copyright (OS)Intelink 2014
1
INTELINK & OSINTELINK 2014 All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted, in any form or by any means, electronic, mechanical, photocopying, recording or otherwise, without the written permission of INTELINK and OSINTELINK.
2
pagina
Theorie Hoofdstuk 1
Inleiding & Aanleiding
6
Hoofdstuk 2
Een aantal definities
8
Hoofdstuk 3
De Mens
10
3.1 De zwakste, maar meest vergeten schakel in informatiebeveiliging
10
3.2 Incorrecte perceptie en behandeling leidt tot informatielekkage
12
Waarom is informatielekken een probleem
13
4.1 Wat is de oorzaak van een lekincident
13
4.2 Onderzoek naar de oorzaken van lekincidenten
14
4.3 Samenvatting: Oorzaken van lekincidenten
16
Het onbewust lekken van bedrijfsvertrouwelijke informatie
17
5.1 Intuïtie
17
5.2 Het beoordelen van bedrijfsvertrouwelijke informatie
18
5.3 Het behandelen van bedrijfsvertrouwelijke informatie
21
5.4 De relatie tussen beoordeling en behandeling
23
Hoofdstuk 4
Hoofdstuk 5
3
Gevolgen van het lekken van bedrijfsvertrouwelijke informatie
24
6.1 Persoonlijke gevolgen en gevolgen voor de organisatie
24
6.2 Persoonlijke gevolgen
25
6.3 Gevolgen voor de organisatie
26
6.4 Nationale gevolgen
27
6.5 Directe vs Indirecte gevolgen
27
6.6 Onderzoek naar de gevolgen van lekincidenten
28
6.7 Samenvatting: Oorzaken van lekincidenten
29
Inleiding & Aanleiding
30
1.1 Welke rol speel je zelf in het onbewust lekken van bedrijfsvertrouwelijke informatie?
30
1.2 Offline Footprint
31
1.3 Online Footprint
36
Hoofdstuk 2
Voorbeelden uit de Praktijk
41
Hoofdstuk 3
Tips voor de bescherming van bedrijfsvertrouwelijke informatie
43
3.1 Tips voor de werknemer
43
Vervolgonderzoek informatielekken in de Rotterdamse Haven i.s.m. Deltalinqs
45
Lekincidenten in de Rotterdamse Haven
46
Beoordeling en Behandeling bedrijfsvertrouwelijke informatie op basis van intuïtie.
48
Hoofdstuk 6
Praktijk Hoofdstuk 1
BIJLAGE
4
5
Zeventig procent van de Nederlandse werknemers lekt onbewust bedrijfsvertrouwelijke informatie. Dat blijkt uit een landelijk onderzoek dat werd verricht door Intelink in samenwerking met de Universiteit van Tilburg. Ook in de Rotterdamse haven is er regelmatig sprake van het onbewust verspreiden van vertrouwelijke gegevens. Om dit probleem te voorkomen moet bewustwording hiervan worden ingebed in de processen van de werknemers. Begin februari 2010 kwam in de media dat contactgegevens van 170.000 werknemers en contractanten van Shell waren uitgelekt naar milieuorganisaties. Oud-medewerkers zouden deze informatie bewust hebben gelekt. Ook vanaf begin 2010 maakte WikiLeaks bewust diverse staatsgeheimen openbaar. Eind vorig jaar, december 2011 verscheen een bericht in de pers dat personeel van BASF Antwerpen regelmatig pornosites zou bezoeken en tijdens de werktijden veel gebruik zou maken van sociale netwerken als Twitter, Facebook, Netlog en YouTube. Door de opkomst van social media, bereikt – nu misschien nog meer dan ooit – bedrijfsgevoelige informatie doelbewust of onbedoeld de pers, wat kan leiden tot negatieve gevolgen voor het bedrijf. Denk aan imagoschade, omzetverlies, omzetpotentieverlies en dergelijke. Bedrijven investeren daarom veel in harde beveiliging als ICT-investeringen, toegangspoorten, -codes en -badges en dergelijke om hun bedrijf up-to-date te houden en ‘indringers’ op afstand te houden. Maar als er wordt gelekt, gebeurt dit vaak ook onbewust. Dat blijkt uit een landelijk onderzoek dat werd verricht door Intelink in samenwerking met de Universiteit van Tilburg. Vijftig procent van de Nederlandse werknemers lekt onbewust bedrijfsvertrouwelijke informatie. Bijna negentig procent van deze ondervraagden heeft dit zelf al eens meegemaakt in zijn of haar werkomgeving. ‘Bij een informatielek wordt vaak gedacht aan een fout in de technische beveiliging van informatie. Het is terecht dat dit gebeurt aangezien er veel dreigingen zijn, maar hierdoor wordt vaak een schijnveiligheid gecreëerd. De menselijke factor wordt over het hoofd gezien. Je kunt niet voorkomen dat iemand kwaadwillend informatie naar buiten brengt, maar onbewust informatie naar buiten brengen is te voorkomen.
6
In 2012 en 2013 is Intelink samen met de Universiteit van Tilburg gestart met een onderzoek naar het onbewust lekken van bedrijfsvertrouwelijke informatie. De afgelopen maanden is Intelink – als vervolg op dit landelijke onderzoek – samen met Deltalinqs een onderzoek gestart in de Rotterdamse haven. In dit havenonderzoek lag de focus op de menselijke factor en het onbewuste, met daarnaast havenspecifieke elementen. Denk hierbij aan het internationale karakter met internationale medewerkers en een vrij hoog verloop. ‘Eén van de opmerkelijke resultaten van zowel het landelijke onderzoek als de eerste resultaten van het onderzoek in de Rotterdamse haven is dat men bij het bepalen van de waarde van bedrijfsvertrouwelijke informatie en de behandeling ervan vooral uitgaat van de eigen intuïtie. Meer dan tachtig procent van de ondervraagden gebruikt intuïtie. Dat is een erg nobel streven, maar wie zegt dat je intuïtie volgen de juiste manier is? Uit de resultaten van beide onderzoeken blijkt juist dat wie zijn intuïtie hierin volgt, meestal door de mand valt. De havenmedewerkers zakken zelfs nog iets harder door het ijs dan wat de landelijke resultaten laten zien.’ In het onderzoek is de perceptie en behandeling van informatie getoetst aan de hand van concrete situatievragen. Een voorbeeld: ‘Een student werkt twaalf uur per week bij een callcenter van een energiebedrijf waar hij vragen en klachten van klanten behandelt. De klachten van de klanten slaat hij op in een elektronisch dossier met vermelding van klantgegevens, aard van klacht en dergelijke. Uit de eerste resultaten van het havenonderzoek blijkt dat ongeveer 78 procent van de ondervraagden vindt dat dit klachtendossier niet bedrijfsvertrouwelijk is. Dit is erg opvallend en confronterend. Je moet als werknemer kunnen terugvallen op richtlijnen rond vertrouwelijkheid die de organisatie heeft opgesteld, en niet op intuïtie.’
Hoewel intuïtie vaak (verkeerd) wordt gebruikt, zijn de werknemers zich daarentegen wel bewust dat er wordt gelekt. Op de vraag of ze weet hebben van het lekken van bedrijfsvertrouwelijke informatie geeft ongeveer 87 procent een bevestigend antwoord. ‘Uit vervolgvragen blijkt dat dit meestal onbedoeld wordt veroorzaakt door een interne collega (74% in haven, 56% landelijk) en niet door externen of leveranciers van buitenaf.’ ‘Wat daarnaast eveneens zorgwekkend is, is dat 57 procent (havencijfer) van de panelleden aangeeft spijt te hebben van het onbewust lekken en 76 procent (havencijfer) geeft aan dat de ander nooit over deze informatie had mogen beschikken. Dit geeft een indicatie over de ernst van de lekken.’ Er is bovendien geen onderscheid te maken tussen de functie die de ondervraagden binnen een organisatie uitoefenen. ‘Managers spelen een grote rol in het voorkomen van onbewust lekken, maar tegelijkertijd zijn zij ook medewerker. Ook zij zijn zich niet altijd bewust van de informatie of de vertrouwelijkheid van de informatie waarmee ze werken en de impact van het naar buiten brengen van die informatie. Managers wisselen ook vaker van werkgever. De doorlooptijd binnen deze groep 7
is relatief hoog terwijl de laag eronder iets loyalere werknemers zijn. Ze hebben een kortere houdbaarheidsdatum.’
Deze uitgave biedt organisaties en werknemers handvatten die ze helpen bewust te worden van het werken met bedrijfsvertrouwelijke informatie. Uiteraard zijn deze handvatten ter beoordeling en behandeling van bedrijfsvertrouwelijke informatie bruikbaar in toekomstige rollen die medewerkers binnen diverse organisaties zullen vervullen.
8
Informatie Informatie is een alomvattend begrip en wordt vaak verkozen ter vervanging van de woorden kennis en data. Omdat er wel degelijk verschil tussen deze drie begrippen en dat ook van belang is bij het lekken van informatie wordt er nu toch onderscheid in gemaakt. In het verdere boek zal er gebruik worden gemaakt van de term informatie. Wanneer deze term wordt gebruikt, omvat het zowel data, informatie als kennis.
Data Data is de weergave van getallen, hoeveelheden, grootheden of feiten. Deze gegevens worden vaak ‘hard’ genoemd, omdat er bijna niet aan getwijfeld kan worden. Denk hierbij bijvoorbeeld aan het gegeven: 17 graden Celsius. Informatie, daarentegen, is zachter. Het ontstaat wanneer iemand betekenis aan de data geeft. Informatie is bijvoorbeeld het weerbericht, waarin weerman of -vrouw betekenis toekent aan de data eerder verzameld of gezien. Kennis wordt omschreven als: ‘dat wat iemand in staat stelt een bepaalde taak te vervullen door het situatieafhankelijk selecteren, interpreteren en waarderen van informatie’ (Weggeman, 1997). Kennis wordt vaak gezien als dat wat iemand weet en is opgeslagen in de hoofden van mensen. Het is de samenvoeging van informatie, ervaringen, vaardigheden en attituden (Weggeman, 1997). In het voorbeeld van het weerbericht, kan een persoon besluiten bepaalde kleding aan te trekken.
Kennis Kennis is uit te splitsen in expliciete en impliciete kennis (Boekhof, Ligthart, Vinkenburg & Volz, 1996, Nonaka & Takeuchi, 1995). Expliciete kennis is kennis dat gecodificeerd is en daarmee makkelijk overgedragen kan worden aan iemand anders. Impliciete kennis is kennis dat niet goed te delen is met anderen, bijvoorbeeld: intuïties, ingevingen en voorgevoelens.
Informatielekkage Informatielekkage is het verlies van vertrouwelijke informatie aan de “onvertrouwelijke” omgeving. Het verwijst naar een incident waarbij de vertrouwelijkheid van de informatie wordt geschonden (Information Security Forum, 2007). Dit betekent dat er informatie bij iemand terecht komt, die niet over deze informatie niet zou mogen beschikken.
Bedrijfsvertrouwelijke informatie Bedrijfsvertrouwelijke informatie is gevoelige informatie voor de organisatie die een bepaalde vorm van beveiliging behoeft (Spirovski, 2010). Om duidelijk te maken welke informatie bedrijfsvertrouwelijk is en dus door het lekken ervan schade kan toebrengen aan de organisatie, is in dit onderzoek de informatie in de categorieën Persoonlijk, Strategisch en commercieel en Beveiliging. In tabel 1 zijn een aantal voorbeelden genoemd.
9
Categorieën Persoonlijk
Strategisch / Commercieel
Beveiliging
Voorbeelden Namen Geboortedata Creditcardgegevens Patiënt gebonden informatie Management Informatie Klantenlijsten Onderzoeksdocumenten Marketing- /product- / procesplannen Financiele gegevens( budgetten) Beveiligingsmaatregelen (codes, passwords)
tabel 1: Vormen van bedrijfsvertrouwelijke informatie (GAO, 2010 and Minier, 2004)
10
Veel bedrijven zijn beschermd tegen het lekken van informatie via IT-voorzieningen en via bepaalde processen (Ashenden, 2008). Alleen bestaat er nog een groot risicofactor bij het lekken van bedrijfsvertrouwelijke informatie: de mens. Volgens Kosutic is IT-beveiliging maar 50% onderdeel van het gehele informatie beveiliging. Het lekken van informatie veroorzaakt door de mens in de organisatie wordt hierin vaak vergeten.
afbeelding 1: Interne en externe bedreigingen (Echoworx, 2010)
Zoals in de afbeelding hierboven te zien is, vormen zowel internen als externen van de organisatie een bedreiging voor de bedrijfsvertrouwelijke informatie. Hiernaast bestaat er nog een overlapping van deze twee groepen. Deze groep kan zowel als intern als extern worden beschouwd.
11
Internen Internen zijn personen werkzaam binnen de organisatie. Doordat zij geautoriseerde toegang hebben tot alle informatie binnen de organisatie, vormen zij een grote bedreiging voor bedrijfsvertrouwelijke informatie. Zij kunnen bewust en onbewust deze informatie lekken. Als een medewerker bewust informatie lekt, heeft hij het besef dat hij het doet voor de daad. Hij doet het dus met kwaadwillende opzet. Voorbeelden hiervan zijn: - Het verkopen of weggeven van documenten aan derden; - Het vertellen van belangrijke ontwikkelingen binnen de organisatie aan de pers. Bij het onbewust lekken van informatie, doet de medewerker dit zonder het besef voor de daad. Degene doet het dus onbedoeld. Voorbeelden hiervan zijn: - Documenten op de printer laten liggen die vertrouwelijke bedrijfsinformatie bevatten; - Het niet-gescheiden verwerken van bedrijfsvertrouwelijk afval; - Het versturen van een e-mail met bedrijfsvertrouwelijke informatie naar een verkeerde ontvanger; - Verlies van gegevensdragers als een laptop of een usb-stick; - Plaatsen van details over zakelijke activiteiten op een blog of community website als LinkedIn en Facebook; - Een vertrouwelijk gesprek voeren in een restaurant of trein over een geplande overname of reorganisatie (Intelink, 2010); - Het niet uitvoeren van de regels op het gebied van IT-voorzieningen (Homsher, 2010).
Externen Externen zijn personen die niet werkzaam zijn binnen de organisatie, dus buiten de organisatie opereren. Ook externen vormen een bedreiging voor de bedrijfsvertrouwelijke informatie. Externen proberen bewust, dus met opzet, achter bepaalde informatie te komen. Spionage is daar een voorbeeld van. Volgens de Van Dale betekent spionage: ‘het stiekem onderzoeken en achterhalen van geheimen’. Vaak wordt dit door de concurrent gedaan. Daarnaast zijn het hacken van het systeem, het omkopen van medewerkers of het proberen af te pakken van medewerkers en ze aan te nemen bij je eigen bedrijf een bedreiging voor belangrijke informatie van een organisatie.
Zowel intern als extern Verandering in de bedrijfsvoering maken onduidelijk wie intern of extern aan de organisatie is en brengt daarom extra risico’s met zich mee. Bij het outsourcen van bepaalde activiteiten, vormen voormalig buitenstaanders ineens een onderdeel van de organisatie. Zij zullen bijvoorbeeld toegang hebben tot bepaalde bestanden en contact hebben met de medewerkers binnen de organisatie. Ook contracten afgesloten met bepaalde partijen, geven externen toegang tot bepaalde informatie. Ook zij kunnen zowel onbewust al bewust informatie naar de onvertrouwelijke omgeving lekken. Daarnaast vormt de dynamiek in het personeelsbestand een bedreiging voor de beveiliging van bedrijfsvertrouwelijke informatie. Oud-werknemers nemen hun kennis en eventueel belangrijke documenten of bestanden mee naar hun nieuwe werkgever. Zo komt deze informatie gemakkelijk terecht bij de concurrent.
12
Definitie van het lekken van bedrijfsvertrouwelijke informatie door het menselijk handelen Het lekken van bedrijfsvertrouwelijke informatie door het menselijk handelen, kan als volgt gedefinieerd worden: het lekken van bedrijfsvertrouwelijke informatie naar de onvertrouwelijke omgeving, door zowel internen of externen van de organisatie, met of zonder het besef voor de daad van het lekken.
Een incident van het lekken van bedrijfsvertrouwelijke informatie kan zowel door een interne als een externe veroorzaakt worden, bewust of onbewust. Van deze bovenstaande vormen, vormt het intern-onbewust lekken een groot risico. De medewerker is de persoon die toegang heeft tot alle of veel informatie en vormt daarmee ook een risico voor het lekken ervan. Ondanks dit gegeven, zijn nog weinig bedrijven ingespeeld op dit risico (McCue, 2008). Een veel gespeculeerde oorzaak is beschreven in de afbeelding hieronder. Mensen zijn niet bewust van de belangrijkheid van bepaalde informatie en gaan er daarom ook niet bewust mee om. Onopzettelijk en per ongeluk leidt dit dan tot informatielekkage.
Perceptie van de waarde van bedrijfsvertrouwelijke informatie
Behandeling van bedrijfsvertrouwelijke informatie
Lekkage van bedrijfsvertrouwelijke informatie
afbeelding 2: Theoretisch model
13
Tijdens een landelijk en havenonderzoek is aan deelnemers gevraagd of ze wel eens een lekincident hebben meegemaakt en wat hiervan de oorzaken en de gevolgen waren: 17,5% van de panelleden zegt nog nooit een lekincident te hebben meegemaakt. 32% geeft aan dat ze één keer een lekincident hebben meegemaakt en maar liefst 50,2% heeft meerdere malen een lekincident meegemaakt.
Zoals eerder beschreven, kan een incident van het lekken van bedrijfsvertrouwelijke informatie veroorzaakt worden door zowel internen als externen van de organisatie en kan dit bewust of onbewust gebeuren. In zowel het landelijke als havenonderzoek wordt onzorgvuldigheid en het per ongeluk lekken als grootste oorzaak van lekken benoemd. In het landelijke onderzoek kwam tevens naar voren dat arbeidsverhoudingen, arbeidsvoorwaarden en reorganisaties belangrijke oorzaken van lekincidenten waren.
14
In een door Intelink en de Universiteit van Tilburg uitgevoerd onderzoek naar de oorzaken en gevolgen van het lekken van bedrijfsvertrouwelijke informatie, is in ronde 4 van de enquête aan de panelleden gevraagd of ze wel eens een lekincident hebben meegemaakt en wat hiervan de oorzaken en de gevolgen waren: 17,5% van de panelleden zegt nog nooit een lekincident te hebben meegemaakt, 32% geeft aan dat ze één keer een lekincident hebben meegemaakt, 50,2% heeft meerdere malen een lekincident meegemaakt. 97,2% geeft aan dat de veroorzaker van het lekincident een interne van de organisatie is. In 44,3% van de gevallen werd er bewust informatie gelekt en in 55,7 % van de gevallen ging dat onbewust.
tabel 2: Lekincidenten meegemaakt
tabel 3 & 4: Lekincidenten door interne of externe en expres of per ongeluk
15
In onderstaande tabel staat per oorzaak aangegeven hoeveel panelleden deze hebben aangevinkt als een van de oorzaken of als de oorzaak van het lekincident. Opvallend is dat 98,6% van de panelleden hebben aangegeven dat onzorgvuldigheid een van de grootste oorzaken is. Zelfs wanneer een interne bewust informatie heeft gelekt, kan onzorgvuldigheid hieraan ten grondslag liggen. Dit kan verklaard worden doordat ontevreden werknemers minder in het belang van hun werkgever handelen en hierdoor onzorgvuldiger te werk gaan.
tabel 5: Oorzaken van lekincidenten
Daarnaast zijn de arbeidsvoorwaarden, reorganisaties en arbeidsvoorwaarden een belangrijke oorzaak van een lekincident. Dit geeft aan dat de werkgever invloed heeft op het voorkomen van het lekken van bedrijfsvertrouwelijke informatie. Er wordt ook aangegeven dat er een andere belangrijke oorzaak aan het lekincident ten grondslag lag. Deze oorzaak is het zich niet bewust zijn van het belang van de informatie.
16
Intern - bewust Directe oorzaken Ontevredenheid medewerker
Beïnvloedende factoren Werkgerelateerde problemen Niet werkgerelateerde problemen Moraal van de medewerker
Internen - bewust en onbewust Beïnvloedende factoren Economische situatie Bedrijfscultuur Lage loyaliteit (het nieuwe werken) Regionale of nationale cultuur Onvoldoende beleid ten aanzien van informatiebeveiliging
Zowel intern als extern Beïnvloedende factoren Onvoldoende beleid ten aanzien van informatiebeveiliging. Lage loyaliteit
Externen Beïnvloedende factoren Toename concurrentie in de markt Onvoldoende beleid ten aanzien van informatiebeveiliging.
17
In dit hoofdstuk wordt uitgebreid ingegaan op een aanvullende oorzaak van het lekken van bedrijfsvertrouwelijke informatie: het zich niet of onvoldoende bewust zijn van het belang van de informatie en de gevolgen hiervan op de behandeling van bedrijfsvertrouwelijke informatie. Zo blijkt uit onderzoek, dat men bij het bepalen van de waarde van bedrijfsvertrouwelijke informatie en de behandeling ervan vooral uitgaat van de eigen intuïtie
tabel 6: Intuitie bij het beoordelen van bedrijfsvertrouwelijke informatie
tabel 7: Intuitie bij het behandelen van bedrijfsvertrouwelijke informatie
18
Intelink onderzocht of werknemers zichzelf in staat achten adequaat en correct bedrijfsvertrouwelijke informatie te herkennen en dienovereenkomstig te behandelen. Over het algemeen herkent men zich in de stelling dat men redelijk bedrijfsvertrouwelijke informatie op juiste waarde kan inschatten. Maar de hoge standaarddeviatie laat zien dat er een grote verscheidenheid bestaat in de antwoorden. De ene persoon geeft aan dat hij dat niet echt kan, terwijl de ander aangeeft dat hij dat precies weet. Men vindt dus van zichzelf dat hij het uitermate goed of uitermate slecht kan beoordelen;. De situatievragen checken deze uitkomst. In de verschillende opgestelde situaties dienden de panelleden aan te geven of de informatie wel of niet bedrijfsvertrouwelijk was. De uitslag is als volgt:
tabel 8: Foutieve beoordelingen op basis van intuitie
Er blijkt dat bij de eerste drie situaties (werkrooster, productkennis, personeelsdossier) de verschillende vormen van informatie overduidelijk wel of niet vertrouwelijk zijn en dat ook zo is beoordeeld door de panelleden. Het personeelsdossier en kennis over het nieuwe product (situatievragen 1 & 2) zijn duidelijk bedrijfsvertrouwelijk. Alhoewel nog 20 tot 30 procent deze vormen van informatie als niet bedrijfsvertrouwelijk beschouwt. Deze personen vormen een risico voor de organisatie.
19
Het werkrooster (situatievraag 3) wordt duidelijk beoordeeld als niet vertrouwelijk en over het klachtendossier (situatievraag 4) zijn de percepties verdeeld. Het klachtendossier is duidelijk bedrijfsvertrouwelijk, omdat deze naast persoonlijke informatie ook belangrijke informatie bevat over de organisatie, producten en inhoudelijke specificaties. Er bestaan dus grote grijze gebieden bij de beoordeling van bedrijfsvertrouwelijke informatie.
Situatievragen Hieronder worden enkele situaties geschetst, geef aan of u het gevraagde begrip, naar uw eigen inzicht, vertrouwelijk vindt: Situatie 1:
Organisatie X is een bank met veel medewerkers en beschikt daarom over een Personeel
&
Organisatie
verantwoordelijk
voor
het
afdeling.
Medewerkers
aannemen
van
van
personeel,
deze
afdeling
zijn
het
houden
van
functioneringsgesprekken en dergelijke. Gegevens over een personeelslid worden opgeslagen
in
een
dossier,
zoals
het
contract,
het
CV
en
de
functioneringsbeoordeling. Vindt u het personeelsdossier bedrijfsvertrouwelijke informatie? □ Ja □ Nee
Situatie 2:
In bakkerij X werken ze aan een nieuwe formule voor het maken van gezonder brood. Alle medewerkers zijn betrokken bij de ontwikkeling van het nieuwe product. Zij beschikken niet over het document waarin staat hoe het gemaakt moet worden, maar hebben wel de kennis van de formule en wanneer het op de markt gaat komen.
Vindt u de kennis over het nieuwe product bedrijfsvertrouwelijke informatie? □ Ja □ Nee
20
Situatie 3:
Marije werkt in ziekenhuis X als verpleegster. Elke twee weken ontvangt zij een persoonlijk werkrooster met haar werktijden. Daarin staat wanneer zij dag- en nachtdiensten moet draaien en hoeveel uur zij die week moet werken. Voor de rest staat er niets in het werkrooster van Marije weergegeven.
Vindt u het werkrooster van Marije bedrijfsvertrouwelijke informatie? □ Ja □ Nee
Situatie 4:
Een student werkt 12 uur per week bij een callcenter voor een telefoniebedrijf. Hier beantwoordt hij vragen van klanten en handelt hij klachten af. Alle klachten slaat de student op in een elektronisch dossier waarbij er vermeld wordt wie de klacht heeft ingediend, wat de klacht was en hoe deze is opgelost.
Vindt u dit klachtendossier bedrijfsvertrouwelijke informatie? □ Ja □ Nee
21
Bij de toetsing van de behandeling van bedrijfsvertrouwelijke informatie kan dezelfde conclusie getrokken worden als bij de beoordeling van de bedrijfsvertrouwelijkheid. Men is het redelijk eens met de stelling dat deelnemers in staat zijn bedrijfsvertrouwelijke informatie adequaat en correct te behandelen. Ondanks het feit dat men zich goed in staat acht bedrijfsvertrouwelijke informatie correct te behandelen, laat de volgende tabel zien dat een groot aantal van diezelfde panelleden zeer regelmatig onzorgvuldig met bedrijfsvertrouwelijke informatie is omgegaan.
tabel 9: Behandelen van bedrijfsvertrouwelijke informatie op basis van intuitie
Zo heeft 69% van de panelleden wel eens documenten met belangrijke informatie onbeheerd achtergelaten, heeft 78% van de panelleden wel eens een vertrouwelijk, zakelijk telefoongesprek op een openbare locatie gevoerd, heeft 60% wel eens een e-mail met belangrijke informatie naar de verkeerde ontvanger gestuurd, gooit 42% van de panelleden documenten met bedrijfsvertrouwelijke informatie in de prullenbak en heeft 52% van de panelleden een keer een gegevensdrager met bedrijfsvertrouwelijke informatie verloren.
22
Het lekken van bedrijfsvertrouwelijke informatie via social media als LinkedIn, Facebook en Hyves is tevens onderzocht. Van de panelleden geeft 40% aan wel eens een bericht te hebben geplaatst dat bedrijfsvertrouwelijke informatie bevatte.
tabel 10: Behandelen van bedrijfsvertrouwelijke informatie – social media
In het onderzoek is bovendien vier keer en op verschillende manieren aan de panelleden gevraagd of ze wel eens bedrijfsvertrouwelijke informatie aan iemand hebben overgedragen die daar niet over zou mogen beschikken.
tabel 11: Behandelen van bedrijfsvertrouwelijke informatie
23
Bij elke vraag is de verdeling op de antwoorden “ja” en “nee”, ongeveer 50%. Dit betekent dat 50% van de panelleden bij iedere vraag aangeeft bedrijfsvertrouwelijke informatie te hebben gelekt.
Het onderzoek toont aan dat men bij het bepalen van de waarde van de bedrijfsvertrouwelijke informatie en in de omgang met bedrijfsvertrouwelijke informatie uitgaat van de persoonlijke intuïtie in plaats van bestaande of juist ontbrekende regels in de organisatie. Tegelijkertijd wijst het onderzoek uit dat er grote onduidelijkheden bestaan bij medewerkers bij de beoordeling van bedrijfsvertrouwelijke informatie. De enquêtevragen laten zien dat men zichzelf prima in staat acht deze beoordeling correct te doen, terwijl de situatievragen (praktijk) uitwijzen dat dit te vaak incorrect gebeurt. Bovendien wijst het onderzoek uit dat er een positieve relatie bestaat tussen de perceptie van de waarde van bedrijfsvertrouwelijke informatie en de behandeling van bedrijfsvertrouwelijke informatie. Dat betekent dat wanneer iemand bedrijfsvertrouwelijke informatie beter op waarde weet in te schatten, hij daar ook zorgvuldiger mee om zal gaan en de kans op het lekken van bedrijfsvertrouwelijke informatie aanzienlijk zal afnemen. De resultaten laten zien dat een betere behandeling van bedrijfsvertrouwelijke informatie leidt tot minder informatielekkage. Een eenvoudig en zeer effectief middel voor het verbeteren van de perceptie en behandeling van bedrijfsvertrouwelijke informatie is het uitvoeren van een bewustwordingscampagne, waarbij werknemers worden gewezen op wat bedrijfsvertrouwelijke informatie is en hoe men er mee om moet gaan. De behoefte aan dergelijke programma’s wordt bevestigd door het onderzoek:
tabel 12 & 13: Beleid en noodzaak ten aanzien van beoordeling en behandeling bedrijfsvertrouwelijke informatie
24
Je zou kunnen stellen dat informatielekken geen probleem is, want het gaat niet bewust en dus niet met verkeerde intenties. Toch kan dit nadelige gevolgen hebben, zowel zakelijk als persoonlijk. Misschien niet direct verwacht, maar zeker een mogelijkheid; het kan zelfs nationale gevolgen hebben! Verderop in dit hoofdstuk worden de drie categorieën verder uitgewerkt. De gevolgen van het lekken van bedrijfsvertrouwelijke informatie hangt af van het type data dat gelekt is. De Security Incident investigation working Group (2010) heeft de gelekte data verdeelt in basis informatie, economische informatie en privacy informatie. Het lekken van deze informatie hebben zij vergeleken met het effect op economisch verlies en emotioneel leed, hieruit is de Economic-Privacy Map voortgekomen. Hier kan men een globale inschatting maken van wat voor gevolgen de informatie heeft die gelekt is.
Afbeelding 3: Economic Privacy map (Security Incident investigation working Group, 2010)
Hierboven wordt de verdeling gemaakt tussen economisch verlies en emotioneel leed als gevolg. Dit komt grotendeels overeen met de verdeling die wordt gehanteerd door Intelink en de Universiteit van Tilburg. Economisch verlies is voornamelijk een gevolg voor de organisatie in kwestie en emotioneel leed een persoonlijk gevolg. Hier wordt gekozen een onderscheid te maken tussen persoonlijke gevolgen en de gevolgen voor de organisatie (Vliet, 2009), aangevuld met mogelijke nationale gevolgen. De verdeling van types informatie blijven persoonlijk, strategisch/commercieel en beveiliging. 25
Persoonlijke gevolgen zijn gevolgen die betrekking hebben op een bepaald persoon (vandale.nl, 2011b). Dit zijn de consequenties van bepaalde oorzaken die betrekking hebben op een persoon. In dit boek houdt dit in dat het de gevolgen zijn voor een bepaald persoon naar aanleiding van een lekincident. De mogelijke persoonlijke gevolgen kunnen weer onderverdeeld worden in ontslag werknemer(s), ontslag management of directie medewerker(s), identiteitsdiefstal en privacyschending.
Ontslag werknemer(s) Houdt in dat één of meerdere werknemer(s)s word(t)(en) ontslagen als gevolg van een incident. Het ontslag kan veroorzaakt worden door directe oorzaken. Zo kan het betekenen dat de ontslagen werknemer degene is die gelekt heeft en daarom ontslagen wordt. Het kan echter ook betekenen dat het bedrijf door onvoorziene kosten en lagere inkomsten personeel zal moeten ontslaan, wat een indirecte oorzaak is.
Ontslag management of directie medewerker(s) Hier wordt verwezen naar het ontslag van hoge posities binnen het bedrijf.
Identiteitsdiefstal valt ook onder persoonlijke gevolgen Bij identiteitsdiefstal doet iemand zich voor als het slachtoffer, door middel van bijvoorbeeld creditcard gegevens of andere persoonlijke informatie. Het slachtoffer kan hierdoor geassocieerd worden met gebeurtenissen waar hij of zij niets meer te maken heeft. Dit is een vorm van fraude (Information Security Forum, 2007). LET OP: Hoe meer jij over zowel je persoonlijke als zakelijke leven lekt, hoe makkelijker het wordt jouw identiteit voor ongeoorloofde zaken te gebruiken. Met alle gevolgen van dien.
Privacyschending Volgens onderzoek is privacyschending een veelvoorkomend gevolg. Het is een incident waarbij persoonlijke informatie van een individu wordt misbruikt door illegale verkoop, het gebruiken van de informatie of gebrek aan bescherming (Acquisti, Friedman &Telang, 2006). Uit ditzelfde onderzoek blijkt dat privacyschending weer kan leiden tot het gevolg van een daling in de markt waarde van het bedrijf. Verdere uitleg hierover is te vinden in hoofdstuk 7.1.2. Ook zie je dat bijvoorbeeld verzekeringsorganisaties het Internet gebruiken om informatie over personen te achterhalen. Er zijn voorbeelden bekend van mensen die premies terug moesten betalen en werden beschuldigd van fraude, naar aanleiding van informatie dat over hen op Internet te vinden was. Maar ook personen die werden aangesproken op hun concurrentiebeding, nadat een oud werkgever zag dat er via sociale media contact was opdrachtgevers van die oud werkgever.
26
In dit deel gaat het over de mogelijke gevolgen voor de organisatie waarbij het incident van lekken van bedrijfsvertrouwelijke informatie plaats heeft gevonden. De gevolgen voor deze organisatie zijn afhankelijk van de soort informatie die gelekt is, de waarde van de informatie en of de media op de hoogte is (Information Security Forum, 2007).
Imagoschade Is een mogelijk gevolg van een incident (Information Security Forum, 2007). Imago gaat over het beeld dat de buitenwereld heeft van de organisatie. Wanneer er een lekincident plaatsvindt, kan het gebeuren dat dit imago in negatieve zin verandert ten opzichte van het beeld dat men daarvoor van de organisatie had. Dit wordt ook wel reputatieschade genoemd.
Verlies van concurrentievoordeel Een organisatie heeft concurrentievoordeel wanneer de organisatie de concurrentie kan overtreffen, waarbij ze de klanten producten of diensten kunnen aanbieden die de concurrent niet heeft (Solomon, Marshall & Stuart, 2008). De organisatie onderscheidt zich dan op een positieve manier van de concurrentie. Als er bepaalde informatie van de organisatie naar de concurrent wordt gelekt, kan het concurrentievoordeel verloren gaan. Dit kan bijvoorbeeld gebeuren wanneer een nieuw productidee uitlekt en hierdoor de concurrent eerder met dit product op de markt kan komen. Of wanneer een marketingplan uitlekt en de concurrent hierop inspeelt. De organisatie kan dan geen onderscheidende producten of diensten meer aanbieden en verliest hiermee het concurrentievoordeel. Hierdoor zal de organisatie klanten verliezen.
Vertrouwensverlies bij (potentiële) klanten Vertrouwensverlies houdt in dat men de organisatie waar men eerst nog vertrouwen in had, nu niet meer betrouwbaar vindt. Dit kan gelden voor zowel huidige klanten als voor potentiële klanten. Het kan leiden tot verlies van bestaande klanten en het niet slagen om nieuwe klanten aan te trekken (Dorantes & Ko, 2006). Het vertrouwensverlies kan veroorzaakt worden doordat de organisatie dankzij het lekkage incident problemen met justitie heeft gekregen of doordat de reputatie van de organisatie verslechterd is (Dorantes & Ko, 2006).
Lagere marktwaarde of lagere aandeelprijzen De marktwaarde van een organisatie is het geschatte bedrag waartegen de organisatie op de datum van waardering bij een onderhandse overeenkomst tussen een willige verkoper en onafhankelijke koper zou worden verkocht, waarbij wordt aangenomen dat de organisatie openlijk op de markt wordt aangenomen (ondernemersunited.nl, 2011). Het gaat dus om het bedrag dat de organisatie opbrengt, wanneer men het op dat moment zou verkopen. Dit is in samenhang met de aandeelprijzen. Een aandeel is een bewijs van deelneming in het eigen vermogen van een onderneming (beursblik.nl, 2011). Wanneer de waarde van een organisatie stijgt, zullen ook meer mensen de aandelen van dit bedrijf willen en zal de prijs van de aandelen stijgen. Een lagere marktwaarde/lagere aandelenprijzen betekent dat de 27
organisatie minder waard is geworden waardoor de marktwaarde en de aandeelprijzen dalen. Dit kan veroorzaakt worden wanneer bedrijfsvertrouwelijke informatie wordt gelekt.
Boetes van privacyregulerende instanties Een ander financieel gevolg zijn boetes van privacyregulerende instanties (Vliet, 2009). Wanneer er vertrouwelijke informatie gelekt wordt kan het zijn dat dit ten koste gaat van de privacy van bijvoorbeeld klanten of medewerkers. Dit bedrijf zal dan een boete ontvangen van een privacyregulerende instantie. Deze instantie is een overheidsorgaan die de wetgeving op het gebied van privacy waarborgt.
Compensatiekosten Als laatste kan het zijn dat de organisatie in kwestie compensatiekosten moeten betalen aan de slachtoffers. Dit wordt ook wel schadevergoeding genoemd. Zoals hierboven al regelmatig blijkt is dat alle gevolgen voor de organisatie in kwestie kunnen leiden tot kosten. Deze kosten komen ongeveer overeen met het begrip ‘economic loss’ in de afbeelding aan het begin van dit hoofdstuk, aangezien uiteindelijk alles tot economisch verlies leidt voor een organisatie, ofwel kosten. Kosten kunnen een direct gevolg zijn, maar de organisatie kan ook indirect extra kosten hebben als gevolg van een incident.
Waar gelukkig het gros van de mensheid met positieve intenties werkzaam is, zijn er ook personen en organisaties actief die andere intenties hebben. Zij zullen, van hun kant uit bewust en met gerichte acties, op zoek gaan naar informatie en ingangen om hun zaak te versterken en tot een succes te laten worden. Denk hierbij aan activisme, extremisme, terrorisme, proliferatie en spionage1. De gevolgen die hieraan ten grondslag liggen raken de nationale veiligheid en het schaden van economische belangen, zeker bij een groot en belangrijk gebied als de havens van Rotterdam. Natuurlijk sta je hier niet dagelijks bij stil en zeker niet in relatie tot het onbewust lekken van bedrijfsinformatie, maar het is een onderdeel dat niet achterwege mag blijven. Hoe meer bedrijfsinformatie er onbewust gelekt wordt, hoe makkelijker dergelijke personen en organisaties hun doelen bereiken.
Men kan ook een onderscheid maken tussen directe en indirecte gevolgen. Het ene gevolg kan namelijk leiden tot het andere, waardoor het tweede gevolg een indirect gevolg is. Een voorbeeld hiervan is dat een organisatie imagoschade oploopt, hierdoor hebben mensen minder vertrouwen in de organisatie en is het lastiger om nieuwe klanten voor zich te winnen, wat weer kan leiden tot hogere marketingkosten voor de organisatie (Vliet, 2009). Hieruit blijkt dat het directe gevolg imagoschade kan leiden tot indirecte gevolgen zoals vertrouwensverlies bij (potentiële) klanten en hogere kosten.
1
Zie voor meer informatie https://www.aivd.nl/onderwerpen-0/bedrijven/zeehavens/ en https://www.aivd.nl/onderwerpen-0/bedrijven/olie/
28
Ook naar de gevolgen is gevraagd in het onderzoek van Intelink en de Universiteit van Tilbrug. Hieronder staan twee tabellen waarin gevolgen voor een persoon en voor de organisatie staan vermeld. Daarnaast is hierin te zien hoeveel panelleden dit gevolg als gevolg van hun lekincident aan hebben gegeven.
tabel 14: Persoonlijke gevolgen lekincidenten bedrijfsvertrouwelijke informatie
Wat hier naar voren komt is dat het ontslag van de werknemer of meerdere werknemers en privacyschending als de meest voorkomende persoonlijke gevolgen zijn. Daarnaast worden drie andere gevolgen gegeven: Waarschuwing/aanzegging; Berisping van de veroorzaker; Betaling van een schadevergoeding aan de slachtoffers waarvan de privacy is geschonden.
29
tabel 15: Gevolgen voor de organisatie bij lekincidenten bedrijfsvertrouwelijke informatie
De eerste drie gevolgen in de tabel; imagoschade, verlies van concurrentievoordeel en vertrouwensverlies; worden aangegeven als veel voorkomende gevolgen. Dit in tegenstelling tot de directe financiële gevolgen als de boetes en compensatiekosten. Opvallend is ook dat de lagere marktwaarde en lagere aandeelprijzen niet als grootste gevolg uit de enquête komen. Dit komt overeen met eerdere onderzoeken, die hierboven zijn vermeld.
Hieronder staan de gevolgen overzichtelijk weergeven: Persoonlijke gevolgen Ontslag werknemer(s) Ontslag management of directie medewerker(s) Identiteitsdiefstal Privacyschending Schadevergoeding Waarschuwing/berisping
Gevolgen voor de organisatie Imagoschade Verlies concurrentievoordeel Vertrouwensverlies bij (potentiële) klanten Lagere marktwaarde/lagere aandeelprijzen Boetes van privacyregulerende instanties Compensatiekosten aan slachtoffers
En niet te vergeten de nationale gevolgen als er door personen en organisaties die zich bezighouden met activisme, extremisme, terrorisme, proliferatie en spionage, bewust gezocht wordt naar onbewust gelekte informatie. De gevolgen die hieraan ten grondslag liggen raken de nationale veiligheid en het schaden van economische belangen.
30
Uit twee onderzoeken naar dit onderwerp, beiden uitgevoerd voor Intelink en de Universiteit van Tilburg, blijkt vooral dat men bij het bepalen van de waarde van bedrijfsvertrouwelijke informatie en de behandeling ervan vooral uitgaat van de eigen intuïtie. Het blijkt echter dat bij een betere perceptie van bedrijfsvertrouwelijke informatie dit ook beter behandeld wordt. Er wordt bij een betere perceptie dus zorgvuldiger met de bedrijfsvertrouwelijke informatie omgegaan. Bij een juiste behandeling van bedrijfsvertrouwelijke informatie zal er minder informatielekkage optreden. “Maar juist die menselijke factor krijgt nog te weinig aandacht in organisaties”. Daarom is het helemaal niet vreemd dat jij nog niet bewust met dit onderwerp bezig bent geweest. Bewustwording zit in jezelf. Wat vertel jij over jezelf en over je werk: Op feestjes In het OV Op internet Op ieder ander willekeurig moment of plaats Denk hier eens over na en praat er eventueel op je werk over met collega’s. In dit boekje onderscheiden we twee soorten informatieafdrukken die je als persoon achter kunt laten, de On- en Offline footprint. Deze worden in de volgende paragrafen verder uitgewerkt.
31
Onder Offline footprint wordt in dit boek verstaan de informatieafdruk die je achterlaat of kunt laten door handelingen binnen een niet digitale omgeving. Hieronder worden ter verduidelijking uiteenlopende voorbeelden uit de praktijk genoemd, gevolgd door aandachtspunten ter overweging.
De borrel aan het einde van de week: Na een harde week werken ga je met vrienden een borrel drinken in de kroeg/op het terras. Jullie nemen samen de week door en vertellen elkaar trots waar je momenteel mee bezig bent en dat je gevraagd bent voor die speciale opdracht! Je vrienden vragen natuurlijk belangstellend wat de opdracht inhoudt en jij vertelt honderduit…
Ben je je op dat moment echt bewust van hetgeen je vertelt en is deze informatie eigenlijk wel openbaar?
Vrienden kies je zelf, dus meestal op basis van overeenkomstige interesses. Dit kan dus ook op werkvlak zijn en misschien is je vriend eigenlijk wel een concurrent. Is het dan handig dat jij belangrijke details vertelt?
Besef dat je niet weet welke personen zich nog meer in de nabijheid van jou en je verhaal bevinden. Maak de bewuste afweging of je je verhaal wel op deze locatie moet vertellen of meer in een privé omgeving, zoals bij je thuis.
Besef dat als je informatie weggeeft (zowel mondeling als digitaal), dat jij er geen controle meer op hebt. Jij kunt je mond wel houden over iets dat niet gedeeld mag worden, maar je weet nooit zeker of de persoon aan wie het je vertelde hetzelfde kan.
Vraag je af of je andere personen wel moet belasten met informatie waar ze niets mee kunnen. Een geheim vertellen is even leuk, maar vervolgens mag de ander er niets meer mee. Dat had je vast niet bedoeld.
Praten vanuit betrokkenheid met je bedrijf: De economische tijden zorgen ervoor dat er minder opdrachten binnenkomen dan in betere tijden. Je merkt dat klanten later hun rekeningen voldoen en dit kan zelfs gevolgen krijgen voor jouw organisatie. Jullie hebben immers ook kosten en rekeningen te betalen. Het zit je best hoog, want jouw bedrijf gaat je aan het hart. Als iemand uit je omgeving vraagt hoe het gaat, vertel je al snel over de financiën en de kwetsbaardere positie die het bedrijf hierdoor inneemt.
Ook al vertel jij vanuit betrokkenheid, het betreft bedrijfsinformatie die niet op straat hoort te liggen!
Leeswerk thuis bij het oud papier:
Je hebt wat werk uitgeprint en besluit thuis dat leeswerk wel te doen. Nadat je het leeswerk af hebt, ga je keurig recyclen en gooit de papieren in de bak voor oud papier.
32
Wat gebeurt er met de bedrijfsinformatie die jij nu weggooit nadat het papier is opgehaald? Jij zult het nooit weten, maar ook niet zeker of het niet in verkeerde handen valt…
Phishing: Jij krijgt een telefoontje of mailtje van een persoon of organisatie die vraagt naar namen, codes, wachtwoorden en andersoortige gegevens. Ook als vind je het misschien een beetje vreemd, denk je toch dat het wel goed zit.
Pas op met het weggeven van namen, codes en nummers door de telefoon of via de mail. Zeker als je de persoon aan de andere kant van de lijn niet kent! Voorbeeld van de waarschuwing die de Rabobank aan zijn internetbankierders geeft: “Let op dat u nooit uw persoonlijke beveiligingscodes per telefoon afgeeft! Ook niet aan personen die zich uitgeven als Rabobankmedewerker. De Rabobank zal ook nooit via e-mail vragen naar uw (persoonlijke) beveiligingscodes: dit zijn bijvoorbeeld de I-code en S-code van uw Random Reader of de pincode van uw bankpas. Wanneer u deze gegevens verstrekt, geeft u criminelen de mogelijkheid om geld van uw rekening(en) af te schrijven.”
Document op de printer: Je werkt bijvoorbeeld aan een reorganisatievoorstel, waarbij ontslagen gaan vallen. Omdat je het prettig vindt een papieren versie te lezen, print je het voorstel uit. Nog voordat je naar de printer kunt lopen, krijg je telefoon en vragen andere collega’s je aandacht. Het reorganisatievoorstel ligt al die tijd al de printer en wordt gevonden door collega’s die deze informatie nog niet onder ogen hoorden te krijgen… Grote onrust en ophef zijn het gevolg.
Laat je in dergelijke situaties niet afleiden en wees je bewust van de waarde van deze informatie. Belangrijke informatie uitgeprint? Meteen ophalen!
Reizen met OV en tijd vergeten: Je reist met het openbaar vervoer naar en van je werk en vindt het prettig om nog wat dossiers door te lezen. Je verdiept je zo in je werk dat je niet echt in de gaten hebt dat je al bij je uitstaphalte/uitstapstation bent. Je schrikt, springt op, grijpt je jas en tas en rent de trein/bus/metro uit… de spullen in de wagon achterlatend.
Een heel vervelende situatie, die helaas nog wel eens voorkomt. Hoe kom je nu weer aan je informatie? Wordt het door iemand meegenomen, afgegeven bij de OV vervoerder en wat is er ondertussen mee gebeurd? Jij zult het helaas niet weten; zelfs als je de informatie weer tot je beschikking krijgt.
33
Stukken lezen in openbare (wacht)ruimte: Een document met (zeer) gevoelige informatie is nog in ontwikkeling en jij besluit het mee te nemen omdat je toch een half uur op de trein moet wachten. Je gaat het stuk in een openbare ruimte zitten lezen, want dan hoef je dit vanavond thuis niet meer te doen. Er zijn meer wachtenden en je gaat tussen twee personen op een bankje zitten lezen.
Besef dat je hiermee een risico loopt, want je kent de mensen naast je niet, je weet
niet of ze meelezen en weet niet wat ze met de informatie zouden kunnen doen. Werk op je bureau laten liggen na werktijd: Het einde van de werkdag nadert en je besluit documenten met bedrijfsgegevens op je bureau te laten liggen, zodat je er morgen meteen mee verder kunt.
Ook nu loop je een risico, want jij hebt geen zicht op welke personen na jouw vertrek de gegevens nog in (kunnen) zien en of ze er iets mee doen.
Informatieblindheid: Werken met bedrijfsinformatie is jouw dagelijkse kost, waardoor je je eigenlijk niet meer beseft dat het gevoelige informatie betreft en je er minder voorzichtig mee omgaat dan je eigenlijk zou moeten doen. Denk bijvoorbeeld aan documenten met N.A.W. gegevens van klanten.
Kijk eens van een afstandje naar je werk en besef met wat voor soort informatie je eigenlijk werkt. Zou jij het zelf prettig vinden als bijvoorbeeld je privé gegevens ergens los zouden liggen?
Inbraak in de woning: Je hebt toestemming gekregen om werk mee naar huis te nemen. Je haalt je tas leeg en legt de spullen openlijk op tafel. ’s Avonds ga je lekker sporten en eenmaal thuis blijkt er te zijn ingebroken… erg vervelend natuurlijk, maar ook niet zonder gevolgen als blijkt dat de documenten van je werk weg zijn.
Zijn er op het werk afspraken gemaakt over het opbergen van werk dat je mee naar huis neemt en heb je je daaraan gehouden? Praat er met elkaar over op het werk.
Werkster in huis: Ook in dit voorbeeld neem je werk mee naar huis die op de tafel worden gelegd. Je gaat de volgende dag naar je werk en neemt de stukken nog niet mee, maar de werkster komt wel in je huis.
Natuurlijk vertrouw jij deze persoon, anders had je haar toch niet in huis? Neem gewoon geen risico. Berg de stukken op een veilige plaats op of neem ze gewoon weer mee naar je werk.
34
Spullen in de auto: Spullen openlijk in je auto laten liggen die eigenlijk heel gevoelige informatie bevat, kunnen een behoorlijk risico in zich dragen. Een ruitje is zomaar ingeslagen, maar de gevolgen van deze daad zijn niet overzien.
Wees verstandig en neem de belangrijke spullen mee of leg ze eventueel in een auto kluis (als je hierover zou beschikken). Denk ook aan je smartphone! Zelfs al in het maar voor een paar minuten.
De mobiele werknemer: Je bent een mobiele werknemer en daarom bijna altijd bereikbaar. Je telefoon gaat en een belangrijke klant hangt aan de lijn. Jij bent natuurlijk klantvriendelijk en bespreekt de laatste stand van zaken over jullie gezamenlijke project.
Ben je je bewust van de omgeving waar jij nu aan het bellen bent en de personen die om je heen aanwezig zijn? Eigenlijk geef je nu in een openbare ruimte allerlei bedrijfsinformatie weg en je weet niet wat de personen in je omgeving met deze informatie kunnen. Praat zacht en loop bijvoorbeeld even naar een ruimte waar je rustig kunt bellen.
Spraakherkenning op je telefoon: Je telefoon is voorzien van spraakherkenning en dat is erg handig.
Is het ook handig als je in een besloten vergadering zit waarbij zaken en namen besproken worden waar je telefoon op aanslaat? Zorg ervoor dat je telefoon niet ongemerkt kan gaan bellen, waardoor jij onbewust bedrijfsinformatie weggeeft.
Werkbespreking in een restaurant: Je wilt met een collega overleg voeren, maar doordat jullie veel op de weg zijn, spreek je halverwege het land in een restaurant af. Het is lunchtijd en het restaurant stroomt vol. Jullie bespreken de laatste nieuwtjes, stand van zaken en de nieuwe klanten die je bijna binnen hebt!
Besef je op dit moment dat er allerlei personen in je omgeving zitten die mee kunnen luisteren? Pas je gesprekstoon eventueel aan, of spreek in termen die alleen jullie begrijpen (noem geen “namen en rugnummers”) .
Gebruik van laptop in openbare ruimte: Tijdens hetzelfde overleg met je collega, wil je ook zijn mening horen over de eindejaarspresentatie die jij op het werk gaat geven over de behaalde resultaten van afgelopen jaar. Je start je laptop op en draait het scherm zo, dat jullie er beiden naar kunnen kijken. De rug van je laptop zet je tegen het raam/de afscheiding van het volgende tafeltje aan.
Besef dat mensen die nu langslopen of in de buurt zitten van je scherm mee kunnen lezen en dat je zo onbewust bedrijfsinformatie weg kunt geven. 35
Grote opruiming: Het is voorjaar en er wordt kantoor een grote opruiming georganiseerd. Alles wat je niet meer nodig hebt mag weg; van dubbele nietmachines tot onbruikbare diskettes en cd’s. Al snel ontstaat er een hele afvalberg en is er een doos vol cd’s en cd’roms waar niets meer mee gedaan wordt. Een creatieve collega vraagt of ze die doos mag hebben om de gegevensdragers te gebruiken om kerstkaarten van te maken.
Wat wordt er hier allemaal voor bedrijfsinformatie weggeven en naar wie worden deze gegevens allemaal verspreid? Recyclen is goed, maar kan misschien in dit geval beter op een andere manier gedaan worden. Ook de creatieve collega bedoelt het goed, maar het is echt een voorbeeld van onbewust lekken van bedrijfsinformatie.
Mensen die interesse in je werk tonen enthousiast vertellen: Veel mensen volgen tegenwoordig een loopbaanadviestraject om inzichten te krijgen in zichzelf en hun “ideale” baan of carrière. Hierin wordt vaak de tip gegeven op zoek te gaan naar personen die het werk van hun interesse al doen en hen te vragen over hun functie te vertellen.
Erg leuk natuurlijk om enthousiast over je baan te vertellen, maar ben je in je enthousiasme nog bewust van hetgeen je vertelt en zit hier geen vertrouwelijke bedrijfsinformatie tussen? Is het toegestaan de persoon wat te vertellen of moet je hem of haar doorverwijzen naar de afdeling communicatie?
36
Onder Online footprint wordt binnen dit boek verstaan de informatieafdruk die je binnen een digitale omgeving achterlaat. Hieronder worden diverse voorbeelden uit de praktijk genoemd, gevolgd door aandachtspunten ter overweging.
PC onbeheerd achterlaten: Je bent aan een vertrouwelijk stuk aan het werk, maar wordt weggeroepen van je werkplek. Je vergeet hierbij je pc te blokkeren met een wachtwoord.
Besef je dat je pc (en daarmee de gevoelige informatie) openstaat voor ieder ander? Neem in het geval van werken met bedrijfsvertrouwelijke informatie geen risico en vergrendel je pc; ook al ben je maar even van je plek.
Overdracht van wachtwoorden: Je gaat lekker op vakantie, maar je leidinggevende wil dat je digitaal vervangen kan worden tijdens je afwezigheid. Je geeft je wachtwoorden aan je collega, zodat hij/zij overal bij kan.
Enerzijds voldoe je aan de wens van je leidinggevende, maar je hebt nu zelf geen controle meer over de informatie binnen jouw domein. Is dit een risico? Zorg er dan zeker voor dat gevoelige informatie op een afgeschermde plek komt te staan en ga de discussie met je leidinggevende hierover aan.
Afwezigheidassistent: Jij gaat met vakantie en je leidinggevende verwacht dat jij je klanten laat weten dat je er niet bent. Om de voortgang in het werk dus niet te laten stagneren zet jij je afwezigheidassistent aan, met daarin de naam, functie, het telefoonnummer en emailadres van je collega.
Onbewust geef je nu een hoop weg! Er zijn bedrijven gespecialiseerd in het achterhalen van dergelijke gegevens voor doorverkoop, dus bespreek met je leidinggevende of het niet verstandiger is te verwijzen naar een afdelingsaccount of andere algemene informatie die niet zo vertrouwelijk is.
Werk op privé pc: Je hebt het druk op je werk en besluit werk mee naar huis te nemen. Je beschikt niet over een werklaptop met beveiliging of die batterij is leeg. Toch moet het werk echt af en je besluit het op je privé pc te doen, of op de laptop van je partner. Als het klaar is mail je het snel weer door naar je werk, maar als je op zend hebt gedrukt ontdek je dat je een verkeerd e-mailadres hebt gebruikt…
Als het echt gevoelig werk betreft, is werken op een privé pc nooit verstandig. Een bestand is nooit meteen zomaar echt weg als je het weggooit. Bovendien is het nu ook nog naar een verkeerd e-mailadres gestuurd. Pas op met auto-aanvulling en controleer liever een keer teveel dan te weinig voordat je op zend drukt! 37
Afgeschreven pc: De pc of laptop waarop je (gevoelig) werk hebt verricht is afgeschreven en je besluit een nieuwe te kopen. Alle werkbestanden gooi je weg en je brengt de pc naar de kringloopwinkel. Iemand anders is vast erg blij met deze pc denk je nog.
Let op! Weg is vaak niet weg en er zijn programma’s op de markt waarmee verwijderde informatie alsnog terug te halen is. Dit is fijn als je pc crasht, maar minder fijn als anderen er nu met persoonlijke of vertrouwelijke informatie vandoor kunnen gaan! Wil je echt zeker zijn? Haal dan de harde schijf eruit en laat deze professioneel vernietigen door een gespecialiseerd bedrijf.
Smartphone niet beveiligd: Als moderne zakenman/vrouw beschik je over de nieuwste smartphone, waarin je keurig alle gegevens van je klanten hebt staan om hen snel van dienst te zijn. Helaas vergeet je hem te beveiligen, waardoor je met die nieuwe laatste app per ongelijk een virus binnenhaalt of je smartphone wagenwijd openzet voor hackers.
Het is zeer positief naar je klanten bedoeld, maar door je smartphone niet te beveiligen bestaat de kans dat jij ongewild bedrijfsvertrouwelijke gegevens verspreid. Neem dus even de tijd, beveilig de boel, werk met wachtwoorden en afschermingen en zorg dat je op tijd updates verwerkt als die beschikbaar zijn.
Verkeerde applicatie gebruikt op je smartphone: Je hebt een nieuwtje dat je alleen nog maar in kleine kring mag delen. En weer pak je je smartphone erbij om het nieuws te verspreiden binnen je afgesloten groep contactpersonen. Je bent enthousiast en let even niet goed op welke applicatie je gebruikt en voordat je het weet gooi je het nieuws op Twitter of als openbare krabbel op Facebook of Hyves.
Hoe weet je dat je vrienden deze informatie niet per ongelijk doorspelen aan anderen of in hun enthousiasme vertellen? Echt zeker weet je dat nooit. Let bovendien echt goed op welke applicatie je gebruikt en ook nu liever dubbel checken voordat je iets verzend dan ongewild vertrouwelijke informatie te lekken.
Informatie zoeken via zoekmachines: Even Googelen doen we bijna allemaal dagelijks en we zoeken er lustig op los.
Weet je wel dat je via zoekmachines ook allerlei informatie verspreid over je interesses? Deze informatie wordt opgeslagen en voor gebruik verwerkt. Een zoekmachine als Ixquick maakt je anoniem, dus denk er bijvoorbeeld eens aan om die te gebruiken als je wat zoekt.
38
Posten op sociale netwerksites: Wie niet digitaal bestaat, lijkt bijna niet meer van deze tijd te zijn. Het stelt ons bovendien in staat met een grote groep mensen contact te houden, op snelle wijze informatie te delen en jezelf te profileren. Allemaal hele mooie en positieve ontwikkelingen, waarvan in dit boek zeker niet gezegd wordt dat je het niet zou mogen gebruiken. Gebruik het echter wel wijs.
Post jij weleens op sociale netwerksites? Wat voor informatie is dit en heb je (als het over je werk gaat) ook toestemming nodig van je werkgever? Heeft de werkgever verteld wat je wel en niet mag vertellen over je werk?
Eens op Internet is altijd op internet: Zoals al eerder gezegd delen we veel en vaak informatie over onszelf, ons werk en andere zaken die mensen graag delen.
Kan wat je nu post later negatief voor jezelf uitpakken? Denk hier eens over na. Is het in dat geval wel verstandig de post te plaatsen of hanteer de regel bij tijfel niet doen. Hoe vinden jullie dat hierin een gezonde balans gevonden kan worden en wat vinden jullie acceptabel en wat niet. Denk hier aan regels vanuit het werk bijvoorbeeld. Ben je ook nog een privé persoon of eigenlijk min of meer altijd in dienst van een bedrijf en moet je daar rekening mee houden? Praat daar met elkaar over.
Gebruik van screenshots in presentaties: Je maakt een presentatie en gebruikt screenshots ter verduidelijking. Je was echter ook aan het werk aan bedrijfsvertrouwelijke documenten en/of hebt in je Internetbrowser bladwijzers naar informatie die niet voor een ieder zichtbaar dient te zijn.
Besef jezelf dat je via de screenshots onbewust bedrijfsvertrouwelijke informatie weg kan geven. Zorg er dan ook voor dat je de andere bestanden sluit, je de bladwijzers niet zichtbaar maakt of dat je het screenshot bijsnijdt en op deze manier de gevoelige informatie verwijderd.
Inloggen op openbaar wifi netwerk: Je bent voor je werk onderweg en besluit via een openbaar netwerk in te loggen om te kijken of die belangrijke klant al gereageerd heeft op jouw mail.
Besef dat de informatie die je nu digitaal verstuurd niet versleuteld is en in principe voor een ieder op dat openbare netwerk op te vangen en/of mee te lezen is!
Inzicht in je hele adresboek/klantenbestand: De feestdagen staan weer voor de deur en je wilt alle klanten een kerstmail sturen. Je ontwerpt een mooi kaartje met wat foto’s van je eigen bedrijf en maakt trots het mailtje. Je zet je hele klantenbestand in de “Aan” regel en drukt op zend.
Besef je op dit moment dat je je hele klantenbestand weggeeft? Wil je aan meerdere personen een mail sturen, doe dit dan via de bcc (blind carbon copy) 39
regel. Zo krijgt de ontvanger geen ongeoorloofd of onbedoeld inzicht in een ander zijn mailadres.
Prezi: Een van de nieuwere ontwikkelingen is presentaties op Internet maken met bijvoorbeeld Prezi. Handig omdat alles online in de “Cloud” staat en je er dus met ieder instrument dat een Internetverbinding heeft bij kunt. Veel mensen willen wat nieuws uitproberen, maar er niet voor betalen. Ze kiezen dan ook voor de gratis versie.
Heb je wel door dat je hierbij meteen toestemming geeft de presentatie online te zetten? Of dit in alle gevallen nu echt zo verstandig is, is de vraag want ook nu kan er ongewenst bedrijfsinformatie gelekt worden. Bovendien kan de Prezi pagina doorzocht worden, waardoor anderen gericht op zoek kunnen naar mogelijk gelekte of vertrouwelijke informatie. Maakt het niet uit of wordt er geen informatie ongewenst gelekt? Prima! Maar dan wel nadat je een bewuste keuze hebt kunnen maken. Bekijk bij dergelijke toepassingen altijd de voorwaarden en neem dan een beslissing over het gebruik.
Privé en zakelijk gebruik van digitale opslagkaartjes: Je gebruikt voor je werk een digitale fotocamera om foto’s van bijvoorbeeld defecten, arbeidsongevallen, lekken in machines of gevaarlijke situaties te maken. Hiervoor heb je ook een opslagkaartje (bijvoorbeeld SD) van je werkgever gekregen. Nu komt de vakantieperiode eraan en je wilt de camera en het kaartje gebruiken om privé foto’s mee te maken. Je defragmenteerd de SD kaart, want nu zijn alle werkfoto’s weg toch?
Niet perse. Met speciale software, zoals bijvoorbeeld CardRecovery2 haal je met een paar simpele drukken op de knop oude bestanden/foto’s/video’s weer naar boven. Dit programma ontdekt ook foto’s op usb sticks, dus hiervoor geldt hetzelfde! Gooi dus ook nooit oude opslagmedia gewoon weg, maar vernietig ze grondig of laat dit door een gespecialiseerd bedrijf doen! http://www.stellarinfo.com/file-recovery.htm doet hetzelfde met verwijderde bestanden. Dit zijn slechts twee voorbeelden van aanbieders, maar er zijn er vele!
Inzicht in je contacten binnen sociale netwerksites: Je hebt je aangemeld op sociale netwerken, waaronder bijvoorbeeld LinkedIn en bent trots op de vele contacten die je inmiddels hebt verzameld.
Ben je ervan bewust dat iedereen die met jou contact is, in basis, ook al jouw contacten kan zien? Op basis van deze contacten kun je mensen vinden die jij ook kent, maar het kan ook worden gebruikt om commerciële belangen mee te dienen. Het is mogelijk je instellingen zo aan te passen dat je alleen overeenkomstige contacten kunt zien. Hetzelfde geldt binnen LinkedIn ook voor de groups waarvan je lid bent. Je kunt er zelf voor kiezen deze groepen zichtbaar voor de anderen te maken, of niet te tonen. Besef dat je een deel van interesseprofiel vrijgeeft bij het laten zien van de groepen. 2
Bron: http://www.cardrecovery.com/
40
Duik ook eens wat dieper in de andere instelmogelijkheden van dergelijke netwerken en bedenk of je zelf vrijgegeven informatiemeer kunt afschermen.
Plaatsing van informatie over jou door een ander: Heb jij zicht op wat bekenden over jou op sociale netwerksites plaatsen? Denk bijvoorbeeld aan foto’s van feestjes en vakanties. Het kan voorkomen dat jij besluit een foto niet te plaatsen omdat je hiervoor bewust kiest, maar dat de vriend(in) die er ook op staat hem wel plaatst.
Ook nu heb je te maken met het onbewust lekken van informatie; zij het misschien meer op persoonlijk vlak.
Veranderende privacyregels van sociale netwerksites: Er is regelmatig ophef over de aanpassing van privacyregels van diverse netwerksites en er is veel over te doen. Facebook is een bekend voorbeeld in dit geval, maar ook Google die alle door jou gebruikte applicaties aan elkaar koppelt om je nog beter van dienst te zijn.
Besef dat hoe meer dergelijke sites je aansporen informatie over jezelf te plaatsen, hoe meer zij je enerzijds van dienst kunnen zijn maar ook over je weten. Dat kan weer gebruikt worden voor commerciële doeleinden, maar in sommige gevallen ook beschikbaar worden gesteld aan overheidsdiensten. Google geeft hier zelf informatie over in zijn transparencyreport ; http://www.google.com/transparencyreport/governmentrequests/ . Wees je bewust van dergelijke zaken en denk na voordat je iets plaatst.
41
In dit hoofdstuk worden een aantal voorbeelden behandelt van het (potentieel) onbewust lekken van bedrijfsinformatie. Het is tevens als aanmoediging van de discussie over dit onderwerp aan te wakkeren. Hoe meer je er met elkaar over praat, hoe groter de bewustwording. De voorbeelden zijn nadrukkelijk niet stigmatiserend, noch oordelend bedoeld!
In het voorbeeld hieronder is binnen Twitter gezocht op “Port of Rotterdam”. Daar kwam onder andere onderstaande Tweet uit, die aangeeft weer in de haven aan het werk te zijn. Als je vervolgens al zijn Tweets bekijkt, dan krijg je een beeld van deze persoon. Bekijk de Tweets en vorm je jezelf een beeld. Kan er in een dergelijk voorbeeld ook sprake zijn van imagoschade voor een bedrijf waar de persoon in kwestie aan het werk is?
42
“De Nederlandse delta. Ooit een moerassig gebied, waar het water vrij spel had. Nu een plek waar dagelijks honderden schepen binnen komen vol olie, auto’s en containers. Hoe we onze spullen met een enorme efficiëntie naar binnenslokken en uitspuwen over de rest van Europa, is spectaculair in beeld gebracht.” Een prachtige uitzending, die bekeken door de bril van (onbewust) informatielekken meer prijsgeeft dan in eerste instantie verwacht…
Naar aanleiding van de eerder genoemde ledenlijst van Deltalinqs, is gekeken of er bijzondere informatie over leden te vinden was binnen Prezi. Hieronder staan een aantal voorbeelden.
Zo levert een zoektocht naar Argos Oil iets op, dat in eerste instantie niet veel lijkt te omvatten. Toch staat er een soort tekening/plattegrond op. Is dit een nieuwe of bestaande indeling van een kantoor van Argos Oil? Dan zou dit potentieel onbewust gelekte informatie kunnen zijn. Zie: http://prezi.com/ez_yxkvfyydv/argos-oil/
Een medewerker van Q8 geeft met een presentatie over “KPE Maintenance Electrical”. Ook al wordt niet veel meer bekend dan dat deze meneer elektrisch onderhoud uitvoert, is door deze Prezi nu wel tot in detail bekend waar dit gebeurd. De vraag is, of dit wenselijk is. Ook lijkt het erop dat er een screenprint met een documentstructuur gemaakt is. Als dit het geval is, heb je direct te maken met het (onbewust) lekken van bedrijfsinformatie. Zie: http://prezi.com/o3etroxg3ba3/presentatie-kpe-maintenance-electrical/
Een communicatieplan van het Loodswezen met daarin een SWOT Analyse, is dat bedrijfsinformatie dat openlijk op Internet hoort? Zie: http://prezi.com/tjcvh8fvaekj/loodswezen/
Dit voorbeeld laat een presentatie over een onderzoek naar de inzet van Social Media binnen Stena Line zien, inclusief conclusies, aanbevelingen en zelfs een kostenplaatje. Deze Prezi werd gevonden op 31 oktober 2011 en is gemaakt op 27 oktober 2011. De kans bestaat dat de medewerkers van Stena Line op dat moment deze presentatie zelf nog niet eens gezien hadden. Saillant detail is dat er in de probleemstelling gevraagd wordt hoe social media kunnen worden ingezet om het imago te verbeteren. Een van de onderwerpen uit dit boek laten juist zien dat het onbewust lekken van bedrijfsinformatie kan leiden tot imagoschade en dat zal in dit geval nooit de bedoeling van Stena Line zijn geweest. Zie: http://prezi.com/izvzvwlkczuo/scriptie-stena-line-social-media/
43
In dit hoofdstuk worden praktische tips gegeven. Hoe maak je beleid dat gericht is op het beschermen van bedrijfsvertrouwelijke informatie, specifiek gekeken naar het menselijke handelen. Hierbij wordt zowel de werkgever als de werknemer aangehaald. Doel is, buiten de overige maatregelen die genomen zijn in het kader van informatiebeveiliging, vooral te werken aan het bewustwordingsproces. Immers, een betere perceptie van de waarde van informatie, leidt tot een betere behandeling en vermindering van onbewuste informatielekkage.
Hoe meer jij over zowel je persoonlijke als zakelijke leven prijsgeeft, hoe makkelijker het wordt jouw identiteit voor ongeoorloofde zaken te gebruiken. Met alle gevolgen van dien. Let hier dus op. Zorg dat je te weten komt wat bedrijfsvertrouwelijke informatie is binnen je organisatie. Wees je bewust van deze bedrijfsvertrouwelijk informatie binnen je bedrijf, op het moment dat je informatie gaat verwerken of met andere personen spreekt. Praat met je collega’s over dit onderwerp en wijs elkaar erop als het jou opvalt dat iemand onbewust lekt. Twijfel je of bepaalde informatie vertrouwelijk is? Zwijg er dan over totdat je duidelijkheid krijgt van de personen die hier ook daadwerkelijk iets over kunnen zeggen. Als algemene richtlijn kun je gebruiken dat praten op hoofdlijnen meestal wel kan, maar details al snel bedrijfsvertrouwelijk zijn. Ook antwoorden op de vraag als “maar hoe werkt dat specifiek binnen jullie organisatie”. Richtlijn kan ook het jaarverslag zijn. Wat daarin staat is openbaar gemaakt door de organisatie zelf en hierbij mag je er vanuit gaan dat er geen bedrijfsvertrouwelijke informatie in staat. Wat al openbaar is, kun je zonder problemen delen. Zorg ervoor dat je werkt op een beveiligd netwerk, ook thuis en onderweg. Beveilig dus ook je smartphone! Lees geen gevoelige stukken in het openbaar en laat ze zeker niet in het OV achter. Ruim je bureau op als je ‘s avonds naar huis gaat; eventueel in een kast die op slot gaat. Beveilig je pc met een wachtwoord en zet je pc in beveiligde modus als hem even achterlaat, bij het werken aan gevoelige stukken. Liggen er gevoelige papieren stukken op je bureau en moet je ergens heen? Sluit dan je kamer af of leg ze in de kast voordat je je werkplek verlaat. Laat geen spullen in je auto liggen.
44
Als je toestemming hebt om werk mee te nemen, vervoer het dan op de juiste manier, maar behandel het thuis ook op de juiste manier. Dus niet openlijk in huis laten liggen, maar opbergen in een kast die wordt afgesloten. Vergrendel en beveilig je telefoon/smartphone met wachtwoorden om de gegevens die erop staan niet direct toegankelijk te maken voor anderen. Mag je werk gerelateerde zaken op je privé pc verwerken? Zorg er dan voor dat ze in een afgeschermd gedeelte staan, zodat andere gebruikers ze niet per ongeluk kunnen versturen, bewerken of vernietigen. Mag dit niet? Doe het dan ook gewoon niet en werk op je zakelijke pc of werk niet thuis. Scherm je profielen op Internet af en plaats niet ondoordacht informatie die er eigenlijk niet hoort. Denk hierbij ook aan foto’s en filmpjes! Besef je, dat jij misschien met goede bedoelingen iets vertelt of onbewust informatie lekt, maar dat er personen en organisaties zijn die bewust naar deze informatie op zoek zijn!
45
Door de opkomst van onder meer sociale media delen we steeds meer informatie met vrienden, collega's of volstrekt onbekenden. Dat geldt ook voor zakelijke informatie. Deze ontwikkeling biedt volop kansen om op een vernieuwende en moderne manier met elkaar te communiceren. Soms heeft dat echter vervelende gevolgen, voor uzelf of de organisatie waar u werkt. Het prijsgeven van informatie, onbewust of bewust, kan tot schadelijke gevolgen leiden. Een landelijk onderzoek naar informatielekken wijst uit dat ongeveer vijftig procent van de werknemers weleens onbewust bedrijfsgevoelige informatie heeft gelekt. Leden van de Deltalinqs Contactgroep Securityzaken hebben dan ook enthousiast gereageerd op de vraag om een aanvullend onderzoek uit te voeren naar deze vorm van informatielekken, dat meer specifiek gericht is op de situatie in het Rotterdamse havengebied. Doel is het creëren van meer bewustzijn bij organisaties en haar medewerkers van de condities die leiden tot het ongewenst prijsgeven van informatie en de gevolgen daarvan. De resultaten en aanbevelingen van dit vervolgonderzoek zullen worden gebruikt voor het ontwikkelen van een praktische tool waarmee leden van Deltalinqs en andere organisaties beter in staat zullen zijn om dit bewustzijn verder te stimuleren en versterken. Iedereen die op de een of andere manier betrokken is bij het werken in de Rotterdamse haven kon meedoen aan dit vervolgonderzoek. Dit aanvullende onderzoek wordt mogelijk gemaakt door Intelink in nauwe samenwerking met Deltalinqs. Voor meer informatie en het invullen van de onderzoeksvragen kunt u via de onderstaande link naar het online onderzoeksforum dat speciaal voor dit project is opengesteld. Hieronder vindt u de belangrijkste resultaten van dit onderzoek. Deze resultaten en de analyse ervan zijn uitgevoerd door Tilburg University.
46
Deelnemers die een lekincident hebben meegemaakt: 86%. Waarvan meer dan één incident: 46%.
Aantal incidenten dat door een interne (medewerker) werd veroorzaakt: 88%.
47
Lekincidenten die onbewust (niet expres, niet doelgericht, niet doelbewust) zijn veroorzaakt: 76%.
48
Bij de beoordeling van bedrijfsvertrouwelijke informatie volg ik mijn intuitie: 75%.
Bij de behandeling van bedrijfsvertrouwelijke informatie volg ik mijn intuitie: 90%.
49
50
