Om het bedrijf, zijn medewerkers, klanten en leveranciers te beschermen, dient elk personeelslid een exemplaar te ontvangen van het bedrijfsbeleid met betrekking tot het acceptabele gebruik van IT-middelen – met name internet- en e-mailtoegang, evenals het gegevensbeschermingsbeleid. Het kan ook nodig zijn om een apart Bring Your Own Device (BYOD)-beleid te hebben dat het gebruik van persoonlijke apparaten regelt en in hoeverre (indien van toepassing) deze verbinding mogen maken met de informatiesystemen van het bedrijf.
Dergelijke beleidsregels dienen onderdeel uit te maken van de arbeidsovereenkomst, in die zin dat schendingen van het beleid kunnen leiden tot disciplinaire maatregelen en in sommige gevallen zelfs tot ontslag.
Een beleid voor aanvaardbaar gebruik helpt niet alleen de organisatie te beschermen tegen schadelijke software, juridische stappen en verlies van bedrijfs- en persoonsgegevens, maar kan ook helpen bij geschillen met werknemers.
Werknemers moeten goed nadenken over de inhoud van alle e-mails die ze versturen. Eén ondoordacht verstuurde e-mail kan verstrekkende gevolgen hebben, zowel voor de werknemer als voor de organisatie, zoals hoge boetes en reputatieschade.
Illegaal materiaal
Door het ongecensureerde karakter van de inhoud op internet zijn er veel websites die aanstootgevend, obsceen en (in het VK) illegaal materiaal bevatten. Werknemers dienen dergelijke sites niet te bezoeken en het bedrijf dient te proberen deze waar mogelijk te blokkeren.
Virussen en phishing
Onschuldig ogende websites en e-mails zijn gebruikt om gebruikers te verleiden materiaal te downloaden dat een virus bleek te bevatten, of om vertrouwelijke bedrijfsgegevens of persoonlijke informatie prijs te geven die normaal gesproken niet zouden worden gedeeld.
Werknemers moeten worden getraind om de kenmerken van valse e-mails te herkennen en om online eenvoudige controles uit te voeren voordat ze gegevens naar een website verzenden.
Werknemers moeten ook op de hoogte worden gesteld van de procedures die zij moeten volgen als zij slachtoffer worden van dergelijke aanvallen.
Persoonlijke telefoons, persoonlijke headsets en het gebruik van sociale netwerken
Bedrijven kunnen overwegen om verwijzingen op te nemen naar het gebruik van persoonlijke telefoons, headsets en sociale netwerken. Het gebruik hiervan, of beperkingen daarop, zal sterk afhangen van de werkomgeving.
Modelbeleidsverklaring
Om dit soort potentiële problemen te minimaliseren, zouden werkgevers een beleidsverklaring moeten opstellen voor alle werknemers over het gebruik van internet en e-mail.
Hieronder vindt u een voorgestelde beleidsverklaring, die een nuttig uitgangspunt vormt.
Beleid en reikwijdte
Bedrijven en ondernemingen beschouwen internet en e-mail als een belangrijk zakelijk hulpmiddel.
Medewerkers worden aangemoedigd hun productiviteit te verhogen door gebruik te maken van dergelijke hulpmiddelen, maar uitsluitend volgens de richtlijnen in dit document.
Het internet is grotendeels ongereguleerd en ongecensureerd, en wij hebben de plicht om de interne informatie van het bedrijf, onze klanten, onze leveranciers en onze medewerkers te beschermen tegen kwaadaardig, obsceen en illegaal materiaal.
Monitoring – Optionele alinea's – Eén
Het bedrijf behoudt zich het recht voor om e-mails en bezochte websites van werknemers te controleren. Dit kan willekeurig gebeuren of wanneer er een vermoeden bestaat van gedrag dat in strijd is met het e-mail- en internetbeleid van het bedrijf.
Medewerkers worden door het management geïnformeerd dat ze te allen tijde kunnen worden gecontroleerd wanneer ze gebruikmaken van bedrijfssystemen.
Heimelijke monitoring zal alleen in uitzonderlijke omstandigheden plaatsvinden en uitsluitend met toestemming van een of meer hoge functionarissen van het bedrijf/de onderneming.
Monitoring – Optionele alinea's – Twee
Het bedrijf behoudt zich het recht voor om e-mail- en internetverkeer te monitoren. Individuele gebruikers zullen echter niet worden geïdentificeerd tijdens dit monitoringproces.
Er wordt van uitgegaan dat alle medewerkers het beleid begrijpen en ermee instemmen, tenzij een directeur (of vennoot) anderszins wordt geïnformeerd. Eventuele uitzonderingen dienen te worden opgenomen in de arbeidsovereenkomst van de medewerker en te worden ondertekend door een directeur (of vennoot) en de medewerker.
Alle middelen van het bedrijf, waaronder computers, internettoegang en e-mail, worden uitsluitend voor zakelijke doeleinden ter beschikking gesteld.
Het doel van dit beleid is ervoor te zorgen dat u begrijpt in hoeverre u de computer(s) van het bedrijf voor privégebruik mag gebruiken. Het beschrijft de wijze waarop internettoegang binnen het bedrijf moet worden gebruikt, om te voldoen aan wettelijke en zakelijke vereisten.
Dit beleid is van toepassing op alle werknemers van het bedrijf/de onderneming en het niet naleven ervan kan leiden tot disciplinaire maatregelen conform de disciplinaire procedure. Bovendien kunt u persoonlijk aansprakelijk worden gesteld indien uw gedrag onrechtmatig of illegaal is.
Algemene principes
U krijgt een computer en internettoegang ter beschikking ter ondersteuning van de bedrijfsactiviteiten.
Privégebruik van computers en internet is toegestaan, met inachtneming van de beperkingen in dit beleid. Privégebruik dient in de eigen tijd van de werknemer plaats te vinden en mag de werkzaamheden niet belemmeren. Privégebruik mag de IT-systemen niet verstoren en de reputatie van het bedrijf niet schaden.
Wees altijd voorzichtig met het gebruik van internet en vertrouw nooit op informatie die u ontvangt of downloadt zonder de bron te controleren.
Toegang tot internet en e-mail
De volgende gebruikers hebben vanaf alle onderstaande pc's toegang tot internet en e-mail..
Persoonlijk gebruik
Het internet mag tijdens normale werktijden niet voor persoonlijke doeleinden worden gebruikt. Incidenteel gebruik voor persoonlijke doeleinden is buiten werktijd toegestaan, maar de beperkingen zoals beschreven in 'Browsen/downloaden van materiaal' (hieronder) moeten worden nageleefd.
Persoonlijke e-mails mogen alleen in noodgevallen en na voorafgaande toestemming van een manager worden verzonden of ontvangen.
E-mails en e-mailbijlagen
E-mails moeten aan dezelfde regels voldoen als correspondentie op briefpapier van het bedrijf.
E-mails mogen geen controversiële uitspraken of meningen over organisaties of personen bevatten. In het bijzonder moeten racistische of seksueel getinte opmerkingen, denigrerende of mogelijk lasterlijke opmerkingen en alles wat als intimidatie kan worden opgevat, worden vermeden.
E-mails mogen geen aanstootgevende inhoud bevatten.
E-mails die een virus bevatten, mogen niet bewust worden verzonden.
E-mails afkomstig van een onbekende afzender mogen niet worden geopend, maar moeten aan het management worden gemeld (zie Melding ).
E-mails die extern worden verzonden, moeten de disclaimer van het bedrijf/de firma bevatten (zie onderstaand voorbeeld
E-mails (verzonden en ontvangen) moeten worden opgeslagen in de juiste klantbestanden en dezelfde naamgevingsconventies gebruiken als voor brieven en andere correspondentie.
E-mails met bijlagen die gevoelige gegevens bevatten, moeten worden versleuteld en met een wachtwoord worden beveiligd. Wachtwoorden mogen nooit per e-mail worden verzonden. Probeer deze gegevens waar mogelijk via een andere methode te versturen.
Materiaal bekijken/downloaden
Alleen materiaal afkomstig van legitieme zakelijke, commerciële of overheidswebsites mag worden bekeken/gedownload.
Het is niet toegestaan om ander materiaal te bekijken of te downloaden. Dit omvat specifiek games, screensavers, muziek/video en illegaal, obsceen of aanstootgevend materiaal.
Laptops/draagbare apparaten en draagbare media-apparaten
Reizen met laptops/draagbare apparaten
Laptops kunnen door de autoriteiten worden gecontroleerd, met name wanneer ze per vliegtuig, schip of trein worden vervoerd, zowel binnen als buiten het Verenigd Koninkrijk. Werknemers die een laptop van het bedrijf gebruiken, moeten ervoor zorgen dat deze geen illegaal materiaal bevat.
Laptops met bedrijfsgegevens moeten worden versleuteld.
Het gebruik van laptops/draagbare apparaten via externe verbindingen
De laptops van het bedrijf/de organisatie mogen worden gebruikt voor e-mail/internetgebruik zonder verbinding te maken met de bedrijfsserver. Geschikte beveiligingssoftware om dergelijke toegang mogelijk te maken en het risico op virussen of hacking te beperken, moet worden geïnstalleerd.
Gebruik van draagbare media-apparaten
Draagbare media-apparaten omvatten onder andere usb-sticks, cd's en dvd's.
Wanneer deze apparaten vertrouwelijke bedrijfs- of persoonsgegevens bevatten, moeten de gegevens op deze apparaten worden versleuteld.
Bij het gebruik van draagbare apparaten mogen uitsluitend door het bedrijf goedgekeurde apparaten worden gebruikt.
Openbaring
Werknemers zijn verplicht het volgende aan het management te melden:
- verdachte e-mails/e-mailbijlagen/websites
- Obsceen/illegaal materiaal gevonden op een pc
- aanhoudend gebruik van internet voor persoonlijke doeleinden
- Het herhaaldelijk downloaden van illegaal/obsceen/aanstootgevend materiaal
- verlies van bedrijfsgegevens of verlies van machines en apparaten die bedrijfsgegevens bevatten
Disciplinaire maatregelen
Een overtreding van een van de regels is een disciplinaire kwestie.
Illegale activiteiten zullen ook worden gemeld aan de bevoegde autoriteiten.
Ongepast gebruik
Computers zijn een waardevolle aanwinst voor ons bedrijf. Ongepast gebruik kan echter ernstige gevolgen hebben voor zowel werknemers als het bedrijf. Het bedrijf loopt met name risico wanneer werknemers toegang hebben tot internet. De aard van internet maakt het onmogelijk om alle vormen van ongepast gebruik te definiëren. Van werknemers wordt echter verwacht dat zij ervoor zorgen dat het gebruik van computers en internet door werknemers voldoet aan de algemene eisen van professionaliteit.
Concreet mogen medewerkers tijdens het gebruik van de computer of het internet het volgende niet doen:
- Het kopiëren, uploaden, downloaden of op andere wijze verzenden van commerciële software of auteursrechtelijk beschermd materiaal dat eigendom is van het bedrijf/de firma of andere derden
- Het is niet toegestaan om software te gebruiken die niet expliciet door het bedrijf/de firma is goedgekeurd
- Het kopiëren of downloaden van software of elektronische bestanden zonder gebruik te maken van door het bedrijf goedgekeurde antivirusmaatregelen is niet toegestaan
- Het bezoeken van internetsites of het downloaden van bestanden die onfatsoenlijk, obsceen, pornografisch, aanstootgevend of anderszins bezwaarlijk materiaal bevatten
- Het is verboden om onfatsoenlijke, obscene, pornografische, aanstootgevende of anderszins bezwaarlijke opmerkingen, voorstellen of materialen op internet te plaatsen
- Het is verboden om vertrouwelijke of bedrijfseigen informatie (inclusief persoonsgegevens) over het bedrijf, de werknemers, klanten en zakelijke contacten openbaar te maken of te onthullen.
De volgende activiteiten zijn uitdrukkelijk verboden:
- het opzettelijk introduceren van welke vorm van computervirus dan ook
- Het is een poging om via internet toegang te krijgen tot beveiligde gedeelten van het computersysteem van het bedrijf of van een andere organisatie of persoon, zonder toestemming, of andere vormen van hacking.
- Het downloaden van bedrijfsgegevens naar draagbare media (zoals een usb-stick of cd) is niet toegestaan, tenzij het management deze activiteit uitdrukkelijk heeft goedgekeurd
- Het uploaden van persoonlijke/privé-informatie (bijvoorbeeld muziek, films of foto's) van draagbare media-apparaten (zoals een USB-stick of cd) naar een lokale of netwerkschijf is niet toegestaan, tenzij het management deze activiteit uitdrukkelijk heeft goedgekeurd.
- Installatie van software die niet vooraf door het bedrijf is goedgekeurd.
Monitoring
Wij behouden ons te allen tijde en zonder voorafgaande kennisgeving het recht voor om systemen te onderzoeken en alle daarin opgeslagen gegevens te inspecteren en te beoordelen. Alle informatie die op een computer is opgeslagen, ongeacht of deze zich op een harde schijf, een computerdiskette of op een andere manier bevindt, kan door het bedrijf/de organisatie worden onderzocht. Dit onderzoek draagt bij aan de naleving van interne beleidsregels en de wetgeving. Het ondersteunt interne onderzoeken en helpt bij het beheer van informatiesystemen.
Om naleving van dit beleid te waarborgen, kan het bedrijf/de onderneming monitoringsoftware inzetten om het internetgebruik te controleren en de toegang tot specifieke websites te blokkeren, teneinde ernstige schendingen van het beleid te voorkomen. Wij behouden ons uitdrukkelijk het recht voor dat bevoegd personeel toegang heeft tot, informatie kan opvragen, lezen en verwijderen die gegenereerd, ontvangen of verzonden wordt als gevolg van internetgebruik, om naleving van al ons beleid te garanderen. Dergelijke monitoring zal uitsluitend voor legitieme doeleinden worden gebruikt.
Voorbeeld van een e-mail disclaimer
Deze e-mail en alle bijlagen zijn vertrouwelijk en uitsluitend bestemd voor de geadresseerde. De hierin weergegeven standpunten en meningen zijn uitsluitend die van de auteur en vertegenwoordigen niet noodzakelijkerwijs die van het bedrijf/de firma. Indien u niet de beoogde ontvanger bent, wordt u erop gewezen dat u deze e-mail per vergissing hebt ontvangen en dat elk gebruik, verspreiding, afdrukken, doorsturen of kopiëren van deze e-mail ten strengste verboden is.
Neem contact op met de afzender als u deze e-mail per ongeluk hebt ontvangen.
E-mails en websites in het kader van de Companies Act 2006
Volgens het vennootschapsrecht moet elke onderneming haar inschrijvingsnummer, vestigingsplaats en adres van de statutaire zetel vermelden op alle bedrijfsformulieren en -documenten (inclusief e-mails en websites).
In het bijzonder moeten alle externe e-mails deze informatie bevatten – hetzij als onderdeel van de bedrijfsmailhandtekening, hetzij als onderdeel van de bedrijfsmailheader of -footer.
