Stel, u krijgt een anonieme melding dat een van uw medewerkers bezig is om uw bedrijfsgeheimen aan de concurrent te verkopen. Deze melding maakt u nogal zenuwachtig, want de potentiële schade is enorm. U wilt  dus direct een digitaal onderzoek laten uitvoeren en het e-mailverkeer van de betreffende medewerker monitoren. Maar dan loopt u tegen twee problemen aan, want uw organisatie is niet forensic ready en u heeft geen e-mail en internetprotocol.

Forensic readiness

Forensic readiness, u heeft er vast al eens van gehoord. Het is een van de stokpaardjes van Hoffmann. Als uw organisatie niet forensic ready is, betekent dit dat uw technische en fysieke infrastructuur niet goed is voorbereid op een eventueel digitaal forensisch onderzoek. Anders gezegd, er is dan onvoldoende onderzoeksmateriaal beschikbaar om na te gaan wie, wanneer op welke manier toegang heeft gehad tot belangrijke systemen en gegevens.

In de praktijk lopen wij hier bij veel organisaties tegenaan. Dan worden er bijvoorbeeld onvoldoende loggegevens bijgehouden, worden loggegevens niet lang genoeg bewaard of worden de verkeerde gegevens opgeslagen. Het gevolg? Een gedegen forensisch onderzoek is niet mogelijk of duurt veel langer.

Zorg dus dat uw organisatie forensic ready is. Daarmee kunt u fraude en diefstal niet voorkomen, maar bent u wel klaar voor een forensisch digitaal onderzoek. Dit is overigens niet alleen van belang bij vermoedens van fraude of diefstal. Ook als uw organisatie onverhoopt het slachtoffer wordt van een hack of cyberaanval is het van belang dat digitaal forensisch onderzoekers kunnen achterhalen wat er is gebeurd.

E-mail- en internetprotocol

Als uw organisatie forensic ready is, wil dit nog niet zeggen dat u het internet- en e-mailgedrag van uw medewerkers altijd mág (laten) onderzoeken of monitoren. Uw medewerkers hebben op grond van de AVG namelijk recht op privacy. En in (Europese) rechtspraak is bepaald dat u alleen inbreuk mag maken op dit recht als aan bepaalde voorwaarden is voldaan.

Een van die voorwaarden is dat medewerkers vooraf op de hoogte moeten zijn dat de organisatie een inbreuk kan maken op het recht op privacy indien daar een zwaarwegend belang voor is. Dit doet u met een duidelijk e-mail- en internetprotocol, waarin u omschrijft wanneer u het e-mail- en internetgebruik van uw medewerkers kunt controleren. Let op: dit protocol moet worden goedgekeurd door de eventuele OR.

En als u in een concreet geval tot controle of monitoring wilt overgaan is het daarnaast vereist dat u daarvoor een gerechtvaardigd belang heeft. Denk aan een vermoeden van een schending van gedragsregels, fraude of diefstal. Ook moet dergelijk onderzoek in verhouding staan tot het vergrijp en mogen er geen andere - minder ingrijpende - manieren zijn om uw doel te bereiken. Bovendien moet u de inbreuk op de privacy zo klein mogelijk maken.

Dit gaat overigens ook op als er binnen uw organisatie diefstallen of vernielingen plaatsvinden en u gebruik wilt maken van een (verborgen) camera. Dan heeft u een protocol cameratoezicht nodig, dat van tevoren kenbaar moet zijn gemaakt aan de medewerkers. Ook moet aan de voorwaarden vergelijkbaar met het hierboven genoemde e-mail- en internetprotocol zijn voldaan. Zet u een verborgen camera incidenteel in of is het cameratoezicht grootschalig, structureel of systematisch? Dan moet u op grond van de AVG bovendien een data protection impact assessment (DPIA) uitvoeren.

Meer informatie?

Heeft u vragen over dit onderwerp?

Neem dan gerust contact met ons op.

088-2986600

info@hoffmann.nl

We helpen u graag.

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.