Terug
Gepubliceerd op 03/04/2023

2023_CBS_00901 - Collegebeslissing betreffende het advies informatieveiligheid in het kader van gebruik TikTok in lokale besturen
College van Burgemeester en Schepenen
ma 20/03/2023 - 16:00 *
Goedgekeurd

Samenstelling

Aanwezig

Pieter De Crem, burgemeester; Patrick Hoste; Herlinde Trenson; Mathias Van de Walle; Kristof De Blaere; Philippe Verleyen; Johan Van den Kerchove, schepenen; Luc Jolie, algemeen directeur

Afwezig

Dirk De Smul

Secretaris

Luc Jolie, algemeen directeur

Voorzitter

Pieter De Crem, burgemeester
2023_CBS_00901 - Collegebeslissing betreffende het advies informatieveiligheid in het kader van gebruik TikTok in lokale besturen 2023_CBS_00901 - Collegebeslissing betreffende het advies informatieveiligheid in het kader van gebruik TikTok in lokale besturen

Motivering

Motivering

Gelet de collegebeslissing van 9 november 2020 betreffende de uitbouw van een kinderen- en jongerenwelzijnsaanbod voor de wintermaanden (goedkeuring gebruik TikTok);

Gelet de collegebeslissing van 31 mei 2021 betreffende de gemeentelijke Social Media accounts;

Gelet op het advies van de DPO van 15 maart 2023 betreffende het gebruik van TikTok; 

Overwegende het nieuwsbericht van 9 maart 2023 van Digitaal Vlaanderen betreffende "Digitaal Vlaanderen blokkeert Tiktok en adviseert gebruikers de app te verwijderen"; dat op advies van het Centrum voor Cybersecurity Belgium (CCB), de Algemene Dienst Inlichting en Veiligheid (ADIV) en de Veiligheid van de Staat (VSSE) Digitaal Vlaanderen per direct de toegang tot de app Tiktok voor alle overheden die gebruik maken van de gemeenschappelijke IT-dienstverlening en het netwerk van de Vlaamse overheid blokkeert; dat entiteiten die zelf hun IT beheren, sterk worden geadviseerd om dezelfde maatregelen te nemen en hun medewerkers op te roepen de app te verwijderen;

Overwegende het advies van 10 maart 2023 van ABB tegen het gebruik van TikTok bij lokale besturen; dat het Agentschap Binnenlands Bestuur de lokale overheden oproept om minstens dezelfde afspraken te overwegen;

Overwegende het advies van de VVSG van 10 maart 2023 betreffende "Cyberveiligheid: ook lokale besturen mijden Tiktok-applicatie best";

Overwegende dat TikTok gebruikt wordt door de cel Jeugdwerk en welzijn in het kader van communicatie met hun doelgroep rond hun activiteiten;

Overwegende dat advies is opgevraagd aan de DPO over het gebruik van TikTok in het lokaal bestuur Aalter; dat dit advies is ontvangen op woensdag 15 maart 2023; dat de DPO adviseert: 

  • Om onmiddellijk het netwerkverkeer naar het sociale mediaplatform van TikTok te blokkeren en hierover te communiceren naar alle medewerkers en mandatarissen;
  • Om in tweede orde te communiceren naar alle medewerkers en mandatarissen dat ze de TikTok-applicatie moeten verwijderen op alle toestellen van de organisatie tegen een vooraf bepaalde datum met uitdrukkelijke vermelding dat de organisatie na afloop van deze datum de toestellen van de organisatie zal controleren;
  •  Om na het verlopen van de voornoemde deadline samen met de ICT-dienst (bv. via Intune) te kijken of de TikTok-applicatie nog geïnstalleerd werd of nog actief is op de toestellen van de organisatie en indien nodig de medewerker of mandataris alsnog hierover aanspreken;
  • Om een degelijk Mobile Device Management-beleid (al dan niet als bijlage bij het arbeidsreglement of de ICT-code) uit te werken waarin duidelijke afspraken worden gemaakt over de installatie van software en applicaties op de toestellen van de organisatie. In principe zouden enkel die toepassingen geïnstalleerd mogen worden die absoluut noodzakelijk zijn voor de uitvoering van het werk. De installatie van toepassingen op toestellen van de organisatie kan ook technisch onmogelijk gemaakt worden.
  • Om, indien de medewerkers en mandatarissen eigen privétoestellen mogen/moeten gebruiken voor professionele doeleinden, een duidelijk Bring Your Own Device-beleid uit te werken. Ook in het geval dat de medewerkers eigen privétoestellen beperkt mogen gebruiken voor privédoeleinden op het werk moeten strikte afspraken gemaakt worden (in een Mobile Device Management, of als bijlage bij het arbeidsreglement of de ICT-code). In beide gevallen kan de organisatie de installatie van de TikTok-applicatie echter niet verbieden, maar kunnen er wel bepaalde (organisatorische en technische) beveiligingsmaatregelen genomen worden om het risico zoveel mogelijk te beperken (bv. medewerkers mogen niet aanmelden op Outlook-mailbox met eigen toestel, eigen toestellen van de medewerkers kunnen niet verbinden met het netwerk…).

Overwegende dat het uiteraard ook belangrijk is om stil te staan bij de veiligheid van privé-toestellen waar naast een werkaccount ook de Tiktok-app op staat voor private doeleinden; dat dit echter niet kan afgedwongen worden; dat hierover via een interne campagne kan gesensibiliseerd worden via intranet en affiches door de cel CCIT; 

Overwegende dat ook in het geval dat de medewerkers eigen privétoestellen beperkt mogen gebruiken voor privédoeleinden op het werk moeten strikte afspraken gemaakt worden (in een Mobile Device Management, of als bijlage bij het arbeidsreglement of de ICT-code); dat de organisatie de installatie van de TikTok-applicatie echter niet kan verbieden, maar dat er wel bepaalde (organisatorische en technische) beveiligingsmaatregelen genomen kunnen worden om het risico zoveel mogelijk te beperken (bv. medewerkers mogen niet aanmelden op Outlook-mailbox met eigen toestel, eigen toestellen van de medewerkers kunnen niet verbinden met het netwerk…);

Regelgeving bevoegdheid

Artikel 56 §3 7° van het decreet lokaal bestuur
artikel 56 §3 7° van het decreet lokaal bestuur: Het college van burgemeester en schepenen is bevoegd voor de beslissingen die een wet, een decreet of een uitvoeringsbesluit uitdrukkelijk aan het college van burgemeester en schepenen voorbehoudt

Besluit

Het college van burgemeester en schepenen beslist:

Artikel 1

Akkoord te gaan om met onmiddellijke ingang het netwerkverkeer naar het sociale mediaplatform van TikTok te blokkeren (op het client-netwerk van het bestuur (laptops) en de WiFi SSID Aalter-Intern) en hierover te communiceren naar alle medewerkers en mandatarissen.

Artikel 2

Akkoord te gaan om in tweede orde te communiceren naar alle medewerkers en mandatarissen dat ze de TikTok-applicatie moeten verwijderen op alle toestellen van de organisatie tegen 27 maart 2023 met uitdrukkelijke vermelding dat de organisatie na afloop van deze datum de toestellen van de organisatie zal controleren en waar mogelijk deze app centraal zullen de-installeren.

Artikel 3

Akkoord te gaan om na het verlopen van de voornoemde deadline samen met de ICT-dienst (via PDQ en Meraki) te kijken of de TikTok-applicatie nog geïnstalleerd werd of nog actief is op de toestellen van de organisatie en indien nodig de medewerker of mandataris alsnog hierover aanspreken.

Artikel 4

Akkoord te gaan om, aangezien de medewerkers en mandatarissen eigen privétoestellen mogen/moeten gebruiken voor professionele doeleinden, het Bring Your Own Device-beleid te herzien in het licht van deze ontwikkelingen. 

Artikel 5

Akkoord te gaan om het huishoudelijk reglement voor het gebruik van informatica- en communicatiemiddelen (DS403) te herzien in het licht van deze ontwikkelingen en een specifiek hoofdstuk sociale media en Mobile Device Management-beleid toe te voegen.  In het Mobile Device Management-beleid worden duidelijke afspraken gemaakt over de installatie van software en applicaties op de toestellen van de organisatie. In principe zouden enkel die toepassingen geïnstalleerd mogen worden die absoluut noodzakelijk zijn voor de uitvoering van het werk. De installatie van toepassingen op toestellen van de organisatie kan ook technisch onmogelijk gemaakt worden.

Artikel 6

Akkoord te gaan om een kleine interne sensibiliseringscampagne op te starten over het bewust en veilig gebruik van Apps op mobiele (privé-)toestellen.