Helft IT-managers steelt bedrijfsgegevens bij ontslag

Ik kan me herinneren dat we het er in het verleden ook al eens over gehad hebben en hoewel ik de exacte cijfers niet helder meer voor ogen heb, is er gevoelsmatig niet zoveel veranderd de afgelopen jaren.

De helft van de IT-mangers die weet dat ze morgen ontslagen worden, neemt bedrijfsgegevens mee, zoals wachtwoorden en klantgegevens. Dat blijkt uit onderzoek onder 820 IT-managers in Amerika en Europa. Verder blijkt dat 45% van de managers toegang tot informatie op systemen heeft die niet nodig voor de dagelijkse werkzaamheden is (bron).

In tijden van reorganisaties zijn dit soort berichten goed om te delen. Helaas zullen we afscheid moeten nemen van een aantal medewerkers en daarbij proberen we (hopelijk) zo sociaal mogelijk met ze om te gaan. Het is immers allemaal al vervelend genoeg.

Toch zien we dat er te weinig rekening wordt gehouden met de rechten die die medewerkers hebben en de informatie waar ze bij kunnen. Voor je het weet is een deel van jouw vertrouwelijke informatie gekopieerd of gemanipuleerd. Voor je het weet zijn er bestanden weg die op de “persoonlijke” harde schijven van de medewerkers stonden.

Ook bij dergelijke reorganisaties moet je goed kijken naar de risico’s en de bedrijfscontinuïteit. Helaas gebeurt dat nog niet of slechts minimaal. Er wordt gekeken naar de grote hoop mensen en daarvan moet er van een bepaald percentage afscheid worden genomen. Je kunt vaak al je vraagtekens zetten bij hoe de daadwerkelijke selectie plaatsvind, maar dat is meer een managementprobleem dan een security issue.

Juist als we weten dat er onzekerheid gaat ontstaan in de organisatie zullen we de controles aan moeten scherpen. Maar helaas bezuinigen we meestal eerst op die controles en/of controleurs. Zij leveren immers al helemaal geen directe bijdrage aan de omzet en winst. Nee, sterker nog, zij zijn een directe kostenpost waar we op kunnen bezuinigen.

Ja, dan vraag je er als organisatie natuurlijk ook wel om. Toch is er maar weinig bekend over de echte schade die organisaties hiermee lopen. En ik denk dat die ook moeilijk in echte Euro’s (of Dollars in dit geval) is uit te drukken. Je zou je als organisatie af moeten vragen hoeveel klanten je bent verloren na je reorganisatie, hoeveel de omzet (relatief) is gedaald en welke informatie allemaal niet meer beschikbaar is. Maar of je daar een echt antwoord op zult vinden is de vraag.

Zaak is wel om, juist in tijden van reorganisatie en onzekerheid, goed de risico’s in de gaten te houden en de controles op te schroeven…maar, eerlijk is eerlijk: dat lijkt tegen dovemansoren gezegd want in de praktijk bezuinigen we daar eerst maar eens op.

Geheimhoudingsverklaring

Inmiddels hebben we de mensen allemaal verteld wat ze moeten doen, we hebben gedragscodes en sanctiebeleid waar ook nog eens voor getekend is. Als we ze dan toch allerlei formulieren laten ondertekenen dan kan de geheimhoudingsverklaring daar ook nog wel bij.

De vraag is daarom:
Wordt door iedere medewerker een geheimhoudingsverklaring ondertekend?

Het lijkt misschien een pure formaliteit en helaas is dat in de praktijk ook veelal het geval. Dat heeft niets te maken met de geheimhoudingsverklaring maar veel meer met het feit dat er nauwelijks gecontroleerd wordt welke informatie er zoal onze organisatie verlaat.

De geheimhoudingsverklaring is er op gericht om stappen te kunnen ondernemen als een werknemer tijdens het dienstverband uit de school klapt. Het merendeel van de medewerkers is zich daar, hopelijk, van bewust en past wel op met wat hij zoal de wereld in slingert. Maar hoe zit het met de informatie nadat de werknemer ontslag heeft genomen of gekregen?

Dan wordt het al een lastiger verhaal en misschien moeten we het ook nuanceren. Natuurlijk willen we niet hebben dat onze vertrouwelijke informatie bij de krant of concurrent terecht komt. We willen niet met onze eigen fouten geconfronteerd worden. Maar hoe zit het nu met die kennis die de werknemer heeft opgedaan?

Dan doel ik niet zozeer op de vertrouwelijke bedrijfsgegevens maar meer op algemene kennis. Hij heeft hopelijk een berg geleerd de afgelopen jaren en hij heeft zich goed ingezet voor de organisatie. Met zijn overstap naar een nieuwe carrière bij een ander bedrijf is hij die kennis niet ineens vergeten. Nemen wij zelf nieuwe medewerkers niet aan op basis van een bepaald denk- en werkniveau? Hoe is dat niveau behaald? Waarschijnlijk door een combinatie van opleiding en werkervaring.

Goed, wat in het hoofd zit van die medewerker wordt dus hergebruikt. En, ach, zolang het onze vertrouwelijke gegevens niet zijn, zullen we daarmee moeten leren leven. Maar hoeveel informatie is in digitale of geprinte vorm meegegaan met die medewerker? En wat vinden we daar dan van?

Stel dat iemand procesmanager is geweest. Zeer waarschijnlijk kan hij de opgedane proceskennis hergebruiken in zijn nieuwe werkomgeving. De procesflows waar hij jaren mee gewerkt heeft hergebruikt hij en herschrijft hij naar de nieuwe omgeving. Vinden we dat erg of accepteren we dat ook? Daar is geen eenduidig antwoord op maar is wel een aspect waar we eens over na moeten denken.

Te vaak zien we dat informatie voor het grijpen ligt. Op intranet staat hele boeiende informatie, op de servers nog meer en dan hebben we het nog niet over de sharepoint omgevingen gehad. Controleren we wel eens wat er met die informatie gebeurt? Weten we wie daarover kan beschikken en wat er mee gebeurt? Weten we hoeveel kopietjes er op USB-sticks worden opgeslagen of via webmail onze organisatie verlaat?

Natuurlijk doen we iets aan autorisatiebeheer, niet iedereen kan dus bij alle informatie. Allemaal leuk en aardig en hartstikke noodzakelijk. Maar deze medewerker is gewoon geautoriseerd, hij moet er immers mee werken. Maar als hij niet meer voor ons wil werken, moeten we dan de controle niet wat opschroeven?

Het hangt natuurlijk allemaal van de cultuur van het bedrijf af. We zijn in Nederland nogal gematigd en als iemand ontslag krijgt of neemt dan mag hij gedurende zijn opzegtermijn nog gewoon alles doen. Een risico, dat zeker. En dat risico wordt alleen maar groter als we weer een aantal befaamde reorganisaties aankondigen. Mensen worden onzeker en gaan vast hamsteren.

Vinden we dat niet erg en accepteren we dat dan is het goed om ons dat te realiseren. Accepteren we dat zeker niet dan zullen we na moeten gaan denken over de wijze waarop we de informatie beter willen monitoren. Een hele opgave, dat zeker, maar goed om niet te lang te wachten…want een volgende reorganisatie kan er zomaar aan komen.

Supermarkt aangeklaagd wegens camera op toilet

Ja hoor, daar gaan we weer.

Een vestiging van de Amerikaanse supermarktketen Wallmart is door het eigen personeel aangeklaagd wegens het plaatsen van een camera op het toilet, waar zowel werknemers als klanten kwamen. De camera zou al in maart 2008 zijn geinstalleerd, om diefstal door personeel te monitoren (bron).

Opvallend overigens. De strakkere regels met de bodyscan, waarbij veiligheid boven privacy gaat, gaan hier dus blijkbaar niet op. En nee, ik ben geen voorstander van camera’s op een toilet, maar het is toch op zijn minst opvallend dat overheden er wel voor mogen kiezen om veiligheid boven privacy te laten gaan, terwijl bedrijven dat niet mogen?

Meer en meer neemt de overheid controle over de maatschappij. Een enge gedachte als je het mij vraagt.

Gelukkig heeft Wallmart passende maatregelen genomen. Niet alleen zijn de twee medewerkers die de camera installeerden ontslagen maar ook van de in totaal zeven voormalige en huidige werknemers die een klacht tegen de supermarkt indiende zijn er drie van hen ontslagen omdat ze bij het management over de video surveillance klaagden.

Wallmart medewerkers let op: vooral niet klagen als je baas de wet overtreedt, je kunt er zomaar voor ontslagen worden. In de Amerikaanse cultuur denk ik dat die medewerkers een goede kans maken als ze Wallmart aanklagen, hoeven ze voorlopig niet meer te werken.