18 jan. 2022
-
Cyberdreigingen vormen vandaag de dag een reëel gevaar. Bedrijven worden steeds vaker gehackt. Ze kunnen daardoor grote financiële verliezen lijden, maar ook reputatieschade. Hoe kun je je bedrijf beschermen tegen online dreigingen? Een van de manieren is door de (internet)activiteiten van je werknemers te monitoren. De vraag is alleen in hoeverre dit toelaatbaar is. In dit artikel lees je het antwoord op deze vraag. Ook leggen we uit hoe je je bedrijf, zonder monitoring, kunt beschermen tegen cyberdreigingen.
Er zijn verschillende redenen waarom je je werknemers zou willen monitoren. Je kunt, vanop afstand, in de gaten houden of thuiswerkende werknemers ook daadwerkelijk productief zijn met behulp van trackingsoftware. Of je kunt een GPS-tracker installeren in een bedrijfsauto om de route en het aantal gereden kilometers te volgen. Maar het is ook heel begrijpelijk dat je als bedrijf extra maatregelen wilt treffen om je digitale veiligheid te waarborgen. Het is voor een bedrijf namelijk niet zichtbaar wat een werknemer thuis op de eigen pc of laptop allemaal uitvoert. Hoe weet je bijvoorbeeld of de werknemer een veilige verbinding gebruikt en geen malware installeert?
Privacy
Hoewel een bedrijf goede redenen kan hebben voor het gebruik van trackingsoftware, stuit dit bij werknemers ook op weerstand. Hoe kunnen zij erop vertrouwen dat deze software alleen werkgerelateerde informatie verzamelt? Bij trackingsoftware worden regelmatig screenshots gemaakt. Dat kan ook een screenshot zijn van een persoonlijke e-mail die tijdens een pauze wordt geopend. En hoe weten ze zeker dat de trackingsoftware na werktijd niet meer actief is? Mag een werkgever ook bijhouden welke routes iemand tijdens het weekend heeft afgelegd? En hoe comfortabel voelt men zich in de wetenschap dat er voortdurend een surveillancecamera op je staat gericht?
Dit zijn terechte zorgen waar je als werkgever rekening mee moet houden. Sterker nog, al deze werknemers hebben een wettelijk recht op privacy en daar mag je niet zomaar inbreuk op maken.
Voorwaarden
Door het monitoren van je werknemers verzamel je informatie over hun doen en laten. Met een GPS-tracker volg je hun bewegingen op de weg. Met trackingsoftware volg je hun internetactiviteiten, en met surveillancecamera’s monitor je hun fysieke bewegingen. Omdat je deze informatie verzamelt, ben je als bedrijf gebonden aan de privacywetgeving. Volgens de Algemene Verordening Gegevensbescherming (AVG) moet je aan een aantal voorwaarden voldoen wil je op legale wijze je werknemers kunnen monitoren:
Belang
Je moet kunnen verantwoorden waarom het bedrijfsbelang om te monitoren zwaarder weegt dan het recht op privacy van de werknemers. Circuleert er bijvoorbeeld veel bedrijfsgevoelige informatie en is de schade bijna niet te overzien als deze informatie onderschept wordt? Of is er een vermoeden van fraude of diefstal door een werknemer?
Noodzaak
Monitoren is een behoorlijk ingrijpende methode. Is er geen andere methode die minder ingrijpend is en waarmee hetzelfde doel kan worden bereikt? Is trackingsoftware inderdaad het sluitende antwoord op cyberveiligheidskwesties? Zouden duidelijke afspraken en regelmatige communicatie ook kunnen volstaan als wordt getwijfeld aan de productiviteit van werknemers?
Informeren
Het uitgangspunt is dat je werknemers weten dat ze worden gemonitord. Je informeert ze over de manier waarop ze gemonitord worden, hoe lang het monitoren duurt en wat de reden ervoor is.
Je werknemers in het geheim monitoren is alleen onder bepaalde voorwaarden toegestaan. Zo’n heimelijke controle mag je alleen uitvoeren bij een redelijke verdenking van een strafbaar feit. Je hebt dan een sterk vermoeden dat een of meer werknemers bijvoorbeeld diefstal of fraude plegen. Door een heimelijke controle kun je dan bewijs verzamelen of de werknemers in kwestie op heterdaad betrappen. De heimelijke controle moet wel incidenteel zijn, dus binnen een vooraf bepaald tijdsbestek plaatsvinden. Degenen die gemonitord werden, moeten daarvan na afloop van de controle op de hoogte worden gesteld.
DPIA
DPIA is een afkorting voor Data Protection Impact Assessment. Als je handelingen wilt verrichten die een hoog risico kunnen opleveren voor de privacy, ben je verplicht om een DPIA uit te voeren. Het monitoren van werknemers valt binnen deze categorie van handelingen. Als inderdaad blijkt dat het monitoren een hoog privacyrisico oplevert, moet je eerst contact opnemen met de Autoriteit Persoonsgegevens (AP).
Vertrouwelijke communicatie
Wat een werkgever in ieder geval niet mag doen, is inzien en lezen van persoonlijke e-mails van werknemers. Dit is een harde eis waaraan niet getornd mag worden. Hetzelfde geldt voor persoonlijke telefoongesprekken en andere vormen van persoonlijke communicatie.
Cyberdreiging
Spelen er geen vermoedens van strafbare feiten en verloopt al het werk, ondanks de afstand, wel gewoon volgens planning? Maak je je in plaats daarvan vooral zorgen om de mate waarin bedrijfsgevoelige informatie beschermd blijft? En wil je voldoen aan je wettelijke verplichtingen om de digitale veiligheid en privacy van je klanten, leveranciers en zakenpartners te waarborgen?
Zorg er dan voor dat alle werkgerelateerde online handelingen uitsluitend via een VPN verbinding verricht worden. Laat werknemers een VPN inschakelen voordat ze inloggen op het bedrijfsaccount en voordat ze verbinding maken met een openbaar netwerk. Een VPN zorgt voor encryptie van alle uitgewisselde gegevens en beschermt tegen malware en hackpogingen.