Bedrijfsgegevens mee naar huis nemen

Onderwerpen: Compliancy | Het Nieuwe Werken | Archiefbeheer | Risicobeheer

Download PDF

Samenvatting en toelichting

Hoe medewerkers omgaan met de risico's die kleven aan bedrijfsinformatie

De Uitdaging Voor Het Middensegment

Wie is de eigenaar van uw bedrijfsinformatie? In diverse Europese landen bepaalt de wet, tenzij in het contract van de werknemer anders is bepaald, dat informatie die ten behoeve van het bedrijf is voortgebracht, eigendom is van de werkgever. Toch kunnen werknemers een sterk gevoel van eigenaarschap ervaren als het gaat om de informatie die ze mede tot stand hebben gebracht. Is uw bedrijf op de hoogte van de risico's die zijn verbonden aan deze tegenstrijdige perspectieven, en hoe ze kunnen worden uitgebannen?

Wetgeving op het gebied van auteursrecht mag dan heel duidelijk zijn, in de dagelijkse realiteit van de werkomgeving is het eigendom van gegevens vaak een zeer grijs gebied. Onderzoek door Iron Mountain heeft uitgewezen dat werknemers in Europa zich vaak laten leiden door hun eigen morele code, gevormd door een sterk gevoel van eigenaarschap van en recht op de informatie die ze mede hebben voortgebracht.

De aanpak van deze uitdaging vereist een benadering van informatiebeheer die verder gaat dan het proces, een benadering die ook rekening houdt met de psychologie, de houding en het gedrag van werknemers, evenals met de bedrijfscultuur.

De voordelen van een dergelijke benadering zijn onmiskenbaar. Uit het onderzoek bleek dat er een direct verband bestaat tussen kennis van het bedrijfsbeleid en ethisch gedrag. Werknemers die de richtlijnen van hun werkgever voor het omgaan met informatie begrijpen en die beseffen dat informatie vertrouwelijk kan zijn, nemen minder snel gevoelige documenten mee. Verder zullen ze minder snel op zoek gaan naar informatie over concurrenten en minder snel informatie aan risico's blootstellen, zelfs wanneer ze het bedrijf verlaten. Dit verband blijkt vooral zonneklaar uit de bevindingen in Duitsland.

Samenvatting En Toelichting

Uit het onderzoek bleek bovendien het volgende:

  • Een document de status 'vertrouwelijk' meegeven betekent nog niet dat het ook veilig is.

Het zonder toestemming vertrouwelijke of gevoelige documenten meenemen om er thuis aan te werken komt veelvuldig voor. En maar weinig deelnemers aan het onderzoek hadden het idee dat ze daarmee iets verkeerd deden. De meeste ondervraagden zouden waarschijnlijk verbaasd en geschokt zijn wanneer ze ontdekten dat ze de wetgeving op het gebied van gegevensbescherming overtraden en hun werkgever aan aanzienlijke potentiële risico's blootstelden.

Mannen nemen in het algemeen vaker informatie mee dan vrouwen en ze zijn minder vaak op de hoogte van het bedrijfsbeleid. Tussen verschillende leeftijdsgroepen waren alleen minimale verschillen merkbaar. De omvang van de steekproeven in de verticale sectoren was in het algemeen te klein om een en ander nauwkeurig te kunnen vergelijken. Maar het onderzoek onthulde wel enkele interessante nationale verschillen, die suggereerden dat culturele verschillen een sleutelrol spelen in het bepalen van de persoonlijke morele code die werknemers hanteren als leidraad voor hun gedrag.

  • Met het vertrek van uw werknemers, vertrekt ook uw bedrijfsinformatie

De hiervoor genoemde veronderstelde onschuld wordt iets minder overtuigend wanneer rekening wordt gehouden met het feit dat werknemers vaak gewapend met klantenbestanden, strategisch gevoelige plannen, offertes, roadmaps en zelfs financiële gegevens naar een nieuwe functie vertrekken. Maar wat nog meer zorgen baart, is dat een derde van de werknemers aangaf dat ze opzettelijk vertrouwelijke informatie zouden meenemen en delen als ze werden ontslagen.

  • De helft van alle werknemers zou een gat in de lucht springen als ze de kans kregen om vertrouwelijke informatie over een concurrent te weten te komen.
  • Veel werknemers kennen of begrijpen het beleid van hun bedrijf inzake informatiebeheer niet.

Wat Betekent Dit Allemaal Voor Werkgevers?

Iron Mountain is van mening dat de volgende twee belangrijke punten een centrale plaats innemen.

  1. In de eerste plaats is het van cruciaal belang om uitgebreide richtlijnen en waarden inzake informatiebeheer te formuleren en ervoor te zorgen dat alle medewerkers op doelmatige wijze hiervan op de hoogte worden gebracht.
  2. In de tweede plaats moeten bedrijven erop kunnen rekenen dat hun HR-beleid en de procedures bij het vertrek van werknemers krachtig en meelevend zijn, en erkennen dat de wijze waarop mensen zich voelen, van invloed is op hun gedrag en handelingen.

Onderzoeksmethodologie

Het onderzoek is in mei 2012 uitgevoerd door Opinion Matters. Voor het onderzoek werden 2031 kantoormedewerkers in Frankrijk, Duitsland, Spanje en het Verenigd Koninkrijk ondervraagd, afkomstig uit alle niveaus van de publieke sector, uit de juridische, productie- en farmaceutische sector, en uit de sector voor financiële dienstverlening. Onderzocht werd hoe werknemers werkelijk dachten over informatie en de behandeling ervan, en in welke mate het gedrag van werknemers kon worden beïnvloed door doelmatige interne communicatie en door de aanwezigheid van duidelijke richtlijnen voor het omgaan met informatie.

Onderzoeksresultaten

Een document de status 'vertrouwelijk' meegeven betekent nog niet dat het ook veilig is

Uit het onderzoek bleek dat ongeveer een derde (31 procent) van de werknemers toegaf meer dan eens vertrouwelijke informatie van kantoor meegenomen te hebben. Mannen doen dit sneller dan vrouwen: 39 procent tegenover 24 procent, evenals ervaren 'mid-career' werknemers tussen 35 en 44 jaar (37 procent). Respondenten uit Frankrijk zijn het vaakst geneigd informatie mee naar huis te nemen (42 procent), terwijl slechts een kwart van de respondenten uit het Verenigd Koninkrijk en Duitsland dit doet (respectievelijk 24 en 26 procent.)

Op de vraag waarom men dit doet antwoordde een overweldigende meerderheid van de respondenten dat ze de informatie nodig hadden voor hun werk (73 procent). Dit weerspiegelt mogelijk de groeiende trend naar flexibel, thuis en extern werken of misschien de werkdruk van ambitieuze mid-career professionals. In het laatste geval kan de noodzaak om buiten de kantooruren thuis te werken, in combinatie met het feit dat de relatieve anciënniteit van deze leeftijdsgroep betekent dat ze meer en vaak onbeperkt toegang hebben tot vertrouwelijke documenten, bijdragen aan de hoeveelheid informatie die van kantoor wordt meegenomen.

Het idee dat vertrouwelijke informatie wordt meegenomen met 'eerbare' bedoelingen, wordt gesteund door het feit dat een derde (36 procent) aangaf dat hun line manager toestemming had gegeven om het vertrouwelijke materiaal mee te nemen naar buiten het kantoor. Maar dit cijfer houdt ook in dat circa tweederde van de respondenten geen toestemming had gevraagd of gekregen om de informatie mee te nemen.

De tweede meest aangevoerde reden om vertrouwelijke informatie mee te nemen van kantoor, genoemd door ongeveer de helft (49 procent) van alle respondenten, is dat ze betrokken waren geweest bij het tot stand brengen van de informatie. Dit gevoel van eigenaarschap van en recht op informatie die de respondent mede heeft voortgebracht, is in het hele onderzoek een terugkerend thema.

Veel respondenten lijken zich niet bewust van het feit dat dergelijke informatie — en hun intellectuele inbreng — eigendom is van hun werkgever.

Van de vier landen nemen respondenten uit Duitsland het vaakst vertrouwelijke informatie mee omdat ze de gegevens nodig hebben voor hun werk (80 procent, terwijl Spanje hekkensluiter is met 62 procent), of omdat ze betrokken zijn geweest bij de totstandkoming ervan (61 procent tegen slechts 37 procent in het Verenigd Koninkrijk).

Een klein, maar belangrijk deel van de respondenten (12 procent) gaf aan dat ze vertrouwelijke informatie hadden meegenomen omdat ze deze aan iemand anders wilden laten zien. Bij respondenten uit Spanje steeg dit percentage tot 14 procent. Verder onderzoek is nodig om het onderliggende doel van dergelijk gedrag te begrijpen, maar het wijst in de richting van klokkenluiders of bedrijfsspionage. Dit kan bedrijven die niet over adequate bescherming beschikken, buitensporig kwetsbaar maken en blootstellen aan risico's.

Onderzoeksresultaten

Met het vertrek van uw werknemers, vertrekt ook uw bedrijfsinformatie

De voorgaande resultaten hadden betrekking op huidige werknemers. De zaken nemen een dramatische wending wanneer je kijkt wat er gebeurt als werknemers een organisatie verlaten, hetzij vrijwillig omdat ze een nieuwe baan hebben, of omdat ze zijn ontslagen.

Uit het onderzoek bleek dat de helft (51 procent) van de Europese kantoormedewerkers die informatie meenamen toen ze een andere baan kregen, vertrouwelijke klantenof cliëntenbestanden meenam — ondanks het feit dat ze daarmee de steeds strengere wetgeving voor gegevensbescherming van de EU overtraden.

Tweederde (66 procent) van de werknemers die bedrijfsgegevens meenamen, gaf aan dat ze dit hadden gedaan omdat ze betrokken waren geweest bij de totstandkoming ervan, en 72 procent meldde dat de informatie wel eens nuttig zou kunnen zijn in hun nieuwe functie.

Mannen namen eerder dan vrouwen informatie mee omdat ze een gevoel van eigenaarschap hadden (70 procent tegenover 59 procent). Ook wees het onderzoek uit dat respondenten uit Spanje (11 procent) en Frankrijk (7 procent) eerder dan hun collega's in Duitsland (6 procent) en het Verenigd Koninkrijk (4 procent) informatie meenamen uit wrok tegen hun werkgever, en dus om zo wraak te nemen.

Onderzoeksresultaten

De resultaten laten zien dat niet alleen klantgegevens in gevaar zijn. Werknemers die informatie meenemen, lopen ook de deur uit met presentaties (46 procent), offertes (21 procent), strategische plannen (18 procent) en product-/ serviceroadmaps (8 procent). Allemaal zaken die uiterst gevoelige en waardevolle informatie vertegenwoordigen, van cruciaal belang voor de concurrentiepositie van een bedrijf, de reputatie van een merk en het vertrouwen van de klanten. Mannen nemen consequent eerder dergelijk materiaal, dat onder het intellectuele eigendom valt, mee dan vrouwen.

Uit de onderzochte landen namen respondenten uit het Verenigd Koninkrijk het vaakst documenten mee die ze mede tot stand hadden gebracht (72 procent tegenover slechts 35 procent in Duitsland). Respondenten uit Duitsland namen het vaakst presentaties (57 procent tegenover 37 procent in Spanje) en strategische plannen (30 procent tegenover 13 procent in het Verenigd Koninkrijk) mee. Respondenten uit Frankrijk namen het vaakst offertes (30 procent tegenover 9 procent in het Verenigd Koninkrijk) en financiële informatie (13 procent tegenover slechts 2 procent in Duitsland) mee, terwijl respondenten uit Spanje het vaakst vertrokken met roadmaps (29 procent tegenover 8 procent in het Verenigd Koninkrijk).

Hoewel het moeilijk te begrijpen is waarom een werknemer zich niet realiseert dat sommige gedragingen onethisch zijn, wijzen de onderzoeksresultaten erop dat de meerderheid van de mensen die vertrekken, geen informatie meeneemt uit kwade bedoelingen. Ze doen dit echter omdat ze de informatie beschouwen als hun eigendom, omdat ze denken dat de informatie van pas kan komen in hun nieuwe functie, of omdat ze denken dat hun nieuwe werkgever dit van hen verwacht.

De helft (50 procent) van alle respondenten gelooft dat mensen het recht hebben om informatie die ze mede tot stand hebben gebracht, te houden of mee te nemen. In Frankrijk stijgt dit cijfer naar tweederde van de respondenten en in Spanje naar 60 procent, terwijl in Duitsland het aantal respondenten naar slechts een derde duikt.

Verder ging meer dan een derde van alle respondenten (37 procent) ervan uit dat als de nieuwe werkgever een concurrent zou zijn, deze zou verwachten dat zijn nieuwe werknemer vertrouwelijke inzichten zou kunnen verschaffen. Dit cijfer is consistent voor alle landen, behalve voor Spanje, waar het stijgt naar 45 procent.

Maar dit verandert allemaal als werknemers hun baan kwijtraken. Het onderzoek wijst uit dat maar liefst een op de drie kantoormedewerkers (31%) doelbewust vertrouwelijke informatie zou meenemen en delen als ze werden ontslagen, en daarmee opzettelijk het bedrijf zouden blootstellen aan risico's en potentiële gegevensinbreuk.

Mannelijke werknemers nemen vaker wraak op deze manier; 36 procent heeft er geen problemen mee om vertrouwelijke documentatie mee te nemen als ze hun baan kwijtraken, tegenover slechts 24 procent van de vrouwen.

Onderzoeksresultaten

De verleidelijkheid van andermans geheimen

In het kader van het onderzoek kregen kantoormedewerkers de vraag voorgelegd wat ze zouden doen als ze de kans kregen om vertrouwelijke informatie te achterhalen over een rivaliserend bedrijf. Meer dan de helft (53 procent) van de ondervraagden gaf aan dat ze geen moment zouden aarzelen. Verder zou de helft van de ondervraagden niet aarzelen om die informatie te delen met hun huidige werkgever.

Er waren enkele interessante nationale verschillen. Meer dan tweederde (69 procent) van de werknemers in Frankrijk zou de kans aangrijpen om vertrouwelijke informatie te weten te komen, tegen 57 procent in Spanje, 50 procent in het Verenigd Koninkrijk en slechts 33 procent in Duitsland. Kantoormedewerkers in Duitsland aarzelden ook het meest om hun onverwachte kennis te delen; slechts 32 procent gaf aan dit te doen, tegen 51 procent in het Verenigd Koninkrijk, 61 procent in Frankrijk en 63 procent in Spanje.

Kennis van het bedrijfsbeleid en de richtlijnen

Het onderzoek toonde een sterk verband aan tussen het gedrag van werknemers en hun kennis van de richtlijnen en het beleid van het bedrijf.

Iets meer dan een derde (34%) van alle respondenten gaf aan dat ze niet op de hoogte waren van richtlijnen van het bedrijf inzake welke informatie wel of niet mocht worden meegenomen van kantoor.

Dit stijgt naar respectievelijk 43 en 42 procent in Spanje en Frankrijk, en duikt in Duitsland naar slechts 19 procent (met het Verenigd Koninkrijk op 33 procent).

Op de vraag of altijd duidelijk werd aangegeven of informatie vertrouwelijk was, antwoordde een geruststellende 57 procent bevestigend. Maar 27 procent beweerde dat dit alleen soms duidelijk werd gemaakt. Mannen hadden meer de neiging om te zeggen dat dit niet duidelijk was gemaakt (30 procent tegen 24 procent vrouwen). De vertrouwelijkheid van de informatie was in Frankrijk niet altijd duidelijk voor 32 procent van de respondenten.

Circa tweederde van de respondenten in Duitsland gaf aan dat de vertrouwelijkheid altijd duidelijk was, tegen 57 procent in het Verenigd Koninkrijk, 56 procent in Spanje en slechts 49 procent in Frankrijk.

Conclusie

In de wereld van vandaag, die gekenmerkt wordt door technologie, nemen de hoeveelheid, de variëteit en de snelheid van informatie hand over hand toe. De informatieomgeving wordt steeds complexer en overal worstelen organisaties om de stroom in goede banen te leiden.

Als eerste stap proberen organisaties hun informatiemiddelen te beschermen door een digitale vesting te bouwen rondom hun IT-systeem. Echter, in dit proces verliezen ze vaak de risico's uit het oog die menselijk gedrag of papieren documenten met zich meebrengen die, wanneer ze op locatie worden beheerd, vaak niet worden beveiligd, of in het beste geval worden bewaard in een afgesloten lade, een afgesloten kamer of een vochtige kelder.

Om zoveel mogelijk te profiteren van uw informatie — en om uw werknemers die mogelijkheid te bieden ten voordele van uw bedrijf in plaats van henzelf — moet een bedrijf een krachtige en realistische aanpak van informatiebeheer ontwikkelen, en elke werknemer duidelijk informeren over de relevante processen en procedures.

Zoals dit onderzoek van Iron Mountain aantoont, zijn de meest doelmatige richtlijnen voor informatiebeheer niet alleen die waarmee informatie fysiek wordt beschermd, zoals regelingen voor opslag, distributie, toegankelijkheid en veilige vernietiging, maar vooral de richtlijnen die werknemers leren hoe ze informatie moeten gebruiken en beschermen. Het allerbelangrijkste zijn de richtlijnen die werknemers aanmoedigen om trots te zijn op, persoonlijk betrokken te zijn bij en verantwoordelijkheid te voelen voor de informatie van de organisatie.