Jump to content
  • Welcome to HigherLevel, the Dutch business forum

    Do you have a business question, do you want feedback on your business plan or do you want to advise others? Then you are at the right place at a higher level. Here entrepreneurs come together to take each other to the next level.
    Ask your question, get a quick answer and share your experiences with entrepreneurs. The moment it suits you!
    During the day, evening and weekend 24/7 free advice and exchange of experience with entrepreneurs who understand!
Emilios

Integriteitscode IT Functionarissen

Recommended Posts

Posted (edited)

Goedemiddag allemaal,

Ten eerste zal ik mijzelf even kort voorstellen; Ik ben Emile, werkzaam als Systeembeheerder bij een Potplantkwekerij. Aangezien de ICT in deze sector wat trager op gang is gekomen dan bij de meeste bedrijven wil ik de directie helpen met het inrichten van de ICT functieprofielen in het bedrijf.  Een collega adviseerde mij om is op dit forum te kijken.

De vraag die er nu heerst is het volgende; Als ICT medewerker heb je, afhankelijk van je type functie, toegang tot veel bestanden en ook tot een 'hoofd gebruiker' die in principe overal in kan. Verder maken wij ook gebruik van device management waarmee je apparaten kan opsporen of informatie zou kunnen inzien wat een privacy issue kan zijn conform de AVG wet. Ik denk zelf dat de standaard 'geheimhoudingsplicht' in de arbeidsovereenkomst daarmee te beperkt is om dit allemaal in te dekken voor het bedrijf.

Is het nodig voor ons om een Integriteitscode / document te laten samen stellen en te laten ondertekenen door alle ICT medewerkers, of is de standaard geheimhoudingsplicht die je bij de meeste werkgevers in je overeenkomst hebt staan voldoende? En indien dit nodig is, zijn er bedrijven die hier meer verstand van hebben?

Met vriendelijke groet,

Edited by Emile Aleman

Share this post


Link to post
Share on other sites

Beste Emile, allereerst welkom op Higherlevel!

 

1 uur geleden, Emile Aleman zei:

en ook tot een 'hoofd gebruiker' die in principe overal in kan.

Als iemand op deze manier ook toegang krijgt tot persoonsgegevens is dat strijdig met de AVG: je hebt dan nog niet de juiste technische en organisatorische maatregelen genomen. Bovendien is het erg onveilig, ook voor andere data. 

 

1 uur geleden, Emile Aleman zei:

Is het nodig voor ons om een Integriteitscode / document te laten samen stellen en te laten ondertekenen door alle ICT medewerkers, of is de standaard geheimhoudingsplicht die je bij de meeste werkgevers in je overeenkomst hebt staan voldoende?

Het lijkt me beide niet voldoende. Met alleen een document met handtekening ben je er niet. Je zult de toegang tot persoons- en overige vertrouwelijke gegeven ook echt moeten  organiseren.

 

1 uur geleden, Emile Aleman zei:

En indien dit nodig is, zijn er bedrijven die hier meer verstand van hebben?

Het beste lijkt me ondersteuning zoeken van IT bedrijven met AVG en IT security specialisatie, zoals FOX-IT (doet véél meer dan alleen cybersecurity)

Maar er zijn ook zelfstandige specialisten die  je hierbij kunnen helpen: bijvoorbeeld privacy- & security officers met een achtergrond in de informatiebeveiliging. 


B2Bsure, de vooruithelpers in risicomanagement en verzekeringen

 

Vragen, second opinion of offerte  m.b.t. AOV, aansprakelijkheid of andere bedrijfsverzekeringen?  →  contact 📞📧

Share this post


Link to post
Share on other sites
34 minuten geleden, Norbert Bakker zei:

Als iemand op deze manier ook toegang krijgt tot persoonsgegevens is dat strijdig met de AVG: je hebt dan nog niet de juiste technische en organisatorische maatregelen genomen.

 

Maar goed, dat is de theorie.

Juist de systemen met de meeste persoonsgegevens zijn in de praktijk bijzonder lastig te beveiligen.

 

Ja, zorgen dat individuele bestanden -waar alleen de gebruiker die ze gemaakt heeft toegang tot hoeft te hebben- versleuteld worden, is mogelijk. En ja, de beheerder kan daarbij ook buitengesloten worden.

 

Maar de database waar bijvoorbeeld de gegevens van alle klanten in staan...

Het is toch wel gebruikelijk dat er iemand is die daar een backup van kan maken.

En zelfs als rechtstreekse toegang tot de database geen gangbare manier van werken is, en dat normaal alleen indirect via (web)applicaties verloopt, zal toch iemand de toegang die deze applicaties hebben moeten instellen. In de praktijk komt het er dan toch op neer, dat die iemand linksom of rechtsom toch ook toegang tot alle gegevens die daar in staan heeft.

Share this post


Link to post
Share on other sites

Mag ik als eenmanszaak wel mijn eigen klantgegevens bekijken?

 

Zijn er geen andere fora waar deze vraag veel beter beantwoord kan worden: met name de integriteitskwestie. Liefst met een pragmatische kijk op zaken, want het gaat om een potplantenkwekerij...

 

Welkom op HL Emile... :nerd-face:

Share this post


Link to post
Share on other sites
2 uur geleden, TwaBla zei:

Zijn er geen andere fora waar deze vraag veel beter beantwoord kan worden: met name de integriteitskwestie. 

Ik ken ze in ieder geval niet. en de integriteitskwestie is hier - voor zover ik kan beoordelen - een van de minst belangrijke issues 

 

Quote

Liefst met een pragmatische kijk op zaken

Juist dan Higherlevel. Op IT fora verzand je in techniek, op juridische fora in wettelijk jargon en papierwinkel terwijl er hier zeer waarschijnlijk niet alleen organisatorische maar ook technische maatregelen genomen moeten worden 

 

Quote

Mag ik als eenmanszaak wel mijn eigen klantgegevens bekijken?

Belangrijker nog: mag je ze wel hebben c.q. bewaren?  

 

2 uur geleden, TwaBla zei:

want het gaat om een potplantenkwekerij...

Goed opgemerkt, vermoedelijk is het  security convenant meststoffen dus ook van toepassing. :smiling-face-with-sunglasses:

 

FF serieus: een kwekerij met een systeembeheerder en IT functionarissen  waarvoor functieprofielen nodig zijn is een bedrijf van enige omvang en niet een boertje met een kas in zijn tuin die 2 treetjes potplanten aan de lokale benzinepomp levert.  En een serieus bedrijf - groot of klein - gaat ook serieus om met zijn IT en informatiebeveiliging (en met zijn kunstmest) 


B2Bsure, de vooruithelpers in risicomanagement en verzekeringen

 

Vragen, second opinion of offerte  m.b.t. AOV, aansprakelijkheid of andere bedrijfsverzekeringen?  →  contact 📞📧

Share this post


Link to post
Share on other sites
Posted (edited)
4 hours ago, Norbert Bakker said:

Beste Emile, allereerst welkom op Higherlevel!

 

Als iemand op deze manier ook toegang krijgt tot persoonsgegevens is dat strijdig met de AVG: je hebt dan nog niet de juiste technische en organisatorische maatregelen genomen. Bovendien is het erg onveilig, ook voor andere data. 

 

Het lijkt me beide niet voldoende. Met alleen een document met handtekening ben je er niet. Je zult de toegang tot persoons- en overige vertrouwelijke gegeven ook echt moeten  organiseren.

 

Het beste lijkt me ondersteuning zoeken van IT bedrijven met AVG en IT security specialisatie, zoals FOX-IT (doet véél meer dan alleen cybersecurity)

Maar er zijn ook zelfstandige specialisten die  je hierbij kunnen helpen: bijvoorbeeld privacy- & security officers met een achtergrond in de informatiebeveiliging. 

 

Bedankt allen voor de reacties. 

Excuses als ik  wat verkeerde uitleg heb gegeven;

 

Ons ICT netwerk is streng beveiligd.Wij hebben een extern bedrijf die hier ook toezicht op heeft en ons ondersteund) en ook voldoen wij volledig aan de AVG regels: een Systeembeheerder kan zelf niet direct bij de gegevens van een medewerker. Echter heeft een systeembeheerder wel toegang tot een 'hoofdgebruiker' genaamd een Administrator account die dat met grote omwegen eventueel wel zou kunnen. Anders kun je het beheren en de beveiliging voor anderen niet instellen. Ditzelfde met Mobile device management; ik kan als ik een verzoek krijg door een leidinggevende de locatie opvragen bij bijv. diefstal of vermissing. Dit wordt allemaal gelogd en gaat niet met 1 klik; maar de eventuele mogelijk is er wel.

 

Het is bij ons dus niet zo dat het niet beveiligd is, het is zo dat een systeem of applicatiebeheerder wel de mogelijkheid zou kunnen hebben om bepaalde dingen in te zien. (wat bij elk bedrijf het geval is)
Omdat die mogelijkheid er is vroeg ik mij af of daar eventueel een aanvullende verklaring nodig is voor dit soort medewerkers waardoor een bedrijf een medewerker eventueel persoonlijk aansprakelijk zou kunnen stellen. Bij vorige werkgevers (grote bedrijven) moest ik buiten de standaard voorwaarden dus nog een aanvullende verklaring tekenen. Vandaar dat ik mij af vroeg of dit voor het bedrijf zelf nuttig is bij zo'n functie.

 

3 hours ago, Maxn said:

 

Maar goed, dat is de theorie.

Juist de systemen met de meeste persoonsgegevens zijn in de praktijk bijzonder lastig te beveiligen.

 

Ja, zorgen dat individuele bestanden -waar alleen de gebruiker die ze gemaakt heeft toegang tot hoeft te hebben- versleuteld worden, is mogelijk. En ja, de beheerder kan daarbij ook buitengesloten worden.

 

Maar de database waar bijvoorbeeld de gegevens van alle klanten in staan...

Het is toch wel gebruikelijk dat er iemand is die daar een backup van kan maken.

En zelfs als rechtstreekse toegang tot de database geen gangbare manier van werken is, en dat normaal alleen indirect via (web)applicaties verloopt, zal toch iemand de toegang die deze applicaties hebben moeten instellen. In de praktijk komt het er dan toch op neer, dat die iemand linksom of rechtsom toch ook toegang tot alle gegevens die daar in staan heeft.

 

Klopt, deze bestandenbeveiligingsstructuur hebben wij en is ook van toepassing. ICT'ers kunnen niet in mappen van bijv. HR of de Directie. Echter moet er altijd 1 iemand zijn die in een ander account kan die deze structuur in stelt. En ik vind dus dat die gene een bepaalde verantwoordelijkheid heeft en het bedrijf zichzelf en het personeel daar tegen moet beschermen. Vandaar de vraag. 


Op internet heb ik veel rond gekeken maar ik kon nergens echt iets vinden, vandaar dat ik benieuwd was hoe anderen dit geregeld hebben.

 

Nogmaals bedankt voor de reacties!


 

Edited by Emile Aleman
spelfoutjes

Share this post


Link to post
Share on other sites
1 uur geleden, Emilios zei:

Ons ICT netwerk is streng beveiligd.Wij hebben een extern bedrijf die hier ook toezicht op heeft en ons ondersteund) en ook voldoen wij volledig aan de AVG regels: een Systeembeheerder kan zelf niet direct bij de gegevens van een medewerker. Echter heeft een systeembeheerder wel toegang tot een 'hoofdgebruiker' genaamd een Administrator account die dat met grote omwegen eventueel wel zou kunnen. Anders kun je het beheren en de beveiliging voor anderen niet instellen. Ditzelfde met Mobile device management; ik kan als ik een verzoek krijg door een leidinggevende de locatie opvragen bij bijv. diefstal of vermissing. Dit wordt allemaal gelogd en gaat niet met 1 klik; maar de eventuele mogelijk is er wel.

 

Het is bij ons dus niet zo dat het niet beveiligd is, het is zo dat een systeem of applicatiebeheerder wel de mogelijkheid zou kunnen hebben om bepaalde dingen in te zien. (wat bij elk bedrijf het geval is)
Omdat die mogelijkheid er is vroeg ik mij af of daar eventueel een aanvullende verklaring nodig is voor dit soort medewerkers waardoor een bedrijf een medewerker eventueel persoonlijk aansprakelijk zou kunnen stellen. Bij vorige werkgevers (grote bedrijven) moest ik buiten de standaard voorwaarden dus nog een aanvullende verklaring tekenen. Vandaar dat ik mij af vroeg of dit voor het bedrijf zelf nuttig is bij zo'n functie.

 

Ah, dat verduidelijkt een hoop. En voor een potplantenkwekerij allemaal prima geregeld dus. 

 

Om je oorspronkelijke vraag te beantwoorden: 

 

7 uur geleden, Emilios zei:

Is het nodig voor ons om een Integriteitscode / document te laten samen stellen en te laten ondertekenen door alle ICT medewerkers

 

Nodig is het niet per sé, maar je kunt wel een gedragscode op (laten) stellen die onderdeel gaat vormen van de arbeidsovereenkomst. Doel van de gedragscode is dan niet handhaving en persoonlijk aansprakelijk kunnen stellen, maar verduidelijking van gewenst en ongewenst gedrag.  Zie als voorbeeld de vele integriteits- en gedragscodes van overheden en onderwijsinstellingen.

 

7 uur geleden, Emilios zei:

of is de standaard geheimhoudingsplicht die je bij de meeste werkgevers in je overeenkomst hebt staan voldoende?

 

Dat, de wet (bij schenden geheimhouding  o.a. artikel 272 WvS) , jurisprudentie en "hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt".  


B2Bsure, de vooruithelpers in risicomanagement en verzekeringen

 

Vragen, second opinion of offerte  m.b.t. AOV, aansprakelijkheid of andere bedrijfsverzekeringen?  →  contact 📞📧

Share this post


Link to post
Share on other sites
17 hours ago, Norbert Bakker said:

 

Ah, dat verduidelijkt een hoop. En voor een potplantenkwekerij allemaal prima geregeld dus. 

 

Om je oorspronkelijke vraag te beantwoorden: 

 

 

Nodig is het niet per sé, maar je kunt wel een gedragscode op (laten) stellen die onderdeel gaat vormen van de arbeidsovereenkomst. Doel van de gedragscode is dan niet handhaving en persoonlijk aansprakelijk kunnen stellen, maar verduidelijking van gewenst en ongewenst gedrag.  Zie als voorbeeld de vele integriteits- en gedragscodes van overheden en onderwijsinstellingen.

 

 

Dat, de wet (bij schenden geheimhouding  o.a. artikel 272 WvS) , jurisprudentie en "hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt".  

 

Hartelijk dank voor de informatie, nu heb ik iets meer kennis hierover wat ik mee kan nemen in het overleg.

 

4 hours ago, Branko Collin said:

 

Ook hartelijk dank! Dit is een goed voorbeeld van een werkgever die dit voorbeeld dus wel heeft gemaakt, de boetes/gevolgen bij overtreding zijn inderdaad ook nog een discussiepunt. 

Share this post


Link to post
Share on other sites
15 minuten geleden, Emilios zei:

de boetes/gevolgen bij overtreding zijn inderdaad ook nog een discussiepunt. 

 

Hier nog wat achtergrondinfo over boetebedingen en de valkuilen daarvan


B2Bsure, de vooruithelpers in risicomanagement en verzekeringen

 

Vragen, second opinion of offerte  m.b.t. AOV, aansprakelijkheid of andere bedrijfsverzekeringen?  →  contact 📞📧

Share this post


Link to post
Share on other sites
22 uur geleden, Emilios zei:

een Systeembeheerder kan zelf niet direct bij de gegevens van een medewerker. Echter heeft een systeembeheerder wel toegang tot een 'hoofdgebruiker' genaamd een Administrator account die dat met grote omwegen eventueel wel zou kunnen.

 

Ook administrator hoeft in principe niet bij de bestanden van gebruikers zelf te kunnen.

Je kan deze versleutelen (bijv. met EFS, waarbij administrator niet de recovery agent is)

Levert alleen gedoe op als de gebruiker zijn wachtwoord vergeten danwel zijn smartcard kwijt is.

En is nog steeds geen oplossing voor bestanden waar groepen van gebruikers bij moeten kunnen.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Bring your business plan to a higher level!

    All topics related to entrepreneurship are discussed on this forum.

    • Ask your entrepreneur questions
    • Answers / solutions from fellow entrepreneurs
    • > 65,000 registered members
    • > 100,000 visitors per month
    •  Available 24/7 / within <6 hours of response
    •  Always free

  • Who's Online

    Er zijn 6 leden online en 290 gasten

    (See full list)    
  • Ondernemersplein



EN

×

Cookies on HigherLevel.nl

Cookies are necessary for Higherlevel.nl to function properly. By using HigherLevel.nl you declare to have read and accepted our terms and conditions.

 More information   I accept