Dieses Reglement gilt für die Mitarbeitenden der kantonalen Verwaltung (exklusive Schulen), die Mitglieder des Regierungsrats, die Mitarbeitenden der Finanzkontrolle, der Aufsichtsstelle Datenschutz, der Ombudsperson sowie der Gerichte des Kantons Basel-Landschaft (nachfolgend «Mitarbeitende»). *

Das Reglement ist von allen Mitarbeitenden, die Informatikmittel nutzen, zu unterschreiben. Die vorgesetzten Stellen regeln das Vorgehen zur Unterzeichnung.

Änderungen des Reglements sind den Mitarbeitenden in geeigneter Weise zu kommunizieren, haben für diese jedoch auch ohne schriftliche Bestätigung Gültigkeit, sofern nicht ein anderer Erlass dies erfordert.

Das Reglement ordnet die sichere und rechtmässige Benutzung von Informatikmitteln.

Es hat zum Zweck, die elektronischen Informationen bezüglich Vertraulichkeit, Verfügbarkeit und Integrität zu schützen, den wirtschaftlichen Einsatz der Informatikmittel zu gewährleisten sowie die Persönlichkeitsrechte der Mitarbeitenden zu wahren.

Die Mitarbeitenden sind für die Verwendung der durch sie genutzten Informatikmittel im Rahmen der geltenden Rechtsordnung und dieses Reglements persönlich verantwortlich.

Die Vorgesetzten und die Projektleitenden sind verantwortlich für die Kommunikation und Durchsetzung des Reglements.

Beim Einsatz der Informatikmittel gelten insbesondere das Gesetz vom 10. Februar 2011[4] über die Information und den Datenschutz, die Verordnung vom 4. Dezember 2012[5] zum Gesetz über die Information und den Datenschutz sowie die Verordnung vom 11. März 2008[6] über die Informationssicherheit und darauf basierende Regelungen.

1. «VDI» (Virtual Desktop Infrastructure): Technologie, die es erlaubt den Benutzer-Arbeitsplatz zentral auf einem Server zu betreiben; auf den Arbeitsplatz wird mittels einer speziellen Anwendung zugegriffen, die auf fast allen Endgeräten installiert und genutzt werden kann.

Die Mitarbeitenden haben die durch sie genutzten Informatikmittel sorgfältig und ressourcenschonend einzusetzen. Insbesondere sind sie dafür verantwortlich, dass die Nutzung keine Schäden an den Informatikmitteln selber, den damit verbundenen Systemen und Netzwerken oder an den darauf gespeicherten Daten zur Folge hat.

Die vom Kanton getroffenen Sicherheitsvorkehrungen dürfen nicht manipuliert oder entfernt werden.

Wenn eine Mitarbeitende bzw. ein Mitarbeitender ein Informatikmittel nicht unmittelbar in Gebrauch hat, ist der Zugang hierzu so zu sperren, dass dieser nur mit der persönlichen Zugangskennung entsperrt werden kann.

Die Mitarbeitenden stellen sicher, dass bei der Nutzung von Informatikmitteln und beim Ausdrucken von Dokumenten besondere Personendaten und andere Informationen mit schützenswertem Inhalt nicht von Unberechtigten eingesehen oder behändigt werden können. *

Das Ausdrucken von geschäftlichen Dokumenten und Daten mit nicht öffentlichem Inhalt ist ausserhalb des betrieblichen Umfelds/Telearbeit untersagt. Im betrieblichen Umfeld ist sicherzustellen, dass nicht öffentliche Daten nicht von unberechtigten Personen eingesehen werden können. *

Nach Beendigung der Arbeit muss der Computer ganz heruntergefahren werden. Damit wird sichergestellt, dass technische und Sicherheits-Updates eingespielt und aktiviert werden. *

Die Mitarbeitenden sind für den sachgerechten Gebrauch der vorhandenen Zugangskontrolleinrichtungen und -massnahmen (z. B. Passwortwahl und –verwahrung, Zertifikate, SmartCard) verantwortlich.

Passwörter zu persönlichen Identifikationsmitteln wie z.B. Benutzerkennungen oder SmartCard sind vertraulich zu behandeln und dürfen nicht weitergegeben werden.

Die Informatikmittel werden durch die zuständige Beschaffungsstelle nach den geltenden Richtlinien und Standards beschafft.

Sämtliche zur Verfügung gestellten Informatikmittel verbleiben im Eigentum des Kantons. *

Für Telearbeit wird kein Vor-Ort-Support geleistet. Es stehen die üblichen Werkzeuge und Prozesse zur Meldung von Störungen und Defekten zur Verfügung. *

Die Installation von Software auf vom Kanton zur Verfügung gestellter Hardware (inklusive VDI) sowie die Installation und Verwendung von nicht vom Kanton zur Verfügung gestellter Hardware am betrieblichen Arbeitsort ist grundsätzlich untersagt. Ausnahmen bedürfen eines Beschlusses der Fachgruppe Informatik, des ITO-Rats oder des Regierungsrats *

Mitarbeitende sind verpflichtet, bei einem Stellenwechsel oder bei einem Wegfall der Gründe, die zur Abgabe von Informatikmitteln geführt haben, diese unaufgefordert zurückzugeben.

Vor dem Austritt leiten die Mitarbeitenden die geschäftsrelevanten Daten aus ihrer persönlichen (nicht privaten) Ablage an die durch die vorgesetzte Person bezeichnete Stelle weiter. Nach dem Austritt werden Benutzerkonten und E-Mail-Account (wie alle anderen persönlichen und privaten Datenablagen) deaktiviert und anschliessend gelöscht. Die privaten E-Mails und Daten können die Mitarbeitenden mitnehmen.

Aus betrieblichen oder geschäftlichen Gründen kann die vorgesetzte Person auf Antrag hin eine Bewilligung für den Fernzugriff erteilen. Die Bewilligung von Telearbeit erfolgt gemäss Richtlinie des Personalamts betreffend Telearbeit *

Wird Fernzugriff über ein Drittgerät bewilligt, ist die bzw. der Mitarbeitende für einen funktionierenden und aktuellen Malwareschutz auf diesem Gerät verantwortlich.

Für den Fernzugriff stellt die Zentrale Informatik sichere Zugänge zur Verfügung. *

Mitarbeitende, die über ein mobiles Arbeitsplatzgerät (z. B. Convertible) verfügen oder mit einem privaten Endgerät, mit installierter VDI-Client-Software, müssen per Fernzugriff auf das Kantonsnetzwerk und die damit verbundenen Systeme zugreifen. Die Geräte stellen automatisch eine verschlüsselte Verbindung zum Kantonsnetzwerk, über die von der ZI zur Verfügung gestellten Zugänge, her. Diese Verbindung darf nicht angepasst oder in irgendeiner Form verändert werden. *

Für die Telearbeit ist durch die Mitarbeitenden eine geeignete Internetverbindung zur Verfügung zu stellen. *

Im Falle eines Fernzugriffs werden den Mitarbeitenden keine Installations- oder Betriebskosten vergütet (Strom, Telefon etc.).

Vertrauliche Telefonate dürfen nur ohne unbefugte Mithörer erfolgen. Intelligente Sprachassistenten (Alexa, Siri etc.) dürfen nicht in Hörweite sein.

Es dürfen keine Bildschirmfotos (Screenshots) von geschäftlichen Daten gemacht werden, wenn diese auf Smartphones/Tablets nicht im geschützten Speicher (BL-Addon) oder auf den Datenablagen der Zentralen Informatikdienste (Convertibles) abgelegt werden.

Benutzerinnen und Benutzer eines Mobilgeräts stellen sicher, dass von privaten Apps und Anwendungen nicht auf die geschäftlichen Kontaktdaten zugegriffen wird und diese nicht synchronisiert werden.

Mobilgeräte dürfen nicht von Dritten genutzt werden; dazu zählen auch Familienangehörige.

Die automatische Weiterleitung aus einem persönlichen kantonalen E-Mail-Account an interne oder externe E-Mail-Adressen ist nicht erlaubt.

Bei Abwesenheit wird in der automatischen Abwesenheitsmeldung des kantonalen E-Mail-Accounts eine alternative Ansprechstelle bezeichnet.

Für geschäftliche Tätigkeiten darf ausschliesslich das kantonale E-Mail-Konto genutzt werden. *

Der Versand von Mails mit geschäftlichen Informationen an den eigenen privaten E-Mail-Account (z. B. zur Weiterbearbeitung) ist nicht zulässig. *

Vertrauliche E-Mails sind mit der Vertraulichkeitsoption «Vertraulich» zu markieren und zu versenden.

Vertrauliche Daten, insbesondere Personendaten, dürfen nur verschlüsselt oder passwortgeschützt an E-Mail-Adressen ausserhalb der Verwaltung versendet werden. Es sind dafür die vom Kanton angebotenen Techniken zu verwenden.

Private E-Mails sind mit der Vertraulichkeitsoption «Privat» zu kennzeichnen und unter den Voraussetzungen von § 17 ohne kantonale Signatur zu versenden.

Die Ablage privater E-Mails hat im Verzeichnis «Privat» zu erfolgen.

Die kantonale E-Mail-Adresse darf nicht für private Newsletter, Bestellungen, Wettbewerbe, soziale Netzwerke oder ähnliches verwendet werden.

Jeder Massenversand an alle Mitarbeitenden der kantonalen Verwaltung bedarf der Bewilligung der für den Inhalt verantwortlichen Generalsekretärin bzw. des Generalsekretärs, der Landschreiberin bzw. des Landschreibers, der Leitungen der Finanzkontrolle und der Aufsichtsstelle Datenschutz, der Ombudsperson oder der Gerichtsverwaltung. *

Die Generalsekretären-Konferenz legt fest, wer die technische Berechtigung für einen solchen Versand erhält.

Private und vertrauliche Kalendertermine sind mit der Vertraulichkeitsoption «Privat» zu kennzeichnen.

Vertrauliche Dokumente dürfen nur «Privat» markierten Kalenderterminen angehängt werden.

Alle an die Netzwerke der kantonalen Verwaltung angeschlossenen Geräte verwenden ausschliesslich den zentral angebotenen Internetzugang.

Es besteht kein Rechtsanspruch auf Zugang zum Internet.

Der Regierungsrat behält sich das Recht vor, Informationen/Publikationen mit ungeeignetem Inhalt (z.B. pornografisch, rassendiskriminierend, unethisch, unmoralisch) zu sperren oder zu filtern.

Definitive Sperrungen aufgrund von sicherheitsrelevanten oder technischen Erfordernissen benötigen die Bewilligung der zuständigen IT-Gremien.

Die Nutzung der Informatikmittel muss unter Einhaltung der geltenden Rechtsordnung sowie unter Berücksichtigung der Interessen des Kantons erfolgen.

Es ist insbesondere verboten, auf Daten mit widerrechtlichem, urheberrechtsverletzendem, rassistischem, beleidigendem, pornografischem oder herabwürdigendem Inhalt zuzugreifen oder solche zu verbreiten.

Die private Nutzung der Informatikmittel ist erlaubt, sofern die beanspruchten Ressourcen (Arbeitszeit, Netzwerkkapazität, Speicherplatz, Verbindungszeit und -volumen) vernachlässigbar sind.

Die private Nutzung während der Arbeitszeit darf die Erfüllung zugewiesener Aufgaben nicht beeinträchtigen und ist auf das absolut Notwendige zu beschränken.

… *

Die Kosten für die private Nutzung im Ausland sind von den Mitarbeitenden zu übernehmen und gemäss Instruktionen der Finanz- und Kirchendirektion abzurechnen. *

Daten, die nicht öffentlich oder zur Veröffentlichung bestimmt sind, müssen auf den Datenablagen der Zentralen Informatik gespeichert werden. Insbesondere ist es untersagt, solche Daten auf privaten Datenträgern (Festplatte im PC oder extern, auf Mobilgeräten oder anderen Massenspeichern, USB etc.) oder im Internet zu speichern (z. B. auf einer Website, einer Social Media-Plattform oder mittels eines persönlich eröffneten oder von Dritten zur Verfügung gestellten Cloud-Accounts wie Dropbox, iCloud etc.). *

Ausnahmen bedürfen der Bewilligung durch den ITO-Rat auf der Basis einer Risikoanalyse.

Der Transport vertraulicher Daten, insbesondere Personendaten, auf Datenträgern darf nur verschlüsselt erfolgen. Diese Datenträger sind bei der zuständigen Beschaffungsstelle zu beziehen.

Private Daten sind (unter den Voraussetzungen von § 17) in einem mit dem Namen «Privat» bezeichneten Ordner abzulegen.

Kommt es zu einer unvorhersehbaren Abwesenheit einer bzw. eines Mitarbeitenden und muss in dieser Zeit auf dessen bzw. deren Geschäftsdaten zugegriffen werden, muss ein solcher Datenzugriff durch die Generalsekretärin bzw. den Generalsekretär, die Landschreiberin bzw. den Landschreiber, die Leitungen der Finanzkontrolle und der Aufsichtsstelle Datenschutz, die Ombudsperson oder die Gerichtsverwaltung im Einzelfall bewilligt werden. *

Der Zugriff erfolgt durch die vorgesetzte Person sowie eine weitere Person nach dem 4-Augen-Prinzip.

Der Vorgang wird protokolliert. Das Protokoll wird der abwesenden Person nach deren Rückkehr ausgehändigt.

Falls möglich, ist die abwesende Person vorgängig über den Zugriff zu informieren.

Feststellungen über technische Mängel und sicherheitsrelevante Vorkommnisse mit Bezug zu Informatikmitteln (z. B. unerklärliches Systemverhalten, Verlust oder Veränderung von Daten und Programmen, Verdacht auf Missbrauch der eigenen Benutzerkennung usw.) sind unverzüglich dem Service Desk zu melden. *

Könnte die Information des Service Desk zu einem Interessenkonflikt führen oder ist dieser nicht erreichbar, ist die bzw. der Vorgesetzte zu informieren.

Bei Verlust eines Geräts ist zwingend der Helpdesk zu informieren und bei der zuständigen Polizeibehörde eine Diebstahl- oder Verlustanzeige zu erstatten. *

Die SIM-Card ist durch die Mitarbeitende bzw. den Mitarbeitenden umgehend vom Mobildienstanbieter sperren zu lassen. *

Eine allfällige Schadensbeteiligung des bzw. der Mitarbeitenden richtet sich nach dem Gesetz vom 24. April 2008[7] über die Haftung des Kantons und der Gemeinden.

Protokolldaten dienen ausschliesslich der Datensicherheit und zur Sicherstellung eines ordnungsgemässen Betriebes, zu Zwecken der Datenschutzkontrolle und der IT-Revision. Sie werden nicht für eine präventive Verhaltens- oder Leistungsbewertung verwendet.

Die Protokollierung berücksichtigt die kantonalen Erlasse zu Datenschutz und Informationssicherheit und weitere Bestimmungen zur Aufbewahrung von Dokumenten.

Die von der Generalsekretärin bzw. dem Generalsekretär, der Landschreiberin bzw. dem Landschreiber, der Leitungen der Finanzkontrolle und der Aufsichtsstelle Datenschutz, der Ombudsperson und der Gerichtsverwaltung bezeichneten Stellen prüfen periodisch eine summarische, anonyme Auswertung (ohne Rückschluss auf bestimmte Personen) der Benutzung der Systeme, der Anwendungen, der Netzwerke, des E-Mail-Verkehrs, des Fernzugriffs und des Internetzugangs sowie die auf den Servern abgelegten Datenbestände. *

Ergibt sich aus der Überprüfung ein Verdacht auf Verstoss gegen dieses Reglement, so bleiben angemessene personenbezogene Prüfungen vorbehalten.

Eine präventive personenbezogene Kontrolle ist nicht erlaubt.

Wird aufgrund der personenbezogenen Prüfung ein Missbrauch festgestellt, wird die zuständige Dienststelle bzw. die Strafverfolgungsbehörde informiert.

Die vorgesetzte Person darf die geschäftlichen Daten überprüfen, soweit dies für ihre Aufsichtstätigkeit notwendig ist. Besondere Geheimhaltungsbestimmungen sowie die Bestimmungen über das Amtsgeheimnis bleiben vorbehalten.

Das Benutzungsreglement Informatik-Mittel vom 17. Dezember 2002[8] wird aufgehoben.

Dieses Reglement tritt am 1. Januar 2015 in Kraft.