Gedragscode gebruik ICT-voorzieningen

2.1. Inleiding

De gemeente West Maas en Waal heeft één algemeen e-mailadres: info@westmaasenwaal.nl.
Alle aan het algemene e-mailadres gerichte e-mail wordt behandeld als ingekomen post. 
Daarnaast heb je de beschikking over een internet browser en een persoonlijk e-mail adres. Je kunt rechtstreeks vanaf de werkplek e-mailen. Daarbij is het belangrijk dat je de daarvoor in aanmerking komende berichten registreert in ons zaaksysteem, Decos JOIN.

2.2. Juridische status

Een aanvraag die per e-mail wordt gezonden aan de gemeente hoeft, juridisch gezien, niet in behandeling te worden genomen. Besluiten van bestuursorganen moeten schriftelijk worden vastgelegd en bekend gemaakt aan geadresseerde en aan belanghebbenden.  
Op digitaal ingediende aanvragen wordt bij voorkeur wel een besluit genomen. 
Een uitzondering geldt voor verzoeken in het kader van de Wet Openbaarheid van Bestuur. Alleen schriftelijke verzoeken in het kader van de Wet Openbaarheid van Bestuur worden in behandeling genomen. Een aanvrager heeft geen rechtsmiddelen als een digitale aanvraag niet in behandeling wordt genomen. 
 
2.3. Afhandeling

Elke werkdag checkt een medewerker van Klantcontactcentrum of Informatievoorziening of er e mail is binnengekomen op het algemene e-mailadres: info@westmaasenwaal.nl. 
Ontvangen e-mailberichten worden, voor wat betreft ontvangstbevestiging en registratie, hetzelfde behandeld als brieven en faxen. De betreffende medewerker leest de e-mail die naar het algemene 
e-mailadres is gezonden en  beslist vervolgens of de e-mail:

• wordt geregistreerd en in behandeling genomen,
• direct wordt doorgezonden naar de betrokken medewerker of
• wordt verwijderd.

Het kan voorkomen dat je een e-mail ontvangt, die op grond van enig wettelijk voorschrift van een handtekening moet zijn voorzien. In die situatie ben je als behandelend medewerker ervoor verantwoordelijk dat de afzender zo spoedig mogelijk wordt verzocht het document schriftelijk in te dienen. 

Voor e-mail maken we, net als voor fysieke post, onderscheid tussen formele en informele post. Formele e-mails registreer je in ons zaaksysteem Decos JOIN.

Formele post:

• Berichten waarvan de inhoud juridische, bestuurlijke, financiële of andere gevolgen heeft voor de afzender en/of geadresseerde gemeentelijke afdeling;
• Berichten waarvan de inhoud een bewijs- of verantwoordingsfunctie heeft of kan krijgen of op andere wijze voor langere tijd van belang kan blijven voor de organisatie;
• Berichten waarvan de inhoud van belang is voor een juiste interpretatie van andere gegevens;
• Berichten waarvan een bewijs van bestaan of datum van ontvangst moet worden vastgelegd.

Informele post:

• Berichten waarbij de afzender of geadresseerde aan de inhoud geen rechten of plichten kan ontlenen;
• Berichten met een zeer kortstondige betekenis: na kennisname van de inhoud vervalt het belang.

Als je twijfelt aan de status van een bericht, kun je hierover overleggen met de informatiebeheerder. 

2.4. Archivering

E-mailberichten zijn archiefbescheiden in de zin van de "Archiefwet 1995". Deze wet is voor jou van toepassing als het om archivering en openbaarheid gaat. 
Relevante e-mails (e-mails, die ‘archiefwaardig’ zijn) bewaar je digitaal in het zaaksysteem, Decos JOIN. Zodra de zaak is afgerond, wordt de zaak door Informatievoorziening, inclusief de 
e-mailberichten, gearchiveerd. Je hoeft de e-mail zelf niet meer te bewaren. De archiefwet is leidend in het bepalen van bewaartermijn van de zaak en dus automatisch ook van de betreffende e-mail. 

2.5. Gebruik e-mail 

Als houder van een persoonlijk e-mailadres controleer je elke werkdag jouw e-mail. Bij afwezigheid zorg je voor een geautomatiseerde beantwoording. 
Besluiten van bestuursorganen moeten schriftelijk worden vastgelegd en bekend gemaakt aan geadresseerde en aan belanghebbenden. Deze kunnen dus niet alleen per e-mail worden verzonden.  
Mededelingen die je ook telefonisch zou mogen geven, kunnen uiteraard wel per e mail worden gedaan. Voor uitgaande e-mail gebruiken we een standaard e-mailondertekening. De standaard e-mailondertekening bevat een verwijzing naar de vrijwaring met betrekking tot e-mailverkeer. 

2.6. Verantwoordelijkheid

De leidinggevenden zijn verantwoordelijk voor zowel de inhoud van de documenten als de processen die daarmee samenhangen. Dit geldt voor de fysieke en ook voor de digitale post. Omdat een leidinggevende niet alles kan controleren, heb je zelf de verantwoordelijkheid om je aan de afspraken te houden.

2.7. Notatie e-mailadres

Een persoonlijk e-mailadres van de gemeente West Maas en Waal is als volgt samengesteld:

• de eerste voorletter van je roepnaam gevolgd door je achternaam, bijv.parissen@westmaasenwaal.nl of,
• roepnaam, gevolgd door de achternaam, bijv. perryarissen@westmaasenwaal.nl

Voor de tweede optie wordt gekozen als er meerdere medewerkers met dezelfde voorletter en achternaam binnen de gemeente werkzaam zijn.

3.1. Inleiding

Ook op de werkvloer heb je recht op privacy. Privé contacten zijn toegestaan, behalve als dat concrete nadelige gevolgen heeft voor het werk. Wat betekent dat nu voor bijvoorbeeld e-mail en internetgebruik tijdens werktijd?
Een werkgever mag voorwaarden stellen aan het gebruik van e-mail en internet op het werk en/of bepaalde soorten van gebruik verbieden. Vervolgens mag een werkgever hier controle op uitoefenen. Maar de werkgever moet bij controle op het gebruik van e-mail en internet voldoen aan de regels van de Wet Bescherming Persoonsgegevens (Wbp). Controle kan nodig zijn. Voor bijvoorbeeld het beschermen van bedrijfsgeheimen, systeembeveiliging of het achterhalen van fraude. De controle gaat niet verder dan nodig voor het betreffende doel. Het belang van de controle moet zwaarder wegen dan jouw belangen op het gebied van privacy bescherming. En de inbreuk die wordt gemaakt op jouw privacy is niet onevenredig in verhouding tot het doel van de controle. Ook zijn er geen andere - minder belastende - manieren om dit doel te bereiken. 
Via deze gedragscode ben je geïnformeerd over het e-mail en internetbeleid, zodat je weet wat wel en niet mag, dat er controles kunnen plaatsvinden en welke sancties er staan op overtreding van de regels. De ondernemingsraad heeft ingestemd met deze gedragscode.

3.2. Algemene uitgangspunten

In deze gedragscode zijn de afspraken vastgelegd over de wijze waarop de gemeente West Maas en Waal omgaat met het registreren, verzamelen en monitoren van tot één persoon herleidbare data met betrekking tot e-mail- en internetgebruik. Doel is om een goed evenwicht te vinden tussen een verantwoord gebruik van internet en e-mail. De belangen van de organisatie en de medewerkers staan centraal. Tegelijkertijd blijft de privacy van de medewerkers op de werkplek maximaal beschermd.

1. Gegevens met betrekking tot internet- en e-mailgebruik, die tot één persoon herleidbaar zijn, worden niet geregistreerd, verzameld, gecontroleerd, gecombineerd dan wel bewerkt, anders dan in deze gedragscode is beschreven.
2. Persoonlijke gegevens worden alleen gebruikt voor het doel waarvoor ze verzameld zijn.
3. Het registreren van gegevens die tot één persoon herleidbaar zijn, wordt tot het minimum beperkt. De privacy van medewerkers op de werkplek wordt maximaal beschermd.

3.3 E-mailgebruik

1. Het is toegestaan het e-mailsysteem voor niet-zakelijke berichten te gebruiken. Bijvoorbeeld voor het ontvangen en versturen van persoonlijke e-mailberichten. Dit mag echter niet storend zijn voor de goede voortgang en kwantiteit van de dagelijkse werkzaamheden. De beoordeling hiervan ligt bij de directe leidinggevende.
2. De mogelijkheid om persoonlijke e-mailberichten te ontvangen en versturen is gebonden aan de volgende voorwaarden:
   1. Verzonden e-mail bevat een verwijzing naar de vrijwaring van de gemeente West Maas en Waal, die gepubliceerd is op de gemeentelijke website. 
   2. Bepaalde soorten gebruik van e-mail zijn niet toegestaan, namelijk: gokken, versturen van kettingbrieven, bekijken of verspreiden van pornografisch materiaal, discriminerende of seksueel intimiderende uitingen of downloaden of versturen van illegale software. 
   3. Op geen enkele wijze mogen de belangen van de gemeente West Maas en Waal geschonden worden.
   4. Als een e-mailbericht vragen met betrekking tot de hiervoor genoemde onderwerpen kan oproepen, neem je contact op met je leidinggevende.
3. De inhoud van persoonlijke of zakelijke e-mailberichten wordt niet gelezen. Behalve als er sprake is van een zwaarwichtige reden, zoals onder 4 is aangegeven. Ook worden geen individuele gegevens over het aantal mails, de mailadressen en andere data hierover geregistreerd en/of gecontroleerd.
4. Incidenteel kunnen controles plaatsvinden als er sprake is van een zwaarwichtige reden. Bijvoorbeeld als er aanwijzingen zijn dat de regels onder 1 en 2 zijn overtreden. Van zo’n controle wordt achteraf, maar wel zo spoedig mogelijk, melding gemaakt aan de ondernemingsraad.

3.4. Internetgebruik

1. Het internetsysteem mag incidenteel voor niet-zakelijke doelen gebruikt worden, mits de regels onder 2 worden nageleefd. Dit mag niet storend zijn voor de goede voortgang en kwantiteit van de dagelijkse werkzaamheden. De beoordeling hiervan ligt bij de directe leidinggevende. 
2. Het is niet toegestaan bewust sites te bezoeken of te verspreiden die pornografisch of discriminerend getint zijn dan wel een criminele achtergrond of intentie hebben (kraken, hacken en dergelijke).
3. Tenzij er sprake is van een zwaarwichtige reden, zoals onder 4 is aangegeven, worden geen tot individuele personen te herleiden gegevens over internetbezoeken geregistreerd en/of gecontroleerd. Het is wel mogelijk dat er een anoniem overzicht gegenereerd wordt van door medewerkers bezochte sites en de frequentie daarvan.
4. Controles op internetgebruik kunnen plaatsvinden als het anonieme overzicht, dat onder 3 is genoemd, daartoe aanleiding geeft. Jouw internetgebruik kan, zonder mededeling vooraf, gecontroleerd worden, als daarvoor een zwaarwichtige reden bestaat. Van een dergelijke controle wordt achteraf, maar wel zo spoedig mogelijk, gemeld aan de ondernemingsraad.

3.5. Sancties

Als geconstateerd wordt dat je de regels overtreedt, word je hierop aangesproken door je leidinggevende. Bij ernstige overtreding c.q. herhaling kunnen Burgemeester en Wethouders (en in bepaalde gevallen de raad) sancties opleggen. Dit kunnen zijn:

• organisatorische maatregelen (bijvoorbeeld het, al dan niet tijdelijk, ontnemen van de mogelijkheid om bepaalde ICT-voorzieningen te gebruiken);
• disciplinaire maatregelen zoals vastgelegd in de artikelen 8:13 en 16:1:2 van de CAR/UWO. 

Een combinatie van organisatorische en disciplinaire maatregelen is ook mogelijk.

3.6. Rechten van de medewerker

Als medewerker heb je de volgende rechten ten aanzien van de registratie van e-mail en internetgebruik. 

1. Inzagerecht: Je hebt het recht de over jou geregistreerde gegevens met betrekking tot e-mail- en internetgebruik in te zien. Een verzoek om inzage richt je schriftelijk aan je leidinggevende en wordt binnen 4 weken ingewilligd.
2. Kopierecht: Je hebt het recht om een kopie te ontvangen van de over jou geregistreerde data. Een verzoek om een kopie richt je schriftelijk aan je direct leidinggevende en wordt binnen 4 weken ingewilligd. 
3. Correctierecht: Je hebt het recht om feitelijk onjuiste gegevens uit de registreerde data te (laten) verbeteren of aan te vullen. Over verzoeken van correctie of aanvulling wordt binnen 4 weken beslist. Als een verzoek tot correctie of aanvulling wordt ingewilligd, wordt de correctie direct uitgevoerd.
4. Verwijderingsrecht: Je hebt het recht om de over jou geregistreerde data, die niet (langer) ter zake doen, of in strijd zijn met deze gedragscode of een wettelijk voorschrift te laten verwijderen en te vernietigen. Over een verzoek om verwijdering en vernietiging wordt binnen 4 weken beslist. Als het verzoek wordt ingewilligd, vindt de verwijdering en vernietiging direct plaats.

Om de beschikbaarheid van het systeem en de veiligheid van gegevens te waarborgen, voert cluster I&A de volgende activiteiten centraal uit:

• Anti- virus programma
  Voor een optimale beveiliging tegen virussen is een anti- virus programma geïnstalleerd. Dit programma wordt regelmatig bijgewerkt.
• Installatie van patches 
  Leveranciers van systeem- en applicatiesoftware brengen geregeld patches uit om fouten in hun producten te verbeteren. Voor zover het Windows updates betreft, wordt de installatie centraal geregeld.
• Firewall
  Een firewall zorgt ervoor dat het systeem wordt afgesloten voor misbruik van buitenaf. 
• Backup
  Van alle bestanden die worden opgehaald en/of opgeslagen op het netwerk maakt I&A dagelijks een back-up. 

Je bent zelf verantwoordelijk voor een veilig gebruik van de systemen en de veiligheid en vertrouwelijkheid van gegevens buiten het netwerk van de gemeente. Het uitwisselen van gegevens en programmatuur beperk je tot het voor het werk noodzakelijke. Hierbij zijn de volgende regels van toepassing:

• E-mail met bijlagen
  Ondanks het anti- virus programma moet je alert zijn bij het openen van bijlagen bij een e-mail. Let erop dat de e-mail van een bekende afzender is, of je een e-mail met bijlage van de afzender verwachtte, of dat de inhoud van het onderwerp overeenkomt met de naam van de bijlage.
• Berichten met een valse afzender
  Het is mogelijk e-mail te versturen onder naam en e-mail adres van iemand anders. Je moet altijd  voorzichtig zijn met het geven van vertrouwelijke informatie via e-mail. Wachtwoorden verstrek je nooit per e-mail.
• Valse inlogpagina´s
  Bij verschillende internetdiensten is het nodig om een gebruikersnaam en wachtwoord in te voeren. Het kan voorkomen dat een internetsite nagebouwd is. Daar word je dan naartoe geleid  met de bedoeling daar het wachtwoord te lezen. Als je met een dergelijke situatie te maken krijgt, wijzig je direct het wachtwoord en meld je het incident bij de Chief Information Security Officer (CISO), die deel uitmaakt van team Informatievoorziening.
• Downloaden van bestanden
  Wees altijd voorzichtig met het van internet halen van bestanden en ga eerst na of het uitvoerbare programma’s zijn voor de systemen van de gemeente.
• Hard- en software
  Installeren, toevoegen, wijzigen, verplaatsen of verwijderen van soft- en hardware (apparaten en programma´s) is alleen toegestaan in overleg met cluster I&A. Onderhoud en reparatie van apparatuur is een taak van I&A. In geval van storingen of bij vragen over de werking neem je contact op met de servicedesk van I&A. Storingen verhelpen en aanpassingen aan applicaties uitvoeren is een taak voor de applicatiebeheerder van de betreffende software. Je meldt storingen aan applicaties of wensen voor aanpassingen bij de applicatiebeheerder. Als er geen applicatiebeheerder is aangewezen dan kun je hiervoor terecht bij I&A.
• Werkplek
  Je gebruikt en beheert jouw werkplek zorgvuldig en je zorgt ervoor dat vertrouwelijke of gevoelige informatie niet onbeheerd achter wordt gelaten. Je vergrendelt je PC als je je werkplek verlaat. 
• Verantwoord gebruik van wachtwoorden
  Je bent ervoor verantwoordelijk dat jouw wachtwoorden persoonlijk blijven. Wachtwoorden worden niet gedeeld, ook niet met collega´s! Als derden vragen om het wachtwoord, dan wordt dat  aangemerkt als een veiligheidsincident. Dit meld je aan de Chief Information Security Officer (CISO) van de gemeente.
  Om de 60 dagen moet het wachtwoord om in te loggen op het netwerk van de gemeente West Maas en Waal gewijzigd moet worden. Dit is centraal ingesteld en je krijgt hiervan een melding. Ook de criteria waaraan dat wachtwoord moet voldoen, zijn centraal ingesteld. 
  Als je misbruik van het wachtwoord constateert, wijzig je het wachtwoord en meld je dit direct bij de CISO.

De volgende regels zijn van toepassing voor verantwoord gebruik van wachtwoorden voor het netwerk en de diverse applicaties:

• Je gebruikt verschillende wachtwoorden voor verschillende systemen/doelen/applicaties.  
• Je schrijft wachtwoorden niet op. 
• Je geeft wachtwoorden niet per e-mail, chat of andere digitale communicatie door. Als dat toch noodzakelijk is, dan gescheiden (via een andere weg) van de gebruikersnaam.
• Je gebruikt een sterk wachtwoord. Controlevragen met betrekking tot. het wachtwoord zijn niet gemakkelijk te raden.
• Je maakt geen gebruik van de ‘wachtwoord onthoud’ functie van sommige webbrowsers.
• Je maakt geen gebruik van de functie om ingelogd te blijven.
• Je gebruikt wachtwoorden niet in automatische inlogprocedures (bijvoorbeeld opgeslagen onder een functietoets of in een macro).