Dé boodschap op de SMA meeting van april 2014? Dat bescherming van bedrijfsinformatie niet alleen een probleem is voor IT-jongens. Het is ook een uitdaging voor managers.

Tempo van technologie versus tijd van het recht

De eerste spreker, meester Bernard Maingain (advocaat aan de Brusselse balie, docent aan de UCL en vooral mondiaal expert information security) wees erop dat we vandaag “de grootste communicatierevolutie meemaken sinds het uitvinden van de drukpers”. Als gevolg daarvan is het beschermen van vertrouwelijke informatie een hachelijke zaak geworden. Moeten we ons daarbij neerleggen? Maingain meent van niet. De principes die het recht regeren zijn immers relatief onveranderlijk. “De essentie van de rechtspraak is hetzelfde sinds de Codex Hammurabi (één van de oudste teruggevonden wetboeken, circa 1780 v. Chr., nvdr.): verbod van moord, bescherming van het lichaam, van privé-eigendom, zelfs van de intieme sfeer…” En ook aan het principe dat een bedrijf, als moreel persoon, bescherming verdient, kan volgens meester Maingain niet worden getornd. Maar hoe kan dat vandaag de dag concreet? Wat ooit evident was, is dat vandaag niet langer. In 1980 was het volmaakt ondenkbaar dat een werknemer bij contractbeëindiging dozen vol dossiers met zich meenam naar zijn volgende werkgever. Door zijn papieren werking was het bedrijf de facto beschermd. “Wat me altijd opnieuw treft,” aldus meester Maingain, is hoeveel bedrijven vandaag, juridisch gezien, nog steeds functioneren alsof ze met papier werken.” Eén simpel voorbeeld ter illustratie: “Wie beschikt er over specifieke regels (algemeen of per individueel contract) over wat er moet gebeuren met de bestanden op laptops bij het beëindigen van de overeenkomst?” In de zaal gaat één hand de lucht in…

Bewustwording is dringend

Vandaag beseffen te weinig zaakvoerders, aldus Maingain, hoe fragiel het bedrijf geworden is. “Er is vandaag een legislatief systeem in voege, maar mensen kennen het niet. Er heerst een klimaat van transgressie, waarbij het zakengeheim en het fabrieksgeheim worden gebanaliseerd.” Tijd om ze in ere te herstellen. “De correctionele rechtbank beschouwt een lijst met klanten nog niet als zakengeheim. Maar een lijst met klanten, aangevuld met verkochte producten, gerealiseerd zakencijfer, klanthistoriek… kan dat wél zijn, en is burgerrechtelijk beschermd. Wanneer in het arbeidscontract is voorzien dat de werknemer zijn bestanden moet teruggeven bij contractbeëindiging en hij houdt ze toch, dan is hij juridisch gezien een dief. En wanneer hij ze bezorgt aan derden, dan wordt hij een heler.” Dit kader mag voor Maingain wel eens duidelijk geschetst worden. “La peur du gendarme”: het kan wel degelijk helpen, aldus de Brusselse advocaat.

Het “witwassen” van informatie

Meester Maingain ziet ook heel wat zaken wijzigen in de wetgeving (bv. de Belgacomwet) of in de rechtspraktijk. Bijvoorbeeld: alle communicatie per mail of telefoon is beschermd. Maar wat als een werkgever door controle van mails van zijn werknemers stoot op een geval van deloyale concurrentie, namelijk een personeelslid dat tegelijk voor de concurrentie werkt, en hij trekt ermee naar de rechtbank? “Vroeger werd dit soort informatie nooit aanvaard, omdat het niet op legale wijze verworven is,” aldus de advocaat. “Maar vandaag zien we de zaken wel kantelen, en komt de nadruk meer te liggen op legitimiteit in plaats van legaliteit. Het probleem van het ‘witwassen van informatie”, zoals ik dat noem, is in elk geval zeer belangrijk geworden voor advocaten…”

Waardebepaling: een cruciale management-oefening

Nu: wetgeving is geen machine om processen te creëren, maar om een duidelijk kader te scheppen, aldus nog meester Maingain. En zulk kader scheppen op bedrijfsniveau, is de taak van de manager. Daarover handelde de uiteenzetting van de tweede spreker, Albert Fisch van Ciso4you, dat bedrijven adviseert inzake databeveiliging. Hoe zal een manager hierbij te werk gaan? “Daarvoor zijn er geen specifieke aanwijzingen te geven”, aldus de spreker. “Er is geen algoritme voor management. Als er wel een algoritme is, dan is het administratie.” Wel zijn er inspirerende voorbeelden, zoals de professionele “greeter” van Walmart, die klanten persoonlijk ontvangt, soms op informele, joviale wijze. Een charme-offensief voor klantenbinding? Niet in de eerste plaats. “De eerste bedoeling was om te doen aan diefstalpreventie. Op plaatsen waar een professionele greeter werd ingezet, daalde de diefstal met zestig procent.” Aan ieder om dit voorbeeld voor zichzelf in de praktijk te vertalen… Wel zeer concreet is de aanpak van Ciso4you inzake waardebepaling. Het bureau heeft een techniek ontwikkeld om de waarde van informatie voor een bedrijf in kaart te brengen, met gebruikmaking van de BIV-schaal: Beschikbaarheid, Integriteit, Vertrouwelijkheid. Een analyse langs deze lijnen staat toe om high target values te identificeren. Daarbij zijn vier cruciale punten: online bezigheden, patronen in de fysieke wereld, iemands contacten en zijn betalingen/bankgegevens. (Op basis van deze criteria stellen we vast dat de smartphone een duidelijk veiligheidsrisico vormt, want die scoort op alle vier punten…) Het is pas na een precieze waardebepaling dat een bedrijf concrete acties kan ondernemen, zoals: wat zetten we wel en wat niet in de cloud?

 

De informatierevolutie heeft zeer veel mogelijkheden geopend, maar ook gevaren gecreëerd. Moeten we die er maar voor lief bijnemen? Niet volgens de sprekers op de SMA-meeting. Managers kunnen een pro-actieve en planmatige aanpak volgen om de gevaren terug te dringen. En daaraan hun eigen dosis creativiteit toevoegen…