Na ons uitstapje van gisteren, waarbij we het artikel van Computable nog even onder de aandacht brachten, gaan we vandaag weer door met onze uitgebreide vragenlijst op het gebied van informatiebeveiliging. We zijn daarbij aanbeland bij het onderwerp dat ingaat op aanvullende instructies en geheimhoudingsverklaringen.
De vraag die hierbij hoort is:
Zijn er voor medewerkers die veel met vertrouwelijke informatie te maken krijgen aanvullende instructies opgesteld waaronder een geheimhoudingsverklaring?
Over de vertrouwelijke informatie en de omgang daarmee hebben we het vorige week ook al gehad. Toch is het belangrijk om te onderkennen dat we een basisinstructie moeten hebben voor mensen die zelden in contact komen met vertrouwelijke informatie. Zij moeten snel overzicht hebben in wat er van hen verwacht wordt.
Maar voor die medewerkers die vaker in contact komen met vertrouwelijke informatie kan het wenselijk zijn om uitgebreidere instructies ter beschikking te stellen. Uiteraard hierbij weer de gedachte dat het gaat om kennis, houding en gedrag. Alleen papiereninstructies zijn dus slechts de eerste stap, we moeten ervoor zorgen dat de houding en het gedrag daarop aangepast wordt.
Niet de instructies over de schutting gooien dus, maar met de medewerkers in gesprek gaan. Hen toelichten wat vertrouwelijke informatie is, welke mogelijke schade er kan ontstaan na een incident, waarom we dat zo graag willen voorkomen en wat hun rol daarbij is. Daarop aansluitend moeten we ze natuurlijk ook de middelen geven om het veilig werken mogelijk te maken.
Schrijven we bijvoorbeeld voor dat vertrouwelijke informatie op een versleutelde USB-stick mag worden opgeslagen. Dan moeten we ze die stick ook ter beschikking stellen. En dan niet een stick met 64mb, maar een die een beetje moderner is, zodat we ook echt informatie kwijt kunnen.
Train de medewerkers die veel in contact komen met vertrouwelijke informatie en leg hen uit waarom we daar nu eigenlijk zo moeilijk over doen. Betrokkenheid en verantwoordelijkheid creëren, dat is het advies.
Zo, de medewerkers weten nu wat er van hen verwacht mag worden en theoretisch houden ze zich daar allemaal ook nog aan. Onze informatie komt niet meer op straat…toch?
Maar we hebben nu een goede band met die medewerker, wij betalen zijn salaris en daarvoor mogen we wat terug verwachten. Maar wat als de concurrent besluit een mooie transfersom te willen betalen voor de medewerker? Vertrekt onze informatie dan ook naar de concurrent? Hopelijk hebben we, juridisch correcte, geheimhoudinsverklaringen en staat de handtekening van de medewerker daar ook nog onder.
Op papier zal hij of zij de informatie dus niet verder verspreiden, dat mag immers niet. Maar, vertrouwen is goed, controle is beter. Bij uitdiensttreding bedanken we de medewerker voor gedane zaken maar we wijzen hem ook nog even op de geheimhoudingsverklaring. Wederom theoretisch prima, maar nu moeten we ook nog controleren of de informatie niet op een onverklaarbare wijze ons netwerk verlaat.
Willen we dat een geheimhoudingsverklaring ook echt zin heeft dan moeten we de informatie monitoren. Voor de digitale informatie is dat met allerlei technische middelen tegenwoordig goed in te richten (onderschat het niet, want het is zeker geen makkelijke opgave). Maar de kennis die in het hoofd van de medewerker zit is moeilijker geheim te houden. Misschien moeten we wel concluderen dat we alleen maar kunnen hopen dat de echt geheime informatie geheim blijft…dan helpt het als we op een prettige manier afscheid nemen van de medewerker.
Een groot risico bij reorganisaties is dat de geheimhoudingsverklaringen aan alle kanten geschonden worden. De medewerker is gefrustreerd en de informatie verlaat aan alle kanten de organisatie. Uitdaging daarbij is dat digitale informatie niet weg is als het gelekt is. Er kan immers een kopie gemaakt zijn. Diefstal van een laptop zullen we nog wel ontdekken (toch?), diefstal van informatie is al een stuk ingewikkelder.
Ik wil je zeker niet ontmoedigen, want we moeten er zeker goed naar kijken, maar we moeten ook realistisch blijven en accepteren dat hier risico’s zijn die we echt niet allemaal af kunnen dekken.