Ik schrik van het gemak waarmee sommige medewerkers omgaan met bedrijfsinformatie. Te pas en te onpas worden gegevens uitgewisseld met derden of opgeslagen op privétoestellen of -locaties. Niemand die precies weet wat er gedeeld is of waar de data opgeslagen staat. Of, dat privacygevoelige data op straat komt te liggen, zoals eerder dit jaar bij het datalek van de GGD.
Je loopt zonder databeleid het risico dat data terechtkomt bij de concurrent, die dit feilloos weet om te zetten in bruikbare informatie. Het datalek bij de GGD is in coronatijd natuurlijk een recent voorbeeld en ook een uiterst trieste. Een organisatie die zulke belangrijke en privacygevoelige data in bezit heeft, moet het databeleid gewoon op orde hebben. Zeker gezien het aantal medewerkers. Denk dus altijd na over bijvoorbeeld export- en printfuncties. Welke medewerker mag data exporteren en printen? En welke medewerker heeft hier helemaal niets mee van doen?
De data bij de GGD werd gestolen uit twee systemen: HPZone en CoronIT. Zo’n 20.000 medewerkers van de GGD hadden toegang tot HPZone, die nodig is voor informatie rondom bron- en contactonderzoek. En zo’n 26.000 medewerkers hadden toegang tot CoronIT, die wordt gebruikt om testafspraken en uitslagen te verwerken. Er vonden geen automatische controles plaats op het gebruik van deze data.
Te omslachtig
Vaak hoor ik dat men databeleid te omslachtig vindt om toe te passen. Ze werken al jaren zo en zien het nut van een beleid niet in. Of ik krijg de vraag hoe ze het databeleid aan hun medewerkers moeten verkopen.
Niets doen is ook geen optie. Voorkomen is beter dan genezen. Probeer daarom klein te starten. Stel bijvoorbeeld een persoon aan voor databeleid en start intern met het aangeven van het belang van databeleid aan je mensen en waarom dit beleid noodzakelijk is. Maak een overzicht welke data beschikbaar is voor welke medewerker en of deze de data ook kan exporteren, printen of delen. Inzicht krijgen in hoe je medewerkers met informatie werken is stap een. Hier kun je aanpassingen in maken en doorvoeren in een eerste databeleid.
Ik ben ervan overtuigd dat we in de toekomst databeleid opnemen in arbeidsovereenkomsten. Het is eigenlijk nog belangrijker dan het concurrentiebeding. Data is niet alleen de toekomst, het is de basis voor een efficiënt en digitaal bedrijf. Het is bijna idioot dat we databeleid in dit digitale tijdperk nog niet toepassen.
Marloes de Ruiter is eigenaar van IT-bedrijf Weprocess. Ze is daarnaast voorzitter van het netwerk Zoetermeerse Zakenvrouwen. In 2020 werd Marloes genomineerd voor de VIVA400, een selectie van ondernemers die uitblinken in hun vakgebied.
Dit artikel verscheen eerder in ITchannelPRO magazine nummer 1
