Ga naar inhoud
Toon sidebar
  • 0

Integriteitscode IT Functionarissen

Gevraagd door Testgebruiker33,

Start een nieuw topic
Testgebruiker33

Testgebruiker33

Geplaatst:

Testgebruiker33

(aangepast)

Goedemiddag allemaal,

Ten eerste zal ik mijzelf even kort voorstellen; Ik ben Emile, werkzaam als Systeembeheerder bij een Potplantkwekerij. Aangezien de ICT in deze sector wat trager op gang is gekomen dan bij de meeste bedrijven wil ik de directie helpen met het inrichten van de ICT functieprofielen in het bedrijf.  Een collega adviseerde mij om is op dit forum te kijken.

De vraag die er nu heerst is het volgende; Als ICT medewerker heb je, afhankelijk van je type functie, toegang tot veel bestanden en ook tot een 'hoofd gebruiker' die in principe overal in kan. Verder maken wij ook gebruik van device management waarmee je apparaten kan opsporen of informatie zou kunnen inzien wat een privacy issue kan zijn conform de AVG wet. Ik denk zelf dat de standaard 'geheimhoudingsplicht' in de arbeidsovereenkomst daarmee te beperkt is om dit allemaal in te dekken voor het bedrijf.

Is het nodig voor ons om een Integriteitscode / document te laten samen stellen en te laten ondertekenen door alle ICT medewerkers, of is de standaard geheimhoudingsplicht die je bij de meeste werkgevers in je overeenkomst hebt staan voldoende? En indien dit nodig is, zijn er bedrijven die hier meer verstand van hebben?

Met vriendelijke groet,

aangepast door Emile Aleman
Link naar reactie

Aanbevolen berichten

10 antwoorden op deze vraag

  • 0
Norbert Bakker

Norbert Bakker

Geplaatst:

Norbert Bakker

Beste Emile, allereerst welkom op Higherlevel!

 

1 uur geleden, Testgebruiker33 zei:

en ook tot een 'hoofd gebruiker' die in principe overal in kan.

Als iemand op deze manier ook toegang krijgt tot persoonsgegevens is dat strijdig met de AVG: je hebt dan nog niet de juiste technische en organisatorische maatregelen genomen. Bovendien is het erg onveilig, ook voor andere data. 

 

1 uur geleden, Testgebruiker33 zei:

Is het nodig voor ons om een Integriteitscode / document te laten samen stellen en te laten ondertekenen door alle ICT medewerkers, of is de standaard geheimhoudingsplicht die je bij de meeste werkgevers in je overeenkomst hebt staan voldoende?

Het lijkt me beide niet voldoende. Met alleen een document met handtekening ben je er niet. Je zult de toegang tot persoons- en overige vertrouwelijke gegeven ook echt moeten  organiseren.

 

1 uur geleden, Testgebruiker33 zei:

En indien dit nodig is, zijn er bedrijven die hier meer verstand van hebben?

Het beste lijkt me ondersteuning zoeken van IT bedrijven met AVG en IT security specialisatie, zoals FOX-IT (doet véél meer dan alleen cybersecurity)

Maar er zijn ook zelfstandige specialisten die  je hierbij kunnen helpen: bijvoorbeeld privacy- & security officers met een achtergrond in de informatiebeveiliging. 

Link naar reactie
  • 0
Maxn

Maxn

Geplaatst:

Maxn

34 minuten geleden, Norbert Bakker zei:

Als iemand op deze manier ook toegang krijgt tot persoonsgegevens is dat strijdig met de AVG: je hebt dan nog niet de juiste technische en organisatorische maatregelen genomen.

 

Maar goed, dat is de theorie.

Juist de systemen met de meeste persoonsgegevens zijn in de praktijk bijzonder lastig te beveiligen.

 

Ja, zorgen dat individuele bestanden -waar alleen de gebruiker die ze gemaakt heeft toegang tot hoeft te hebben- versleuteld worden, is mogelijk. En ja, de beheerder kan daarbij ook buitengesloten worden.

 

Maar de database waar bijvoorbeeld de gegevens van alle klanten in staan...

Het is toch wel gebruikelijk dat er iemand is die daar een backup van kan maken.

En zelfs als rechtstreekse toegang tot de database geen gangbare manier van werken is, en dat normaal alleen indirect via (web)applicaties verloopt, zal toch iemand de toegang die deze applicaties hebben moeten instellen. In de praktijk komt het er dan toch op neer, dat die iemand linksom of rechtsom toch ook toegang tot alle gegevens die daar in staan heeft.

Link naar reactie
  • 0
TwaBla

TwaBla

Geplaatst:

TwaBla

Mag ik als eenmanszaak wel mijn eigen klantgegevens bekijken?

 

Zijn er geen andere fora waar deze vraag veel beter beantwoord kan worden: met name de integriteitskwestie. Liefst met een pragmatische kijk op zaken, want het gaat om een potplantenkwekerij...

 

Welkom op HL Emile... :nerd-face:

Hiep hiep hoera: honderd jaar A4  :partying-face:  (DIN = Duits Instituut voor Normalisatie)

Link naar reactie
  • 0
Norbert Bakker

Norbert Bakker

Geplaatst:

Norbert Bakker

2 uur geleden, TwaBla zei:

Zijn er geen andere fora waar deze vraag veel beter beantwoord kan worden: met name de integriteitskwestie. 

Ik ken ze in ieder geval niet. en de integriteitskwestie is hier - voor zover ik kan beoordelen - een van de minst belangrijke issues 

 

Quote

Liefst met een pragmatische kijk op zaken

Juist dan Higherlevel. Op IT fora verzand je in techniek, op juridische fora in wettelijk jargon en papierwinkel terwijl er hier zeer waarschijnlijk niet alleen organisatorische maar ook technische maatregelen genomen moeten worden 

 

Quote

Mag ik als eenmanszaak wel mijn eigen klantgegevens bekijken?

Belangrijker nog: mag je ze wel hebben c.q. bewaren?  

 

2 uur geleden, TwaBla zei:

want het gaat om een potplantenkwekerij...

Goed opgemerkt, vermoedelijk is het  security convenant meststoffen dus ook van toepassing. :smiling-face-with-sunglasses:

 

FF serieus: een kwekerij met een systeembeheerder en IT functionarissen  waarvoor functieprofielen nodig zijn is een bedrijf van enige omvang en niet een boertje met een kas in zijn tuin die 2 treetjes potplanten aan de lokale benzinepomp levert.  En een serieus bedrijf - groot of klein - gaat ook serieus om met zijn IT en informatiebeveiliging (en met zijn kunstmest) 

Link naar reactie
  • 0
Testgebruiker33

Testgebruiker33

Geplaatst:
  • Auteur

Testgebruiker33

(aangepast)
4 hours ago, Norbert Bakker said:

Beste Emile, allereerst welkom op Higherlevel!

 

Als iemand op deze manier ook toegang krijgt tot persoonsgegevens is dat strijdig met de AVG: je hebt dan nog niet de juiste technische en organisatorische maatregelen genomen. Bovendien is het erg onveilig, ook voor andere data. 

 

Het lijkt me beide niet voldoende. Met alleen een document met handtekening ben je er niet. Je zult de toegang tot persoons- en overige vertrouwelijke gegeven ook echt moeten  organiseren.

 

Het beste lijkt me ondersteuning zoeken van IT bedrijven met AVG en IT security specialisatie, zoals FOX-IT (doet véél meer dan alleen cybersecurity)

Maar er zijn ook zelfstandige specialisten die  je hierbij kunnen helpen: bijvoorbeeld privacy- & security officers met een achtergrond in de informatiebeveiliging. 

 

Bedankt allen voor de reacties. 

Excuses als ik  wat verkeerde uitleg heb gegeven;

 

Ons ICT netwerk is streng beveiligd.Wij hebben een extern bedrijf die hier ook toezicht op heeft en ons ondersteund) en ook voldoen wij volledig aan de AVG regels: een Systeembeheerder kan zelf niet direct bij de gegevens van een medewerker. Echter heeft een systeembeheerder wel toegang tot een 'hoofdgebruiker' genaamd een Administrator account die dat met grote omwegen eventueel wel zou kunnen. Anders kun je het beheren en de beveiliging voor anderen niet instellen. Ditzelfde met Mobile device management; ik kan als ik een verzoek krijg door een leidinggevende de locatie opvragen bij bijv. diefstal of vermissing. Dit wordt allemaal gelogd en gaat niet met 1 klik; maar de eventuele mogelijk is er wel.

 

Het is bij ons dus niet zo dat het niet beveiligd is, het is zo dat een systeem of applicatiebeheerder wel de mogelijkheid zou kunnen hebben om bepaalde dingen in te zien. (wat bij elk bedrijf het geval is)
Omdat die mogelijkheid er is vroeg ik mij af of daar eventueel een aanvullende verklaring nodig is voor dit soort medewerkers waardoor een bedrijf een medewerker eventueel persoonlijk aansprakelijk zou kunnen stellen. Bij vorige werkgevers (grote bedrijven) moest ik buiten de standaard voorwaarden dus nog een aanvullende verklaring tekenen. Vandaar dat ik mij af vroeg of dit voor het bedrijf zelf nuttig is bij zo'n functie.

 

3 hours ago, Maxn said:

 

Maar goed, dat is de theorie.

Juist de systemen met de meeste persoonsgegevens zijn in de praktijk bijzonder lastig te beveiligen.

 

Ja, zorgen dat individuele bestanden -waar alleen de gebruiker die ze gemaakt heeft toegang tot hoeft te hebben- versleuteld worden, is mogelijk. En ja, de beheerder kan daarbij ook buitengesloten worden.

 

Maar de database waar bijvoorbeeld de gegevens van alle klanten in staan...

Het is toch wel gebruikelijk dat er iemand is die daar een backup van kan maken.

En zelfs als rechtstreekse toegang tot de database geen gangbare manier van werken is, en dat normaal alleen indirect via (web)applicaties verloopt, zal toch iemand de toegang die deze applicaties hebben moeten instellen. In de praktijk komt het er dan toch op neer, dat die iemand linksom of rechtsom toch ook toegang tot alle gegevens die daar in staan heeft.

 

Klopt, deze bestandenbeveiligingsstructuur hebben wij en is ook van toepassing. ICT'ers kunnen niet in mappen van bijv. HR of de Directie. Echter moet er altijd 1 iemand zijn die in een ander account kan die deze structuur in stelt. En ik vind dus dat die gene een bepaalde verantwoordelijkheid heeft en het bedrijf zichzelf en het personeel daar tegen moet beschermen. Vandaar de vraag. 


Op internet heb ik veel rond gekeken maar ik kon nergens echt iets vinden, vandaar dat ik benieuwd was hoe anderen dit geregeld hebben.

 

Nogmaals bedankt voor de reacties!


 

aangepast door Emile Aleman
spelfoutjes
Link naar reactie
  • 0
Norbert Bakker

Norbert Bakker

Geplaatst:

Norbert Bakker

1 uur geleden, Testgebruiker33 zei:

Ons ICT netwerk is streng beveiligd.Wij hebben een extern bedrijf die hier ook toezicht op heeft en ons ondersteund) en ook voldoen wij volledig aan de AVG regels: een Systeembeheerder kan zelf niet direct bij de gegevens van een medewerker. Echter heeft een systeembeheerder wel toegang tot een 'hoofdgebruiker' genaamd een Administrator account die dat met grote omwegen eventueel wel zou kunnen. Anders kun je het beheren en de beveiliging voor anderen niet instellen. Ditzelfde met Mobile device management; ik kan als ik een verzoek krijg door een leidinggevende de locatie opvragen bij bijv. diefstal of vermissing. Dit wordt allemaal gelogd en gaat niet met 1 klik; maar de eventuele mogelijk is er wel.

 

Het is bij ons dus niet zo dat het niet beveiligd is, het is zo dat een systeem of applicatiebeheerder wel de mogelijkheid zou kunnen hebben om bepaalde dingen in te zien. (wat bij elk bedrijf het geval is)
Omdat die mogelijkheid er is vroeg ik mij af of daar eventueel een aanvullende verklaring nodig is voor dit soort medewerkers waardoor een bedrijf een medewerker eventueel persoonlijk aansprakelijk zou kunnen stellen. Bij vorige werkgevers (grote bedrijven) moest ik buiten de standaard voorwaarden dus nog een aanvullende verklaring tekenen. Vandaar dat ik mij af vroeg of dit voor het bedrijf zelf nuttig is bij zo'n functie.

 

Ah, dat verduidelijkt een hoop. En voor een potplantenkwekerij allemaal prima geregeld dus. 

 

Om je oorspronkelijke vraag te beantwoorden: 

 

7 uur geleden, Testgebruiker33 zei:

Is het nodig voor ons om een Integriteitscode / document te laten samen stellen en te laten ondertekenen door alle ICT medewerkers

 

Nodig is het niet per sé, maar je kunt wel een gedragscode op (laten) stellen die onderdeel gaat vormen van de arbeidsovereenkomst. Doel van de gedragscode is dan niet handhaving en persoonlijk aansprakelijk kunnen stellen, maar verduidelijking van gewenst en ongewenst gedrag.  Zie als voorbeeld de vele integriteits- en gedragscodes van overheden en onderwijsinstellingen.

 

7 uur geleden, Testgebruiker33 zei:

of is de standaard geheimhoudingsplicht die je bij de meeste werkgevers in je overeenkomst hebt staan voldoende?

 

Dat, de wet (bij schenden geheimhouding  o.a. artikel 272 WvS) , jurisprudentie en "hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt".  

Link naar reactie
  • 0
Testgebruiker33

Testgebruiker33

Geplaatst:
  • Auteur

Testgebruiker33

17 hours ago, Norbert Bakker said:

 

Ah, dat verduidelijkt een hoop. En voor een potplantenkwekerij allemaal prima geregeld dus. 

 

Om je oorspronkelijke vraag te beantwoorden: 

 

 

Nodig is het niet per sé, maar je kunt wel een gedragscode op (laten) stellen die onderdeel gaat vormen van de arbeidsovereenkomst. Doel van de gedragscode is dan niet handhaving en persoonlijk aansprakelijk kunnen stellen, maar verduidelijking van gewenst en ongewenst gedrag.  Zie als voorbeeld de vele integriteits- en gedragscodes van overheden en onderwijsinstellingen.

 

 

Dat, de wet (bij schenden geheimhouding  o.a. artikel 272 WvS) , jurisprudentie en "hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt".  

 

Hartelijk dank voor de informatie, nu heb ik iets meer kennis hierover wat ik mee kan nemen in het overleg.

 

4 hours ago, Branko Collin said:

Hier een bespreking elders van dit onderwerp: https://blog.iusmentis.com/2018/06/27/mijn-werkgever-wil-me-een-contract-met-boete-over-de-avg-laten-tekenen-is-dat-normaal/

 

Ook hartelijk dank! Dit is een goed voorbeeld van een werkgever die dit voorbeeld dus wel heeft gemaakt, de boetes/gevolgen bij overtreding zijn inderdaad ook nog een discussiepunt. 

Link naar reactie
  • 0
Maxn

Maxn

Geplaatst:

Maxn

22 uur geleden, Testgebruiker33 zei:

een Systeembeheerder kan zelf niet direct bij de gegevens van een medewerker. Echter heeft een systeembeheerder wel toegang tot een 'hoofdgebruiker' genaamd een Administrator account die dat met grote omwegen eventueel wel zou kunnen.

 

Ook administrator hoeft in principe niet bij de bestanden van gebruikers zelf te kunnen.

Je kan deze versleutelen (bijv. met EFS, waarbij administrator niet de recovery agent is)

Levert alleen gedoe op als de gebruiker zijn wachtwoord vergeten danwel zijn smartcard kwijt is.

En is nog steeds geen oplossing voor bestanden waar groepen van gebruikers bij moeten kunnen.

Link naar reactie
Gast
Dit topic is nu gesloten voor nieuwe reacties.
Ga naar vragenoverzicht
Verberg sidebar

  • Wil je onze Nieuwsflits ontvangen?
    Deze verzenden we elk kwartaal.

    JA
  • higherlevel video

  • Wie is er online?
    19 leden, 288 Gasten

    Bekijk volledige lijst

  • Breng jouw businessplan naar een higher level!

    Op dit forum worden alle onderwerpen m.b.t. ondernemerschap besproken.

    • Stel jouw ondernemersvragen
    • Antwoorden/oplossingen van collega ondernemers
    • > 75.000 geregistreerde leden
    • > 100.000 bezoekers per maand
    • 24/7 bereikbaar / binnen < 6 uur antwoord
    •  Altijd gratis

  • Ook interessant:

    Ondernemersplein

    Ook interessant:

×
×
  • Nieuwe aanmaken...

Cookies op HigherLevel.nl

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.

  Oké