Samenvatting
copyright Intelink & osintelink 2015
Beginnen? Lees de Infographic
INTELINK & OSINTELINK 2015 All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted, in any form or by any means, electronic, mechanical, photocopying, recording or otherwise, without the written permission of INTELINK and OSINTELINK.
Samenvatting Inleiding Zeventig procent van de Nederlandse werknemers lekt onbewust bedrijfsvertrouwelijke informatie. Dat blijkt uit een landelijk onderzoek dat werd verricht door Intelink in samenwerking met de Universiteit van Tilburg. Ook in de Rotterdamse haven is er regelmatig sprake van het onbewust verspreiden van vertrouwelijke gegevens. Om dit probleem te voorkomen moet bewustwording hiervan worden ingebed in de processen van de werknemers. Begin februari 2010 kwam in de media dat contactgegevens van 170.000 werknemers en contractanten van Shell waren uitgelekt naar milieuorganisaties. Oud-medewerkers zouden deze informatie bewust hebben gelekt. Ook vanaf begin 2010 maakte WikiLeaks bewust diverse staatsgeheimen openbaar. Eind vorig jaar, december 2011 verscheen een bericht in de pers dat personeel van BASF Antwerpen regelmatig pornosites zou bezoeken en tijdens de werktijden veel gebruik zou maken van sociale netwerken als Twitter, Facebook, Netlog en YouTube. Door de opkomst van social media, bereikt – nu misschien nog meer dan ooit – bedrijfsgevoelige informatie doelbewust of onbedoeld de pers, wat kan leiden tot negatieve gevolgen voor het bedrijf. Denk aan imagoschade, omzetverlies, omzetpotentieverlies en dergelijke. Bedrijven investeren daarom veel in harde beveiliging als ICT-investeringen, toegangspoorten, -codes en -badges en dergelijke om hun bedrijf up-to-date te houden en ‘indringers’ op afstand te houden. Maar als er wordt gelekt, gebeurt dit vaak ook onbewust. Dat blijkt uit een landelijk onderzoek dat werd verricht door Intelink in samenwerking met de Universiteit van Tilburg. Vijftig procent van de Nederlandse werknemers lekt onbewust bedrijfsvertrouwelijke informatie. Bijna negentig procent van deze ondervraagden heeft dit zelf al eens meegemaakt in zijn of haar werkomgeving. Bij een informatielek wordt vaak gedacht aan een fout in de technische beveiliging van informatie, maar hierdoor wordt een schijnveiligheid gecreëerd. De menselijke factor wordt over het hoofd gezien. Je kunt niet voorkomen dat iemand kwaadwillend informatie naar buiten brengt, maar onbewust informatie naar buiten brengen is te voorkomen.
1
Samenvatting Confronterend In 2012 en 2013 is Intelink samen met de Universiteit van Tilburg gestart met een onderzoek naar het onbewust lekken van bedrijfsvertrouwelijke informatie. De afgelopen maanden is Intelink – als vervolg op dit landelijke onderzoek – samen met Deltalinqs een onderzoek gestart in de Rotterdamse haven. In dit havenonderzoek lag de focus op de menselijke factor en het onbewuste, met daarnaast havenspecifieke elementen. Denk hierbij aan het internationale karakter met internationale medewerkers en een vrij hoog verloop. ‘Eén van de opmerkelijke resultaten van zowel het landelijke onderzoek als de eerste resultaten van het onderzoek in de Rotterdamse haven is dat men bij het bepalen van de waarde van bedrijfsvertrouwelijke informatie en de behandeling ervan vooral uitgaat van de eigen intuïtie. Meer dan tachtig procent van de ondervraagden gebruikt intuïtie. Dat is een erg nobel streven, maar wie zegt dat je intuïtie volgen de juiste manier is? Uit de resultaten van beide onderzoeken blijkt juist dat wie zijn intuïtie hierin volgt, meestal door de mand valt. De havenmedewerkers zakken zelfs nog iets harder door het ijs dan wat de landelijke resultaten laten zien.’ In het onderzoek is de perceptie en behandeling van informatie getoetst aan de hand van concrete situatievragen. Een voorbeeld: ‘Een student werkt twaalf uur per week bij een callcenter van een energiebedrijf waar hij vragen en klachten van klanten behandelt. De klachten van de klanten slaat hij op in een elektronisch dossier met vermelding van klantgegevens, aard van klacht en dergelijke. Uit de eerste resultaten van het havenonderzoek blijkt dat ongeveer 78 procent van de ondervraagden vindt dat dit klachtendossier niet bedrijfsvertrouwelijk is. Dit is erg opvallend en confronterend. Je moet als werknemer kunnen terugvallen op richtlijnen rond vertrouwelijkheid die de organisatie heeft opgesteld, en niet op intuïtie.’
Ernst Hoewel intuïtie vaak (verkeerdelijk) wordt gebruikt zijn de werknemers zich daarentegen wel bewust dat er wordt gelekt. Op de vraag of ze weet hebben van het lekken van bedrijfsvertrouwelijke informatie geeft ongeveer 87 procent een bevestigend antwoord. ‘Uit vervolgvragen blijkt dat dit meestal onbedoeld wordt veroorzaakt door een interne collega (74% in haven, 56% landelijk) en niet door externen of leveranciers van buitenaf.’ ‘Wat daarnaast eveneens zorgwekkend is, is dat 57 procent (havencijfer) van de panelleden aangeeft spijt te hebben van het onbewust lekken en 76 procent (havencijfer) geeft aan dat de ander nooit over deze informatie had mogen beschikken. Dit geeft een indicatie over de ernst van de lekken.’ Er is bovendien geen onderscheid te maken tussen de functie die de ondervraagden binnen een organisatie uitoefenen. ‘Managers spelen een grote rol in het voorkomen van onbewust lekken, maar tegelijkertijd zijn zij ook medewerker. Ook zij zijn zich niet altijd bewust van de informatie of de vertrouwelijkheid van de informatie waarmee ze werken en de impact van het naar buiten brengen van die informatie. Managers wisselen ook vaker van werkgever. De doorlooptijd binnen deze groep 2
is relatief hoog terwijl de laag eronder iets loyalere werknemers zijn. Ze hebben een kortere houdbaarheidsdatum.’
Herkennen en Behandelen van Bedrijfsvertrouwelijke Informatie Deze uitgave biedt organisaties en werknemers handvatten die ze helpen bewust te worden van het werken met bedrijfsvertrouwelijke informatie. Uiteraard zijn deze handvatten ter beoordeling en behandeling van bedrijfsvertrouwelijke informatie bruikbaar in toekomstige rollen die ook studenten tijdens en na hun studie binnen diverse organisaties zullen vervullen.
3
Samenvatting Definities Informatie Informatie is een alomvattend begrip en wordt vaak verkozen ter vervanging van de woorden kennis en data. Omdat er wel degelijk verschil tussen deze drie begrippen bestaat wordt er in dit boek onderscheid gemaakt. In het boek zal er gebruik worden gemaakt van de term informatie. Wanneer deze term wordt gebruikt, omvat het zowel data, informatie als kennis.
Data Data is de weergave van getallen, hoeveelheden, grootheden of feiten. Deze gegevens worden vaak ‘hard’ genoemd, omdat er bijna niet aan getwijfeld kan worden. Denk hierbij bijvoorbeeld aan het gegeven: 17 graden Celsius. Informatie, daarentegen, is zachter. Het ontstaat wanneer iemand betekenis aan de data geeft. Informatie is bijvoorbeeld het weerbericht, waarin weerman of -vrouw betekenis toekent aan de data eerder verzameld of gezien. Kennis wordt omschreven als: ‘dat wat iemand in staat stelt een bepaalde taak te vervullen door het situatieafhankelijk selecteren, interpreteren en waarderen van informatie’ (Weggeman, 1997). Kennis wordt vaak gezien als dat wat iemand weet en is opgeslagen in de hoofden van mensen. Het is de samenvoeging van informatie, ervaringen, vaardigheden en attituden (Weggeman, 1997). In het voorbeeld van het weerbericht, kan een persoon besluiten bepaalde kleding aan te trekken.
Kennis Kennis is uit te splitsen in expliciete en impliciete kennis (Boekhof, Ligthart, Vinkenburg & Volz, 1996, Nonaka & Takeuchi, 1995). Expliciete kennis is kennis dat gecodificeerd is en daarmee makkelijk overgedragen kan worden aan iemand anders. Impliciete kennis is kennis dat niet goed te delen is met anderen, bijvoorbeeld: intuïties, ingevingen en voorgevoelens.
Informatielekkage Informatielekkage is het verlies van vertrouwelijke informatie aan de “onvertrouwelijke” omgeving. Het verwijst naar een incident waarbij de vertrouwelijkheid van de informatie wordt geschonden (Information Security Forum, 2007). Dit betekent dat er informatie bij iemand terecht komt, die niet over deze informatie zou mogen beschikken.
Bedrijfsvertrouwelijke informatie Bedrijfsvertrouwelijke informatie is gevoelige informatie voor de organisatie die een bepaalde vorm van beveiliging behoeft (Spirovski, 2010). Om duidelijk te maken welke informatie bedrijfsvertrouwelijk is en dus door het lekken ervan schade kan toebrengen aan de organisatie, is in dit onderzoek de informatie ingedeeld in de categorieën Persoonlijk, Strategisch en commercieel en Beveiliging. In tabel 1 is een aantal voorbeelden genoemd.
4
Categorieën Persoonlijk
Strategisch / Commercieel
Beveiliging
Voorbeelden Namen Geboortedata Creditcardgegevens Patiënt gebonden informatie Management Informatie Klantenlijsten Onderzoeksdocumenten Marketing- /product- / procesplannen Financiele gegevens( budgetten) Beveiligingsmaatregelen (codes, passwords)
tabel 1: Vormen van bedrijfsvertrouwelijke informatie (GAO, 2010 and Minier, 2004)
5
Samenvatting De mens: de zwakste schakel Veel bedrijven zijn beschermd tegen het lekken van informatie via IT-voorzieningen en via bepaalde processen (Ashenden, 2008). Alleen bestaat er nog een groot risicofactor bij het lekken van bedrijfsvertrouwelijke informatie: de mens. Volgens Kosutic is IT-beveiliging maar 50% onderdeel van het gehele informatiebeveiliging. Het lekken van informatie veroorzaakt door de mens in de organisatie wordt hierin vaak vergeten.
afbeelding 1: Interne en externe bedreigingen (Echoworx, 2010)
Zoals in de afbeelding hierboven te zien is, vormen zowel internen als externen van de organisatie een bedreiging voor de bedrijfsvertrouwelijke informatie. Hiernaast bestaat er nog een overlapping van deze twee groepen. Deze groep kan zowel als intern als extern worden beschouwd.
6
Samenvatting Onderzoek naar de Oorzaken van Lekincidenten In een door Intelink en de Universiteit van Tilburg uitgevoerd onderzoek naar de oorzaken en gevolgen van het lekken van bedrijfsvertrouwelijke informatie, is in ronde 4 van de enquête aan de panelleden gevraagd of ze wel eens een lekincident hebben meegemaakt en wat hiervan de oorzaken en de gevolgen waren: - 17,5% van de panelleden zegt nog nooit een lekincident te hebben meegemaakt, - 32% geeft aan dat ze één keer een lekincident hebben meegemaakt, - 50,2% heeft meerdere malen een lekincident meegemaakt. 97,2% geeft aan dat de veroorzaker van het lekincident een interne van de organisatie is. In 44,3% van de gevallen werd er bewust informatie gelekt en in 55,7 % van de gevallen ging dat onbewust.
tabel 2: Lekincidenten meegemaakt
tabel 3 & 4: Lekincidenten door interne of externe en expres of per ongeluk
7
Samenvatting Herkennen van Bedrijfsvertrouwelijke Informatie Intelink onderzocht of werknemers zichzelf in staat achten adequaat en correct bedrijfsvertrouwelijke informatie te herkennen en dienovereenkomstig te behandelen. Over het algemeen herkent men zich in de stelling dat men redelijk bedrijfsvertrouwelijke informatie op juiste waarde kan inschatten. Maar de hoge standaarddeviatie laat zien dat er een grote verscheidenheid bestaat in de antwoorden. De ene persoon geeft aan dat hij dat niet echt kan, terwijl de ander aangeeft dat hij dat precies weet. Men vindt dus van zichzelf dat hij het uitermate goed of uitermate slecht kan beoordelen;. De situatievragen checken deze uitkomst. In de verschillende opgestelde situaties dienden de panelleden aan te geven of de informatie wel of niet bedrijfsvertrouwelijk was. De uitslag is als volgt:
tabel 8: Foutieve beoordelingen op basis van intuitie
Er blijkt dat bij de eerste drie situaties (werkrooster, productkennis, personeelsdossier) de verschillende vormen van informatie overduidelijk wel of niet vertrouwelijk zijn en dat ook zo is beoordeeld door de panelleden. Het personeelsdossier en kennis over het nieuwe product (situatievragen 1 & 2) zijn duidelijk bedrijfsvertrouwelijk. Alhoewel nog 20 tot 30 procent deze vormen van informatie als niet bedrijfsvertrouwelijk beschouwt. Deze personen vormen een risico voor de organisatie.
8
Samenvatting Behandelen van Bedrijfsvertrouwelijke Informatie Bij de toetsing van de behandeling van bedrijfsvertrouwelijke informatie kan dezelfde conclusie getrokken worden als bij de beoordeling van de bedrijfsvertrouwelijkheid. Men is het redelijk eens met de stelling dat deelnemers in staat zijn bedrijfsvertrouwelijke informatie adequaat en correct te behandelen. Ondanks het feit dat men zich goed in staat acht bedrijfsvertrouwelijke informatie correct te behandelen, laat de volgende tabel zien dat een groot aantal van diezelfde panelleden zeer regelmatig onzorgvuldig met bedrijfsvertrouwelijke informatie is omgegaan.
tabel 9: Behandelen van bedrijfsvertrouwelijke informatie op basis van intuitie
Zo heeft 69% van de panelleden wel eens documenten met belangrijke informatie onbeheerd achtergelaten, heeft 78% van de panelleden wel eens een vertrouwelijk, zakelijk telefoongesprek op een openbare locatie gevoerd, heeft 60% wel eens een e-mail met belangrijke informatie naar de verkeerde ontvanger gestuurd, gooit 42% van de panelleden documenten met bedrijfsvertrouwelijke informatie in de prullenbak en heeft 52% van de panelleden een keer een gegevensdrager met bedrijfsvertrouwelijke informatie verloren.
9
Het lekken van bedrijfsvertrouwelijke informatie via social media als LinkedIn, Facebook en Twitter is tevens onderzocht. Van de panelleden geeft 40% aan wel eens een bericht te hebben geplaatst dat bedrijfsvertrouwelijke informatie bevatte.
tabel 10: Behandelen van bedrijfsvertrouwelijke informatie – social media
In het onderzoek is bovendien vier keer en op verschillende manieren aan de panelleden gevraagd of ze wel eens bedrijfsvertrouwelijke informatie aan iemand hebben overgedragen die daar niet over zou mogen beschikken.
tabel 11: Behandelen van bedrijfsvertrouwelijke informatie
10
Samenvatting Onze intuïtie laat ons in de steek Het onderzoek toont aan dat men bij het bepalen van de waarde van de bedrijfsvertrouwelijke informatie en in de omgang met bedrijfsvertrouwelijke informatie uitgaat van de persoonlijke intuïtie in plaats van bestaande of juist ontbrekende regels in de organisatie. Tegelijkertijd wijst het onderzoek uit dat er grote onduidelijkheden bestaan bij medewerkers bij de beoordeling van bedrijfsvertrouwelijke informatie. De enquêtevragen laten zien dat men zichzelf prima in staat acht deze beoordeling correct te doen, terwijl de situatievragen (praktijk) uitwijzen dat dit te vaak incorrect gebeurt. Bovendien wijst het onderzoek uit dat er een positieve relatie bestaat tussen de perceptie van de waarde van bedrijfsvertrouwelijke informatie en de behandeling van bedrijfsvertrouwelijke informatie. Dat betekent dat wanneer iemand bedrijfsvertrouwelijke informatie beter op waarde weet in te schatten, hij daar ook zorgvuldiger mee om zal gaan en de kans op het lekken van bedrijfsvertrouwelijke informatie aanzienlijk zal afnemen. De resultaten laten zien dat een betere behandeling van bedrijfsvertrouwelijke informatie leidt tot minder informatielekkage. Een eenvoudig en zeer effectief middel voor het verbeteren van de perceptie en behandeling van bedrijfsvertrouwelijke informatie is het uitvoeren van een bewustwordingscampagne, waarbij werknemers worden gewezen op wat bedrijfsvertrouwelijke informatie is en hoe men er mee om moet gaan. De behoefte aan dergelijke programma’s wordt bevestigd door het onderzoek:
tabel 12 & 13: Beleid en noodzaak ten aanzien van beoordeling en behandeling bedrijfsvertrouwelijke informatie
11
Samenvatting Persoonlijke Gevolgen Persoonlijke gevolgen zijn gevolgen die betrekking hebben op een bepaald persoon (vandale.nl, 2011b). Dit zijn de consequenties van bepaalde oorzaken die betrekking hebben op een persoon. In dit boek houdt dit in dat het de gevolgen zijn voor een bepaald persoon naar aanleiding van een lekincident. De mogelijke persoonlijke gevolgen kunnen weer onderverdeeld worden in ontslag werknemer(s), ontslag management of directie medewerker(s), identiteitsdiefstal en privacyschending.
Ontslag werknemer(s) Houdt in dat één of meerdere werknemer(s)s word(t)(en) ontslagen als gevolg van een incident. Het ontslag kan veroorzaakt worden door directe oorzaken. Zo kan het betekenen dat de ontslagen werknemer degene is die gelekt heeft en daarom ontslagen wordt. Het kan echter ook betekenen dat het bedrijf door onvoorziene kosten en lagere inkomsten personeel zal moeten ontslaan, wat een indirecte oorzaak is.
Ontslag management of directie medewerker(s) Hier wordt verwezen naar het ontslag van hoge posities binnen het bedrijf.
Identiteitsdiefstal valt ook onder persoonlijke gevolgen Bij identiteitsdiefstal doet iemand zich voor als het slachtoffer, door middel van bijvoorbeeld creditcard gegevens of andere persoonlijke informatie. Het slachtoffer kan hierdoor geassocieerd worden met gebeurtenissen waar hij of zij niets mee te maken heeft. Dit is een vorm van fraude (Information Security Forum, 2007). LET OP: Hoe meer jij over zowel je persoonlijke als zakelijke leven lekt, hoe makkelijker het wordt jouw identiteit voor ongeoorloofde zaken te gebruiken. Met alle gevolgen van dien.
Privacyschending Volgens onderzoek is privacyschending een veelvoorkomend gevolg. Het is een incident waarbij persoonlijke informatie van een individu wordt misbruikt door illegale verkoop, het gebruiken van de informatie of gebrek aan bescherming (Acquisti, Friedman &Telang, 2006). Uit ditzelfde onderzoek blijkt dat privacyschending weer kan leiden tot het gevolg van een daling in de markt waarde van het bedrijf. Verdere uitleg hierover is te vinden in hoofdstuk 7.1.2. Ook zie je dat bijvoorbeeld verzekeringsorganisaties het Internet gebruiken om informatie over personen te achterhalen. Er zijn voorbeelden bekend van mensen die premies terug moesten betalen en werden beschuldigd van fraude, naar aanleiding van informatie dat over hen op Internet te vinden was. Maar ook personen die werden aangesproken op hun concurrentiebeding, nadat een oud werkgever zag dat er via sociale media contact was met opdrachtgevers van die oud werkgever.
12
Samenvatting Gevolgen voor Organisaties In dit deel gaat het over de mogelijke gevolgen voor de organisatie waarbij het incident van lekken van bedrijfsvertrouwelijke informatie plaats heeft gevonden. De gevolgen voor deze organisatie zijn afhankelijk van de soort informatie die gelekt is, de waarde van de informatie en of de media op de hoogte is (Information Security Forum, 2007).
Imagoschade Is een mogelijk gevolg van een incident (Information Security Forum, 2007). Imago gaat over het beeld dat de buitenwereld heeft van de organisatie. Wanneer er een lekincident plaatsvindt, kan het gebeuren dat dit imago in negatieve zin verandert ten opzichte van het beeld dat men daarvoor van de organisatie had. Dit wordt ook wel reputatieschade genoemd.
Verlies van concurrentievoordeel Een organisatie heeft concurrentievoordeel wanneer de organisatie de concurrentie kan overtreffen, waarbij ze de klanten producten of diensten kunnen aanbieden die de concurrent niet heeft (Solomon, Marshall & Stuart, 2008). De organisatie onderscheidt zich dan op een positieve manier van de concurrentie. Als er bepaalde informatie van de organisatie naar de concurrent wordt gelekt, kan het concurrentievoordeel verloren gaan. Dit kan bijvoorbeeld gebeuren wanneer een nieuw productidee uitlekt en hierdoor de concurrent eerder met dit product op de markt kan komen. Of wanneer een marketingplan uitlekt en de concurrent hierop inspeelt. De organisatie kan dan geen onderscheidende producten of diensten meer aanbieden en verliest hiermee het concurrentievoordeel. Hierdoor zal de organisatie klanten verliezen.
Vertrouwensverlies bij (potentiële) klanten Vertrouwensverlies houdt in dat men de organisatie waar men eerst nog vertrouwen in had, nu niet meer betrouwbaar vindt. Dit kan gelden voor zowel huidige klanten als voor potentiële klanten. Het kan leiden tot verlies van bestaande klanten en het niet slagen om nieuwe klanten aan te trekken (Dorantes & Ko, 2006). Het vertrouwensverlies kan veroorzaakt worden doordat de organisatie dankzij het lekkage incident problemen met justitie heeft gekregen of doordat de reputatie van de organisatie verslechterd is (Dorantes & Ko, 2006).
Lagere marktwaarde of lagere aandeelprijzen De marktwaarde van een organisatie is het geschatte bedrag waartegen de organisatie op de datum van waardering bij een onderhandse overeenkomst tussen een willige verkoper en onafhankelijke koper zou worden verkocht, waarbij wordt aangenomen dat de organisatie openlijk op de markt wordt aangenomen (ondernemersunited.nl, 2011). Het gaat dus om het bedrag dat de organisatie opbrengt, wanneer men het op dat moment zou verkopen. Dit is in samenhang met de aandeelprijzen. Een aandeel is een bewijs van deelneming in het eigen vermogen van een onderneming (beursblik.nl, 2011). Wanneer de waarde van een organisatie stijgt, zullen ook meer mensen de aandelen van dit bedrijf willen en zal de prijs van de aandelen stijgen. 13
Boetes van privacyregulerende instanties Een ander financieel gevolg zijn boetes van privacyregulerende instanties (Vliet, 2009). Wanneer er vertrouwelijke informatie gelekt wordt kan het zijn dat dit ten koste gaat van de privacy van bijvoorbeeld klanten of medewerkers. Dit bedrijf zal dan een boete ontvangen van een privacyregulerende instantie. Deze instantie is een overheidsorgaan die de wetgeving op het gebied van privacy waarborgt.
Compensatiekosten Als laatste kan het zijn dat de organisatie in kwestie compensatiekosten moeten betalen aan de slachtoffers. Dit wordt ook wel schadevergoeding genoemd. Zoals hierboven al regelmatig blijkt is dat alle gevolgen voor de organisatie in kwestie kunnen leiden tot kosten. Deze kosten komen ongeveer overeen met het begrip ‘economic loss’ in de afbeelding aan het begin van dit hoofdstuk, aangezien uiteindelijk alles tot economisch verlies leidt voor een organisatie, ofwel kosten. Kosten kunnen een direct gevolg zijn, maar de organisatie kan ook indirect extra kosten hebben als gevolg van een incident.
1
Zie voor meer informatie https://www.aivd.nl/onderwerpen-0/bedrijven/zeehavens/ en https://www.aivd.nl/onderwerpen-0/bedrijven/olie/
14
tabel 15: Gevolgen voor de organisatie bij lekincidenten bedrijfsvertrouwelijke informatie
De eerste drie gevolgen in de tabel; imagoschade, verlies van concurrentievoordeel en vertrouwensverlies; worden aangegeven als veel voorkomende gevolgen. Dit in tegenstelling tot de directe financiële gevolgen als de boetes en compensatiekosten. Opvallend is ook dat de lagere marktwaarde en lagere aandeelprijzen niet als grootste gevolg uit de enquête komen. Dit komt overeen met eerdere onderzoeken, die hierboven zijn vermeld. Hieronder staan de gevolgen overzichtelijk weergeven:
Persoonlijke gevolgen Ontslag werknemer(s) Ontslag management of directie medewerker(s) Identiteitsdiefstal Privacyschending Schadevergoeding Waarschuwing/berisping
Gevolgen voor de organisatie Imagoschade Verlies concurrentievoordeel Vertrouwensverlies bij (potentiële) klanten Lagere marktwaarde/lagere aandeelprijzen Boetes van privacyregulerende instanties Compensatiekosten aan slachtoffers
En niet te vergeten de nationale gevolgen als er door personen en organisaties die zich bezighouden met activisme, extremisme, terrorisme, proliferatie en spionage, bewust gezocht wordt naar onbewust gelekte informatie. De gevolgen die hieraan ten grondslag liggen raken de nationale veiligheid en het schaden van economische belangen.
15
Samenvatting Wat is jouw rol in het beschermen van Bedrijfsvertrouwelijke Informatie Uit twee onderzoeken naar dit onderwerp, beiden uitgevoerd voor Intelink en de Universiteit van Tilburg, blijkt vooral dat men bij het bepalen van de waarde van bedrijfsvertrouwelijke informatie en de behandeling ervan vooral uitgaat van de eigen intuïtie. Het blijkt echter dat bij een betere perceptie van bedrijfsvertrouwelijke informatie dit ook beter behandeld wordt. Er wordt bij een betere perceptie dus zorgvuldiger met de bedrijfsvertrouwelijke informatie omgegaan. Bij een juiste behandeling van bedrijfsvertrouwelijke informatie zal er minder informatielekkage optreden.
“Maar juist die menselijke factor krijgt nog te weinig aandacht in organisaties”. Daarom is het helemaal niet vreemd dat jij nog niet bewust met dit onderwerp bezig bent geweest. Bewustwording zit in jezelf. Wat vertel jij over jezelf en over je werk: · Op feestjes · In het OV · Op internet · Op ieder ander willekeurig moment of plaats Denk hier eens over na en praat er eventueel op je werk over met collega’s. In dit boek onderscheiden we twee soorten informatieafdrukken die je als persoon achter kunt laten, de On- en Offline footprint. Deze worden in de volgende paragrafen verder uitgewerkt.
16
Samenvatting Jouw Offline Footprint Onder Offline footprint wordt in dit boek verstaan de informatieafdruk die je achterlaat of kunt laten door handelingen binnen een niet digitale omgeving. Hieronder worden ter verduidelijking uiteenlopende voorbeelden uit de praktijk genoemd, gevolgd door aandachtspunten ter overweging.
-
De borrel aan het einde van de week: Na een harde week werken ga je met vrienden een borrel drinken in de kroeg/op het terras. Jullie nemen samen de week door en vertellen elkaar trots waar je momenteel mee bezig bent en dat je gevraagd bent voor die speciale opdracht! Je vrienden vragen natuurlijk belangstellend wat de opdracht inhoudt en jij vertelt honderduit… ü Ben je je op dat moment echt bewust van hetgeen je vertelt en is deze informatie eigenlijk wel openbaar? ü Vrienden kies je zelf, dus meestal op basis van overeenkomstige interesses. Dit kan dus ook op werkvlak zijn en misschien is je vriend eigenlijk wel een concurrent. Is het dan handig dat jij belangrijke details vertelt? ü Besef dat je niet weet welke personen zich nog meer in de nabijheid van jou en je verhaal bevinden. Maak de bewuste afweging of je je verhaal wel op deze locatie moet vertellen of meer in een privé omgeving, zoals bij je thuis. ü Besef dat als je informatie weggeeft (zowel mondeling als digitaal), dat jij er geen controle meer op hebt. Jij kunt je mond wel houden over iets dat niet gedeeld mag worden, maar je weet nooit zeker of de persoon aan wie het je vertelde hetzelfde kan. ü Vraag je af of je andere personen wel moet belasten met informatie waar ze niets mee kunnen. Een geheim vertellen is even leuk, maar vervolgens mag de ander er niets meer mee. Dat had je vast niet bedoeld.
-
Praten vanuit betrokkenheid met je bedrijf: De economische tijden zorgen ervoor dat er minder opdrachten binnenkomen dan in betere tijden. Je merkt dat klanten later hun rekeningen voldoen en dit kan zelfs gevolgen krijgen voor jouw organisatie. Jullie hebben immers ook kosten en rekeningen te betalen. Het zit je best hoog, want jouw bedrijf gaat je aan het hart. Als iemand uit je omgeving vraagt hoe het gaat, vertel je al snel over de financiën en de kwetsbaardere positie die het bedrijf hierdoor inneemt. ü Ook al vertel jij vanuit betrokkenheid, het betreft bedrijfsinformatie die niet op straat hoort te liggen!
-
Leeswerk thuis bij het oud papier: Je hebt wat werk uitgeprint en besluit thuis dat leeswerk wel te doen. Nadat je het leeswerk af hebt, ga je keurig recyclen en gooit de papieren in de bak voor oud papier. ü Wat gebeurt er met de bedrijfsinformatie die jij nu weggooit nadat het papier is opgehaald? Jij zult het nooit weten, maar ook niet zeker of het niet in verkeerde handen valt…
Lees de Studiepocket voor meer voorbeelden van jouw Offline Footprint 17
Samenvatting Jouw Online Footprint Onder Online footprint wordt binnen dit boek verstaan de informatieafdruk die je binnen een digitale omgeving achterlaat. Hieronder worden diverse voorbeelden uit de praktijk genoemd, gevolgd door aandachtspunten ter overweging. -
PC onbeheerd achterlaten: Je bent aan een vertrouwelijk stuk aan het werk, maar wordt weggeroepen van je werkplek. Je vergeet hierbij je pc te blokkeren met een wachtwoord.
üBesef je dat je pc (en daarmee de gevoelige informatie) openstaat voor ieder ander? Neem in het geval van werken met bedrijfsvertrouwelijke informatie geen risico en vergrendel je pc; ook al ben je maar even van je plek. -
Overdracht van wachtwoorden: Je gaat lekker op vakantie, maar je leidinggevende wil dat je digitaal vervangen kan worden tijdens je afwezigheid. Je geeft je wachtwoorden aan je collega, zodat hij/zij overal bij kan.
üEnerzijds voldoe je aan de wens van je leidinggevende, maar je hebt nu zelf geen controle meer over de informatie binnen jouw domein. Is dit een risico? Zorg er dan zeker voor dat gevoelige informatie op een afgeschermde plek komt te staan en ga de discussie met je leidinggevende hierover aan. -
Afwezigheidassistent: Jij gaat met vakantie en je leidinggevende verwacht dat jij je klanten laat weten dat je er niet bent. Om de voortgang in het werk dus niet te laten stagneren zet jij je afwezigheidassistent aan, met daarin de naam, functie, het telefoonnummer en emailadres van je collega.
üOnbewust geef je nu een hoop weg! Er zijn bedrijven gespecialiseerd in het achterhalen van dergelijke gegevens voor doorverkoop, dus bespreek met je leidinggevende of het niet verstandiger is te verwijzen naar een afdelingsaccount of andere algemene informatie die niet zo vertrouwelijk is. -
Werk op privé pc: Je hebt het druk op je werk en besluit werk mee naar huis te nemen. Je beschikt niet over een werklaptop met beveiliging of die batterij is leeg. Toch moet het werk echt af en je besluit het op je privé pc te doen, of op de laptop van je partner. Als het klaar is mail je het snel weer door naar je werk, maar als je op zend hebt gedrukt ontdek je dat je een verkeerd e-mailadres hebt gebruikt…
üAls het echt gevoelig werk betreft, is werken op een privé pc nooit verstandig. Een bestand is nooit meteen zomaar echt weg als je het weggooit. Bovendien is het nu ook nog naar een verkeerd e-mailadres gestuurd. Pas op met auto-aanvulling en controleer liever een keer teveel dan te weinig voordat je op zend drukt!
Lees de Studiepocket voor meer voorbeelden van jouw Online Footprint
18