formele clausules voor de IT-er

bedrijfsregels / regels omtrent informatie / VOG-verklaring / security-officer aanstellen

Daarnaast kan je nog een geheimhoudingsverklaring erbij doen of gewoon aanvullend artikel in je contract, die waren in mijn geval van toepassing.

+1 voor de geheimhoudingsverklaring. Laat een goeie opstellen en iedereen binnen de organisatie die met bepaalde data werkt, moet deze ondertekenen.

blackadder75 schreef op maandag 12 december 2011 @ 09:35:
De vorige IT-er heeft nooit iets ondertekent en kon bij vertrek in principe het hele bedrijf plat gooien.

Dat valt ook wel weer mee, moedwillig schade veroorzaken voor je werkgever is natuurlijk sowieso niet ok, daar hoef je echt niet per se allerlei formuleren voor hebben ondertekend.

"De medewerker is wel aansprakelijk, wanneer er sprake is van opzettelijk handelen of nalaten of wanneer er sprake is van bewuste roekeloosheid."

Dus als je expres de boel vernaggelt kan je baas de schade gewoon op jou verhalen.

[ Voor 19% gewijzigd door Wilke op 12-12-2011 18:55 ]

Het probleem van IT is dat ze soms in contact met die data gaan maken voor hun werk:
- rapporten opmaken (om de finale test te doen wil je toch echt met echte data werken en niet met dummy)
- probleem rechttrekken in de productie DB
- ...

Normaal laat je die dan een geheimhoudingsverklaring ondertekenen.

Wordt je organisatie/IT groter kan je gaan werken om toegang actief te beperken.
Bij een stagiair bijvoorbeeld kan dat nu al interessant zijn - hangt er een beetje van af of je met beroemde mensen zit of mensen die die zou kennen. (sommige stagiairs zullen er professioneel mee om kunnen gaan - anderen (nog) niet)

Wel goede vraag eigenlijk. Ik ging er vanuit dat er altijd wel iets overkoepelends in je arbeidscontract staat dat alle informatie die je bij je werkzaamheden tegenkomt strikt vertrouwelijk moet worden gehouden, echter heb nooit gekeken of het er echt in staat en er is me ook nooit op gewezen. Werk zelf bij een grote ICT-dienstverlener waar we ook toegang hebben tot erg veel data op servers van klanten. Voor mijn werkzaamheden moet ik ook echt toegang hebben tot alle cijfers en vertrouwelijke/concurrentiegevoelige gegevens. Ik ga daar beroepshalve vertrouwelijk mee om, maar iemand die kwaad wil kan wel zo zn gang gaan.

Voorkomen is wel beter dan genezen, zeker in een organisatie die met hele gevoelige data werkt zoals patiënteninformatie. Dus zou het eigenlijk niet mogelijk moeten zijn dat een beheerder zomaar bij gevoelige data kan komen, maar alleen de eigenaar/beheerder van die data dat kan.

Want laten we wel wezen. De beheerder zorgt voor de beschikbaarheid van de systemen, monitort de services en de performance, etc. Maar inhoudelijk heeft ie met de data niks van doen (althans, zo zou het zijn in de ideale wereld). Ik snap ook niet wat bijvoorbeeld een loonadministratie onversleuteld doet op de harde schijf van een server. Stel het is niet de beheerder, maar gewoon een inbreker die die server onder z'n arm meeneemt naar huis?

In een kleinere organisatie is het wel begrijpelijk. Systemen/methoden om e.e.a. in goede banen te leiden zijn duur of vereist kennis die niet aanwezig is, men ziet de noodzaak ook niet en geld is er al helemaal niet. Er is wel degelijk meer mogelijk in zo'n situatie dan alleen het laten tekenen van een geheimhoudingsverklaring en hopen dat niks fout gaat.

De beslissingen rondom het thema informatiebeveiliging zouden eigenlijk moeten worden genomen op basis van risico management. Hoe beheersen we de aanwezige risico's? Net als dat men het niet meer dan normaal vindt dat er een slot op de deur zit en dat er een rookmelder in het kantoor hangt, zo zou je ook bepaalde risico's aangaande je informatiebeveiliging moeten oppakken. Kijken naar de risico's die je loopt en deze zo goed mogelijk proberen af te dichten, met een realistisch budget die het eventuele schadebedrag niet overschrijdt (anders kan je de maatregel net zo goed niet nemen).

Wilke schreef op maandag 12 december 2011 @ 18:52:
[...]


Dat valt ook wel weer mee, moedwillig schade veroorzaken voor je werkgever is natuurlijk sowieso niet ok, daar hoef je echt niet per se allerlei formuleren voor hebben ondertekend.

Het is voor een werkgever natuurlijk wel handig als de werknemer een aantal formulieren heeft ondertekend waarin staat dat schade die opzettelijk toe is gebracht verhaald kan worden op die werknemer.

Dus als je expres de boel vernaggelt kan je baas de schade gewoon op jou verhalen.

Dit lijkt me vrij normaal of denk ik nou raar?

blackadder75 schreef op maandag 12 december 2011 @ 09:35:
De vorige IT-er heeft nooit iets ondertekent en kon bij vertrek in principe het hele bedrijf plat gooien.

In principe kan elke IT-er wel het hele bedrijf platgooien als men fysiek toegang heeft tot de servers/infra.

Je snapt zelf ook wel dat mocht iemand tot zo'n daad over gaan hij een proces aan zijn broek zal krijgen. Het is meestal met access logs van alarm of poorten/deuren/videobeelden wel redelijkerwijs aan te tonen dat iemand op een bepaalde locatie was ten tijden van een indicent.

Eerlijk gezegd heb ik nog nooit zoiets meegemaakt dat men doelbewust infra om zeep helpt. Wel eens een leverancier die had zitten kloten in een patchkast waardoor er een aantal ISDN lijnen niet meer werkte, maar dat was dan ook een bedrijfsverzamelgebouw met meerdere beheerders e.d. waarbij niets gedocumenteerd was en dus totaal onduidelijk was wat nog in gebruik was wel/niet. Ik heb toen voor die klant een inventarisatie gemaakt en een duidelijke procedure opgesteld voor aanmelden van werkzaamheden, meldplicht etc.

Dit soort zaken kan je veel beter aanpakken met goede procedures en herstelplannen dan uit te gaan van dat alles evil is. Op dat moment kan je natuurlijk op nog veel meer punten vragen gaan stellen en ben je eigenlijk een soort van datacenter of bank aan het bouwen .