Zeven Europese partijen roepen in een open brief professionele organisaties op tot zelfregulering en het nemen van hun ‘corporate information responsibilty’. PwC , Iron Mountain en vijf andere specialisten roepen Europa om de vertrouwelijkheid van persoonlijke informatie te borgen en om zo te komen tot verantwoord informatiebeheer. Zij willen dat de zorgplicht ook gaat gelden voor gevoelige informatie.
In Nederland houdt het College Bescherming Persoonsgegevens (CBP ) toezicht op de naleving van wetten over het gebruik van persoonsgegevens. Die wetten dekken volgens de ondertekenaars van een open brief slechts een klein deel van de informatierisico’s af. Zelfregulering met behulp van een gedragscode en een verantwoordelijke functionaris moet de kloof overbruggen. ‘Het CBP is ervan overtuigd dat zelfregulering een effectieve bijdrage zal leveren aan het realiseren van het grondrecht op bescherming van de persoonlijke levenssfeer’, zo staat in de open brief te lezen. ‘Het CBP bevordert daarom het aanstellen van een functionaris voor de gegevensbescherming en stimuleert bedrijven een gedragscode op te stellen.’
Maar van zelfregulering is volgens de zeven organisaties amper sprake. ‘Met gevoelige informatie wordt ronduit onachtzaam omgegaan, bleek eerder uit Europees en Nederlands onderzoek onder zeshonderd middelgrote bedrijven in opdracht van adviesbureau PwC en informatiemanagement-bedrijf Iron Mountain. Liefst 60 procent van de ondervraagde directieleden betwijfelt ernstig of hun organisatie erop is ingericht om gevoelige informatie te beschermen en of hun mensen erop toegerust zijn. In slechts 36 procent van de gevallen is er een verantwoordelijke functionaris. In onze informatiemaatschappij geven we onze vertrouwelijk informatie dagelijks in handen van professionele organisaties, wanneer we diensten of producten afnemen, of als we daartoe verplicht zijn. De huidige situatie achten wij dan ook volstrekt onverantwoord.’
People, Planet, Profit
PwC , Iron Mountain, IE Business School, Information Security Practitioner, IPL, akzente en IRMS nemen daarom het voortouw en roepen professionele organisaties op om hun ‘corporate ‘information responsibilty’ te nemen als onderdeel van hun ‘corporate social responsibility’. Wie ‘People, Planet, Profit’ harmonieus wil combineren, moet óók zijn verantwoordelijkheid nemen ten aanzien van waardevolle en vertrouwelijke informatie, zo is hun betoog.
‘De zelfregulering die het CBP voorstaat, achten wij als initiatiefnemers een lovenswaardig streven’, zo vervolgt het zevental. ‘Zorgwekkend is dat 59 procent van de onderzochte middenbedrijven ervan overtuigd is dat investering in it-technologie daartoe volstaat, terwijl alles erop wijst dat corporate information responsibility valt of staat met de heersende bedrijfscultuur en het gedrag van medewerkers. Belangrijke verbeteringen worden met name geboekt door interne communicatie over de vertrouwelijkheid van waardevolle en gevoelige informatie en door het trainen van medewerkers.’
Actieplan
Als handreiking voor bedrijven die aan de slag willen om te komen tot een verantwoord informatiebeheer, hebben de initiatiefnemers een concreet actieplan opgesteld dat organisaties kunnen doorlopen.
Waarom alleen focus op de informatie. Er wordt terecht gesproken over “people, planet, profit”. Dus Corporate Digital Responsibility in plaats van Corporate Information Responsibility. Met ook aandacht voor zaken als:
* Voldoen aan wetgeving (intellectual property etc.)
* Voorkomen “social media” stress / informatie overload bij werknemers
* De balans ondersteunen tussen alle “wilde” (maar vaak ook effectieve) initiatieven van medewerkers op dit gebied en de wensen en eisen van de organisatie
Oftewel: Digitaal Verantwoord Ondernemen.
Nederland is binnen Europa een van de meest naïeve landen als het aankomt om digitale veiligheid. Kijk maar eens de docu ‘Privacy in Nederland’ van Peter Vlemmix.
En hier heeft het Nederlandse bedrijfsleven ook last van. En nu heeft de Nederlandse overheid voorzichtige stappen gezet om hier wat beweging in te brengen maar dat is helaas nog lang niet voldoende. Zelfregulering is te vrijblijvend en zelfs wetgeving zal niet genoeg impact hebben. Wat we ‘nodig’ hebben is nog meer Diginotars en wellicht nog ergere voorbeelden van hoe erg mis het kan gaan. Nog meer Lektobers en Brenno de Winters die laten zien dat de digitale beveiliging in heel veel Nederlandse bedrijven nog steeds niet op orde is.