Hoe ver mag je gaan om medewerkers te controleren?
Leuk al die medewerkers die op hun eigen devices werken. Maar het gebruik van apps en onveilige netwerken kan ook risicovol zijn voor de waardevolle en gevoelige bedrijfsinformatie. Hoe ver mag je gaan als werkgever om te controleren of je mensen wel veilig digitaal werken?
De verantwoordelijkheid voor security is tweezijdig, vindt Bouke van Kleef, directeur van AVK Innovatie en onafhankelijk adviseur over Het Nieuwe Werken. Zowel de werkgever als de werknemer moeten verantwoordelijkheid nemen.
Voorwaarden stellen
Als je als werknemer graag op je eigen apparaat wilt werken, mag je verwachten dat jouw organisatie daar wel voorwaarden aan stelt. Zoals het goed beveiligen van je device met wachtwoord en of pin. “Als dat niet zo is, en je tablet valt in de verkeerde handen dan heeft iemand zomaar toegang tot je werkmail, en de gevoelige informatie daarin”, benadrukt Van Kleef. “Als organisatie mag je dus best wel beleid voeren om je medewerkers te ‘dwingen’ wachtwoorden te gebruiken om hun apparaten te beveiligen wanneer ze gebruik willen maken van de zakelijke faciliteiten.”
Werkgerelateerd
Aan de andere kant heb je zelf als werknemer ook je verantwoordelijkheid om maatregelen te nemen, stelt Van Kleef. “Het is net als bijvoorbeeld bij een privé pc. Je moet thuis je PC voldoende beveiligen. Als de bank kan bewijzen dat je de 5 veiligheidsregels niet hebt nageleefd, zoals goede beveiliging en zorgvuldig handelen, dan heeft de bank geen terugbetaalverplichting wanneer je “slachtoffer” wordt van bankfraude.
Dat geldt ook een beetje bij het werken op je eigen apparaat, stelt Van Kleef. “Je hoort je werkgerelateerd te gedragen. Je moet voorkomen dat alles op straat komt te liggen, dus met een goede beveiliging en wachtwoorden die niet overal het zelfde zijn. Dus werknemer neem je verantwoordelijkheid, en werkgever dwing dat af, maar leg wel uit waarom. Verplicht dat thuiswerkers eerst een pin of wachtwoord moeten invoeren voordat ze hun devicelaten communiceren met de server van het werk.”
Vanuit de werknemers is er een roep om meer flexibiliteit, het werken met eigen apparatuur en het delen van documenten via apps en de cloud. Wat nu als de werkgever daar niet in mee gaat?
Van Kleef: “Als een organisatie zegt “wij ondersteunen de iPad niet” en daar ook geen ander alternatief voor biedt, dan is strategische burgerlijke ongehoorzaamheid wellicht de oplossing tot het bewegen van ICT. Dat is mijn persoonlijke mening. Als de afdeling ICT niets aanbiedt en je werkt niet bij een organisatie met een hoog beveiligingsrisico als de politie of de veiligheidsdienst, dan kan je met duidelijke communicatie je eigen weg zoeken om je doel wel te bereiken. Ik zeg het nu hardop, maar het gebeurt natuurlijk overal al binnenskamers. Bij gemeenten mogen ambtenaren geen dropbox gebruiken, maar je ziet het tot het hoogste niveau wel gebeuren. Documenten delen in de cloud mag niet, maar je ziet het gebruik van Evernote, OneDrive en Google Drive groeien. Kortom, je mag toch verwachten dat de afdeling ICT met de tijd meegaat en dan een goed alternatief biedt.”
Wordt dan wel genoeg uitgelegd waarom de cloud niet mag worden gebruikt?
“Ervoor zorgen dat er in de organisatie een besef leeft van de risico’s van mobiel werken en werken in de cloud is zeker de verantwoordelijkheid van de werkgever. Organisaties laten daar nog wel een steek vallen. Je hoeft niet paranoïde te worden, maar je moet wel weten wat risicovol gedrag inhoudt. Zoals je telefoon niet vergrendelen met een pin, overal het zelfde wachtwoord gebruiken, of zomaar een open Wifi verbinding gebruiken met je zakelijke laptop. Als organisatie mag je dan ook best wel aangeven waarom je bepaalde maatregelen neemt. Maar het moet niet doorslaan.”
Doorslaan? Wat bedoel je daarmee?
“Denk bijvoorbeeld aan MDM tools, mobile device management. Deze tools kun je installeren op je server als werkgever om er vervolgens je beleid mee af te dwingen. Wat mag wel en wat niet op de door de medewerkers gebruikte devices. Zo kan op je privé-apparaat het beleid worden gepushed door de e-mail van het werk in te stellen. Stel dat een vrachtwagenchauffeur zijn privé smartphone heeft gesynchroniseerd. De werkgever kan dan in theorie vanaf kantoor zijn route volgen en zien hoe de reis verloopt. Zakelijk misschien nog uit te leggen, al is dat al erg twijfelachtig. Maar in priv;e tijd iemand (kunnen) volgen is uit den boze. De applicatie maakt standaard geen onderscheid tussen zakelijke tijd en privétijd. Dus de tools registreren ook waar de chauffeur in het weekend is. Het gaat om het verschil van kunnen zien en analyseren. Je moet daar als werkgever voor oppassen. Je begeeft je op zeer risicovol terrein: de privacy. Je koopt de tools met een bepaald doel, zoals apparaten kunnen installeren en beheren, maar dat er standaard zoveel wordt bijgehouden, daar ben je niet altijd van bewust.”
Interview gepubliceerd op 10 april op het platform Over Het Nieuwe Werken en bijbehorende e-zine.
