Geheimhoudingsverklaring

Inmiddels hebben we de mensen allemaal verteld wat ze moeten doen, we hebben gedragscodes en sanctiebeleid waar ook nog eens voor getekend is. Als we ze dan toch allerlei formulieren laten ondertekenen dan kan de geheimhoudingsverklaring daar ook nog wel bij.

De vraag is daarom:
Wordt door iedere medewerker een geheimhoudingsverklaring ondertekend?

Het lijkt misschien een pure formaliteit en helaas is dat in de praktijk ook veelal het geval. Dat heeft niets te maken met de geheimhoudingsverklaring maar veel meer met het feit dat er nauwelijks gecontroleerd wordt welke informatie er zoal onze organisatie verlaat.

De geheimhoudingsverklaring is er op gericht om stappen te kunnen ondernemen als een werknemer tijdens het dienstverband uit de school klapt. Het merendeel van de medewerkers is zich daar, hopelijk, van bewust en past wel op met wat hij zoal de wereld in slingert. Maar hoe zit het met de informatie nadat de werknemer ontslag heeft genomen of gekregen?

Dan wordt het al een lastiger verhaal en misschien moeten we het ook nuanceren. Natuurlijk willen we niet hebben dat onze vertrouwelijke informatie bij de krant of concurrent terecht komt. We willen niet met onze eigen fouten geconfronteerd worden. Maar hoe zit het nu met die kennis die de werknemer heeft opgedaan?

Dan doel ik niet zozeer op de vertrouwelijke bedrijfsgegevens maar meer op algemene kennis. Hij heeft hopelijk een berg geleerd de afgelopen jaren en hij heeft zich goed ingezet voor de organisatie. Met zijn overstap naar een nieuwe carrière bij een ander bedrijf is hij die kennis niet ineens vergeten. Nemen wij zelf nieuwe medewerkers niet aan op basis van een bepaald denk- en werkniveau? Hoe is dat niveau behaald? Waarschijnlijk door een combinatie van opleiding en werkervaring.

Goed, wat in het hoofd zit van die medewerker wordt dus hergebruikt. En, ach, zolang het onze vertrouwelijke gegevens niet zijn, zullen we daarmee moeten leren leven. Maar hoeveel informatie is in digitale of geprinte vorm meegegaan met die medewerker? En wat vinden we daar dan van?

Stel dat iemand procesmanager is geweest. Zeer waarschijnlijk kan hij de opgedane proceskennis hergebruiken in zijn nieuwe werkomgeving. De procesflows waar hij jaren mee gewerkt heeft hergebruikt hij en herschrijft hij naar de nieuwe omgeving. Vinden we dat erg of accepteren we dat ook? Daar is geen eenduidig antwoord op maar is wel een aspect waar we eens over na moeten denken.

Te vaak zien we dat informatie voor het grijpen ligt. Op intranet staat hele boeiende informatie, op de servers nog meer en dan hebben we het nog niet over de sharepoint omgevingen gehad. Controleren we wel eens wat er met die informatie gebeurt? Weten we wie daarover kan beschikken en wat er mee gebeurt? Weten we hoeveel kopietjes er op USB-sticks worden opgeslagen of via webmail onze organisatie verlaat?

Natuurlijk doen we iets aan autorisatiebeheer, niet iedereen kan dus bij alle informatie. Allemaal leuk en aardig en hartstikke noodzakelijk. Maar deze medewerker is gewoon geautoriseerd, hij moet er immers mee werken. Maar als hij niet meer voor ons wil werken, moeten we dan de controle niet wat opschroeven?

Het hangt natuurlijk allemaal van de cultuur van het bedrijf af. We zijn in Nederland nogal gematigd en als iemand ontslag krijgt of neemt dan mag hij gedurende zijn opzegtermijn nog gewoon alles doen. Een risico, dat zeker. En dat risico wordt alleen maar groter als we weer een aantal befaamde reorganisaties aankondigen. Mensen worden onzeker en gaan vast hamsteren.

Vinden we dat niet erg en accepteren we dat dan is het goed om ons dat te realiseren. Accepteren we dat zeker niet dan zullen we na moeten gaan denken over de wijze waarop we de informatie beter willen monitoren. Een hele opgave, dat zeker, maar goed om niet te lang te wachten…want een volgende reorganisatie kan er zomaar aan komen.

Aanvullende instructies en geheimhoudinsverklaring

Na ons uitstapje van gisteren, waarbij we het artikel van Computable nog even onder de aandacht brachten, gaan we vandaag weer door met onze uitgebreide vragenlijst op het gebied van informatiebeveiliging. We zijn daarbij aanbeland bij het onderwerp dat ingaat op aanvullende instructies en geheimhoudingsverklaringen.

De vraag die hierbij hoort is:
Zijn er voor medewerkers die veel met vertrouwelijke informatie te maken krijgen aanvullende instructies opgesteld waaronder een geheimhoudingsverklaring?

Over de vertrouwelijke informatie en de omgang daarmee hebben we het vorige week ook al gehad. Toch is het belangrijk om te onderkennen dat we een basisinstructie moeten hebben voor mensen die zelden in contact komen met vertrouwelijke informatie. Zij moeten snel overzicht hebben in wat er van hen verwacht wordt.

Maar voor die medewerkers die vaker in contact komen met vertrouwelijke informatie kan het wenselijk zijn om uitgebreidere instructies ter beschikking te stellen. Uiteraard hierbij weer de gedachte dat het gaat om kennis, houding en gedrag. Alleen papiereninstructies zijn dus slechts de eerste stap, we moeten ervoor zorgen dat de houding en het gedrag daarop aangepast wordt.

Niet de instructies over de schutting gooien dus, maar met de medewerkers in gesprek gaan. Hen toelichten wat vertrouwelijke informatie is, welke mogelijke schade er kan ontstaan na een incident, waarom we dat zo graag willen voorkomen en wat hun rol daarbij is. Daarop aansluitend moeten we ze natuurlijk ook de middelen geven om het veilig werken mogelijk te maken.

Schrijven we bijvoorbeeld voor dat vertrouwelijke informatie op een versleutelde USB-stick mag worden opgeslagen. Dan moeten we ze die stick ook ter beschikking stellen. En dan niet een stick met 64mb, maar een die een beetje moderner is, zodat we ook echt informatie kwijt kunnen.

Train de medewerkers die veel in contact komen met vertrouwelijke informatie en leg hen uit waarom we daar nu eigenlijk zo moeilijk over doen. Betrokkenheid en verantwoordelijkheid creëren, dat is het advies.

Zo, de medewerkers weten nu wat er van hen verwacht mag worden en theoretisch houden ze zich daar allemaal ook nog aan. Onze informatie komt niet meer op straat…toch?

Maar we hebben nu een goede band met die medewerker, wij betalen zijn salaris en daarvoor mogen we wat terug verwachten. Maar wat als de concurrent besluit een mooie transfersom te willen betalen voor de medewerker? Vertrekt onze informatie dan ook naar de concurrent? Hopelijk hebben we, juridisch correcte, geheimhoudinsverklaringen en staat de handtekening van de medewerker daar ook nog onder.

Op papier zal hij of zij de informatie dus niet verder verspreiden, dat mag immers niet. Maar, vertrouwen is goed, controle is beter. Bij uitdiensttreding bedanken we de medewerker voor gedane zaken maar we wijzen hem ook nog even op de geheimhoudingsverklaring. Wederom theoretisch prima, maar nu moeten we ook nog controleren of de informatie niet op een onverklaarbare wijze ons netwerk verlaat.

Willen we dat een geheimhoudingsverklaring ook echt zin heeft dan moeten we de informatie monitoren. Voor de digitale informatie is dat met allerlei technische middelen tegenwoordig goed in te richten (onderschat het niet, want het is zeker geen makkelijke opgave). Maar de kennis die in het hoofd van de medewerker zit is moeilijker geheim te houden. Misschien moeten we wel concluderen dat we alleen maar kunnen hopen dat de echt geheime informatie geheim blijft…dan helpt het als we op een prettige manier afscheid nemen van de medewerker.

Een groot risico bij reorganisaties is dat de geheimhoudingsverklaringen aan alle kanten geschonden worden. De medewerker is gefrustreerd en de informatie verlaat aan alle kanten de organisatie. Uitdaging daarbij is dat digitale informatie niet weg is als het gelekt is. Er kan immers een kopie gemaakt zijn. Diefstal van een laptop zullen we nog wel ontdekken (toch?), diefstal van informatie is al een stuk ingewikkelder.

Ik wil je zeker niet ontmoedigen, want we moeten er zeker goed naar kijken, maar we moeten ook realistisch blijven en accepteren dat hier risico’s zijn die we echt niet allemaal af kunnen dekken.

Juridische vraag: Zijn logbestanden bedrijfsgeheim?

Een interessante juridische vraag die op security.nl gesteld wordt:
Wij zijn een klein hostingbedrijf en wilden onderzoek doen om de performance van de shared servers te verbeteren. De makkelijkste manier leek ons om simpelweg een top10 te maken met de grootste logfiles van de webserver logs, waaronder ook de error_logs met foutmeldingen. Bij een klant bleek die log wel erg groot (enkele gigabytes), en we hebben die doorgekeken om te zien waar dat door kwam. Het bleek een groot aantal (onschuldige) PHP foutmeldingen te zijn. We hebben de klant geinformeerd, met het verzoek om dit recht te zetten. De klant reageerde erg boos: die logfiles zouden bedrijfsgeheim zijn en wij hadden daar nooit in mogen kijken! (bron)

Samengevat is het antwoord:
Een bedrijf kan claimen dat bepaalde gegevens bedrijfsgeheim zijn, maar essentieel is dan wel dat zij kan bewijzen dat daarvoor geheimhouding wordt betracht. Er moet zeg maar een stempel “GEHEIM” op staan. Ook moeten mensen die met de informatie in contact komen, expliciet op geheimhouding zijn gewezen. Het is dan strafbaar (art. 273 Strafrecht) om die gegevens te verspreiden of publiceren…De systeembeheerder heeft echter een bijzondere positie. Vanuit zijn werk komt hij in aanraking met allerlei gegevens, en het kan goed gebeuren dat hij bestanden opent waarin bedrijfsgeheimen van klant en staan. Dat mag: art. 273d Strafrecht regelt dat je die mag inzien als het nodig is voor je werk als systeembeheerder. Wel heb je dan een zwijgplicht naar anderen toe.

Hier gaat het dan specifiek om de logfiles. Maar zo’n zelfde vraag speelt bij het uitbesteden van je informatievoorziening. Delen van systemen worden uitbesteed en de informatie staat dus bij een externe leverancier. Denk bijvoorbeeld aan databases, maar ook aan bijvoorbeeld Word-documenten. Een discussie die al jaren speelt (of je het nu intern of extern beheert maakt niet zoveel uit) is wat de beheerder mag zien en doen.

Een beheerder heeft graag alle rechten, onder het mom van: “anders kan ik mijn werk niet doen.” Vanuit beveiliging denken we daar natuurlijk anders over. Ja hij moet zijn werk kunnen doen (back-ups maken, autorisaties toekennen, etc.) maar hij hoeft geen toegang tot de gegevens te hebben. Anders gezegd: hij hoeft de content niet te kunnen zien.

Te vaak zien we dat de beheerder met zijn admin-account alle rechten op het systeem heeft, het management heeft daar geen besef van en ziet de risico’s niet. De beheerder kan dus bij alle financiele en vertrouwelijke gegevens. Toezicht (technisch of procedureel) daarop wordt nauwelijks uitgevoerd. Leuk hoor zo’n geheimhoudingsverklaring maar hoe gaan we dat controleren?

De vraag die het management zich moet stellen: welke rechten heeft de beheerder maximaal nodig om zijn werk goed te kunnen doen?

Door de rechten zoveel mogelijk te beperken voorkomen we niet alleen moedwillige acties maar ook simpele beheerdersfouten. Te vaak zien we dat de beheerder zijn reguliere werkzaamheden uitvoert met zijn beheerdersaccount terwijl hij daarvoor gewoon zijn gebruikersaccount kan gebruiken. Dit kan een hoop problemen voorkomen.