Nederlandse bedrijven ontberen een gedragscode voor het gebruik van privé e-mail of internet op de werkplek. Dit zegt Martin Kersten, voorzitter van het Genootschap van Informatie Beveiligers (GvIB). Een gedragscode is weliswaar niet verplicht, maar volgens jurisprudentie wel vereist voor het nemen van disciplinaire maatregelen als een werknemer in de fout gaat.
Voornamelijk grotere ondernemingen en overheidsbedrijven hebben volgens Kersten een dergelijke gedragscode, maar bij het mkb en kleinere bedrijven ontbreekt die vaak. “Ik denk niet dat werkgevers zich ervan bewust zijn dat een gedragscode nodig is.” zegt hij: “Bovendien hebben ze andere prioriteiten.” Als bedrijven al een gedragscode hebben, voldoet deze volgens Kersten niet altijd. Vaak is het een gekopieerd document uit een andere bron, dat niet is toegesneden op de eigen onderneming.
Uit een recent Amerikaans onderzoek van Proofpoint, fabrikant van beveiligingssoftware, bleek dat 36 procent van de onderzochte (Amerikaanse) bedrijven met meer dan duizend werknemers een medewerker belast heeft met de controle op uitgaande e-mail. Ruim een kwart van de ondernemingen is van plan dat binnen een jaar te doen. In grotere bedrijven (meer dan twintigduizend medewerkers) is het monitoren van e-mail veel gebruikelijker: veertig procent heeft een e-mailcontroleur in dienst, een derde is van plan binnen een jaar iemand hiervoor aan te nemen.
Maatschappelijk aanvaard
Volgens Martin Kersten hebben Nederlandse bedrijven niemand speciaal belast met controle op uitgaande mail. “In ons land is er meer sprake van vertrouwen. Vroeger was Amerika panisch voor het telefoneren naar buiten, maar in Nederland is het maatschappelijk aanvaard dat de telefoon op het werk ook privé gebruikt wordt.” Kersten ziet dit in de toekomst ook niet veranderen.
Systeembeheerders nemen in Nederland vaak de controle op zich van e-mail en internetgebruik. Hij krijgt daarbij ook privé-informatie te zien. “Vertrouwen is goed, maar controle is beter”, zegt Kersten. “Het is dan ook een goed idee om in de opleiding aandacht te besteden aan ethiek om de systeembeheerder te leren omgaan met privacygevoelige informatie”.