Werknemers stellen job veilig met gestolen bedrijfsinformatie
Volgens een onderzoek van beveiligingsbedrijf Cyber-Ark zou maar liefst 71 procent van alle werknemers bedrijfsgegevens stelen als ze morgen plots worden ontslagen. Een aanzienlijk deel van de ondervraagden heeft dat zelfs al eens gedaan voor het geval ze bij een nieuwe werkgever moeten aankloppen of moeten onderhandelen over hun ontslag.
Het onderzoek werd uitgevoerd bij zeshonderd mensen uit de VS, het Verenigd Koninkrijk en Nederland. Onze noorderburen zijn overigens het actiefst op dat vlak. Zo heeft 71 procent ooit al eens gevoelige bedrijfsinformatie afgehaald met de intentie die bij een volgende job te gebruiken. In de VS en het Verenigd Koninkrijk is dat respectievelijk 58 en 40 procent.
Bij HR-bedrijf SD Worx bevestigen ze dat gegevensdiefstal door werknemers ook in België voorvalt. “Vaak worden die gegevens afgekocht of beginnen ze een eigen zaak met de gegevens,” zegt Koen Magerman, senior juridisch expert bij SD Worx, “De gevolgen zijn dan ook niet licht: “Als iemand gegevens onteigent, dan is dat op zijn minst een dringende ontslagreden. Dergelijk gedrag wordt ook strafrechtelijk vervolgd, maar meestal worden die klachten geseponeerd omwille van de achterstand bij het parket.”
Niet enkel IT’ers
Het idee dat IT’ers toegang hebben tot alle informatie en bijgevolg het grootste gevaar vormen, is dan weer iets te kort door de bocht, volgens Magerman. Zo kan iemand van de verkoopsafdeling of iemand die mee het beleid bepaald evenzeer met gevoelige informatie aan de haal gaan.
Informatie beschermen is overigens niet eenvoudig in een tijdperk van USB-sticks en breedbandinternet. Zo mag een werkgever wel verbieden dat werknemers persoonlijke e-mails sturen maar zelfs als dat gebeurt, dan moet de inhoud van het bericht privé blijven.
Volgens Peter Van De Velde, advocaat bij Bird & Bird, zijn er flink wat gevolgen voor het stelen van bedrijfsinformatie. “Het is een vorm van diefstal, maar er kunnen ook andere inbreuken aan vastzitten zoals schending van intellectuele eigendom, of schending van de privacywetgeving als het gaat om databanken met persoonsgegevens. Als werkgever heb je trouwens de actieve plicht om persoonsgegevens adequaat te beschermen.”
Regels en maatregelen
Een waterdicht systeem lijkt moeilijk. Toch kunnen bedrijven zich zo goed mogelijk indekken. “Wat je op juridisch vlak kunt doen, is in elk geval een goede policy opstellen die de regels over de toegang tot bedrijfsinformatie vastlegt. Zeker als het over bedrijfsgevoelige gegevens gaat, moet je dat koppelen aan technische beveiligingsmiddelen. Dat is zelfs verplicht vanuit wettelijk standpunt voor bepaalde gegevens.”
Een aantal van die technische beveiligingsmogelijkheden vinden we onder meer terug bij Certipost, dat zich concentreert op gegevensbeveiliging. "Een oplossing die we samen met Microsoft hebben gebouwd, is bijvoorbeeld een soort DRM-systeem waarbij de persoon die het document opmaakt, kan bepalen wie het mag openen", aldus Dirk Matheussen, directeur ICT en customer care bij Certipost. “De verzender geeft een soort machtiging mee waardoor het document bijvoorbeeld niet geprint kan worden.”
Matheussen beseft echter ook dat zoiets niet waterdicht is. “Een honderd procent waterdicht systeem bestaat niet, maar je kan wel zo veel mogelijk barrières inbouwen zodat het moeilijker wordt.” Ook hij wijst erop dat IT’ers niet per definitie belangrijkere informatie kunnen stelen. “Ze kunnen gemakkelijker barrières omzeilen en ze hebben meer hulpmiddelen. Misschien kunnen ze ook meer informatie verzamelen, maar de vraag is of ze er ook schade mee kunnen berokkenen.”