U bent hier: Home / ICT-gedragslijn voor personeel

ICT-gedragslijn voor personeel

Doelgroep: personeelsleden KU Leuven

1. Doel en toepassingsgebied

KU Leuven stelt heel wat ICT-middelen ter beschikking voor educatieve, wetenschappelijke, administratieve en communicatieve doeleinden. Het gebruik ervan wordt sterk aangemoedigd voor het verbeteren van de kwaliteit van de kernactiviteiten van de universiteit: onderwijs, onderzoek en maatschappelijke dienstverlening.

KU Leuven heeft wettelijke en morele verplichtingen om beveiligingsmaatregelen te nemen met betrekking tot de ICT-middelen en de informatie die via deze ICT-middelen verloopt. Het doel van dit document is in dit kader een Gedragslijn vast te leggen voor het gebruik van ICT-middelen en voor de te volgen procedures bij inbreuken daarop.

De hierna vastgelegde Gedragslijn voor personeelsleden is van toepassing op alle ICT-middelen, IT-infrastructuur, elektronische communicatiemiddelen (o.m. telefoon, Unified Communications-toepassingen (o.a. IP-telefonie, videoconferencing, IRC,…), GSM, PDA, tablets, fax, pc, laptops, semafoon, modems, e-mail, messaging/chat, blogs, fora, interne memosystemen, netwerkprogrammatuur, interne en externe netwerken, Internet, LAN, toets- en leerplatformen, administratieve systemen, informatiesystemen, …) en op alle gegevens die door die systemen worden verzonden of erin worden opgeslagen. De Gedragslijn geldt evenzeer voor ICT-middelen, al dan niet eigendom van de KU Leuven, die men in relatie met de KU Leuven gebruikt (bijvoorbeeld e-mailadres KU Leuven) of in combinatie met de ICT-middelen van de KU Leuven (bijvoorbeeld toegang tot KULeuvenNet, …).

De Gedragslijn is van toepassing op alle categorieën van personeelsleden en alle andere gebruikers van ICT-middelen van de KU Leuven. Personeelsleden die voor de uitoefening van de professionele werkzaamheden aan de KU Leuven geen ICT-middel voor handen hebben, hebben het recht hun KU Leuven e-mailadres en het KU Leuven Intranet op regelmatige basis te raadplegen. Hiervoor worden tussen deze personeelsleden en hun direct leidinggevende afspraken gemaakt waar en wanneer deze raadplegingen kunnen plaats vinden op de werkplaats.

De Gedragslijn is goedgekeurd door het Gebu op 04/06/2013 en door de Academische Raad op 25/06/2013 en is van toepassing vanaf 04 juli 2013. Deze Gedragslijn werd eveneens voorgelegd aan het Comité Algemeen Beheer.

Academische vrijheid kan niet ingeroepen worden als argument om de gedragsregels te omzeilen. Bij het opstellen van de gedragsregels werd rekening gehouden met dit verworven recht. De ICT-gedragslijncommissie waakt over de strikte naleving van de hierna vastgelegde deontologische regels.

Top

2. Regels voor het gebruik

De in deze Gedragslijn vastgelegde regels moeten een waardig en gedisciplineerd gebruik van de ICT-middelen waarborgen.

Deze regels gelden als basisnormen. Decentraal opgestelde dienstvoorschriften over het gebruik van de ICT-middelen dienen er mee in overeenstemming te zijn.

Het personeelslid moet er zich steeds van bewust zijn dat KU Leuven het netwerkgedrag van alle ICT-middelen logt en dat KU Leuven steeds kan controleren op basis van die logs op de goede werking van de netwerken. De controles gebeuren steeds binnen het huidige wettelijke kader.

Als één of meerdere punten, die hieronder als ongeoorloofd gebruik worden betiteld, onderwerp uitmaken van wetenschappelijk onderzoek en daarom een afwijking van deze Gedragslijn gewenst wordt, moet een aanvraag bij de ICT-gedragslijncommissie (e-mailadres: netdeon@kuleuven.be) ingediend worden waarbij de aanvraag geanalyseerd wordt en tijdelijke uitzonderingen op delen van deze Gedragslijn kunnen toegelaten worden waarbij deze uitzonderingen op geregelde tijdsstippen geherëvalueerd moeten worden.

A. Ongeoorloofd gebruik

KU Leuven laat het gebruik van de ICT-middelen niet toe: (deze lijst is niet uitputtend)

  1. om informatie te verspreiden of op te slaan die:
    1. het imago, de morele of economische belangen van KU Leuven kan schaden;
    2. beledigend, lasterlijk, aanstootgevend of discriminerend is;
    3. schade kan toebrengen aan derden;
    4. strijdig is met de openbare orde of goede zeden;
  2. om informatie die als vertrouwelijk betiteld wordt of die wegens de aard ervan redelijkerwijze als vertrouwelijk moet worden beschouwd (zoals bv. het Intranet, bedrijfsgeheimen, persoonlijke gegevens, gegevens over collega’s en studenten, geolocaties,…) door te geven aan personen die niet gerechtigd zijn om deze informatie te ontvangen, te verspreiden of  te publiceren;
  3. om vertrouwelijke informatie onbeschermd te bewaren zowel elektronisch als op papier;
  4. om bedrijfsdata, voor andere doeleinden dan werkgerelateerde toepassingen, geheel of gedeeltelijk te kopiëren naar locaties buiten het KU Leuven netwerk zonder voorafgaandelijke schriftelijke toestemming van KU Leuven; Bij werkgerelateerde toepassingen moet alle data teruggegeven worden aan KU Leuven bij het beëindigen van de opdracht of bij het beëindigen van de medewerking van het personeelslid aan de opdracht waaraan de data gerelateerd is;
  5. om persoonlijk verkregen gebruiksrechten en licenties van KU Leuven door te geven aan derden;
  6. om onwettige handelingen te stellen door bijvoorbeeld:
    1. informatie te verspreiden of op te slaan in strijd met de geldende wetgeving (zoals bv. de wetgeving op de bescherming van de persoonlijke levenssfeer bij de verwerking van persoonsgegevens, het auteursrecht of in het domein van de elektronische communicatie);
    2. programmatuur te installeren of te gebruiken waarvoor de bevoegde autoriteit geen toestemming heeft verleend of waarvoor er geen afdoende licentie is;
    3. de wetgeving over het auteursrecht en andere intellectuele rechten te schenden (zoals bv. programmatuur te kopiëren tenzij dit door de licentie van de leverancier of door de wet is toegestaan);
    4. een valse identiteit aan te nemen op het netwerk;
  7. om, buiten de gevallen van de normale bedrijfscommunicatie, massaal ongewenste of ongevraagde elektronische post (zoals o.a. spamming, phishing,…) of kettingbrieven (zoals o.a. hoaxen,…) te verspreiden;
  8. om via ongeoorloofde manieren (zoals o.a. phishing, sniffing,…) gebruikersgegevens en wachtwoorden van derden te verkrijgen;
  9. om acties te ondernemen die de beveiliging van systemen of informatie in het gedrang kunnen brengen zoals bijvoorbeeld:
    1. interne en externe systeem- en netwerkbeveiliging (zoals bv. de beveiliging van een computer, netwerk, gebruikersnummer,…) te omzeilen, zodat o.a. in die systemen kan worden binnengedrongen om de bedrijfszekerheid te ondermijnen of schade toe te brengen;
    2. schadelijke programmatuur (zoals o.a. trojaanse paarden, virussen, wormen,...) op de systemen van KU Leuven te ontwerpen, willens en wetens te installeren en/of andere gebruikers aan te zetten deze programmatuur te gebruiken;
    3. willens en wetens ongeëigende en ongeoorloofde toegang te forceren tot systemen waartoe men niet gerechtigd is;
    4. het netwerk af te luisteren;
  10. om andere gebruikers willens en wetens te storen bij het uitoefenen van hun activiteiten of pogingen te ondernemen om eender welke dienst, netwerk of computer te verstoren (zoals o.a. een netwerk of computer overbelasten, pogingen om een systeem te doen falen,…);
  11. om systeeminformatie, systeemconfiguratie, toepassingsprogramma’s of bestanden te wijzigen, te verwijderen of door te geven aan derden, indien men daarvoor uit hoofde van zijn functie niet toe is gerechtigd;
  12. om ICT-apparatuur die geen eigendom is van KU Leuven en die niet voldoet aan de beveiligingsregels in dit document, aan te koppelen zonder schriftelijke of stilzwijgende toestemming van de systeem- of netwerkbeheerder.
  13. om intern ontwikkelde programmatuur, die deel uitmaakt van het patrimonium van KU Leuven en die binnen het kader van de beroeps- of opleidingsactiviteit werd ontwikkeld, te commercialiseren voor persoonlijke doeleinden of handelingen te stellen die het verder gebruik of de exploitatie van de programmatuur kunnen hinderen tenzij het programmatuur betreft die specifiek ontwikkeld werd om onbeperkt verspreid te worden (zoals bv. programmatuur met een open broncode licentie); met externe medewerkers die in het kader van hun werkzaamheden binnen KU Leuven programmatuur ontwikkelen, moeten steeds contractuele afspraken worden gemaakt;
  14. voor persoonlijk gebruik buiten de gevallen die onder punt C van deze Gedragslijn zijn toegestaan.

Top

B. Verantwoordelijkheden van de gebruiker

De gebruiker heeft, voor zover van toepassing, een aantal verantwoordelijkheden en plichten op het vlak van:

  1. het gebruik van de ICT-middelen:
    1. in goede toestand bewaren van de ICT-middelen die ter beschikking gesteld werden;
    2. niet onbeheerd achterlaten van de ter beschikking gestelde ICT-middelen en het nemen van voldoende veiligheidsmaatregelen om diefstal ervan te verhinderen. Bij diefstal moet de ICT-dienst van de medewerker zo snel mogelijk gecontacteerd worden. De medewerker moet ook zo snel mogelijk de KU Leuven wachtwoorden wijzigen;
    3. nemen van voldoende veiligheidsmaatregelen die de mogelijkheid tot het inbreken op de systemen van KU Leuven en diefstal van informatie zo klein mogelijk maakt:
      zoals o.a. (de lijst is niet uitputtend):
      1. nooit meedelen van een gebruikersnaam en wachtwoord aan derden (zoals b.v. collega’s, ICTS Servicepunt, jobstudenten, stagiairs, consulenten, externen, via e-mail, op onbekende websites en locaties, …) aangezien  iedere gebruiker verantwoordelijk en aansprakelijk is voor alles wat onder zijn/haar loginnaam en wachtwoord gebeurt;
      2. het afsluiten van de werkplek bij het verlaten voor een bepaalde periode wanneer men de laatste aanwezige op de werkplek is;
      3. het activeren van de schermbeveiliging van de PC/werkstation en andere ICT-middelen;
      4. het beveiligen van alle ICT-middelen die op het netwerk verbonden worden (zoals o.a. laptops, GSMs, smartphones, tablets, USB-sticks,…) en alle vertrouwelijke en bedrijfsgevoelige informatie die op deze ICT-middelen bewaard worden (door bv. een opstartwachtwoord, een pincode, een schermbeveiliging, een firewall, data-encryptie…te voorzien);
      5. inloggen vanop externe locaties op het KU Leuven netwerk via beveiligde protocollen (bv. VPN,…);
    4. het juist registreren en maximaal opslaan van bestanden (zoals o.a. documenten, facturen, contracten, e-mails,…) op gedeelde locaties (bv.team-sharepointsites, gemeenschappelijke netwerkschijven,…) mbt de werkzaamheden binnen KU Leuven om de toegankelijkheid tot de documenten bij andere interne personen, die als backup fungeren, steeds te verzekeren opdat de continuiteit van de dienstverlening ten allen tijde gegarandeerd blijft;
    5. enkel installeren en gebruiken van programmatuur op het ICT-middel waarvoor de nodige licenties of gebruiksafspraken aanwezig zijn. Het individueel personeelslid is verantwoordelijk dat er door het personeelslid geen programmatuur op het ICT-middel geïnstalleerd wordt waarbij de nodige licenties of gebruiksafspraken niet aanwezig zijn of kunnen voorgelegd worden.
  2. de veiligheid van de gegevens die bewaard worden op de systemen:
    1. verifiëren of de gegevens vrij zijn van virussen en andere kwaadaardige programmatuur die de bedrijfszekerheid van de systemen in het gedrang kunnen brengen;
      1. het is verboden om de geïnstalleerde virusscanner uit te schakelen tenzij in zeer uitzonderlijke gevallen na uitdrukkelijke toestemming van de systeem- of netwerkbeheerder;
      2. geconfronteerd met een virus, een verdachte e-mail of een verdacht document, moet onmiddellijk gestopt worden met werken op het ICT-middel en moeten ze verwijderd worden; er moet steeds contact opgenomen worden met de systeem- of netwerkbeheerder;
      3. programmatuur en gegevens verkregen via een extern netwerk, via webtoepassingen (zoals o.a. webmail, webhosting,…), via externe ICT-middelen (zoals o.a. smartphones, tablets, laptops,…) of via draagbare media (zoals o.a. diskettes, ZIP-disks, CD-ROM’s, DVD’s, USB-sticks,...) moeten gecontroleerd worden op virussen en andere kwaadaardige programmatuur;
      4. bij de installatie van programmatuur moet steeds met de grootste voorzichtigheid te werk gegaan worden;
      5. programmatuur van twijfelachtige oorsprong mag nooit geïnstalleerd worden;
    2. melden van incidenten, eventuele lacunes in de beveiliging van het computersysteem of van methodes die de beveiliging van de gegevens in het gedrang brengen, bij de ICT-verantwoordelijke of het ICTS Servicepunt; derden mogen hiervan niet op de hoogte worden gebracht; het uitbuiten van deze zwakheden wordt beschouwd als (poging tot) inbraak;
    3. op regelmatige tijdstippen lezen van zijn/haar werk-e-mailadressen en het opruimen en eventueel archiveren van zijn/haar postbus; systeem- of netwerkbeheerders kunnen ingrijpen op de omvang van de mailbox en e-mails weglaten als de beschikbare individuele capaciteit overschreden wordt;
    4. naleven van bestaande regels voor het maken van een reservekopie binnen de organisatorische eenheid; indien gegevens op lokale harde schijven geplaatst worden (zoals bv. laptops, externe harde schijven,…), moet gezorgd worden voor de noodzakelijke reservekopie;
  3. het voorzichtig omgaan met het doorgeven van persoonsgegevens zoals het e-mailadres, GSM-nummers, adressen,…;
  4. het voorzichtig omgaan met bestanden (o.a. bijlagen) van onbekende oorsprong en het nooit openen er van wanneer men niet zeker is van de inhoud of de geadresseerde;
  5. het voorzichtig omgaan met het inloggen op het KU Leuven netwerk van op andere, externe, (publieke) locaties (zoals bv. inloggen via cybercafés, inloggen via open/publieke draadloze netwerken,…);
  6. het niet versturen van virussen of virusmeldingen (hoaxen) vanop het KU Leuven netwerk;
  7. het respecteren van de algemene geldende beleefdheidsregels (netiquette).
  8. het juiste gebruik van het juiste ICT-middel voor een bepaald doel indien de werkomstandigheden het toelaten:
    bijvoorbeeld (de lijst is niet uitputtend):
    1. vaste telefoonlijnen of interne Unified Communications-middelen (o.a. IP-telefonie, videoconferencing, Instant Messaging,…)  gebruiken als deze aanwezig zijn i.p.v. GSMs/Smartphones te gebruiken binnen de KU Leuven werkomgeving;
    2. enkel vaste telefoonlijnen naar GSMs/Smartphones doorschakelen als dit noodzakelijk is;
    3. enkel inbellen op conferentienummers vanop GSMs/Smartphones wanneer er geen lokaal nummer aanwezig is om mee in te bellen;
    4. het interne KU Leuven netwerk gebruiken voor KU Leuven werkzaamheden wanneer dit mogelijk is i.p.v. gegevens in de cloud (webhosting) te plaatsen;
    5. het interne KU Leuven netwerk gebruiken als dit mogelijk is i.p.v. dataverbindingen via mobiele netwerken (o.a. 3G-verbindingen,…) te maken;

Bij twijfel moet steeds contact opgenomen worden met de systeem- of netwerkbeheerder (Raadpleeg "Organigram”: administratieve informatie bij de organisatorische eenheid).

De diensthoofden en leidinggevenden kunnen een out-of-office boodschap op de mailbox van de gebruiker laten instellen indien de continuïteit van de dienstverlening dit vereist.

KU Leuven beslist welke ICT-middelen er ondersteund worden en welke niet.

Wanneer noodzakelijk (bv. bij diefstal of verlies…) mag KU Leuven alle of gedeeltelijke toegangen van de ICT-middelen (zoals bv. smartphones, tablets, laptops…) die aangesloten zijn op het KU Leuven netwerk, blokkeren. KU Leuven mag, bij beheerde toestellen of als het toestel bij KU Leuven geregistreerd is, de data en applicaties op de ICT-middelen vanop afstand wissen en indien nodig  de toestellen onbruikbaar maken. Bij externe ICT-middelen die geen eigendom zijn van KU Leuven gebeurt dit in samenspraak met de eigenaar van het ICT-middel.

Wanneer werknemers illegale downloads (zoals o.a. programmatuur, bestanden, muziekbestanden, filmbestanden,…) via de ICT-middelen van KU Leuven installeren, is dit de volledige verantwoordelijkheid van de werknemer zelf, binnen de grenzen van artikel 18 van de wet op de arbeidsovereenkomsten. Hierdoor worden eventuele gerechtelijke onderzoeken en de eventueel bijhorende financiële gevolgen steeds doorgestuurd naar de betrokken werknemer.

Eigen externe ICT-middelen

Eigen externe ICT-middelen die aangesloten worden op het netwerk moeten ook voldoen aan de regels neergeschreven in deze Gedragslijn. Voor niet-gesupporteerde ICT-middelen is de eigenaar/gebruiker verantwoordelijk dat alle noodzakelijke beveiligingsregels geïmplementeerd zijn op het externe ICT-middel.

De KU Leuven kan nooit verantwoordelijk gesteld worden wanneer er zich problemen voor doen met externe ICT-middelen (zoals bv. eigen tablets, smartphones, laptops,…) die niet door de KU Leuven beheerd en ondersteund worden. Het nemen van backups van data op externe ICT-middelen is de verantwoordelijkheid van de eigenaar van het externe ICT-middel. Het gebruik van eigen ICT-middelen is op eigen risico. Hierdoor is en blijft de gebruiker die een eigen extern ICT-middel meeneemt naar de werkplek zelf verantwoordelijk voor de backup en restore, bij het verlies of de diefstal, voor het onderhoud en het beheer van het ICT-middel en de data die zich op het middel bevindt.

Top

C. Toegelaten persoonlijk gebruik van ICT-middelen van KU Leuven

KU Leuven laat binnen redelijke perken het persoonlijke gebruik toe van KU Leuven ICT-middelen.

Onder toegelaten persoonlijk gebruik van ICT-middelen binnen redelijke perken wordt verstaan dat:

  • anderen door dit gebruik niet mogen gestoord worden bij de uitoefening van hun beroepsactiviteiten;
  • er behoudens andere afspraken geen kosten aan verbonden zijn voor KU Leuven;
  • het persoonlijke gebruik van de ICT-middelen geen nadelige invloed heeft op de individuele arbeidsprestaties volgens het overeengekomen arbeidsrooster;

KU Leuven heeft het recht om, wanneer dit om bedrijfsredenen vereist of wanneer dit wettelijk bepaald is:

  1. de voorwaarden voor het ter beschikking stellen van ICT-middelen te herzien en eventueel te beperken;
  2. de gemaakte kosten voor persoonlijk gebruik op de gebruiker te verhalen;
  3. de verloren arbeidstijd aan te rekenen;
  4. op ieder moment zonder voorafgaande waarschuwing de toegang tot bepaalde websites, apps, betaalnummers en (interne en externe) toegangen af te sluiten en (tijdelijk of permanent) te verbieden;

Het is belangrijk dat ook bij het gebruik van ICT-middelen van KU Leuven voor persoonlijk gebruik steeds aandacht gevestigd wordt op het feit dat:

  • er geen confidentiële bedrijfsinformatie of informatie van KU Leuven met copyright mag gebruikt worden;
  • er geen beledigende, lasterlijke of discriminerende taal mag gebruikt worden;
  • er geen wetgeving mag overtreden worden;
  • men kritisch moet zijn welke informatie men openbaar publiceert (bv. het Internet is toegankelijk voor iedereen) of bewaart op externe locaties (bv. webhosting van files in de cloud);

Gebruikers die persoonlijke informatie op ICT-middelen van KU Leuven opslaan en verwerken, moeten er zich bewust van zijn dat een diensthoofd al dan niet in samenwerking met een systeem- of netwerkbeheerder, de bevoegdheid heeft om in uitzonderlijke gevallen kennis te nemen van informatie die verwerkt wordt op ICT-middelen van KU Leuven. Diensthoofden mogen van deze bevoegdheid slechts gebruik maken indien dit voor de opvolging van de universitaire taken en de dienstverlening noodzakelijk is en dienen de ICT-gedragslijncommissie (e-mailadres: netdeon@kuleuven.be) in dat geval op de hoogte te brengen. Tenzij dit onmogelijk is (zoals o.a. bij overlijden,…), verstrekt het diensthoofd ook informatie aan de betrokken gebruiker. In elk geval wordt zoveel mogelijk de persoonlijke levenssfeer van de betrokken gebruiker beschermd.

Het is daarom sterk aan te raden om een privaat e-mailadres te gebruiken voor private doeleinden i.p.v. het KU Leuven e-mailadres. Wanneer er toch private documenten bewaard worden op de ICT-middelen van KU Leuven moet men deze duidelijk laten refereren naar persoonlijk gebruik (zoals o.a. naamgeving van documenten beginnend met ‘privé’ of ‘persoonlijk’, de titel van e-mails beginnend met ‘privé’ of ‘persoonlijk’, een directory met de naam ‘privé’ of ‘persoonlijk’,…).

KU Leuven is niet verantwoordelijk voor eventueel verlies van private data die op de ICT-middelen van KU Leuven worden bewaard.

Additionele richtlijnen voor specifieke toepassingen binnen het persoonlijk gebruik
A. Thuisgebruik KotNet en gebruik Eduroam

KU Leuven biedt aan de personeelsleden de mogelijkheid om in de regio Leuven thuis KotNet te gebruiken en om in binnen- en buitenland, wanneer een externe instelling dit aanbiedt, draadloos te connecteren via het Eduroam-netwerk. Gezien KotNet vaak thuis door meerdere gebruikers wordt gebruikt en de beveiligingsinstellingen van andere instellingen die Eduroam gebruiken niet door de KU Leuven worden gecontroleerd, heeft ieder personeelslid een aparte account (a-nummer), verschillend van de centrale login-account (u-nummer) om in te loggen op KotNet of op Eduroam. Het a-nummer wordt gevormd door de letter u van de gebruikersnaam te vervangen door een a.

  • Het is belangrijk dat er voor de a-nummers steeds een ander wachtwoord wordt gekozen dan voor de u-nummers;
  • Het is aan te raden het wachtwoord van de a-nummers regelmatig te wijzigen;
  • Wanneer er een vermoeden is van misbruik moet het wachtwoord onmiddellijk gewijzigd worden; (http://wachtwoord.kuleuven.be);
B. Telefonie- en Unified Communications-toepassingen

KU Leuven voorziet in vaste telefonie en Unified Communications-toepassingen. Het gebruik van deze telefoontoepassingen is uitsluitend werkgerelateerd. KU Leuven heeft steeds het recht het gebruik en verbruik te controleren binnen het wettelijke kader.

C. Persoonlijke websites, blogs, fora, chat rooms, sociale netwerken

Bij het posten van teksten of berichten op het internet (zoals bv. via websites, fora, chat rooms, sociale netwerken, blogs, twitters,…) moet er beseft worden dat:

  • alle informatie die via deze kanalen worden gepost moet worden aanzien als publieke informatie;
  • eenmaal de informatie online staat deze informatie voor lange tijd zichtbaar blijft en vaak niet meer (volledig) te verwijderen is;
  • de online geposte informatie door iedereen kan gelezen en gekopieerd worden en dat er zo geen controle meer is over de berichten die op het internet geplaatst zijn en wat er verder door derden mee gebeurt;
  • er voorzichtig dient omgesprongen te worden met het vrij geven van (te veel) persoonlijke informatie, aangezien het internet voor de wereld toegankelijk is en deze informatie vaak gebruikt wordt voor social engineering (d.i. een manier om zo veel mogelijk confidentiële informatie te verkrijgen van personen om deze informatie nadien te misbruiken);
  • er via deze kanalen geen confidientiële informatie of informatie onderhevig aan copyright van KU Leuven mag gepost worden zonder uitdrukkelijke toestemming van KU Leuven;
  • er via deze kanalen geen vertrouwelijke informatie over collega’s, klanten of KU Leuven mag vrijgegeven worden zonder uitdrukkelijke toestemming van KU Leuven;

a. Persoonlijke webpagina’s en persoonlijke blogs

Persoonlijke webpagina’s en persoonlijke blogs zijn toegestaan mits er beperkte schijfruimte gebruikt wordt. Hierbij geldt dat:

  • deze informatie conform moet zijn aan de regels uit hoofdstuk 2A en 2C,
  • de aangeboden informatie op deze pagina’s moet beantwoorden aan de vastgelegde criteria voor inhoud en vorm, vastgelegd in het dienstvoorschrift 1999/01 d.d. 26/04/1999 “Persoonlijke pagina’s op internet” en de KU Leuven disclaimer.

Belangrijk hierbij is dat:

  • het curriculum vitae dat in de persoonlijke webpagina's wordt opgenomen een beschrijving kan bevatten van persoonlijke hobby's en niet-professionele activiteiten. Dit mag echter niet uitgroeien tot het aanbieden van websites van verenigingen, organisaties of feitelijke groeperingen die niets met de activiteiten van KU Leuven te maken hebben;
  • de auteur duidelijk vermeld moet staan op elke pagina;
  • de auteur de volle verantwoordelijkheid draagt over de inhoud van de pagina’s;
  • persoonlijke webpagina’s duidelijk verschillend moeten zijn van de officiële huisstijl van KU Leuven;
  • persoonlijke webpagina’s moeten voorzien worden, ofwel fysiek ofwel via een link, van de disclaimer die terug te vinden is op de KU Leuven disclaimer;
  • KU Leuven zich het recht voorbehoudt om webpagina’s offline te halen als deze niet stroken met de Gedragslijn;
  • het gebruik van deze diensten beperkt kan worden indien dit een te grote belasting voor de systemen met zich meebrengt of indien de normale activiteiten te veel gestoord worden;

b. Sociale media en netwerken

Beperk het gebruik van de sociale media en netwerken voor persoonlijke doeleinden tijdens de werkuren zo veel mogelijk en gebruik ze op een correcte wijze. Opvolging van het gebruik kan binnen het wettelijk kader door KU Leuven steeds gebeuren en eventuele beperkingen kunnen opgelegd worden.

  • Gebruik steeds andere loginnamen en wachtwoorden op deze sociale netwerken dan de centrale KU Leuven login (u-nummer) en het wachtwoord van KU Leuven;
  • Respecteer de algemene geldende beleefdheidsregels (netiquette), zeker ook tegen de leidinggevende, de collega’s en de werkgever.

Top

D. Wachtwoorden en loginnamen

Toegang tot de computerinfrastructuur en het netwerk wordt verleend door individuele authenticatie.

De loginnaam moet beschermd worden met een goed gekozen wachtwoord. Voor wachtwoorden gelden de volgende regels:

  1. het wachtwoord moet regelmatig gewijzigd worden en in elk geval onmiddellijk als dit door de systeem- of netwerkbeheerder gevraagd wordt (zoals bv. na vaststelling van een inbraak of wanneer het wachtwoord te zwak is);
  2. kies voor alle toepassingen een complex wachtwoord dat voldoet aan het KU Leuven wachtwoordbeleid,
  3. wanneer er nog maar een licht vermoeden is van misbruik van de loginnaam en het wachtwoord, moet het wachtwoord zo snel mogelijk gewijzigd worden;
  4. niemand mag zijn wachtwoord aan derden (zoals b.v. collega’s, ICTS Servicepunt, jobstudenten, stagiairs, consulenten, externen, via e-mail, op onbekende websites en locaties, …) doorgeven en/of door derden laten gebruiken;
  5. niemand mag de loginnaam van een ander gebruiken;
  6. wachtwoorden van anderen proberen te kraken, te raden of te achterhalen is verboden;
  7. het is niet toegelaten om wachtwoorden in zichtbare (zoals bv. op Post-its, in onbeschermde bestanden,…) vorm op te slaan;
  8. er dient omzichtig omgegaan te worden bij het ingeven van wachtwoorden (bijvoorbeeld niet als iemand toekijkt, …);
  9. er dient voorzichtig omgegaan te worden bij het ingeven van wachtwoorden op niet-gecontroleerde locaties of netwerken (zoals bv. op cybercafés, op andere (open/publieke) draadloze netwerken,…);
  10. gebruik de loginnaam en het wachtwoord van KU Leuven enkel en alleen voor toegang tot het KU Leuven netwerk en KU Leuven toepassingen. Gebruik op het internet en op privé-ICT-middelen andere loginnamen en wachtwoorden dan de loginnaam en het wachtwoord die toegang verschaffen tot het KU Leuven netwerk;

Iedere gebruiker is verantwoordelijk en aansprakelijk voor alles wat onder zijn/haar loginnaam en wachtwoord gebeurt.

Top

E. Toegangsrechten

Toegangsrechten moeten worden verleend volgens de ‘need-to-have’ en ‘need-to-know’-principes. Hierbij krijgt een (interne en externe) gebruiker standaard enkel de toegangsrechten die noodzakelijk zijn voor de functionele rol van de gebruiker binnen de organisatie.

De data-eigenaar moet er op toe zien dat de toegangsrechten correct zijn en beperkt zijn tot het strikt noodzakelijke.

Op regelmatige basis moet er een evaluatie gedaan worden door de data-eigenaar van de personen en de toegangsrechten tot de informatie waarvoor de data-eigenaar verantwoordelijk is.

Wanneer men merkt dat men toegang heeft tot informatie waarvoor men niet gemachtigd zou moeten zijn, moet de werknemer dit onmiddellijk melden bij de verantwoordelijke van de systemen, applicatie of de gegevens en/of de ICT-verantwoordelijke zodat de toegangen gerestricteerd kunnen worden.

Top

F. Externen

De leidinggevende van de dienst waarvoor externen (zoals o.a. consulenten, jobstudenten, stagairs,…) een opdracht uitvoeren, verzekert een correcte naleving van de hier beschreven ICT-Gedragslijn door de externen en volgt de acties van de externen nauwlettend op.

Externen krijgen standaard enkel de toegangsrechten tot de ICT-systemen, ICT-middelen, applicaties en data die strikt noodzakelijk zijn voor de uitoefening van de opdracht.

In principe krijgen de externen geen toegang tot confidentiële informatie van KU Leuven. Wanneer ze dit toch nodig hebben voor de uitoefening van de opdracht, moeten ze een confidentialiteitsverklaring ondertekenen. Hierbij is het belangrijk duidelijke afspraken te maken wat er met de informatie mag gebeuren en wat niet.

De toegangsrechten worden slechts toegekend voor de periode noodzakelijk voor de uitvoering van de opdracht.

Top

3. Omgaan met informatie

De Gedragslijn geldt voor alle informatie ongeacht de vorm waarin deze wordt

  • kenbaar gemaakt (op papier, in elektronische vorm, via mondelinge communicatie, …),
  • opgeslagen (tekst, administratieve systemen, gegevensbanken, websites, toets- en leerplatformen, ...),
  • verspreid (e-mail, directory,website, fax, telefoon, …).

De Gedragslijn gaat ervan uit dat elke gebruiker verantwoordelijk is voor de informatie die hij/zij beheert en voor de informatie die hij/zij opvraagt voor de uitvoering van zijn/haar taken. Het gebruik is beperkt tot wat voor de uitvoering van de professionele opdracht vereist is. Behoudens andere expliciete regels is de toegang tot de toepassingen en de gegevens op de computersystemen van KU Leuven individueel en niet overdraagbaar.

Alle informatie van KU Leuven gerelateerd aan personeel, studenten, onderzoek en administratieve systemen zijn eigendom van KU Leuven en moeten met de grootste voorzichtigheid behandeld worden.

Bepaalde informatie van KU Leuven is vertrouwelijk en moet met speciale aandacht behandeld worden.

Om te bepalen in welke mate informatie vertrouwelijk is, moet men zich eerst afvragen wat, in het algemeen, het potentieel risico is van een ongepaste verspreiding en wat voor KU Leuven in het bijzonder de gevolgen zijn zoals bijvoorbeeld:

  1. het verlies van economische waarde (zoals bv. informatie over de ontwikkeling van nieuwe producten en diensten, onderzoeksgegevens of meer algemene informatie ongeacht de vorm waarin deze is opgeslagen, waarvan de universiteit rechthebbende is);
  2. de aantasting van het imago (zoals bv. de verspreiding van gevoelige informatie die tot negatieve publiciteit leidt);
  3. een inbreuk op de wetgeving (zoals bv. de wetgeving ter bescherming van de intellectuele rechten, in het bijzonder de auteursrechten (bv. niet toegelaten verspreiden van teksten of afbeeldingen van derden,…), de wetgeving tot bescherming van de persoonlijke levenssfeer bij de verwerking van de persoonsgegevens (salaris- en andere betalingsgegevens, gegevens betreffende personeels- en studentenadministratie, medische persoonsgegevens, toetsen/examenopgaven, examenresultaten, e.a. zijn persoonsgegevens in de zin van deze wet), overdracht van informatie afkomstig van derden die onderworpen is aan een akkoord tot niet-verspreiding, illegaal downloaden of kopiëren van programmatuur of bestanden,…);
  4. een inbreuk op de interne reglementen aan KU Leuven (zoals bv. het reglement betreffende intellectuele rechten op onderzoeksresultaten)

Bij twijfel dient informatie als vertrouwelijk aanzien te worden, ongeacht of er al dan niet een vertrouwelijkheidslabel op aangebracht is. Advies kan ingewonnen worden bij de eigenaar van de informatie of bij de Juridische Dienst.

Ongeacht de mogelijke vertrouwelijkheidgraad van de informatie in kwestie moet aan informatie bijkomend ook een bepaald toegankelijkheidsniveau toegekend worden. Niet alle informatie die als niet-vertrouwelijk bestempeld wordt, mag zomaar openbaar of publiek gesteld worden. Daarom laat men best o.a.geen documenten achter op printers of in vergaderlokalen. Ook whiteboards en flipcharts worden na een vergadering best blanco achter gelaten.

In principe mag geen vertrouwelijke informatie buiten KU Leuven bijgehouden worden (zoals bv. op een persoonlijke PC, op ICT-middelen die geen eigendom zijn van KU Leuven, storage in de cloud,…). Het is wel toegestaan voor thuiswerk maar enkel gedurende de tijd dat dit strikt noodzakelijk is en wanneer de omstandigheden dit vereisen. Zodra niet meer voldaan is aan die voorwaarden moet die informatie, naar gelang van het geval, teruggebracht, verwijderd of vernietigd worden.

Speciale aandacht wordt gevraagd voor draagbare media die vertrouwelijke informatie bevatten, zoals informatie opgeslagen als back-up. Deze media moeten steeds veilig opgeborgen worden. Bij vernietiging en eventueel hergebruik ervan, moet erop gelet worden dat ze geen vertrouwelijke informatie meer bevatten. Bij twijfel kan altijd advies ingewonnen worden bij de ICT-verantwoordelijke.

Tenslotte wordt er op gewezen dat alle informatie die via het netwerk verstuurd wordt, in principe gelezen, gewijzigd of hergebruikt kan worden, tenzij specifieke maatregelen getroffen worden. Gebruikers dienen er zich dus van bewust te zijn dat de meest gangbare protocols op het intranet/internet geen ingebouwde technieken bevatten die de vertrouwelijkheid van de berichten waarborgen. Gebruikers die vertrouwelijke gegevens veilig wensen te verspreiden, bijvoorbeeld d.m.v. elektronische post, dienen bijkomende maatregelen te nemen (zoals bv. data-encryptie). Men kan altijd advies inwinnen bij de ICT-verantwoordelijke.

Top

4. Toezicht en controle

A. Principieel recht op controle

Binnen de wettelijke grenzen kan KU Leuven controle uitoefenen op gegevens die een gebruiker opslaat, verstuurt of ontvangt binnen het toepassingsgebied van deze Gedragslijn. De controle zal gebeuren op een wijze die de inmenging in de persoonlijke levenssfeer tot een minimum beperkt.

De controle wordt uitgevoerd door personen die in het kader van hun functie belast zijn met het beheer van systemen, netwerken of onderdelen daarvan (systeem- en netwerkbeheerders). Ze hebben door hun dagelijkse functie de mogelijkheid om toe te zien op het gebruik van (een deel van) de computersystemen en de netwerken van KU Leuven. Door deze autorisatie zijn ze gebonden aan strikte voorwaarden ten aanzien van de bescherming van de persoonlijke levenssfeer van de gebruikers en worden alle acties discreet uitgevoerd.

Systeem- en netwerkbeheerders mogen elke controle uitvoeren die inherent is aan het beheer van informatiesystemen en netwerken, om de goede werking ervan te waarborgen, om overbelasting of veiligheidsproblemen te voorkomen of te verhelpen. Alle medewerkers moeten zich bewust zijn van het bestaan van deze controlemogelijkheid en van het feit dat alle communicatie die zij via het netwerk uitwisselen, hieraan onderworpen kan worden.

Behoudens in het geval van incidenten en onder de voorwaarden die hierna (onder “Procedure bij incidenten”) worden beschreven, mogen systeem- en netwerkbeheerders het gebruik van de elektronische communicatiemiddelen slechts op een globale wijze controleren. Zo mag een globaal overzicht gemaakt worden, eventueel per organisatorische entiteit, van de gedurende een bepaalde periode bezochte websites met de frequentie en het volume van de doorgezonden informatie, doch zonder daarin op enige wijze gegevens over het individueel gebruik op te nemen.

Top

B. Procedure bij incidenten

Een incident is een actie of een feit die de normale werking van het informaticasysteem of het netwerk verstoort.

Voor de toepassing van deze Gedragslijn wordt een onderscheid gemaakt tussen twee soorten incidenten:

  • technische incidenten
  • inbreuken op de gedragsregels

B1: Procedure bij technische incidenten

Bij het uitvoeren van hun beheerstaken worden systeem- en netwerkbeheerders frequent geconfronteerd met technische incidenten. Gebruikers van de systemen of netwerken waarvoor ze verantwoordelijk zijn, kunnen bijvoorbeeld het slachtoffer zijn van computervirussen of andere ongewenste fenomenen. Bij het oplossen van deze incidenten kunnen systeem- en netwerkbeheerders zelfstandig optreden indien het incident enkel het systeem of netwerk betreft waarvoor zij zelf verantwoordelijk zijn en geen invloed heeft daarbuiten. Bij het oplossen van dit incident kunnen zij het netwerkgedrag van gebruikers op individueel niveau opvolgen zolang dit voor de oplossing van het incident noodzakelijk is.

Wanneer het voor de veiligheid en om de goede werking van het netwerk te waarborgen noodzakelijk is, kunnen de systeem- en netwerkbeheerders (sub)netwerken en andere toegangen (zoals bv. mailadressen, directories, firewallinstellingen,…) onmiddellijk en zonder voorafgaandelijke waarschuwing afsluiten.

Wanneer noodzakelijk moet de medewerker op vraag van de systeem- en netwerkbeheerders de interne ICT-middelen en externe ICT-middelen die geen eigendom zijn van KU Leuven onmiddellijk loskoppelen van het KU Leuven netwerk.

B2: Procedure bij inbreuken

Bij inbreuken op de regels van deze Gedragslijn zijn, naargelang de ernst de inbreuk, één of meer van de volgende procedurestappen van toepassing.

Meldingen en hun behandeling

Wie een inbreuk op de regels van deze Gedragslijn vaststelt, meldt dit aan de Technische Cel ICTS via het e-mailadres ICTincident@kuleuven.be. Meldingen kunnen o.m. afkomstig zijn van gebruikers, diensthoofden, systeem- en netwerkbeheerders of derden.
Indien men een reden heeft om de inbreuk niet aan de Technische Cel ICTS mee te delen, kan men de inbreuk ook melden via de ombudsman/ombudsvrouw.

De Technische Cel ICTS volgt de volgende procedure:

  1. Er lijken geen regels van de Gedragslijn overtreden te zijn: De Technische Cel ICTS behandelt zelf de melding op informele wijze en verstrekt duidelijke uitleg aan de afzender van de melding wat de redenen zijn waarom geen verdere procedurestappen noodzakelijk zijn; indien de afzender van de melding niet instemt met de uitleg van de Technische Cel ICTS, wordt de volgende procedurestap gevolgd.
  2. Eén of meer regels van de Gedragslijn lijken (ernstig) overtreden te zijn: De Technische Cel ICTS onderzoekt de gemelde inbreuk naar de effectieve feiten, naargelang het geval met medewerking van de lokale systeem- of netwerkbeheerder. Hierbij wordt een dossier over de feiten opgesteld.

Indien noodzakelijk geacht door de Technische Cel ICTS of de betrokken systeem- en netwerkbeheerders kunnen er onmiddellijk tijdelijke voorzorgsmaatregelen genomen worden door de systeem- en netwerkbeheerders om verdere onregelmatigheden te voorkomen.

De Technische Cel ICTS bezorgt steeds het dossier aan de algemeen directeur Personeel. Afhankelijk van de ernst van de inbreuken en van de schade berokkend aan KU Leuven wordt er door de algemeen directeur Personeel een vervolgprocedure opgestart. De algemeen directeur Personeel oordeelt, eventueel in overleg met het betrokken diensthoofd of anderen, over de te nemen vervolgstappen en/of tuchtmaatregelen in toepassing van het arbeidsreglement en over eventuele andere maatregelen bijvoorbeeld op gerechtelijk vlak.

Mogelijke vervolgstappen kunnen zijn:

  1. Waarschuwingprocedure

De waarschuwingsprocedure heeft als doel de gebruiker te informeren over de gemelde of vastgestelde inbreuk en hem/haar verantwoording te vragen over het gebruik van de hem/haar ter beschikking gestelde ICT-middelen. De gebruiker wordt daarbij op de hoogte gebracht dat zijn/haar netwerkgedrag op individuele wijze gecontroleerd zal worden wanneer een nieuwe onregelmatigheid wordt vastgesteld.

De volgende regels worden hierbij in acht genomen:

  • de voor de onregelmatigheid verantwoordelijk geachte gebruiker wordt uitgenodigd voor een gesprek met een lid van de Personeelsdienst, eventueel met de leidinggevende;

  • dit gesprek heeft plaats voor iedere beslissing of evaluatie die de gebruiker individueel kan raken;

  • de gebruiker krijgt de kans zijn/haar bezwaren met betrekking tot de voorgenomen beslissing of evaluatie uiteen te zetten. De gebruiker kan zich desgewenst door zijn/haar vakbondsafgevaardigde laten bijstaan.

  1. Bewarende maatregelen

Bij vaststelling van inbreuken op de Gedragslijn kunnen, naargelang het geval, volgende bewarende maatregelen genomen worden om de veiligheid en integriteit van de universitaire ICT-systemen en de daarmee verwerkte informatie te waarborgen:

  • De toegangsrechten van de universitaire gebruiker kunnen gedurende het onderzoek geschorst of beperkt worden (bv. het ontzeggen of beperken van de toegang tot het netwerk of de computersystemen, …).
    Deze tijdelijke maatregel kan eventueel door de algemeen directeur Personeel opgeheven worden.
    Tegen deze opschorting of beperking kan de gebruiker bij het bevoegde Gebu-lid bezwaar aantekenen.

  • Bestanden en informatiedragers van de betreffende gebruiker kunnen worden geïnspecteerd en in beslag genomen.

  1. Sancties

Sancties kunnen worden genomen in toepassing van tuchtmaatregelen voorzien in het Reglement AP en het Arbeidsreglement van KU Leuven.

Varia

a. Gerechtelijk onderzoeken

Iedereen die aan deze Gedragslijn onderworpen is, dient er zich bewust van te zijn dat KU Leuven maximaal zal meewerken aan gerechterlijke onderzoeken en deze instanties zal inlichten indien de toestand zich daartoe noopt.

b. Externe Communicatie

Wanneer noodzakelijk en indien van toepassing gebeurt de externe communicatie over ICT incidenten aan KU Leuven, in bijzonder via de media of via het internet, enkel via de Dienst Communicatie.

Top

5. Opvolging

De richtlijnen in deze Gedragslijn hebben betrekking op ICT-middelen die steeds evolueren. Deze Gedragslijn kan daarom in de toekomst jaarlijks of telkens wanneer de situatie zich voordoet aangevuld of aangepast worden door de Technische Cel ICTS met kleine wijzigingen (bv. nieuwe ICT-middelen, gewijzigde links,…), kleine aanvullingen (bv. aanvullende voorbeelden,…) of verduidelijkingen. Wanneer er wijzigingen zijn aangebracht aan de Gedragslijn wordt de ICT-gedragslijncommissie hiervan op de hoogte gesteld.

Om de twee jaar of bij grote wijzigingen (bv. extra clausules, extra regels, wijzigende controlemogelijkheden,…) komt de ICT-gedragslijncommissie samen om de Gedragslijn en het beveiligingsbeleid te toetsen en aan te passen aan de nieuwe situatie en aan de bestaande wetgeving. Het nieuwe voorstel wordt opnieuw ter bekrachtiging voorgelegd aan het Gebu en de Academische Raad.

Vragen, opmerkingen en suggesties in verband met deze Gedragslijn kunnen gericht worden aan de Technische Cel ICTS via het e-mailadres: ICTgedragslijn@kuleuven.be.

KU Leuven behoudt zich het recht voor op ieder ogenblik dit beleid aan te passen. Wijzigingen worden meegedeeld aan alle rechtmatige gebruikers.

Top


Bijlage: Samenstelling en functies

ICT-gedragslijncommissie

Samenstelling:

  • Coördinator van de Onderzoekseenheid Recht en Informatica (voorzitter)
  • Algemeen directeur van de Directie Personeelsdienst
  • Directeur van de Directie Stafdiensten Algemeen Beheer
  • Directeur van de Dienst Communicatie
  • Directeur van de Coördinatie Associatie KU Leuven
  • Directeur Onderwijs en Leren
  • Directeur van de Directie ICTS (Informatie & Communicatie Technologie & Systemen)
  • Hoofd van de Dienst Centrale ICTS Infrastructuur
  • Hoofd van de Dienst Faciliteiten voor Onderwijs, Onderzoek, Communicatie en Samenwerking
  • Stafmedewerker vicerector Studentenbeleid
  • Groepsbeheerder Humane Wetenschappen
  • Groepsbeheerder Wetenschap & Technologie
  • Groepsbeheerder Biomedische Wetenschappen
  • Beveiligingscoördinator ICTS

Verantwoordelijkheden:

  • Verantwoordelijk voor de inhoud en de wijzigingen van de ICT-gedragslijn
  • Verantwoordelijk voor het laten bekrachtigen van wijzigingen van de ICT-gedragslijn
  • Verantwoordelijk voor het communiceren van de wijzigingen aan de betrokken gebruikers
  • Het analyseren, goedkeuren en opvolgen van uitzonderingen op de ICT-gedragslijn
Technische Cel ICTS

Samenstelling:

  • Directeur van de Directie ICTS (Informatie & Communicatie Technologie & Systemen)
  • Hoofd van de Dienst Centrale ICTS Infrastructuur
  • Hoofd van de Dienst Faciliteiten voor Onderwijs, Onderzoek, Communicatie en Samenwerking
  • Beveiligingscoördinator ICTS

Verantwoordelijkheden:

  • Het analyseren van de meldingen van inbreuken
  • Het opstellen van een dossier over de feiten
  • Het bezorgen van het dossier aan de algemeen directeur Personeel en/of aan de vicerector Studentenbeleid
Algemeen Directeur Personeel

Verantwoordelijkheden:

  • Het analyseren van de ernst van het klachtendossier
  • Het opstarten van een vervolgprocedure indien noodzakelijk

Top

Bijlage: Interne reglementen en dienstvoorschriften

Top