Uitleg over preventiemaatregelen tegen informatielekken: Wat moet er in het bedrijfsbeleid worden opgenomen?
Informatielekken kunnen potentieel fatale schade toebrengen aan bedrijfsactiviteiten. Het is daarom belangrijk om interne preventieve maatregelen te nemen.
Concreet kan men denken aan het opstellen van interne regels en het naleven daarvan. Maar welke specifieke interne regels moeten er worden opgesteld? In dit artikel leggen we uit hoe bedrijven hun interne regels kunnen opstellen om het risico op informatielekken te verminderen, gericht op de juridische afdeling van het bedrijf.
Wat is het interne beleid met betrekking tot informatielekken?
Informatielekken kunnen op elk moment en onder elke omstandigheid plaatsvinden. Daarom is het belangrijk om vooraf een grondig intern beleid op te stellen en je voor te bereiden op informatielekken.
Bovendien, zelfs als er zich een situatie voordoet zoals een informatielek, kan het volgen van het vooraf vastgestelde interne beleid helpen om de schade veroorzaakt door het lek tot een minimum te beperken.
Het opstellen van een basisbeleid
Als eerste stap kan een bedrijf overwegen om een basisbeleid op te stellen met betrekking tot informatie lekken, om duidelijk te maken hoe het bedrijf hiermee omgaat.
In het basisbeleid kunnen bijvoorbeeld de volgende zaken worden vastgelegd:
- Inhoud met betrekking tot de verantwoordelijkheid van het bedrijf en de leiding
- Inhoud met betrekking tot de naleving van wetten en andere regelgeving
- Inhoud met betrekking tot de opbouw van interne systemen
- Inhoud met betrekking tot informatiebeheer
- Inhoud met betrekking tot initiatieven voor werknemers
- Inhoud met betrekking tot de reactie in geval van een informatie lek
- Inhoud met betrekking tot de periodieke herziening van het basisbeleid
Het basisbeleid kan niet alleen worden gezien als een interne regel, maar kan ook extern worden gecommuniceerd, zoals een privacybeleid. Door het basisbeleid extern te communiceren, kan het bedrijf zijn bewustzijn van informatie lekken tonen, wat kan bijdragen aan het verbeteren van zijn maatschappelijke reputatie.
Uiteraard heeft het geen zin om alleen een basisbeleid op te stellen. Het is noodzakelijk om het basisbeleid af te stemmen op de werkelijke situatie van het bedrijf, en het is belangrijk om het beleid in de praktijk te brengen volgens het opgestelde basisbeleid.
Gerelateerd artikel: Wat zijn de aandachtspunten bij het opstellen van een privacybeleid met inachtneming van de Japanse Wet Bescherming Persoonsgegevens?[ja]
Regels voor de bescherming van informatie
Het is mogelijk om regels voor de bescherming van informatie op te nemen in de interne bedrijfsregels.
Voor de bescherming van informatie kunnen bijvoorbeeld de volgende zaken worden vastgesteld:
Analyse van het risico op informatielekken
Als er geen grondige risicoanalyse wordt uitgevoerd met betrekking tot informatielekken, is het niet mogelijk om passende maatregelen te nemen op basis van het risico. Daarom is het belangrijk om in de interne bedrijfsregels bepalingen op te nemen over de analyse van het risico op informatielekken.
Inzicht in en databasering van de informatie die het bedrijf bezit
Als een bedrijf niet goed op de hoogte is van de informatie die het bezit, wordt het moeilijk om deze adequaat te beheren. Door de informatie die het bedrijf bezit te databaseren, wordt het mogelijk om de informatiebeheer adequaat uit te voeren.
De bepaling van de informatiebehandelaar
Door in de interne bedrijfsregels de behandelaar van de informatie die het bedrijf bezit vast te stellen, kan het gebruik van de informatie tot een minimum worden beperkt en kan het risico op informatielekken worden verminderd.
De procedure voor het openbaar maken en verstrekken van informatie vaststellen
Door in de interne bedrijfsregels de procedure voor het openbaar maken en verstrekken van de informatie die het bedrijf bezit duidelijk vast te leggen, wordt ervoor gezorgd dat de operaties volgens de procedure worden uitgevoerd. Hierdoor kan worden voorkomen dat werknemers op eigen houtje bedrijfsinformatie gebruiken, wat uiteindelijk kan leiden tot het voorkomen van informatielekken.
Beperking van het meenemen van informatie naar buiten
Door in de interne bedrijfsregels de regels voor het meenemen van de informatie die het bedrijf bezit naar buiten vast te leggen, kan worden voorkomen dat informatie onnodig naar buiten wordt gebracht, wat kan bijdragen aan het voorkomen van informatielekken.
Regels voor de audit van het informatieveiligheidssysteem
Zelfs als een bedrijf een informatieveiligheidssysteem heeft opgezet, heeft dit geen zin als het systeem niet volgens de regels wordt gebruikt.
Daarom kan in de interne bedrijfsregels ook worden bepaald dat een onafhankelijke entiteit een audit uitvoert met betrekking tot het informatieveiligheidssysteem.
Regels voor Personeelsbeheer
Informatielekken kunnen ook ontstaan door menselijke fouten. Daarom kan het nuttig zijn om in de interne regels bepalingen op te nemen over de mensen die met informatie omgaan.
Overigens kunnen deze regels voor personeelsbeheer ook worden opgenomen in de arbeidsvoorwaarden of in de regels voor het beheer van vertrouwelijke informatie.
Bijvoorbeeld, de volgende zaken kunnen worden geregeld:
Verplichting tot geheimhouding van informatie
In de interne regels kan worden bepaald dat werknemers een verplichting hebben om informatie geheim te houden. Door het vastleggen van een geheimhoudingsplicht, kan het mogelijk worden om werknemers contractueel te verplichten tot geheimhouding.
Bovendien kan het verwacht worden dat werknemers zich bewust worden van hun verplichting tot geheimhouding van informatie.
Verbod op het gebruik van informatie voor andere doeleinden
De verplichting tot geheimhouding van informatie betekent in de eerste plaats dat informatie niet mag lekken. Maar daarnaast kan het ook effectief zijn om het gebruik van informatie voor andere doeleinden te verbieden om informatielekken te voorkomen.
Geheimhoudingsverklaring bij indiensttreding
Er kan ook worden bepaald dat werknemers bij indiensttreding een geheimhoudingsverklaring moeten indienen, inclusief een verbod op het gebruik van informatie voor andere doeleinden.
De geheimhoudingsverklaring bij indiensttreding heeft niet alleen tot doel om werknemers contractueel aansprakelijk te stellen, maar ook om hen bewust te maken van het belang van het voorkomen van informatielekken.
Geheimhoudingsverklaring bij vertrek
Voor werknemers is het natuurlijk belangrijk om tijdens hun dienstverband geen informatie te lekken, maar ook na hun vertrek moeten zij geen informatie lekken.
Daarom kan het nuttig zijn om bij vertrek een verklaring te vragen waarin staat dat de informatie die tijdens het dienstverband is verkregen, ook na het vertrek niet zal lekken. Dit komt omdat interne regels in principe alleen effect hebben op werknemers en na het vertrek geen effect meer hebben.
Opleiding van werknemers over informatielekken
Door een verklaring van werknemers te verkrijgen, kan er enige bewustwording over informatielekken worden gecreëerd. Echter, een verklaring alleen is niet altijd voldoende om werknemers het belang van het voorkomen van informatielekken te laten inzien.
Daarom kan het nuttig zijn om in de interne regels te bepalen dat er periodiek interne trainingen worden gegeven om werknemers op te leiden in het voorkomen van informatielekken.
Regels voor fysiek beheer
Om informatielekken te voorkomen, is het noodzakelijk om een omgeving te creëren waarin informatie fysiek moeilijk kan lekken.
Bijvoorbeeld, in de interne regels, kan het volgende worden bepaald met betrekking tot het beheer van informatie:
Beheer van toegang tot de ruimte waar informatie wordt opgeslagen
Door duidelijke beveiligingszones te definiëren op basis van de informatie die intern wordt behandeld, en door het beheer van toegang en vergrendeling van elke zone, kan de fysieke toegang tot informatie worden verminderd.
Door de fysieke toegang tot informatie te verminderen, kan het risico op informatielekken worden verminderd.
Toegang tot de server
Als informatie wordt opgeslagen op een server, kan in de interne regels worden bepaald dat de toegang tot de server wordt beperkt.
Als elke werknemer gemakkelijk toegang heeft tot informatie, neemt het risico op informatielekken toe. Daarom is het beperken van de toegang tot de server waar de informatie wordt opgeslagen effectief om informatielekken te voorkomen.
Behandeling van documenten en andere media
In de interne regels is het ook belangrijk om specifieke bepalingen op te nemen over de behandeling en opslag van informatie.
Bijvoorbeeld, als de informatie op papier staat, kan worden overwogen om deze op te slaan in een afsluitbare kast, of om een kamer in te richten voor het bekijken van informatie en te bepalen dat deze niet naar andere kamers mag worden meegenomen.
Regels voor het gebruik van IT-apparatuur
Tegenwoordig neemt de kans om informatie uit te wisselen met behulp van IT-apparatuur toe, vanwege redenen zoals de ontwikkeling van het internet en de toename van het uitvoeren van remote werk.
Daarom kan het in de bedrijfsregels worden overwogen om de volgende zaken te reguleren met betrekking tot het gebruik van IT-apparatuur.
Procedure bij het lenen van IT-apparatuur van het bedrijf
Om te beginnen, wanneer je IT-apparatuur zoals een computer leent van het bedrijf, is het belangrijk om bij te houden wie wanneer iets heeft geleend.
Daarnaast is het ook belangrijk om regelmatig de gebruikssituatie te begrijpen om te controleren of degenen die IT-apparatuur van het bedrijf hebben geleend, deze niet gebruiken in een omgeving waar informatie gemakkelijk kan lekken.
Procedure voor het gebruik van persoonlijke apparaten (BYOD)
Door de toename van thuiswerken, zijn er ook meer gevallen waarin werknemers hun persoonlijke IT-apparaten voor werk gebruiken. In het geval van persoonlijke eigendommen van werknemers, zoals pc’s en USB-geheugensticks, is er mogelijk niet altijd voldoende beveiliging.
Bovendien, omdat het de IT-apparaten zijn die ze normaal gesproken gebruiken, kunnen werknemers het gevoel van crisis dat ze met werkgerelateerde informatie omgaan, verminderen, en kan het beheer onvoldoende worden.
Daarom kan het in de bedrijfsregels worden overwogen dat wanneer het bedrijf werknemers toestaat om persoonlijke apparaten (BYOD) te gebruiken, het ook procedures en verboden voor het gebruik van persoonlijke apparaten (BYOD) kan vaststellen.
Regels met betrekking tot andere vormen van informatie lekken
Daarnaast kunnen de volgende zaken worden vastgelegd in interne regels met betrekking tot informatie lekken.
Regels met betrekking tot persoonlijk gebruik van sociale media
Er zijn sociale media die onder echte namen en anoniem worden gebruikt. In het geval van anonimiteit kan er een mogelijkheid zijn dat men gemakkelijk berichten plaatst op sociale media vanwege de anonimiteit. Bovendien zijn er gevallen waarin men lichtzinnig een bericht plaatst, denkend dat het niet door veel mensen zal worden gezien, en als het viraal gaat, wordt het gezien door veel mensen.
Sociale media hebben een groot verspreidingsvermogen, dus als er een informatie lek optreedt, kan het in een oogwenk verspreid worden.
Daarom kan het ook worden overwogen om in de interne regels de inhoud van het gebruik van sociale media door werknemers te bepalen.
Bijvoorbeeld, het doel van het gebruik van sociale media kan worden verdeeld in “zakelijke doeleinden” en “niet-zakelijke doeleinden (privé)”, en in het geval van zakelijke doeleinden kan er een methode zijn om aanvragen en goedkeuringen te verplichten, evenals rapportage in geval van virale verspreiding. Zelfs als het voor niet-zakelijke doeleinden is, kan het verboden zijn om bedrijfsgeheimen of wettelijk verboden zaken te schrijven, en kan het verplicht zijn om te rapporteren in geval van mogelijke informatie lekken of virale verspreiding.
Maatregelen tegen informatie lekken worden ondernomen door de hele groep bedrijven
In het geval van grote bedrijven, kunnen er meerdere groepsbedrijven bestaan. Er kan ook een mogelijkheid zijn dat er vertrouwelijke informatie wordt uitgewisseld tussen groepsbedrijven, maar het is niet noodzakelijk dat de hele groep hetzelfde niveau van beveiliging heeft.
Daarom zijn er mensen die denken aan het onrechtmatig verkrijgen van informatie door onrechtmatige toegang tot dochterondernemingen met een zwakkere beveiliging dan de moedermaatschappij.
Om op dergelijke situaties te reageren, is het belangrijk dat groepsbedrijven niet afzonderlijk maatregelen nemen tegen informatie lekken, maar dat ze gezamenlijk maatregelen nemen tegen informatie lekken.
Samenvatting: Raadpleeg een advocaat voor interne regels met betrekking tot informatielekken
We hebben uitleg gegeven over het opstellen van interne regels om het risico op informatielekken te verminderen, gericht op bedrijfsjuristen. Het is belangrijk om vanuit verschillende invalshoeken uitgebreide maatregelen te nemen om informatielekken te voorkomen.
Er is een noodzaak om zorgvuldige overwegingen te maken met betrekking tot dergelijke interne regels, met inbegrip van professionele perspectieven. We raden aan om een advocaat met specialistische kennis te raadplegen bij het opstellen van interne regels.
Gerelateerd artikel: Het risico van persoonlijke informatielekken bij bedrijven en schadevergoeding[ja]
Informatie over onze maatregelen
Monolis Law Firm is een advocatenkantoor met hoge expertise in IT, met name internet en recht. Professionele kennis is essentieel bij het opstellen van interne regels. Ons kantoor behandelt een breed scala aan zaken, van beursgenoteerde bedrijven in Tokyo tot startende ondernemingen. Als u problemen heeft met interne regels, raadpleeg dan het onderstaande artikel.