Security

Digitale toegang tot bedrijfsgegevens is een belangrijk onderwerp. Eerder vandaag brachten we het nieuws dat hostingprovider Verelox haar dienstverlening tijdelijk heeft moeten staken doordat een ex-medewerker alle servergegevens had verwijderd. Een zeer pijnlijke situatie voor de provider, maar ook één die grote gevolgen kan hebben voor de toekomst.

In het algemeen valt op dat bij een ontslag alle fysieke eigendommen en toegangsmiddelen moeten worden ingeleverd bij de werkgever, terwijl er digitaal soms te weinig actie wordt ondernomen. In dit artikel geven we het belang aan van het beheer van digitale toegang als er afscheid moeten worden genomen van werknemers. Ook geven we tips om te voorkomen dat de toekomstige ex-medewerker ongewenste digitale toegang houdt na zijn vertrek.

Welke digitale toegang heeft de toekomstige (ex-)werknemer?

Voor een goed beheer is het allereerst van belang om in kaart te hebben welke digitale toegang je toekomstige (ex-)werknemer heeft. Medewerkers hebben het vaakst toegang tot:

interne data, zoals ontwerpen, offertes, prijzen en andere concurrentiegevoelige informatie;

persoonsgegevens, bijvoorbeeld van collega’s of van klanten (en hun klanten);

gebruikersfuncties van diverse apps en programma’s;

de e-mail en/of betaalgegevens van het bedrijf, waardoor ook na het ontslag bestellingen kunnen worden gedaan;

Account van bijvoorbeeld social media-kanalen van het bedrijf, waardoor je ze niet meer kan gebruiken.

Wanneer je de opsomming zo ziet lijkt het wellicht een open deur. Toch komt het vaak voor dat (ex-)werknemers ongemerkt toegang hebben en houden tot deze gegevens. De ex-werknemer van Verelox is een goed voorbeeld. In de praktijk komt het voor dat voormalig bankmedewerkers nog weken na het vertrek toegang hebben tot de e-mail en van daaruit de kredietrapporten van klanten kunnen raadplegen.

Hoe kan je ongewenste digitale toegang van(ex-)werknemers voorkomen?

Een goed begin is het halve werk. Met preventie zijn al veel maatregelen tot digitale toegang te nemen. Zo zijn er drie stappen te nemen die veel schade kunnen voorkomen:

Digitale toegang definiëren en monitoren. Stel vooraf een helder overzicht op van de digitale toegang die een medewerker in een bepaalde functie krijgt. Is het bijvoorbeeld nodig dat een salesmanager bij de bankgegevens kan óf andersom, dat een administratief medewerker bij de klantendata kan? Regel het wachtwoordbeheer centraal en zorg ervoor dat wachtwoorden van medewerkers eenvoudig te resetten zijn. Regel centraal wie een account of profiel kan aanmaken en hoe de rechten moeten worden ingedeeld. Wanneer je de bevoegdheid om accounts aan te maken bij het hoofd van de ICT-afdeling legt, is de toegang in ieder geval geborgd (tenzij het hoofd vertrekt). Het hoofd kan vervolgens beslissen welke rechten de medewerker bij de digitale toegang krijgt. In sommige gevallen kunnen logingegevens worden gekoppeld aan de ip-adressen van een bedrijf/vestiging, dat kan in sommige situaties, zoals die bij Verelox, wenselijk zijn.

Daarnaast is het belangrijk direct een goede communicatie tussen IT en HR op gang te brengen. Als IT weet wanneer afscheid genomen wordt van welke medewerker kan tijdig de toegang en rechten worden ingetrokken. Ook kan een IT-afdeling vaak controleren of de medewerker vóór het gesprek bijzondere dingen heeft gedaan (bijvoorbeeld grote hoeveelheden data gekopieerd).

De gevolgen van misbruik van digitale toegang kunnen groot zijn. Naast schade aan de reputatie kan het bedrijf privacygevoelige informatie kwijtraken en geconfronteerd worden met de meldplicht datalekken, klanten aan de concurrent verliezen of onbedoelde betalingen doen. Daarom is het aan te bevelen dit onderwerp in de organisatie te bespreken en hier duidelijke procedures voor op te stellen.