Need to Know: Ga niet nonchalant om met vrijgeven van data

De periode van de jobstudenten loopt stillaan op zijn einde. Tijdens de zomervakantiemaanden worden vaak tijdelijke werkkrachten in dienst genomen om bestaande medewerkers te ontlasten van repetitieve taken of om hulp te bieden bij opdrachten, die een poos zijn blijven liggen. Krijgen die studenten toegang tot alle bedrijfsdata?

Voor de meer administratieve afdelingen binnen bedrijven, die niet collectief sluiten, blijven deze zomermaanden een drukke periode, zodat extra hulp welkom is. Er is gewoonlijk de helft van de medewerkers met verlof, waardoor de continuïteit moet verzekerd worden door de andere achterblijvende helft. Alle hens aan dek en om het tijdelijke tekort op te vangen wordt dan meestal beroep gedaan op tijdelijke krachten:  Jobstudenten.

Papierloos werken

Een leuke tijd voor jobstudenten. Meestal adolescenten of kennissen van medewerkers, die naast een centje bijverdienen, kennis willen maken met het bedrijfsleven. Vaak ook hogeschool of universiteitsstudenten, die door vrijwillig vakantiewerk of verplichte stages de nodige ervaringen willen opdoen voor hun latere professionele loopbaan.

Deze tijdelijke medewerkers lopen gewoonlijk mee in de routine van het bedrijf.  Niets mis mee, ware het niet dat sommigen van die studenten, omwille van de hun toegewezen taken, ook toegang krijgen tot interne bedrijfsinformatie. Zeker als je meedraait op een marketingafdeling, een personeelsdienst of een klantenservice.

Wie profiteert er als filiaalverantwoordelijke niet van de aanwezigheid van een student marketing om snel een ad hoc enquête naar klantentevredenheid op te zetten bij zijn top 20 klanten? Wie laat studenten economie of rechten niet het adressenbestand van klanten en prospecten screenen om tot een profielanalyse te komen? Wie laat studenten niet de stapel klantenbrieven, contracten of dossierstukken archiveren? Allemaal taken waarbij de student inzage krijgt in klantendata of met die data aan de slag gaat.

Dit zijn de klassieke studentenjobs van vroeger en nu. Alleen is de bedrijfsomgeving de laatste decennia drastisch veranderd. Alle activiteiten zijn gedigitaliseerd en alle bedrijfsdata bevinden zich nu in databases, toegankelijk via met paswoord beveiligde werkposten. Papierloos werken! Toegang tot die werkposten zijn enkel voorbehouden aan werknemers. De jobstudent kan zelfs niet werken als hij geen toegang heeft tot de IT systemen.

Probleem natuurlijk als het IT protocol de jobstudent niet kwalificeert als werknemer en de doorlooptijd van de uitzonderingsaanvraag langer duurt dan de korte aanwezigheid van de student op de afdeling. Vermits de student moet kunnen werken, gebeurt het vaak dat men de ogen sluit en de student snel laat inloggen via de geleende userID van een bestaande medewerker.

Gelukkig gebeurt dit in jouw onderneming nooit, toch…

‘Need to know’ principe

Hoewel deze situatie tijdelijk is en de student via de onderwijsinstelling een Non Disclosure Agreement (NDA) heeft ondertekend, houden deze goedbedoelde kunstgrepen risico’s in.

Als diverse databases niet afdoende afgeschermd zijn, heeft de student via de ‘geleende login’ makkelijk toegang ook tot andere databases, die niet noodzakelijk zijn voor de initiële opdracht. Meer nog, hij kan grasduinen in de outlookfiles, agenda en persoonlijke documenten van de medewerker, waarvan hij het account gebruikt. Natuurlijk wordt de student gewezen op confidentialiteit en ongewenst gedrag. Natuurlijk kan men die jobstudent vertrouwen en zal hij geen misbruik maken. Maar, wat als hij toevallig toch vertrouwelijke klanteninformatie onder ogen krijgt? Is een student niet per definitie nieuwsgierig?

Er hoeft niet noodzakelijk online toegang te zijn. Tijdens koffie- en middagpauzes rondneuzen op de afdeling kan al voldoende zijn om op achtergelaten documenten op burelen en printers vertrouwelijke informatie te zien.

Misschien vindt jouw beste klant het niet fijn dat zijn persoonlijk dossier of financiële gegevens zomaar te grabbel liggen voor jan en alleman. Misschien vindt de marketingdirectie het niet leuk dat de inhoud van de nieuwste productlancering voortijdig gelekt wordt door loslippigheid tijdens een studentencantus.

Neen, jobstudenten moeten niet geweerd worden in de onderneming. Ze zijn een welkome hulp en hoe kunnen ze anders bedrijfservaringen opdoen. Wel is het aan elke afdelingsverantwoordelijke aan te raden om tijdens die populaire jobstudentenmaanden hun medewerkers te sensibiliseren voldoende aandacht te hebben voor de bestaande clean desk policy en het access beheer tot werkposten en databases. Studenten enkel laten werken volgens het ‘need to know’ principe en in een afgeschermde e-omgeving met beperkte toegangen (chinese walls) is een pluspunt. Geef hen enkel toegang tot die informatie, die ze alleen nodig hebben om hun taak te voltooien. Sluit alle andere toegangen af. Misschien een ‘to do’ voor de zomer’19…

Alles hangt af hoe je als ondernemer op een volwassen manier wil omgaan met vertrouwelijke informatie. Een zelfuitgevoerde 360° risico-assessment, met focus op access management, kan hierin helpen. Wil je hier meer over weten? Neem gerust vrijblijvend contact op.

contact@driesvanvaerenbergh.be

Leave a Reply

Your email address will not be published. Required fields are marked *