beleid en handreiking
veilig omgaan
met informatie en bedrijfsmiddelen.
revisie november 2020
voor intern gebruik
inhoudsopgave.
1. inleiding. 3
2. algemene gedragsregels. 3
3. gebruik van bedrijfsmiddelen. 4
4. privégebruik. 5
5. uitdrukkelijk niet-toegestaan gebruik. 5
6. gebruik van niet-RGN-/privé-apparatuur (‘BYOD’, telewerken). 6
7. classificatie en markering van documenten. 7
8. toegang tot informatie. 8
9. omgang met wachtwoorden/PIN. 8
10. gebruik van wifi-netwerken. 9
11. voorkomen van meeluisteren, meelezen en gebruik door anderen. 9
12. gebruik van e-mail. 9
13. gebruik van Google Drive / L: schijf. 10
14. omgang met documenten, printers en faxapparaten. 11
15. gebruik van sociale media. 11
16. gebruik van communicatie- of messaging- en opslagdiensten op internet/in de cloud. 12
17. omgang met USB-sticks en andere gegevensdragers. 12
18. omgang met digitale camera’s. 13
19. gebruik van intellectueel eigendom van RGN. 13
20. melden van beveiligingsincidenten en -kwetsbaarheden. 14
21. toegang tot het gebouw en omgang met bezoekers. 14
22. handhaving en maatregelen. 15
23. publicatie en wijzigingen. 15
1. inleiding.
Communicatie en informatie zijn van het grootste belang voor RGN en dragen bij aan een succesvolle bedrijfsvoering. Onjuiste of onzorgvuldige omgang van informatie kan leiden tot schade voor RGN en voor de medewerkers van RGN zoals het verlies van waardevolle bedrijfsinformatie, schadevergoeding voor het verspreiden van (onjuiste) informatie, inbreuken op de privacy en negatieve publiciteit. Dit kan zelfs leiden tot strafrechtelijke vervolging van of bestuursrechtelijke sancties voor RGN.
Onder RGN wordt in dit document verstaan: Randstad Groep Nederland BV en alle dochtermaatschappijen die onder het informatiebeveiligingsbeleid vallen, waaronder de labels Randstad, Tempo Team, Yacht en BMC.
Alle medewerkers van Randstad Groep Nederland (RGN), inclusief de labels Randstad, Tempo Team, Yacht en BMC, zijn verantwoordelijk voor het uitvoeren van het informatiebeveiligingsbeleid, zodat de organisatie haar maatschappelijke taak goed kan vervullen. Dit geldt ook voor stagiaires, ingehuurd personeel en personeel van leveranciers, voor zover zij werkzaam zijn onder leiding en toezicht van, in opdracht van of op locaties van RGN. Daaronder vallen ook ZZP-ers en andere externe gebruikers.
Dit document biedt een aantal concrete gedragsregels om invulling te geven aan die verantwoordelijkheid.
Zakelijke gegevens zijn alle gegevens waartoe een medewerker door het werken bij RGN toegang heeft.
2. algemene gedragsregels.
De manier waarop je omgaat met informatie dient in overeenstemming te zijn met geldende wet- en regelgeving, de business principles, het beleid van RGN en afspraken die met je zijn gemaakt in de arbeidsovereenkomst of andere overeenkomsten. Daarbij dien je de privacy en de vertrouwelijkheid, integriteit en beschikbaarheid van informatie van of over RGN of derden te beschermen. De gedragsregels in dit document helpen je daarbij. Mochten er twijfels zijn over wat wel of niet mag neem dan contact op met je leidinggevende en/of de CISO (Chief Information Security Officer) (security@randstadgroep.nl) of FG (Functionaris Gegevensbescherming) (privacy@randstadgroep.nl).
Voor elektronische, schriftelijke en mondelinge communicatie zijn dezelfde normen van professionaliteit van toepassing. Hanteer altijd passende bewoordingen, huisstijl en ondertekening, houd je aan de juiste etiquette en ga geen verbintenissen aan tenzij je daartoe gemachtigd bent. Geef geen verklaringen af die onprofessioneel, onethisch of onwettig zijn. Raadpleeg bij twijfel een juridische afdeling of een andere relevante collega, voordat je een verklaring afgeeft.
3. gebruik van bedrijfsmiddelen.
RGN stelt jou informatie en bedrijfsmiddelen ter beschikking voor de uitoefening van jouw functie. Bij uitgifte van deze bedrijfsmiddelen wordt een gebruiksovereenkomst afgesloten.
Bij bedrijfsmiddelen gaat het bijvoorbeeld om:
• toegang tot ICT-voorzieningen, internet, e-mail etc.
• mobiele apparaten, zoals laptops, tablets en zakelijk gebruikte (privé) mobiele telefoons
• andere informatiedragers, zowel digitaal als papier
• pc’s en telefoons in gebouwen van RGN
• software op de apparaten
• sleutels of servicepassen voor toegang tot gebouwen of voorzieningen
In het algemeen moet je zorgvuldig omgaan met de apparatuur en ervoor zorgen dat deze niet beschadigd raakt, verloren of gestolen wordt en overeenkomstig het beveiligingsbeleid van de organisatie wordt gebruikt.
Daarom zorg je voor het volgende:
• Mobiele bedrijfsmiddelen worden altijd bij je gedragen of achtergelaten in een afgesloten ruimte of kast.
In het bijzonder mogen ze niet in de auto worden achtergelaten.
• Gegevens/documenten worden op de daarvoor bestemde RGN-systemen opgeslagen. Informatie die toch tijdelijk op mobiele apparaten staat wordt zo snel mogelijk, ten minste maandelijks, op het RGN- systemen opgeslagen en bij voorkeur verwijderd van het mobiele apparaat, zodat ze bij verlies, diefstal of beschadiging van het mobiele apparaat wel bewaard blijven.
• Bij schade, verlies of diefstal:
• meld je dit onmiddellijk aan de Servicedesk ICT
• meld je dit bij datalek@randstadgroep.nl
• doe je binnen 24 uur aangifte bij de politie (bij verlies of diefstal) en stuur je binnen 24 uur een kopie van de aangifte naar de Servicedesk ICT. Daarna krijg je een vervangende laptop.
• Met uitzondering van de persoonlijk aan jou uitgegeven laptop en/of telefoon, waarvoor je een gebruikersovereenkomst hebt afgesloten, mag RGN-apparatuur niet worden meegenomen buiten het gebouw.
• Op apparatuur met bedrijfsinformatie, zoals laptops en telefoons, staan persoonsgegevens van kandidaten, medewerkers of anderen. Als je naar het buitenland reist, is het daarom van belang dat je hebt gezorgd dat je telefoon of laptop of andere apparatuur goed beveiligd is met een pincode en dat je de overige maatregelen genoemd in hoofdstuk 6 (zie hieronder) in acht neemt. Indien je reist naar Rusland, China, Iran of Noord-Korea, neem dan van tevoren contact op met security@randstadgroep.nl om eventuele nadere maatregelen af te stemmen. Dit is ook verplicht in het geval je verplicht wordt om een monitoring-app te downloaden.
• Ter beschikking gestelde bedrijfsmiddelen moeten bij uitdiensttreding uiterlijk op de laatste dag worden ingeleverd bij de Servicedesk ICT. Ook bedrijfsmiddelen die niet meer worden gebruikt moeten worden ingeleverd bij de Servicedesk ICT.
• Je stelt jezelf regelmatig op de hoogte van de nieuwste versie van dit beleid.
Het is je niet toegestaan om op de laptop:
• Software of hardware te wijzigen, toe te voegen of te verwijderen, tenzij na een iservice aanvraag en goedkeuring van lokale beheerrechten voor de installatie van specifieke software. Dit geldt ook voor uitbreidingen van software, zoals (chrome-)extensies, apps uit de Chrome-appstore, plug-ins van browsers, applets, (gratis)tools etc.. Het installeren van software is alleen toegestaan door medewerkers van IT als onderdeel van hun taak of nadat je toestemming hebt gekregen van de RGN IT Werkplek- Services.
• Instellingen anders dan binnen de toegelaten functionaliteit te wijzigen
• Beveiligingsmaatregelen te wijzigen of ongedaan te maken, zoals instellingen van virusscanners, firewalls en schermblokkering
• Anderen, zoals kinderen of andere familieleden, gebruik te laten maken van de apparatuur (al of niet tegen betaling)
• Zelf reparaties uit te (laten) voeren
4. privégebruik.
Je mag de bedrijfsmiddelen privé gebruiken, wanneer:
• dit de uitoefening van de werkzaamheden niet in de weg staat
• er geen reputatie- of andere schade ontstaat voor RGN
• daardoor geen beveiligingsrisico’s ontstaan
• dit niet in strijd is met de bedrijfsdoelstellingen van RGN
5. uitdrukkelijk niet-toegestaan gebruik.
In lijn met de overige gedragsregels in dit document mag je het volgende niet doen:
• het zakelijke e-mailadres invoeren op websites zonder dat daarvoor een zakelijke reden is
• informatie delen of berichten te versturen die schadelijk zijn voor RGN of haar relaties
• onjuiste informatie verspreiden
• informatie, foto’s of video’s te zoeken, bekijken, te downloaden of delen van bedreigende, obscene, beledigende, aanstootgevende, pornografische of seksueel getinte aard, racistische of discriminerende uitlatingen, beledigingen of aanstootgevend, kwetsend of hinderlijk gedrag over terrorisme, cultussen en illegale drugs
• kettingbrieven versturen of door te sturen
• communiceren onder een andere of een denkbeeldige naam (alias, pseudoniem)
• software of andere informatie die auteursrechtelijk is beschermd, downloaden of verspreiden
• RGN-bedrijfsmiddelen gebruiken onder een valse identiteit of voor het plegen van strafbare feiten, waaronder smaad, laster, inbreuken op licenties of auteursrechten of bemoeienis met
andere computers of netwerken
• gokactiviteiten op internet
• politieke, private of freelance activiteiten ontplooien
• sites gebruiken die middelen beschikbaar stellen om software of informatie illegaal te downloaden of te gebruiken, zoals key-generators, bittorrents
• gekraakte software versies, etc. op niet legale wijze te verkrijgen materiaal downloaden of te verspreiden waarbij inbreuk wordt gemaakt op het auteursrecht of op de privacy
6. gebruik van niet-RGN-/privé-apparatuur (‘BYOD’, telewerken).
Het gaat hier om het gebruik van apparatuur die geen eigendom is van RGN. Het kan gaan om
privéapparatuur, zoals pc’s of mobiele telefoons, apparatuur van klanten of apparatuur op andere plekken, zoals shared office space of internetcafés.
Je mag laptops en PC’s voor de toegang tot RGN-informatie en -systemen gebruiken wanneer:
• je de opslag van zakelijke gegevens zoveel mogelijk beperkt en geen (privacy) gevoelige informatie wordt opgeslagen. Dat betekent dat je de Google applicaties gebruikt of een bestand (bijvoorbeeld een word-bestand) alleen voor direct gebruik download, bewerkt, upload naar Google Drive en vervolgens wist op het apparaat. Denk daarbij ook aan documenten die via webmail worden ingezien/gedownload.
Het gebruik van Google Drive Filestream is niet toegestaan op privéapparatuur omdat je daarmee meer bestanden download dan voor direct gebruik. Uiteraard mogen gegevens van een klant wel op apparatuur van diezelfde klant worden gezet binnen de regels die bij de klant gelden.
• je de beeldschermvergrendeling na maximaal 15 minuten instelt en deze alleen kan worden ontgrendeld met een wachtwoord
• alleen jijzelf gebruik maakt van het gebruikersaccount op het privé-apparaat dat alleen zakelijk wordt gebruikt
• je gebruik maakt van legaal aangeschafte en binnen de gebruiksvoorwaarden gebruikte software
• je door de leverancier ondersteunde softwareversies gebruikt
• je alle beschikbare beveiligingsupdates voor Operating System (Windows, MacOS/OSx, Android, iOS) en andere software hebt geïnstalleerd
• je er voor zorgt dat op een laptop op PC een firewall en een virus/malware-scanner actief zijn (bijvoorbeeld Windows Firewall en Windows Defender)
Je mag mobiele privé-telefoons en -tablets alleen voor het werk gebruiken wanneer:
• je door de leverancier ondersteunde softwareversies worden gebruikt en je alle beschikbare beveiligingsupdates voor Android of iOS hebt geïnstalleerd
• je de beveiligingsinstellingen en -standaarden van de organisatie toepast, zoals:
• toegangsbeveiliging middels een pincode van minimaal vier, bij voorkeur 5 of meer cijfers, voorkeur voor verschillende tekens, niet opvolgend en letters i.p.v. cijfers
• indien mogelijk het wissen van alle data op het device na 10x foutieve invoer pincode
• automatische lock van het toestel na maximaal 15 minuten
• versleuteling van alle device data actief is
• het op afstand leegmaken van het device (remote wipe) mogelijk is. Dit wordt voor zover mogelijk bij het instellen van je zakelijke mailbox op het apparaat afgedwongen. De Servicedesk ICT ondersteunt bij het inrichten van deze instellingen.
• je je aan de volgende regels houdt:
• beperk de opslag van bedrijfsdata op het device. Geen opslag van (privacy) gevoelige informatie
• maandelijkse reservekopie van zakelijke data wanneer unieke bedrijfsdata aanwezig is op bijv.
smartphones (is je eigen verantwoordelijkheid)
• operating systeem is de laatste originele ‘supported’ versie, rooting of jailbreaking is niet toegestaan.
• device is altijd binnen handbereik of is anders veilig opgeborgen
• activeer op een iPhone de toegang tot je zakelijke mail-account via de standaard iPhone mail app, zodat de beveiligingsinstellingen/policies worden ingesteld (zie de handreiking op iservice) Met apparatuur die niet aan de bovenstaande eisen voldoet mag je geen verbinding maken met het netwerk, de virtuele werkplek, applicaties of e-mail van de organisatie.
Je mag geen back-ups of kopieën maken van zakelijke gegevens en je mag geen zakelijke gegevens opslaan buiten de door RGN beschikbaar gestelde apparatuur of diensten, dus ook niet op USB-sticks of harde schijven, netwerkschijven of andere media, ook niet als deze zijn versleuteld.
7. classificatie en markering van documenten.
Op documenten en bestanden vermeld je de volgende informatie:
• de status: Concept of Definitief
• de vertrouwelijkheidsclassificatie:
• C1. Openbaar; deze informatie is bedoeld voor brede publicatie, zowel binnen als buiten de organisatie. Het gaat onder andere om publicaties en websites.
• C2. Intern gebruik; deze informatie mag alleen worden verwerkt door medewerkers en/of contractuele partijen die gelieerd zijn aan de organisatie. Het gaat onder andere om zakelijke contactgegevens van collega’s, beleidsdocumenten, sjablonen, materialen voor interne trainingen.
• C3. Persoonsgegevens; deze gegevens mogen worden verwerkt door medewerkers en/of contractpartijen die daartoe aangewezen zijn. Het gaat hier om “gewone” persoonsgegevens van medewerkers of kandidaten, zoals CV’s. Het gaat hier niet om zakelijke contactgegevens van medewerkers (die zijn voor intern gebruik) of gevoelige gegevens (zie zijn vertrouwelijk).
• C4. Vertrouwelijk; deze informatie mag alleen worden verwerkt door een specifiek bepaalde selectie van medewerkers, Randstad Groep Nederland-werkmaatschappijen en derden. Je kunt denken aan bijzondere persoonsgegevens (zoals over verzuim/gezondheid), strafrechtelijke gegevens,
BurgerServiceNummer, financiële gegevens, logfiles, prijsinformatie, informatie over aanbestedingen, fusies en overnames.
• C5. Strikt Vertrouwelijk; deze informatie zal geheim blijven zolang zij bestaat. Alleen de eigenaar kan er besluiten over nemen. Het gaat onder andere over strategische planningen en autorisatiecodes voor banktransacties.
Deze classificatie kan voor specifieke toepassingen nader worden uitgewerkt, bijvoorbeeld voor het gebruik van klantinformatie in adviesopdrachten.
• de auteur
• bij voorkeur ook de versie en datum
Op gedrukte openbare informatie, zoals folders en andere publicaties, hoeft de classificatie niet te worden vermeld. Voor documenten waarop geen classificatie is vermeld, geldt “C2 intern gebruik”.
Je kunt de status en vertrouwelijkheidsclassificatie ook in de naam van digitale bestanden opnemen.
8. toegang tot informatie.
Je mag informatie alleen raadplegen of wijzigen als dit nodig is voor je werk. Je mag niet proberen toegang te krijgen tot vertrouwelijke informatie die niet voor jouw taken nodig is. Je mag dossiers die je niet nodig hebt voor je taken dus niet opzoeken of raadplegen.
9. omgang met wachtwoorden/PIN.
Je houdt inloggegevens (inlogcodes, inlognamen, gebruikersnamen, passwords, etc. ) geheim en verstrekt of openbaart deze niet aan collega’s of derden, tenzij en voor zolang dat noodzakelijk is in verband met de continuïteit van de werkzaamheden na goedkeuring via security@randstadgroep.nl.
Gebruik altijd tweestaps-beveiliging (ook multifactor authenticatie genaamd) als deze beschikbaar is.
Hiermee combineer je je wachtwoord met een extra beveiligingsstap. Dat kan door het inloggen te bevestigen met een code die je ontvangt op je mobiele telefoon als SMS bericht, een code gegenereerd door een Authenticator-app of door een prompt (Ja/Nee) van de Authenticator-app.
Je maakt alleen gebruik van je persoonlijke account, niet van het account van een collega.
Wanneer je een apparaat of gebruikersnaam/account voor het netwerk of een applicatie ontvangt, stel je meteen een eigen wachtwoord en/of PIN in. Wachtwoorden en PIN moet je geheim houden en mag je dus met niemand delen, ook niet met Servicedesk ICT, collega’s, vrienden of familie.
Wachtwoorden/PIN mogen niet worden opgeschreven of in een bestand worden opgeslagen. Gebruik andere/verschillende wachtwoorden voor interne IT-diensten en diensten geleverd door anderen. Je kunt voor het wachtwoordbeheer gebruik maken van de wachtwoordmanager in de Chrome-browser. Deze kan ook een veilig wachtwoord voor je genereren. Wachtwoordmanagers van andere browsers mag je niet gebruiken. Voor medewerkers met specifieke functies zijn externe wachtwoordmanagers beschikbaar, zoals LastPass.
Een wachtwoord moet aan de volgende eisen voldoen:
• 10 tekens of langer
• voor beheer- en serviceaccounts 16 tekens of langer
• voor het versleutelen van documenten en (verwijderbare) media ten minste 16 tekens
• voor de wifi-hotspot op je telefoon tenminste 10 tekens
• bevat ten minste één kleine letter, één hoofdletter, één cijfer en één ander teken
• gebruik bij web-applicaties bij voorkeur de door chrome-browser gegenereerde wachtwoorden
• mag niet bestaan uit rijen, reeksen, volgnummers (1234, abcd, etc)
• mag niet bestaan uit woorden die in het woordenboek voorkomen
• mag niet bestaan uit woorden die gerelateerd zijn de naam van de eigen of andere organisaties, afdelingen etcetera
• mag niet bevatten: (delen van) gebruikersnaam, naam van de gebruiker, systeemnaam, seizoen naam, jaartal, naam werkmaatschappij, telefoonnummers, postcodes, adressen, geboortedata etc.
Een PIN (bijvoorbeeld om apparaten te ontgrendelen) moet aan de volgende eisen voldoen:
• ten minste 4, bij voorkeur 5 of meer tekens lang
• mag niet overeenkomen met (delen van) telefoonnummers, postcodes, geboortedata etc.
• als alternatief voor een PIN op je telefoon kun je een vingerafdrukscanner gebruiken.
Het gebruik van de volgende middelen wordt afgeraden:
• een Swype-patroon blijkt gemakkelijk af te kijken, als je het toch wilt gebruiken
• zet de optie om het patroon zichtbaar te maken uit
• zorg dat je ten minste 5 bewegingen in je patroon hebt opgenomen
• een gezichtsscanner omdat de kwaliteit van scanners en de achterliggende software vaak niet veilig is
10. gebruik van wifi-netwerken.
Je gebruikt alleen de wifi-netwerken van RGN (GIS corporate, GIS-Guest) of met een Wifi-wachtwoord (met WPA2) beveiligde wifi-netwerken. Gegevens op onbeveiligde netwerken kunnen worden afgeluisterd en na verbinding met zo’n netwerk kan het apparaat automatisch verbinding maken met kwaadaardige netwerken met dezelfde naam. Maak daarom geen gebruik van zonder wachtwoord toegankelijke netwerken,
bijvoorbeeld in een cafe of restaurant. Wanneer er geen beveiligd wifi-netwerk beschikbaar is, gebruik je de hotspot via je mobiele telefoon met een wachtwoord met tenminste 10 tekens. Zet de hotspot op je telefoon direct na gebruik weer uit.
11. voorkomen van meeluisteren, meelezen en gebruik door anderen.
Wanneer je persoonlijke gegevens bespreekt in een gesprek of door de telefoon, doe dat dan buiten gehoorsafstand van anderen, zodat niemand kan meeluisteren, in het bijzonder:
• als het gaat over kandidaten
• in kantoorruimtes of gangen/trappen/liften waar ook andere mensen werken of op bezoek komen
• in het openbaar, zoals in de trein, een café, in winkels of op straat
• thuis
Je zorgt ervoor dat niemand kan meelezen op jouw telefoon, tablet, laptop of pc, in het bijzonder in het openbaar, zoals in de trein of in een café. Kan iemand achter je meelezen? Via het RGN-aanvraagpunt (iService) zijn privacyscherm/-filters verkrijgbaar om inkijk te beperken.
Je vergrendelt je beeldscherm als je je werkplek of het mobiele apparaat verlaat, ook al is het maar voor kort.
Op pc’s en laptops kun je dat snel doen door de Windows- en de L-toets tegelijk in te drukken (‘Clear Screen’).
12. gebruik van e-mail.
Je gebruikt je RGN-e-mailbox alleen zakelijk. Voor privé-gebruik kun je een privé-mailbox via webmail gebruiken. Geef je zakelijke mailadres niet op in formulieren op websites, tenzij dit nodig is voor je werk.
Je gebruikt in de communicatie met collega’s en met professionals buiten de RGN organisatie bij voorkeur zakelijke mailadressen (dus geen gmail-, hotmail-, live-, etc. adressen).
Je bekijkt en beantwoord je e-mail elke werkdag. Stel bij het tijdelijk niet gebruiken van e-mail een ‘Out of Office’ melding in waarbij je eventueel verwijst naar een waarnemer.
Wanneer je vertrouwelijke (persoons-)gegevens verstuurt, doe dit dan versleuteld, bijvoorbeeld door een met een wachtwoord versleuteld ZIP-bestand te versturen. Daarvoor staat op iservice een handleiding.
Op die manier voorkom je dat derden kunnen meelezen of dat bij een vergissing in de adressering een onbedoelde ontvanger de informatie kan lezen.
• Gebruik bij het versleutelen een wachtwoord dat voldoet aan de wachtwoordvereisten (zie paragraaf Omgang met wachtwoorden/PIN). Deel het wachtwoord op een andere manier dan via e-mail mee aan de ontvanger, bijvoorbeeld telefonisch of via SMS.
• Zorg ervoor dat in de niet-versleutelde e-mailtekst en het onderwerp geen verwijzingen naar de persoon staan.
Voor grote hoeveelheden bestanden kun je een mSafe datakluis aanvragen via het aanvraagpunt iservice.
Je mag geen “groepsmails” versturen naar alle medewerkers of naar groepen van RGN-medewerkers of derden versturen, tenzij je hiervoor vooraf toestemming door of namens je leidinggevende hebt gekregen.
Gebruik wanneer je toestemming hebt voor een groepsmail het bcc-veld voor de geadresseerden.
E-mail kan door kwaadwillenden worden gebruikt om toegang te krijgen tot gegevens en systemen. Dit wordt ook wel phishing genoemd. Ontvang je mails van jouw onbekende adressen, verdachte mails, reclamemails of mails van onbekende ontvangers, open dan geen bijlagen en klik niet op links in de mail (ook al kun je iets winnen of wordt er druk op je uitgeoefend). Enkel het openen van een bijlage of het aanklikken van een link kan er al voor zorgen dat je apparaat wordt geïnfecteerd met kwaadaardige software. Vraag bij twijfel de Servicedesk ICT om ondersteuning.
13. gebruik van Google Drive / L: schijf.
Je gebruikt de volgende systemen om documenten op te slaan:
• Vertrouwelijke gegevens, zoals CV’s, kopie ID-bewijzen en verslagen van functionerings- en
beoordelingsgesprekken horen in de daarvoor per label bepaalde systemen Mondriaan, Connexys/
Salesforce, Workday, etc.
Deze documenten sla je dus hoogstens tijdelijk op je Google Drive of laptop op, wanneer je bezig bent deze te bewerken. Daarna wis je de bestanden uit MijnDrive en uit Gedeelde Drives en uit de map downloads.
• Bestanden die je als geheel team of afdeling nodig hebt, sla je op in een “Gedeelde Drives” (voorheen Google TeamDrive) of (tot migratie naar Google Drive) op een afdelings-netwerkschijf (L:). Dit zorgt er voor dat bestanden toegankelijk blijven na het vertrek van collega’s.
• Bestanden voor persoonlijk gebruik sla je op je MijnDrive (Google Drive) op en deelt deze mogelijk met anderen.
• In MijnDrive is het vaak handiger een map aan te maken om meerdere bestanden te delen in plaats van het instellen van rechten voor elk bestand apart.
Wanneer je van afdeling wisselt of uit dienst gaat overleg je met je leidinggevende aan wie je jouw bestanden kunt overdragen. Wees je er van bewust dat bestanden die je met niemand gedeeld hebt, niet meer toegankelijk zijn voor je collega’s na je vertrek, maar alleen voor de IT-afdeling. Als leidinggevende zorg je dat de rechten op Gedeelde Drives worden ingetrokken.
Let op, als je uit dienst gaat wordt de toegang tot jouw RGN-account per diezelfde datum geblokkeerd.
Zorg dus dat je eventuele privé-informatie en -documenten tijdig hebt verwijderd c.q. hebt overgezet naar een privé-account.
14. omgang met documenten, printers en faxapparaten.
Je werkt zo veel mogelijk digitaal, zodat fysieke documenten worden vermeden.
Documenten met kandidaat- of medewerkergegevens sla je op in afgesloten kasten op locaties van RGN wanneer je de werkplek verlaat (‘Clean Desk’).
Je neemt documenten alleen mee naar buiten de locaties van RGN:
• voor zover nodig voor (klant-)bezoeken
• naar huis voor zover het nodig is
• om aan het begin of eind van de werktijd (klant-)bezoeken te kunnen afleggen
• om thuis te werken met toestemming van de leidinggevende
• en mits de documenten thuis worden opgeslagen in een afgesloten kast wanneer ze niet worden gebruikt
Je bent aanwezig bij het printen en het ontvangen van vertrouwelijke documenten en je laat ze niet onbeheerd achter.
Je deponeert documenten die niet meer nodig zijn, in de “Reisswolf”-oudpapiercontainers voor vertrouwelijke documenten. Gooi documenten nooit thuis weg, ook niet versnipperd.
15. gebruik van sociale media.
Alleen door Marcom of door Marcom aangewezen medewerkers mogen op de sociale media over of namens Randstad communiceren.
Tot de social media kanalen van RGN hebben alleen Marcom of door Marcom aangewezen medewerkers toegang. Zij communiceren daar namens RGN. Berichten die op de RGN kanalen worden gepost, mogen door andere RGN medewerkers van worden gedeeld binnen hun eigen netwerk. Bij social media valt te denken aan: Facebook, LinkedIn, Twitter, Snapchat, Instagram, etc.
Het is niet dus ook niet toegestaan om op eigen initiatief Facebookpagina’s, Instagram-accounts, LinkedIn- pagina’s en overige social platformen op te zetten voor een specifieke vestiging of regio of om sociale media posts te sponsoren. Mocht je wensen hebben op dit gebied, dan kun je contact opnemen met de marketingafdeling van je label. Zij denken graag met je mee.
Zelf posts plaatsen op je eigen netwerk die gaan over RGN zijn altijd werkgerelateerd en vragen aandacht voor bijv.: openstaande vacatures, RGN kennis die we beschikbaar hebben en kunnen delen (whitepapers, arbeidsmarktinformatie). Het betreft dan altijd content die bijdraagt aan je dagelijkse werk. Als je
beeld gebruikt om je bericht te ondersteunen, gebruik dan altijd de tooling die hiervoor vanuit je label beschikbaar is gesteld, zodat het voldoet aan de huisstijl.
Als je privé op sociale media communiceert kun je in verband gebracht worden met RGN. Communiceer ook dan op een respectvolle en nette manier. Als je op sociale media communiceert over een onderwerp dat in verband kan worden gebracht met RGN, maak dan duidelijk dat je dit op persoonlijke titel doet en dat dit niet overeen hoeft te komen met het standpunt van je werkgever (zonder deze te noemen).
Bij uitdiensttreding pas je je social mediaprofiel(en) aan zodat duidelijk is dat je niet langer werkzaam bent voor RGN.
16. gebruik van communicatie- of messaging- en opslagdiensten op internet/in de cloud.
Je mag alleen communiceren met klanten, kandidaten, leveranciers etc. met door RGN beschikbaar gestelde middelen.
Je mag dus niet gebruik maken van niet door RGN gecontracteerde diensten op internet, zoals WeTransfer, Dropbox, OneDrive, Trello, Facebook Messenger, Zoom, etc., omdat RGN geen overeenkomsten met deze bedrijven heeft over onder andere geheimhouding en omdat deze diensten veelal persoonsgegevens opslaan of verwerken buiten de EU.
Gebruik in plaats daarvan de door RGN beschikbaar gestelde diensten, zoals Google Suite (Hangouts, Drive), mSafe, etc..
Weet je niet of een dienst gebruikt mag worden, neem dan contact op met de Servicedesk ICT.
17. omgang met USB-sticks en andere gegevensdragers.
Het heeft de voorkeur om informatie, m.u.v. zeer gevoelige informatie zoals persoonsgegevens, te delen via Google Drive of mSafe, omdat hiermee door de eigenaar bepaald kan worden met wie en voor hoelang de data gedeeld kan worden.
Als je toch informatie op een USB-stick of andere verwijderbare media zet, ga dan als volgt te werk:
• Voor gebruik is de media geformatteerd, leeg gemaakt. Na gebruik idem dito.
• Versleuteling van data en/of device is actief d.m.v. een wachtwoord van minimaal tien tekens (conform wachtwoordbeleid, zie boven). De RGN-PC’s ondersteunen de versleuteling van media. Je hebt hiervoor dus geen extra-software nodig. (NB Niet-versleutelde vertrouwelijke informatie op een USB-stick kan met speciale software ook nog leesbaar zijn na het wissen van de gegevens.)
• Indien het medium niet meer gebruikt wordt, biedt het dan voor vernietiging aan bij het iservicepoint op het hoofdkantoor.
• Indien een medium met gevoelige informatie wordt verstuurd dan dient de verzending aangetekend inclusief track & trace uitgevoerd te worden door RGN erkende koerierdienst, zoals UPS, PostNL, TNT en DHL.
18. omgang met digitale camera’s.
Je maakt bij voorkeur gebruik van versleutelde tablets of smartphones voor het maken van opnames. Is het toch nodig om digitale foto- of videocamera’s te gebruiken, doe dan direct na gebruik, in ieder geval binnen 24 uur, het volgende:
• zet benodigde opnames over naar de daarvoor bestemde RGN-systemen, zoals Google Drive
• wis alle opnames van het apparaat
Let op: voor het maken van foto- en videoopnames van personen gelden strenge regels. Neem hierover contact op met HR & Legal Advies.
19. gebruik van intellectueel eigendom van RGN.
Je respecteert het merk-, beeld-, portret-, auteurs- en citaatrecht alsook andere intellectuele
eigendomsrechten van RGN of derden. Dit betekent bijvoorbeeld dat je geen logo’s van opdrachtgevers gebruikt zonder de uitdrukkelijke toestemming van die opdrachtgever, dat geen licentieplichtige software van het internet mag worden gedownload en dat geen foto’s van een ander mogen worden gebruikt zonder toestemming van die ander.
Het publiceren van informatie mag alleen met toestemming van je leidinggevende. Het verstrekken van informatie van of over relaties van RGN mag alleen met goedkeuring van de desbetreffende relatie(s). Deze goedkeuring mag je vragen na toestemming van je leidinggevende.
20. melden van beveiligingsincidenten en -kwetsbaarheden.
Wanneer gegevens door niet-bevoegden (kunnen) worden ingezien of gewijzigd, onbedoeld zijn gewijzigd of verminkt, of onbedoeld zijn gewist of vernietigd, is er sprake van een beveiligingsincident. Wanneer het om persoonsgegevens gaat is er sprake van een datalek. Het kan bijvoorbeeld gaan om het kwijtraken van een toegangstag of diefstal van een telefoon of laptop.
Kwetsbaarheden zijn situaties met een verhoogd risico op een beveiligingsincident, bijvoorbeeld wanneer er wordt gewerkt met verouderde software of wanneer een slot op een deur defect is.
(Vermoedens van) beveiligingsincidenten en kwetsbaarheden dien je direct te melden aan de Servicedesk ICT en aan je leidinggevende. Wanneer het om persoonsgegevens gaat meld je het ook meteen bij
datalek@randstadgroep.nl.
Voor serieuze klachten en voor het anoniem melden van beveiligingsincidenten en kwetsbaarheden kun je (ook) gebruik maken van de Misconduct reporting procedure.
21. toegang tot het gebouw en omgang met bezoekers.
Zorg dat je bezoekers zijn geregistreerd bij de receptie in gebouwen waar een receptie is (zoals hubs, Diemermere). Haal bezoekers persoonlijk op en begeleid bezoekers in de niet-publiek toegankelijke delen van het gebouw. Begeleid bezoekers na afloop van het bezoek persoonlijk naar de uitgang of naar publiek toegankelijke ruimtes.
Spreek onbekenden en onbegeleide bezoekers aan. Zorg dat je collega’s op de hoogte zijn van werkzaamheden door leveranciers in het gebouw, zodat zij weten dat deze aanwezig en hun werkzaamheden geoorloofd zijn.
Laat geen onbekenden binnen en zorg dat deuren die op slot of gesloten horen te zijn, worden (af-)gesloten. Sleutels, servicepassen en toegangscodes mogen niet met anderen worden gedeeld of uitgeleend.
22. handhaving en maatregelen.
We verwachten van medewerkers dat zij elkaar aanspreken op de gedragsregels wanneer deze worden geschonden of dreigen te worden geschonden.
Leidinggevenden zien toe op de naleving van deze gedragsregels en hebben daarbij een voorbeeldfunctie.
Medewerkers die zich niet houden aan deze gedragsregels worden daarop aangesproken door hun leidinggevende.
Afhankelijk van de ernst en eventuele herhaling van de overtredingen worden passende sancties toegepast.
De leidinggevende doet dit in overleg met HR, eventueel na advies van de afdeling Juridische Zaken.
Controle
In het kader van de informatiebeveiliging wordt elektronische communicatie, waaronder surfgedrag, e-mail-verkeer en logging bewaakt en wordt apparatuur gescand. Daaruit kunnen overtredingen van de gedragsregels uit dit beleid naar voren komen. Op welke manier dat gebeurt en hoe deze worden opgevolgd is vastgelegd in een protocol. Daarin is ook vastgelegd in welke situaties RGN toegang mag krijgen tot de persoonlijke e-mailbox en andere niet met anderen gedeelde informatie (bijvoorbeeld op google drive of op de laptop).
23. publicatie en wijzigingen.
RGN kan dit beleid aanpassen. De geactualiseerde versie wordt aan alle medewerkers en gebruikers binnen de scope gecommuniceerd met het verzoek om kennis te nemen van de wijzigingen. Dit document staat daarnaast voor alle medewerkers ter inzage op het intranet.
