Controle van de voorschriften

Gisteren hebben we hard gewerkt aan het opstellen van voorschriften voor de bescherming van voor ons kostbare informatie. Vertrouwen was leuk, maar controle is beter en de papierentijgers willen we al helemaal voorkomen. Daarom moeten we goed kijken naar wat er met de informatie gebeurt.

De logische vraag die daarbij hoort, is:
Wordt er gecontroleerd of de voorschriften ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging worden nageleefd?

In de vraag hebben we het over drie onderwerpen, namelijk kennisname, verlies of beschadiging. In meer bekende termen voor informatiebeveiliging hebben we het dan over exclusiviteit, beschikbaarheid en integriteit.

Oftewel: is de juiste informatie die we nodig hebben beschikbaar op het juiste moment en voor de juiste persoon. Dat is niet iets wat we eenmalig vast kunnen stellen en waar we nooit meer naar om hoeven te kijken.

Het kan best zijn dat een medewerker de informatie in zijn huidige functie nodig heeft om zijn werk te kunnen doen. Maar ja, of je nu wilt of niet, de kans is aanwezig dat een medewerker promotie maakt. Hij is, bijvoorbeeld, nu geen beheerder meer maar teamleiders van alle beheerders. Chapeau, goed gedaan. Maar daarmee hoeft hij dus niet meer bij alle gegevens te kunnen waar hij eerst wel bij kon. Nee, zijn profiel moet opnieuw worden bekeken en zijn informatiebehoefte moet opnieuw worden vastgesteld.

Op papier allemaal niet zo ingewikkeld, in de praktijk toch een stuk weerbarstiger. Hoe vaak zien we niet dat medewerkers die inmiddels 30 jaar voor dezelfde baas werken overal bij kunnen? Er zijn wel steeds nieuwe informatiebehoeften bij gekomen, maar de rechten die hij niet meer nodig heeft zijn hem nooit afgenomen.

Daarbij kunnen we natuurlijk kijken wat hij bewust met de informatie doet. Kijkt hij er nog wel eens naar, kopieert hij ze niet toevallig en heeft hij ze wel eens doorgestuurd naar de Telegraaf? Voor het merendeel van de medewerkers zal dit wel meevallen…maar ja, hoeveel mollen zitten er bij jou in de organisatie?

Naast bewust handelen is er ook nog zoiets als onbewuste fouten. De medewerker vindt zelf dat hij de informatie niet meer nodig heeft en denkt zijn C-schijf eens lekker op te schonen door alles te verwijderen. Ctrl+Alt+Delete en we beginnen weer met een schone lei. Helaas waren we even vergeten dat deze informatie nooit verder is gekomen dan de C-schijf. De medewerker heeft er geen last van als het verwijderd wordt, hij gebruikt ze immers toch niet meer. Maar hoe zit het met zijn opvolger? Moet die de informatie niet overgedragen krijgen? Of moet hij maar helemaal opnieuw beginnen met informatie verzamelen?

Oké, opslagruimte kost tegenwoordig niets meer, dus we bewaren alles wat los en vast zit. Uiteraard moeten we niet alles tot in lengte van dagen bewaren, dat is nergens voor nodig. Maar we moeten wel bewust omgaan met de toegang tot de informatie en het verwijderen van die informatie. Doen we dat op de verkeerde manier dan hebben we geen last van “information overload” maar eerder van “information shortage”. Geen van beide zijn een prettig idee, tenminste, als je het mij vraagt.