Onderzoek Forcepoint weerlegt mythes over monitoren personeel

Forcepoint introduceert samen met advocatenkantoor Hogan Lovells een uitgebreide whitepaper. Het paper gaat in op de mogelijke problemen die personeelsmonitoringsprogramma’s met zich meebrengen en de juridische gevolgen van tien verschillende monitoringsactiviteiten in vijftien verschillende landen. Managing Workforce Cyber Risk in a Global Landscape is een onmisbaar document voor organisaties die (willen) werken aan dataprotectie-programma’s waarvan het monitoren van personeel onderdeel is.

Strengere regelgeving, waaronder de GDRP, zorgt ervoor dat bescherming van consumentgegevens bij veel bedrijven steeds meer prioriteit krijgt en dat bedrijven nog eens kritisch naar hun datamanagementprocessen kijken. Een van de manieren om data te beschermen tegen zowel interne als externe bedreigingen is door het gebruik van informatiebronnen te monitoren.

Het monitoren van personeel vormt echter een uitdaging voor zowel juridische teams en HR-afdelingen als IT-teams en ondernemers. Aan de ene kant hebben ze te maken met een behoefte aan data- en IP-protectie, maar aan de andere kant moeten ze de privacy en rechten van hun eigen werknemers niet uit het oog verliezen. Internationale organisaties hebben dan ook nog eens te maken met de verschillende wetgevingen in de landen waar ze actief zijn. Zij moeten dus meerdere beleidsmaatregelen opstellen die afhankelijk zijn van de locaties van hun personeel.

“Toen we naar onze eigen mensgerichte security-programma’s en Data Protection/Privacy Impact Assessments (DPIA/PIA) keken, realiseerden we dat we extra juridische begeleiding nodig hadden”, zegt Allan Alford, CISO, Forcepoint. “Omdat we wisten dat onze klanten ook met deze uitdaging te maken krijgen, deden we samen met Hogan Lovells onderzoek waarvan de we resultaten openbaar beschikbaar stellen.”

Het is voor het eerst dat een onderzoek zich richt op het internationale juridische landschap en daarbij specifiek ingaat op het implementeren van een programma dat cyberbedreiging van personeel tegengaat. Het team van Hogan Lovells deed daarvoor onderzoek naar de drie hoofdzaken als het gaat om wetgeving met betrekking tot cyber defense-programma’s en het monitoren van personeel: dataprivacy en dataprotectie-wetgeving, communicatie beroepsgeheimen en arbeidswetgeving.

Het resultaat is een behulpzame gids voor organisaties die hun complianceprogramma’s onder de loep willen nemen of willen aanpassen. Het whitepaper biedt een aantal vragen die organisaties zichzelf moeten stellen over de voorgestelde privacymaatregelen, een aantal best-practice-stappen die elke organisatie kan volgen en specifieke informatie over de eisen die in de vijftien verschillende landen gelden.

Internationaal verschil

In de vijftien voor het whitepaper onderzochte landen komen grote onderlinge verschillen met betrekking tot het monitoren van personeel naar voren. Hogan Lovells legde de eisen van wettelijke naleving per land vast in een totaalscore-overzicht. In sommige rechtsgebieden hebben organisaties een grote bevoegdheid om het informatiegebruik van personeel te monitoren. In andere gevallen moeten organisaties het verwerken van persoonlijke communicatie vermijden en mogen zij alleen persoonlijke communicatie en informatie analyseren als er redelijke vermoedens zijn of sprake is van misbruik.

In veel landen mogen personeelsmonitoringprogramma’s alleen worden geïmplementeerd in overleg met en na goedkeuring van personeelsverantwoordelijken of afzonderlijke werknemers.

Zo is in de Verenigde Staten in een federale wet vastgelegd dat organisaties worden vrijgesteld van aansprakelijkheid als zij hun informatiesystemen voor cybersecuritydoeleinden monitoren. In Finland is het daarentegen voor werkgevers over het algemeen verboden om inkomende of uitgaande communicatie van werknemers te monitoren.

“Elk personeelsmonitoringprogramma moet verhoudingsgewijs, respectvol en transparant worden uitgerold om het vertrouwen van personeel te blijven behouden”, zegt Alford. “Het is een zorgvuldige balansoefening: werknemers en werkgevers moeten hand in hand te werk gaan om elkaar te beschermen. Hoewel we onszelf en onze belangrijke gegevens beter willen beschermen, zijn er toch belangrijke privacygevolgen verbonden aan het monitoren van hoe, wanneer en waarom werknemers omgaan met bedrijfsgegevens.”