Inmiddels hebben we de mensen allemaal verteld wat ze moeten doen, we hebben gedragscodes en sanctiebeleid waar ook nog eens voor getekend is. Als we ze dan toch allerlei formulieren laten ondertekenen dan kan de geheimhoudingsverklaring daar ook nog wel bij.
De vraag is daarom:
Wordt door iedere medewerker een geheimhoudingsverklaring ondertekend?
Het lijkt misschien een pure formaliteit en helaas is dat in de praktijk ook veelal het geval. Dat heeft niets te maken met de geheimhoudingsverklaring maar veel meer met het feit dat er nauwelijks gecontroleerd wordt welke informatie er zoal onze organisatie verlaat.
De geheimhoudingsverklaring is er op gericht om stappen te kunnen ondernemen als een werknemer tijdens het dienstverband uit de school klapt. Het merendeel van de medewerkers is zich daar, hopelijk, van bewust en past wel op met wat hij zoal de wereld in slingert. Maar hoe zit het met de informatie nadat de werknemer ontslag heeft genomen of gekregen?
Dan wordt het al een lastiger verhaal en misschien moeten we het ook nuanceren. Natuurlijk willen we niet hebben dat onze vertrouwelijke informatie bij de krant of concurrent terecht komt. We willen niet met onze eigen fouten geconfronteerd worden. Maar hoe zit het nu met die kennis die de werknemer heeft opgedaan?
Dan doel ik niet zozeer op de vertrouwelijke bedrijfsgegevens maar meer op algemene kennis. Hij heeft hopelijk een berg geleerd de afgelopen jaren en hij heeft zich goed ingezet voor de organisatie. Met zijn overstap naar een nieuwe carrière bij een ander bedrijf is hij die kennis niet ineens vergeten. Nemen wij zelf nieuwe medewerkers niet aan op basis van een bepaald denk- en werkniveau? Hoe is dat niveau behaald? Waarschijnlijk door een combinatie van opleiding en werkervaring.
Goed, wat in het hoofd zit van die medewerker wordt dus hergebruikt. En, ach, zolang het onze vertrouwelijke gegevens niet zijn, zullen we daarmee moeten leren leven. Maar hoeveel informatie is in digitale of geprinte vorm meegegaan met die medewerker? En wat vinden we daar dan van?
Stel dat iemand procesmanager is geweest. Zeer waarschijnlijk kan hij de opgedane proceskennis hergebruiken in zijn nieuwe werkomgeving. De procesflows waar hij jaren mee gewerkt heeft hergebruikt hij en herschrijft hij naar de nieuwe omgeving. Vinden we dat erg of accepteren we dat ook? Daar is geen eenduidig antwoord op maar is wel een aspect waar we eens over na moeten denken.
Te vaak zien we dat informatie voor het grijpen ligt. Op intranet staat hele boeiende informatie, op de servers nog meer en dan hebben we het nog niet over de sharepoint omgevingen gehad. Controleren we wel eens wat er met die informatie gebeurt? Weten we wie daarover kan beschikken en wat er mee gebeurt? Weten we hoeveel kopietjes er op USB-sticks worden opgeslagen of via webmail onze organisatie verlaat?
Natuurlijk doen we iets aan autorisatiebeheer, niet iedereen kan dus bij alle informatie. Allemaal leuk en aardig en hartstikke noodzakelijk. Maar deze medewerker is gewoon geautoriseerd, hij moet er immers mee werken. Maar als hij niet meer voor ons wil werken, moeten we dan de controle niet wat opschroeven?
Het hangt natuurlijk allemaal van de cultuur van het bedrijf af. We zijn in Nederland nogal gematigd en als iemand ontslag krijgt of neemt dan mag hij gedurende zijn opzegtermijn nog gewoon alles doen. Een risico, dat zeker. En dat risico wordt alleen maar groter als we weer een aantal befaamde reorganisaties aankondigen. Mensen worden onzeker en gaan vast hamsteren.
Vinden we dat niet erg en accepteren we dat dan is het goed om ons dat te realiseren. Accepteren we dat zeker niet dan zullen we na moeten gaan denken over de wijze waarop we de informatie beter willen monitoren. Een hele opgave, dat zeker, maar goed om niet te lang te wachten…want een volgende reorganisatie kan er zomaar aan komen.