Nederlandse bedrijven ontberen een gedragscode voor het gebruik van privé e-mail of internet op de werkplek. Dit zegt Martin Kersten, voorzitter van het Genootschap van Informatie Beveiligers (GvIB). Een gedragscode is weliswaar niet verplicht, maar volgens jurisprudentie wel vereist voor het nemen van disciplinaire maatregelen als een werknemer in de fout gaat.
Voornamelijk grotere ondernemingen en overheidsbedrijven hebben volgens Kersten een dergelijke gedragscode, maar bij het mkb en kleinere bedrijven ontbreekt die vaak. “Ik denk niet dat werkgevers zich ervan bewust zijn dat een gedragscode nodig is.” zegt hij. “Bovendien hebben ze andere prioriteiten.” Als bedrijven al een gedragscode hebben, voldoet deze volgens Kersten niet altijd. Vaak is het een gekopieerd document uit een andere bron, dat niet is toegesneden op de eigen onderneming.
Uit een recent Amerikaans onderzoek van Proofpoint, fabrikant van beveiligingssoftware, bleek dat 36 procent van de onderzochte (Amerikaanse) bedrijven met meer dan duizend werknemers een medewerker belast heeft met de controle op uitgaande e-mail. Ruim een kwart van de ondernemingen is van plan dat binnen een jaar te doen. In grotere bedrijven (meer dan twintigduizend medewerkers) is het monitoren van e-mail veel gebruikelijker. 40 procent heeft een e-mailcontroleur in dienst, een derde is van plan binnen een jaar iemand hiervoor aan te nemen.
Volgens Kersten hebben Nederlandse bedrijven niemand speciaal belast met controle op uitgaande mail. “In ons land is er meer sprake van vertrouwen. Vroeger was Amerika panisch voor het telefoneren naar buiten, maar in Nederland is het maatschappelijk aanvaard dat de telefoon op het werk ook privé gebruikt wordt.” Hij ziet dit in de toekomst ook niet veranderen.
Systeembeheerders nemen in Nederland vaak de controle op zich van e-mail en internetgebruik. Hij krijgt daarbij ook privé-informatie te zien. “Vertrouwen is goed, maar controle is beter”, zegt Kersten. “Het is dan ook een goed idee om in de opleiding aandacht te besteden aan ethiek om de systeembeheerder te leren omgaan met privacygevoelige informatie”.
Als inkomende e-mail wordt gecontroleerd middels een filter om vervuiling bij de gebruikers te voorkomen, waarom dan ook niet een filter voor uitgaande e-mail? Controle op uitvoering van de gedragsregels is volkomen acceptabel. Ook de grenzen van Internetgebruik dienen zeer expliciet te zijn, men weet graag waar men aan toe is, daarbij dient het privégebruik wel in beperkte mate te worden toegestaan omdat het onderscheid privé/zakelijk steeds meer vervaagd en dikwijls door elkaar loopt.
Wat echter vooral vaak in de praktijk ontbreekt is instructie in correct e-mailgebruik en beheer, waarmee kan worden voorkomen dat de verkeerde (communicatie-)middelen worden ingezet en overvolle inboxen bijdragen aan de werkdruk en stresbeleving.