Informatiebeveiligingsbeleid & Acceptable Use

Het succes van een organisatie als de UM hangt in toenemende mate af van informatie, nieuwe technologieën en computersystemen. Dergelijke informatie moet goed worden beveiligd, zeker als er persoonsgegevens worden opgeslagen. Bovendien moeten gebruikers deze informatie natuurlijk ook veilig behandelen.

Informatiebeveiligingsbeleid

De basis van informatiebeveiliging, of cybersecurity, is een set van leidende principes, vastgelegd in een formeel vastgesteld Informatiebeveiligingsbeleid (IB-beleid). Bekijk deze video waarin het IB-beleid en de principes worden uitgelegd. Het actuele Informatiebeveiligingsbeleid van de UM vind je hier.

Het beleid beschrijft hoe de UM zorgt voor adequate informatiebeveiliging om te voldoen aan de relevante wet- en regelgeving. Met het IB-beleid wil de UM ook bijdragen aan een betere kwaliteit van de informatievoorziening en zorgen voor een goede balans tussen functionaliteit, veiligheid en privacy.

Uiteraard maakt een IB-beleid op zich de UM niet veilig. Informatiebeveiliging wordt enerzijds bereikt door een reeks algemene beveiligingsmaatregelen en anderzijds door menselijk gedrag. Daarom is een Acceptable Use Policy (AUP) onderdeel van het algemene Informatiebeveiligingsbeleid van de UM. De AUP informeert u over specifieke regelingen met betrekking tot het gebruik van ICT-voorzieningen en internet aan de Universiteit Maastricht.

Lees meer over hoe we samen het IT-landschap van de UM kunnen beveiligen op onze Do's & Don'ts pagina. Daarnaast is dit een goede plek om medewerkers te herinneren aan de UM Gedragscodes & Reglementen, specifiek de UM Gedragscode Integriteit.  Voor IT-medewerkers de aanvullende Integriteits- en gedragscode voor ICT-medewerkers van de UM.

Meer over de Acceptable Use Policy

In de Acceptable Use Policy (AUP) kun je lezen welke reglementen voor ICT- en internetgebruik het College van Bestuur van de UM heeft vastgesteld voor haar werknemers en studenten. Een AUP is noodzakelijk om aan de werknemers en studenten duidelijk te maken hoe zij de ICT-voorzieningen van de UM kunnen gebruiken voor het uitoefenen van hun werkzaamheden, zonder dat ze daarbij (wettelijke) regels en richtlijnen overtreden en zonder dat zij de veiligheid van de digitale systemen van de UM in gevaar brengen. Maar vooral ook zonder dat ze de veiligheid van andere gebruikers in gevaar brengen. Tenslotte zorgen de afspraken in de AUP er ook voor dat je rechten als gebruiker van de ICT-voorzieningen worden gerespecteerd. De AUP wordt daarom aan iedere gebruiker ter beschikking gesteld.  
Van alle gebruikers van de ICT-faciliteiten van de UM wordt verwacht dat ze bekend zijn met de UM-reglementen en de wet en dat ze vooral ook hun “gezond verstand” gebruiken.

De gebruikers binnen de UM vormen een afspiegeling van de maatschappij. Dit betekent dat gebruikers vergissingen of fouten kunnen maken en het is zelfs denkbaar dat moedwillig ongewenste handelingen gepleegd worden. Geen enkel reglement is hier tegen bestand. Het is natuurlijk ook denkbaar dat je als gebruiker ondanks je voorzorgsmaatregelen toch slachtoffer wordt van een phishing aanval of een virus- of malware infectie. De nadrukkelijke bedoeling van de AUP is de verwachtingen tussen gebruikers onderling en tussen gebruikers en systeembeheerders te verduidelijken en een kader te bieden om daar onderling over te kunnen communiceren. We vragen je dan ook om dit in een open sfeer te doen. De kans op fouten, vergissingen en misverstanden wordt zo verkleind.

Voor gevallen van ongewenst gedrag voorziet de AUP in maatregelen. In de regel zal het gaan om een waarschuwing waarin wordt uitgelegd waarom het geconstateerde gedrag ongewenst is en wat de consequenties van (herhaling) van dat gedrag zijn. Niet uitgesloten is dat zich gevallen voordoen waarin de ernst van de situatie naar het oordeel van het CvB om een strenger ingrijpen vraagt en niet kan worden volstaan met een waarschuwing en een zwaardere sanctie gepast is. De gebruiker krijgt in alle gevallen de gelegenheid om diens kant van het verhaal naar voren te brengen: hoor en wederhoor dus.
Juridisch taalgebruik is in een AUP onvermijdelijk. Een reglement moet namelijk maar voor één uitleg vatbaar zijn. Twijfel je over de afspraken in de AUP, dan kun je altijd aan je lokale IT-ondersteuner, je Informatie Manager, je leidinggevende of studiebegeleider of aan de Servicedesk van ICTS vragen hoe in een bepaalde situatie te handelen.