Informatiebeveiliging voor de medezeggenschap

Mijn naam is Pierre Roijen en ik ben sinds enige jaren actief bezig met het vraagstuk informatiebeveiliging.

Als doorgewinterde OR activist met ruime ervaring als OR voorzitter en secretaris wil ik ondernemingsraden laten delen in de informatie en inzichten die ik opgedaan heb over de nieuwe Wet Bescherming Persoonsgegevens en de eventuele risico’s van de voortschrijdende digitalisering. Met mijn langdurige OR achtergrond en ervaring als functionaris informatiebeveiliging leek het me interessant om de huidige ontwikkelingen rond informatiebeveiliging eens door een OR bril te bekijken.

Ik zal in mijn verhaal een beknopt overzicht geven van de actuele ontwikkelingen, de mogelijke rol van de ondernemingsraden en als slot mijn persoonlijke mening over de voortgaande digitalisering. Hoewel de digitale trends ook kansen en mogelijkheden voor bedrijven creëren zal ik me in mijn verhaal beperken tot de risico’s voor bedrijf en medewerkers.

Ontwikkelingen:

Het digitale landschap is sterk aan het veranderen, nieuwe technologieën worden in een dusdanig hoog tempo ontwikkeld en gepresenteerd dat er nauwelijks tijd is om over gevolgen na te denken. Informatie wordt een steeds belangrijker bedrijfsmiddel. Het verzamelen van informatie, op welke manier ook, is voor veel bedrijven een belangrijk bedrijfsonderdeel geworden. Het hackersgilde vormt langzaam een serieus te nemen en lucratieve bedrijfstak. Doe het zelf pakketten voor potentiele hackers en persoonsgevoelige gegevens zoals gebruikersnamen en wachtwoorden worden vrij verhandeld op de Dark Side van het internet.
Risico’s voor bedrijven groeien hierdoor.

Informatiebeveiliging wordt voor bedrijven steeds complexer, moeilijker te handhaven en er is, als extra uitdaging, sinds januari 2016 sprake van gewijzigde wetgeving. Voor bedrijven bestaat er sinds deze wijziging een meldplicht bij datalekken. De nieuwe Wet Bescherming Persoonsgegevens geeft de Autoriteit Persoonsgegevens ( de nieuwe naam voor het College Bescherming persoonsgegevens ) de mogelijkheid om boetes op te leggen bij overtredingen van de WBP. Een geringere overtreding van de WPB kan een bindende aanwijzing voor een aanpassing opleveren. Een ernstige overtreding met bewijsbare nalatigheid kan een boete van € 810.000,-  tot 10% van de jaaromzet opleveren.
Wanneer we hier de mogelijke imagoschade bij optellen worden bedrijven geconfronteerd met een serieus te nemen risico.

Rol van de ondernemingsraad:

Voor een serieuze ondernemingsraad die mee wil denken over deze ontwikkelingen is hier zeker een taak weggelegd, daarom wil ik een aantal zaken aanhalen die volgens mij de aandacht van de OR nodig hebben. Hierbij ga ik een onderscheid maken in zaken die een rechtstreekse relatie hebben met de wet op de ondernemingsraad en zaken waarover een OR volgens mij geïnformeerd hoort te zijn.

Gerelateerd aan de wet op de ondernemingsraad:

27.1.k een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen:

Hier ligt voor de OR een actieve taak volgens de wet op de ondernemingsraad. Invoering van de WBP heeft ervoor gezorgd dat de regels voor het verwerken van persoonsgegevens in het algemeen, en dus ook voor medewerkers, gedetailleerder beschreven zijn.
Het belang van het verzamelen van gegevens moet bijvoorbeeld opwegen tegen de inbreuk op de privacy van de betrokkenen.
Wanneer bijzondere gegevens worden geregistreerd die afwijken van de standaard gegevens zoals NAW, opleidingen, nationaliteit en geslacht moet een goedkeuring worden gevraagd bij de Autoriteit Persoonsgegevens. Onder bijzondere persoonsgegevens vallen bijvoorbeeld een Verklaring Omtrent Gedrag en het Burgerservicenummer. (Hierbij is op te merken dat een VOG voor een aantal functies zoals bijvoorbeeld leraar een verplichting is).

27.1.f een regeling op het gebied van de personeelsopleiding:
27.1.g een regeling op het gebied van de personeelsbeoordeling:
27.1.l een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen:

Uit onderzoek is gebleken dat data lekken vaak veroorzaakt worden door ondeskundig handelen van medewerkers. Hackers maken gebruik van Social Enginering om voor hen interessante gegevens van medewerkers te verkrijgen. Medewerkers worden slachtoffer van fishing mails. Er worden usb sticks met gevaarlijke inhoud bij bedrijven achtergelaten. Steeds meer bedrijven zijn daarom bezig met het opzetten van Security Awareness programma’s voor medewerkers.

Het trainen van medewerkers om gevaren te herkennen kan zich positief uitwerken bij een eventueel geschil met de Autoriteit Persoonsgegevens. Het is dus voor bedrijven interessant om te kunnen bewijzen dat dit soort trainingen gegeven worden en te registreren wat de effectiviteit hiervan is. Deze trainingen worden vaak online gegeven en kunnen een vrijwillig verplicht karakter hebben.

De eisen die aan dit soort trainingen gegeven worden zijn vaak.
• Ik moet kunnen controleren wie deelgenomen heeft.
• Ik moet kunnen controleren wat de score van een medewerker is.
• Ik moet kunnen controleren wat medewerkers aan informatie hebben onthouden.

Navraag bij bedrijven die dit soort trainingen geven bevestigd de mogelijkheid om prestatie te registreren op persoonsniveau.
Als voorbeeld een deel uit mijn mailcorrespondentie met een van deze, niet nader te noemen, bedrijven.

Om het gedrag meetbaar te maken en vooral ook de verandering in gedrag door de bewustwordingstrajecten, is de e-learning een goede tool.
o We brengen daarmee het securitygedrag van medewerkers in kaart (risicoprofiel)
o We geven ze praktische tips bij het verbeteren van hun veiligheid
o We vragen ze om hun voornemens: hoe gaan ze hun gedrag veranderen
o Om het half jaar/jaar komen we bij ze terug: “hoe is je gedrag veranderd, heb je je gehouden aan je voornemens, etc’

Gezien het karakter van deze trainingen is het nodig om rekening te houden met artikel 27.1.f, 27.1.g en 27.1.l uit de wet op de ondernemingsraad.
Er bestaat zelfs een kans dat de registratie van de trainingsuitkomsten valt onder registratie van bijzondere persoonsgegevens.

Niet direct gerelateerd aan de wet op de ondernemingsraad:

Imagoschade: Vertrouwen komt te voet en gaat te paard.

Het vertrouwen in een bedrijf kan grote schade oplopen wanneer onverhoopt vertrouwelijke bedrijfsgegevens of vertrouwelijke gegevens van klanten op straat komen te liggen. Informatiebeveiliging is actueel en incidenten worden vaak breed uitgemeten in de ( social ) media. Het is niet onlogisch dat een OR zich informeert naar bewustzijn over de problematiek en genomen maatregelen binnen een bedrijf.

Een eventuele materiële schade kan aanzienlijk zijn:

Wanneer een bedrijf zich niet bewust is van zijn verantwoording op gebied van informatiebeveiliging kunnen opgelegde boetes substantieel zijn. Ook hier is het niet onlogisch dat een OR zich informeert naar het bewustzijn over de problematiek en genomen maatregelen binnen een bedrijf

Verhoogd risico:

De kans dat een bedrijf te maken krijgt met een informatiebeveiliging incident groeit. Ik ben in mijn praktijk bedrijven tegengekomen waarvan de complete administratie binnen een paar uur volledig onbruikbaar was.

Als OR informeren naar de stand van zaken bij je eigen bedrijf kan nooit kwaad.
Verzeker je ervan dat het bestuur zich bewust is van de risico’s en zijn verantwoordelijkheden.
De bestuurder blijft bij iedere vorm van een datalek de eindverantwoordelijke.

Slotwoord:

Ik beschouw mijzelf als een rasechte optimistische realist en iemand die de technologische ontwikkelingen en de internet ontwikkelingen al vanaf een vroeg stadium gevolgd heeft. Toch wil ik nog een aantal dingen aanhalen die misschien een beetje pessimistisch overkomen.

Het huidige digitale landschap veranderd langzaam in een digitaal mijnenveld waarbij iedere muisklik een potentieel risico is.
Het interessante en ooit vrijblijvende internet is in de huidige vorm niet meer zo vrijblijvend en begint een steeds groter gevaar te vormen voor bedrijfscontinuïteit en privacy. Steeds meer bedrijven zijn gedeeltelijk of geheel afhankelijk van internet.

Informatiebeveiliging is niet nieuw maar zou door de recente ontwikkelingen hoger op de prioriteitenlijst van bedrijven moeten staan. Wanneer ik kijk naar mijn eigen praktijkervaringen zie ik grote verschillen in de manier waarop bedrijven met de huidige ontwikkelingen om proberen te gaan. Een deel van de bedrijven is zich bewust van de verantwoording of verplichting die ze hebben bij het vastleggen van persoonsgegevens. Een deel van de bedrijven begint langzaam te beseffen dat er een noodzaak is om de nieuwe wetgeving na te leven. Een groot deel heeft nog helemaal niet nagedacht over informatiebeveiliging.

Sommige bedrijven zijn heel bewust bezig met security en boeken gestaag vooruitgang.Andere bedrijven proberen te voldoen aan het hoogstnoodzakelijke en verschuilen zich achter een behaalde norm.

De slechtste beveiliging heb ik meegemaakt bij een ISO gecertificeerd datacenter waar ik me via een officiële procedure via mail moest aanmelden. Bij het uiteindelijke bezoek aan dit datacenter werd ik door een medewerker van een toevallig aanwezig bedrijf  binnengelaten. Tijdens mijn gehele aanwezigheid werd niet naar enige vorm van legitimatie gevraagd.

De beste beveiliging heb ik meegemaakt bij een niet gecertificeerd datacenter dat beveiligd was als de Nederlandse Bank.

Certificering is veel gevraagd bij aanbestedingen maar de praktijk bewijst dat certificering niet zaligmakend is. Ik heb voor mijzelf een uitgebreide analyse gemaakt van gangbare normeringen en de waarschijnlijke effectiviteit van het certificeren voor een norm. De uitkomsten zijn te uitgebreid om hier te beschrijven maar ze bevestigen dat de huidige vorm van certificeren steeds minder aansluit bij de huidige dynamische praktijk.

De recente ontwikkelingen zullen zeker van invloed zijn op medewerkers, de digitale generatie gaat vaak te vrij om met ontwikkelingen, voor de pre-digitale generatie zal het een steeds grotere uitdaging worden om zich aan te passen. Voor medewerkers zal het steeds moeilijker worden om zich veilig te bewegen in het steeds groter en dichter wordende digitale mijnenveld.

Het zou onwenselijk zijn wanneer medewerkers hier direct of indirect op afgerekend worden.

Mogelijkheden voor jouw ondernemingsraad en jouw organisatie:

Mocht je behoefte hebben om als ondernemingsraad dieper op de privacy kwestie in te gaan, laat ons dat weten.

Mail: info@dpgroep.nl.  Onderwerp: Informatiebeveiliging en medezeggenschap.

Blijf alert!

Met vriendelijke groet,
een OR actieve functionaris informatiebeveiliging, Pierre Roijen.

Or historie: 15 jaar actief in de rollen van voorzitter en secretaris bij Nieuwsdruk Limburg (Limburgs Dagblad, Dagblad de Limburger).
Functies: Projectmanager ICT & Techniek  voor  Nieuwsdruk Limburg (10 jaar), Projectmanager ICT en DPO ( huidig ).
Huidig project: Nulmeting, risicoanalyse en aanbevelingen voor een opdrachtgever.