiebeveiligingsbeleid en een overtreding begaan, is het belangrijk dat hierop door de gemeente wordt geacteerd. Je dient hiervoor een zogenoemde formele en gecommuniceerde disciplinaire procedure te hebben om actie te kunnen ondernemen. Afhankelijk van de ernst van de overtreding kan worden bepaald welke disciplinaire maatregel wordt gehanteerd. Deze maatregelen kunnen variëren van een waarschuwing tot, in het ergste geval, zelfs ontslag. De BIO geeft aan (7.2.3) dat er een disciplinaire procedure moet zijn opgesteld en gecommuniceerd met de medewerkers.

Uitstroom en doorstroom van medewerkers

Tot slot, is het belangrijk dat wanneer een medewerker uit dienst gaat of van functie wijzigt (doorstroom), je er als leidinggevende voor zorgt dat de medewerker de bedrijfsmiddelen en informatie weer op de juiste wijze inlevert en dat je de medewerker wijst op resterende verplichtingen als het gaat om informatiebeveiliging en privacy, zoals de geheimhoudingsplicht.

1. Intrekken toegangsrechten
   Zoals ik al eerder aangaf ben je als leidinggevende verantwoordelijk voor het proces en de werkzaamheden binnen jouw afdeling. Dat wil ook zeggen dat als een medeweker van jou de gemeente verlaat of van functie veranderd de (oude) rechten binnen systemen worden ingetrokken. Andersom geldt ook dat je bij een nieuwe aanvraag voor toegang tot een systeem, kritisch bekijkt of iemand die toegang wel echt nodig heeft. Tip: controleer ook regelmatig of je medewerkers de juiste toegangsrechten hebben.
   
   
2. Bewaartermijn van personeelsgegevens
   Houd bij uitdiensttreding van medewerkers ook rekening met de bewaartermijn van personeelsgegevens. Vanuit de AVG zijn geen maximale bewaartermijnen voor persoonsgegevens vastgelegd. Het uitgangspunt is ook hier dat je persoonsgegevens niet langer bewaart dan nodig is voor het doel waarvoor zij verzameld en verwerkt zijn. Echter, er zijn wel andere wettelijke regels die een bewaartermijn vereisen als het gaat om personeelsgegevens. Zo moet je bijvoorbeeld op grond van de Wet op de Loonbelasting een kopie van het identiteitsbewijs bewaren tot vijf jaar na het einde van het jaar waarin het dienstverband is beëindigd. Voor gegevens uit de loonadministratie geldt zelfs een bewaartermijn van zeven jaar na einde van het dienstverband. Ook wanneer een medewerker uit dienst is, is het relevant dat alleen die medewerkers de gegevens kunnen raadplegen die deze ook daadwerkelijk nodig hebben.

Meer informatie?

Als het gaat om personeelsgerelateerde informatiebeveiligingsaspecten die voor de gemeente relevant zijn in het kader van de BIO, heeft de IBD de handreiking ‘Personeelsbeleid gemeente’ opgesteld. Je vindt deze hier.

Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente verder te komen op dit vlak, neem dan gerust contact met ons op.