Een regulier beleidsplan is de oplossing, maar trek vooral de touwtjes aan.
De flexibilisering van werk leidt ertoe, dat steeds meer organisaties hun medewerkers toestaan nu en dan of regelmatig thuis te werken. Inmiddels werken twee op de drie werknemers wel eens thuis en neemt het aantal fulltime thuiswerkers toe. De meeste thuiswerkers zijn zich echter nog amper bewust van risico´s waaraan zij hun bedrijfsinformatie blootstellen. In de woonkamer is de kans nu eenmaal groter dat interne rapporten of USB-sticks verloren raken, of erger, gestolen worden.
Uit onderzoek[1] van Iron Mountain blijkt dat bijna tweederde van de werknemers in Europa (60%) weleens thuis werkt. Variërend van zo’n 3% van de medewerkers die twee tot drie keer per maand vanuit huis werkt, tot 15% die fulltime thuiswerken.
Thuis werken neemt onmiskenbaar een vlucht. Of het nu gaat om thuiswerkers die structureel één of twee dagen per week voor hun werkgever vanuit huis werken, of de groep ‘onzichtbare’ thuiswerkers die werk mee naar huis neemt om in de avonduren af te maken, men is zich niet altijd even bewust van de risico´s die thuiswerken met zich meebrengt voor bedrijfsinformatie. De kans op verlies of diefstal van interne documenten, mails, geheugensticks die thuis rondslingeren is groter dan op kantoor.
De meeste werkgevers proberen bedrijfsrisico´s bij thuiswerken zo klein mogelijk te houden. Zij bieden de thuiswerker onder meer IT-middelen zoals een beveiligde computer of zakelijke telefoon (40%) en zorgen voor een goed beveiligd intranet waar de thuiswerker gebruik van kan maken (32,6%). Dit lijkt bewust gedrag, toch hanteert slechts 18% van de werkgevers een formeel informatieveiligheidsbeleid voor thuiswerken. Daarmee wordt het risico op datalekken door de thuiswerktrend aanzienlijk vergroot, en neemt de kans op reputatieschade indirect toe.
Vergeet het ´onzichtbare´ thuiswerken niet
Als organisaties al een beleid hebben, richten ze zich daarin vooral op de groep ´officiële´ thuiswerkers. Ze zien vaak de groep medewerkers over het hoofd die na de kantooruren thuis verder werkt en daarvoor benodigde bedrijfsdocumenten van kantoor naar elders meeneemt. Deze ´onzichtbare´ thuiswerker werkt in de avonduren of in de weekenden aan het voltooien van lopende activiteiten.
Elke dag blijkt een onbekend aantal medewerkers het kantoor te verlaten met aktetassen vol vertrouwelijke of zelfs gevoelige informatie. Vaak zijn ze zich niet bewust van de risico´s en doen ze het met de beste bedoelingen. Deze ´onzichtbare´ thuiswerkers maken regelmatig gebruik van een niet beveiligd intranet, of van privé IT-apparatuur. Dat maakt bedrijfsinformatie in handen van deze groep thuiswerkers kwetsbaarder, en de kans op dataverlies en datalekken groter.
Onbewust
Thuiswerkers zijn zich over het algemeen zelden bewust van de risico´s. Zo verstuurt 50% van hen werkdocumenten argeloos via hun persoonlijke e-mailadres. Daarnaast laten zij bedrijfsgegevens regelmatig in en om het huis slingeren (29%), en gooit 19% zakelijke documenten weg met het huisafval. Een op de tien (11%) thuiswerkers is bovendien weleens actief vanuit een horecagelegenheid, of maakt gebruik van een onbeveiligd wifi-netwerk om zakelijke documenten te versturen (7%). Met hun onbesuisde gedrag stellen thuiswerkers informatie bloot aan dataverlies of datalekken en dat kan verstrekkende gevolgen hebben voor de continuïteit en reputatie van het bedrijf.
Houd de touwtjes in handen
Het inperken van de bedrijfsrisico´s onder thuiswerkers begint bij bewustwording. Bedrijven zullen allereerst moeten onderkennen dat gevoelige gegevens een veilige omgeving vereisen binnen én buiten de kantoormuren. Informatie verlaat de veilige omgeving immers via alle mogelijke manieren: e-mail, laptop, geheugensticks en als afgedrukt document. En sommige informatie is gewoonweg te gevoelig om de kantoormuren te verlaten. Als werkgever is het daarom belangrijk inzicht te hebben op welke schaal medewerkers bedrijfsdocumenten van kantoor naar huis meenemen, in welke vorm en met welk doel. Daarnaast is van belang een helder beeld te hebben van de risico´s waaraan de gegevens blootgesteld worden.
De volgende stap is het opzetten van een strikt informatiebeleidsplan met regels en richtlijnen over verantwoord omgaan met bedrijfsinformatie binnen en buiten de kantoormuren. Een robuuste infrastructuur voor IT- en informatiebeheer, voor zowel digitale als papieren documenten, is daar een belangrijk onderdeel van. Tot slot is het zaak deze regels en richtlijnen te communiceren naar alle medewerkers in de organisatie, ook de vaste thuiswerkers en de ´onzichtbare´ collega´s. De bedrijfsleiding heeft bovendien een voorbeeldfunctie in het naleven van beleidsregels.
Met deze aanpak houdt een organisatie de touwtjes goed in handen waardoor het risico verlaagt op verlies van gevoelige bedrijfsgegevens en de kans op reputatieschade.
Jeroen Strik, commercieel directeur Iron Montain Benelux.
[1] Onderzoek uitgevoerd door Opinion Matters in opdracht van Iron Mountain. Het onderzoek is uitgevoerd tussen 15 april en 1 mei 2013. De steekproefgrootte bestond uit 5021 medewerkers en leidinggevenden in Nederland, Duitsland, Frankrijk, Spanje en het Verenigd Koninkrijk.
