Toestemming voor bedrijfsmiddelen voor het verlaten van het gebouw

Nu we weten hoe we met de bedrijfsmiddelen en attractieve zaken om moeten gaan, kunnen we gaan kijken naar de controle daarop. Dagelijks komen de medewerkers ons gebouw binnen en aan het eind van de dag verlaten ze de werkplek ook weer. Maar welke spullen nemen ze allemaal mee en welke zouden ze mee mogen nemen?

De vraag:
Zijn er maatregelen genomen die er zorg voor dragen dat (kwetsbare, kapitale) bedrijfsmiddelen niet zonder toestemming (registratie) het gebouw verlaten?

De betreffende vraag gaat twee kanten op. Enerzijds wil je niet dat medewerkers allerlei eigen apparatuur meenemen het gebouw in terwijl je aan de andere kant ook niet wil dat de apparatuur van de organisatie zonder toestemming wordt meegenomen.

Laten we eerst inzoomen op de eigen apparatuur van medewerkers. Hoe vaak zien we de waterkokers en Senseo-apparaten niet in de vensterbank staan? Dat mag dan misschien onschuldig lijken, maar weten we zeker dat onze stroomvoorziening die apparatuur ook allemaal aan kan? Houden we er rekening mee dat een medewerker aan het eind van de dag kan vergeten om het apparaat uit te zetten? Geeft dat geen extra risico’s voor brand en kortsluiting? Prima als het binnen onze organisatie is toegestaan om dergelijke apparatuur mee te nemen, maar dan moeten we wel de risico’s onderkennen en daar misschien wat mee doen.

Tot zover de waterkokers en koffiezetautomaten. Die staan we misschien toe. Maar mag een medewerker dan ook zijn eigen laptop meenemen en daar onze bedrijfsgeheimen op opslaan? Misschien roepen we nu volmondig: “nee”. Maar er ontstaat een nieuw principe dat we “bring-your-own” noemen. Dat houdt zoveel in als dat de medewerker maar lekker zelf moet zorgen voor zijn laptop.

Op zich helemaal geen probleem, het heeft alleen impact op de soort en de hoogte van de risico’s. Kwestie van een risico analyse uitvoeren en de juiste maatregelen nemen en eventuele beveiligingsmiddelen aan de medewerkers beschikbaar stellen. De 2.0 Security Manager ziet het als een uitdaging en denkt graag met de organisatie mee.

Naast het meebrengen van eigen apparatuur willen we natuurlijk ook voorkomen dat medewerkers apparatuur mee naar buiten nemen. Ze mogen dan een laptop hebben (liefst met een geleideformulier of iets dergelijks) maar andere apparatuur moet misschien wel gewoon in ons gebouw blijven. De laptop is voorzien van encryptiesoftware dus de informatie daarop is goed beveiligd. Maar wat als de informatie is opgeslagen op USB-sticks of externe harde schijven? Is die informatie ook goed beveiligd?

Vertrouwen is goed, controle is beter. Als we dus willen voorkomen dat bedrijfsmiddelen ons gebouw verlaten dan zullen we dat ook moeten controleren. Leuk dat we formulieren en een dikke administratie voeren, maar als we het nooit controleren dan heeft dat weinig zin. Bij controles geldt dan weer dat we de medewerkers daarvan op de hoogte moeten stellen en de kans is groot dat we even langs de OR moeten om zaken formeel te regelen.

We willen natuurlijk niet als politie agent gezien worden. We doen het dan ook niet om de medewerkers terecht te kunnen stellen. Nee, we doen het vanuit de optiek van de organisatie. Willen we dat het slaagt dan zorgen we er eerst voor dat een medewerker zijn werk zo makkelijk mogelijk kan doen, is dat gelukt dan is er helemaal geen noodzaak meer om bedrijfsmiddelen mee het gebouw uit te laten.

Bewaartermijnen

Degene die naar aanleiding van de titel verwachten dat ik hier de wettelijke bewaartermijnen overzichtelijk weer ga geven moet ik teleurstellen. Kijkend naar risicomanagement is dat een te groot risico, ik kan zomaar een verkeerde termijn noemen waardoor jij in de problemen komt. Nee, we gaan in op het feit dat we deze termijnen moeten achterhalen en dat we keuzes moeten maken over de informatie die we wel en niet bewaren.

De vraag is daarom:
Zijn de bewaartermijnen (wettelijke, organisatie vastgestelde) voor de verschillende soorten informatie vastgelegd?

Organisaties beschikken over meer en meer informatie (of eigenlijk gegevens), opslaggeheugen kost nog maar een schijntje van wat het vroeger kostte dus we zijn in staat om meer en meer informatie te bewaren tot het einde der tijden. Toch moeten we ons realiseren dat we niet alle informatie onbeperkt moeten willen bewaren en dat er aan de andere kant eisen zijn voor het bewaren van delen van de informatie.

Zo gelden er voor financiële gegevens bijvoorbeeld minimale bewaartermijnen (bijvoorbeeld vanuit de belastingdienst) terwijl er voor het bewaren van privacygevoelige gegevens eerder maximale bewaartermijnen bestaan (bijvoorbeeld vanuit de Wet Bescherming Persoonsgegevens). Op beide aspecten zie je het in de praktijk nog wel eens verkeerd gaan.

De informatie die we moeten bewaren wordt te kort bewaard, de informatie die we juist niet mogen bewaren wordt te lang bewaard. We zullen dus eerst moeten achterhalen welke bewaartermijnen voor welke delen van de informatie gelden (en dat is vaak makkelijker gezegd dan gedaan omdat regelgeving ook nog eens tegenstrijdig kan zijn, hoe gaan we bijvoorbeeld om met privacygevoelige financiële gegevens?). Hebben we die termijnen bepaald dan moeten we er ook nog voor zorgen dat deze daadwerkelijk gehaald worden.

We zullen dus voor voldoende opslag moeten zorgen voor die gegevens die we langer moeten bewaren en moeten er voor zorgen dat informatie die slechts kort bewaard mag worden zichzelf vernietigd na de houdbaarheidsdatum. Op technisch gebied is tegenwoordig veel mogelijk en we kunnen grote delen daarvan automatiseren. Een hele geruststelling. “Storage” is een heel vakgebied tegenwoordig en een goede leverancier zal je graag helpen bij de technische inrichting, de werking kan zo beter gegarandeerd worden.

De keuzes die we moeten maken en de wet- en regelgeving die op ons van toepassing is, kun je echter niet zomaar bij je leverancier neerleggen. Waarschijnlijk kan hij je daar wel over adviseren, maar de knoop doorhakken moeten we toch echt zelf doen, zeker voor die delen waarvoor geen wettelijke eisen zijn.

Google maar eens op bewaartermijnen, genoeg informatie te vinden en ook daar wordt al snel onderscheid gemaakt in administratieve gegevens en persoonsgevoelige gegevens waar we vanuit wetgeving iets mee moeten. Voor de andere gegevens, waar geen regels voor gelden, moeten we zelf bepalen hoe lang we die willen bewaren. De kunst daarbij is om het optimum te vinden tussen de bewaartermijn enerzijds en de kosten voor opslag anderzijds.

Bewaartermijnen en opslag van dergelijke gegevens. Een vakgebied op zich waar zeker beveiligingsaspecten aanzitten. Daarnaast willen we natuurlijk de informatie ook nog overzichtelijk houden voor onze medewerkers want als die eenmaal gaan werken met verouderde gegevens dan kan ons dat in grote verlegenheid brengen. Bewaren we de informatie onrechtmatig (te kort of te lang) dan moeten we maar snel schakelen met de juridische afdeling, we willen geen claims aan onze broek, toch?