HR-afdelingen onderschatten risico’s datagebruik

Daniel Hoopman Daniel Hoopman 23 januari 2018 2806

De Algemene verordening gegevensbescherming (AVG) betekent hoge boetes voor bedrijven als zij zich niet houden aan de strenge eisen van deze Europese wetgeving voor hun databeleid. HR-afdelingen blijken opvallend veel risico te lopen. De AVG gaat gelden vanaf 25 mei 2018.

In een onderzoek van Sharp onder 6000 Europese kantoormedewerkers geeft 26 procent van de HR-medewerkers aan dat ze documenten opslaan met publieke clouddiensten. Dit terwijl deze medewerkers beschikken over tal van privacygevoelige data, zoals personeelsdossiers en persoonsgegevens van sollicitanten, waarvoor de AVG strenge privacyregels geeft. HR-afdelingen lopen zo opvallend veel risico.

Clouddiensten

Nederlandse werknemers doen volgens het onderzoek regelmatig een beroep op publieke clouddiensten voor het opslaan en delen van documenten en data. Bedrijven hebben daardoor geen controle over de veiligheid van de systemen die hun werknemers gebruiken. Van de ondervraagde Nederlandse werknemers slaat 21 procent regelmatig documenten en data op met een publieke clouddienst. Ruim 22 procent werkt met openbare diensten voor het delen van documenten, terwijl de werkgever dat niet toestaat. Een belangrijke reden dat werknemers cloudsystemen gebruiken, is dat de IT-systemen van werkgevers vaak onvoldoende geschikt zijn voor ‘mobiel werken’.

Strenge eisen databeleid

De AVG (in het Engels ‘General Data Protection Regulation (GDPR)’) treedt in werking op 25 mei 2018. Met deze wet kunnen bedrijven hoge boetes krijgen als ze zich niet houden aan strenge eisen voor hun databeleid. Deze richten zich echter vaak op werken op kantoor, terwijl het onderzoek laat zien dat 24 procent van de Nederlandse werknemers werk mee naar huis neemt om het daar af te ronden.

Eigen apparaten

Van de respondenten werkt 39 procent graag met eigen apparaten, omdat ze deze eenvoudiger te gebruiken vinden dan de apparatuur op kantoor. Bij de ‘millennials’ (werknemers geboren na 1982) en IT-werknemers bereikt het gebruik van eigen apparaten zelfs de 50 procent. Het gevolg van dit werken met eigen devices is dat de betreffende werknemers alternatieven in de cloud zoeken om data op te slaan en te delen. Daarmee negeren ze de veiligheidsmaatregelen van de werkgever.

Technische maatregelen

Toon Taris, hoogleraar arbeids- en organisatiepsychologie aan de universiteit Utrecht: “Bedrijven kunnen medewerkers die zich niet aan de richtlijnen houden bestraffen en diegenen die zich er wel aan houden belonen. Dat vraagt echter om een circus aan controle- en beheersmaatregelen, terwijl het nog steeds geen totale zekerheid biedt.” Het is volgens Taris daarom beter ongewenst gedrag, zoals onveilige documentopslag, zo lastig mogelijk te maken met technische maatregelen. Tegelijkertijd kan een bedrijf dan maatregelen nemen die veilig gedrag aantrekkelijker maken. “Medewerkers kiezen dan eerder voor de systemen die de werkgever voorschrijft.”

Tips

  • Zorg voor duidelijke richtlijnen voor datagebruik door uw medewerkers waarover u hen nadrukkelijk informeert. Schenk hierbij speciaal aandacht aan uw HR-medewerkers.
  • Neem in de richtlijnen voor datagebruik op dat u opslaan van gevoelige data met publieke clouddiensten niet toestaat.
  • Pas technische maatregelen toe die het zo moeilijk mogelijk maken om privacygevoelige gegevens op onveilige apparaten of openbare cloudsystemen op te slaan.
  • Bied uw medewerkers voldoende mobiele zakelijke apparaten aan om mee te werken en zorg dat deze apparaten goed en up-to-date zijn beveiligd.

Bron: HR Praktijk.nl