Fraude met informatie
Dankzij de komst van technische uitvindingen als het internet en de
computer is frauderen makkelijker dan ooit. Door goed op de signalen
te letten en voldoende beveiligingsmaatregelen te nemen, kunt u de
risico's van informatiefraude beperken en zo schade aan uw
onderneming voorkomen.
9.1 Signalen
Het grootste deel van informatiefraude betreft ongewenste handelingen
met bedrijfsinformatie. Denk hierbij aan klantenbestanden, financiele
informatie, productinformatie, gevoelige informatie over klanten of bepaalde recepten. Deze gegevens kunnen in verkeerde handen vallen en daardoor veel schade aan uw onderneming toebrengen. De grootste schade ontstaat echter als werknemers gegevens verzamelen of kopieren om een eigen bedrijf te starten. Signalen dat er fraude met gegevens uit uw onderneming aan de gang is, komen meestal van buitenaf:
- Uw onderneming wordt onverwacht door de pers benaderd of
er wordt vertrouwelijke bedrijfsinformatie gepubliceerd.
- Uw onderneming krijgt vragen van klanten die blijken te weten dat een
werknemer van plan is voor zichzelf te beginnen.
- Uw klanten krijgen ongevraagd aan-biedingen of vragen van
(on)bekende leveranciers.
- Oud-werknemers beginnen met con-currerende activiteiten, al dan
niet voor zichzelf.
Gelukkig kunt u een aantal maatregelen nemen om informatie veilig te
stellen.
9.2 Bedingen
Het is raadzaam om met (bepaalde groepen) werknemers in de
arbeidsovereenkomst afte spreken dat zij na beeindiging van hun
dienstverband voor een bepaalde periode en in een straal van een
bepaald aantal kilometers geen concurrerende activiteiten mogen
uitvoeren (concur-rentiebeding) en/of geen relaties van uw
onderneming mogen benaderen (relatie-beding).
Wachtwoorden verspreiden zich als een virus
Een groothandel in technische apparatuur was behoorlijk verontrust
toen er geruchten rondgingen dat een werknemer beschikte over de
wachtwoorden van anderen (zelfs van de directie). Hierdoor kon hij
bij uiterst vitale bedrijfsinformatie. Bij een digitaal onderzoek op
de computer van de werknemer werd een bestand aangetroffen met daarin
de gebruikersnamen en de wachtwoorden van alle werknemers van het
bedrijf. Dit bestand stond echter ook op andere computers. Na verder
onderzoek bleek dat dit bestand was aangemaakt door een zelf ontwikkeld beheerprogramma van de systeem-beheerder. Het stond op alle computers waar de systeembeheerder in de afgelopen periode gebruikers te hulp was
geschoten. Het bewuste programmaatje was door de systeembeheerder
ontwikkeld om zijn beheertaken gemakkelijker te maken.
Toegang
Wat hij niet wist was dat iedere keer als hij het programma op een
werkplek activeerde een wachtwoordenbestand werd aangemaakt op die computer. Het wachtwoordenbestand was als het ware als een virus verspreid door de organisatie, waardoor elke gebruiker kon beschikken over alle
wachtwoorden en dus toegang had tot alle directory's. Deze
organisatie moest dus duidelijk meer aandacht besteden aan de
beveiliging van het computersysteem.
(Bron: Recherchetips voor het bedrijfsleven 178, januari 2005, Hoffmann Bedrijfsrecherche)
Overtredingen
Het blijft echter lastig om aan te tonen dat een van uw ex-werknemers inderdaad het concurrentie- of relatiebeding overtreedt. Als er aanwijzingen zijn dat zo'n beding wordt overtreden, kunt u gesprekken gaan voeren met
woordvoerders van bedrijven die de ex-werknemer heeft bezocht of met
zijn nieuwe werkgever. U moet echter wel heel sterke vermoedens
hebben, voordat u besluit op een dergelijke manier te gaan opereren.
U kunt hiermee namelijk de privacy schenden. Ook loopt uw onderneming
door informatie los te peuteren het risico zich niet geliefd te maken
en zelfs toekomstige zakelijke verbintenissen met die bedrijven
onmogelijk te maken. Overtreding van het concurrentie- en/of
relatiebeding kunt u bestraffen met een boete of een dwangsom,
waarbij de ex-werknemer een bedrag moet betalen voor elke overtreding
of voor elke dag dat hij het beding overtreedt. U zult hiervoor in de
meeste gevallen wel naar de rechter moeten.
9.3 Wachtwoorden
Het gebruik van wachtwoorden om toegang te krijgen tot programma's of
bestanden op de computer is een goed middel om die toegang te
beperken tot een specifieke werknemer of een groep werknemers. Dan
moeten zij wel zorgvuldig met het wachtwoord en de toegang omgaan.
Doet iemand dat niet, dan kunnen anderen alsnog eenvoudig bij deze
'geheime' gegevens komen. In het ergste geval zullen ze die gegevens
zelfs manipuleren. Als datzelfde wachtwoord dan ook nog toegang
verschaft tot andere systemen, neemt het risico enorm toe. Hoe
voorkomt u dit?
- Dring bij uw werknemers aan op zorgvuldigheid. Druk hen op het
hart dat het bijvoorbeeld niet de bedoeling is een briefje met alle
wachtwoorden op de monitor van de pc te plakken of een persoonlijke
inlogcode aan anderen te geven.
- Zorg dat werknemers hun wachtwoord regelmatig veranderen. In veel
programma's kunt u het periodiek wijzigen van het wachtwoord
verplicht maken.
- Zorg er ook voor dat wachtwoorden uit minimaal acht tekens bestaan
en van verschillende categorieen (hoofd- en kleine letters, cijfers,
speciale tekens).
Daarmee voorkomt u dat iemand door maar wat te proberen snel achter
andermans wachtwoord kan komen.
9.4 lllegale en niet-zakelijke software
Werknemers kunnen tegenwoordig met een cd-rom, USB-stick of via
internet eenvoudig zelf programma's op hun werk-pc of zakelijke
laptop installeren. Door het installeren van dergelijke software kan
uw computernetwerk echter beschadigd raken en loopt de beveiliging
gevaar. Ook is het mogelijk dat met de illegale programma's
commando's meekomen die het netwerk toegankelijk maken voor
kwaadwillenden. En als het netwerk wordt gehackt, is er geen enkele
kans meer op de geheimhouding van de bedrijfsinformatie.
Werknemers zullen ook geneigd zijn om niet-zakelijke programma's op
hun zakelijke computer te zetten. Dat kan varieren van het
installeren van een spelletje of chatprogramma tot het downloaden van
muziek of hele speelfilms. Zij zullen zich niet altijd reahseren dat
er bij het downloaden van bijvoorbeeld een film sprake is van
gegevensuitwisseling met bestanden op de eigen computer. Er worden
poorten opengezet om de film binnen te halen, maar tegelijkertijd
kunnen via die poor-ten bedrijfsgegevens worden opgehaald. .
Beperken
Beperk het risico op illegale software en de gevolgen hiervan zo veel
mogelijk door: ¦ uw werknemers bewust te maken van de risico's van
illegale software:
een computerregeling op te stellen; overtredingen van die regeling te
bestraffen;
de systeembeheerder regelmatig te laten controleren op de
aanwezigheid van niet-geregistreerde software.
9.5 Gegevensdrager
De laatste tijd hoort u in het nieuws regelmatig dat vertrouwelijke
informatie uit computers, USB-sticks, memory-sticks, cd-roms en
andere gegevensdragers let-terlijk op straat is komen te liggen. Soms
worden zelfs complete computers bij het grof vuil gevonden. Verder
reahseren veel mensen zich niet dat ook leegge-maakte gegevensdragers
nog steeds de oorspronkelijke data bevatten. Wie een beetje handig
is, kan ze vrij probleemloos terugvinden.
U kunt de risico's op het openbaar worden van gegevens door verlies
van apparatuur terugdringen door:
- duidelijke instructies op te stellen over hoe om te gaan met
laptops en andere gegevensdragers buiten het bedrijf;
- ervoor te zorgen dat er geen uiterst vertrouwelijke informatie op
een dergelijke manier de deur uitgaat;
- bij digitale gegevens te zorgen voor deugdelijke encryptie zodat de
'eerlijke vinder' niet bij die informatie kan komen;
- het opschonen van gegevensdragers niet zelf te doen, maar hiervoor
professionals in te schakelen. Zo blijft er ook daadwerkelijk niets
meer van de oorspronkelijke data achter.
Zorgvuldig omgaan met documenten
Natuurlijk kan bedrijfsinformatie ook op de ouderwetse manier -
oftewel door middel van papieren documenten - in verkeerde handen
vallen. Ook met documenten moet dus zorgvuldig omgegaan worden door u
en de werknemers. Een aantal tips:
Vernietig documenten waaruit gemakkelijk bedrijfs- of persoonlijke
gegevens te achterhalen zijn.
Maak onderscheid tussen documenten voor in de prullenbak en
documenten die door de papierversnippe-raar moeten.
Geef aan wat een thuiswerker moet doen met documenten die moeten
worden vernietigd. Laat belangrijke documenten niet rondslingeren en
bewaar ze op een veilige (afgesloten) plek.
Bijlage Model gedragscode
Door middel van deze gedragscode geeft (naam organisatie) aan wat de
organisatie van de werknemers verwacht. Als het de werknemer
onduidelijk is wat wel en niet is toegestaan, moet de werknemer met
zijn leidinggevende overleggen. Schendt de werknemer de bepalin-gen
van de gedragscode, dan kunnen maatregelen tegen hem getroffen worden
-varierend van een waarschuwing tot in het uiterste geval ontslag op
staande voet (al dan niet met het verhalen van de ontstane schade).
De zwaarte van de maatregel zal afhangen van de aard, de ernst en de
gevolgen van de overtreding. De sanctie zal in verhouding tot de
overtreding in ieder geval redelijk en billijk moeten zijn.
Artikel 1 Werkingsfeer
De gedragscode is van toepassing op alle werknemers van de
organisatie.
Artikel 2 Algemene uitgangspunten
2.1 De werknemers behoren wettelijke voorschriften en algemeen
aanvaarde gedragsregels - waaronder deze gedragscode - na te leven.
2.2 De gedragscode moet de belangrijkste aspecten van het
integri-teitsbeleid van de organisatie bevatten. Periodiek moet
getoetst worden of de gedragscode overeenstemt met de praktijk.
2.3 In die gevallen dat deze gedragscode niet duidelijk is of dat een
werknemer wenst afte wijken van deze gedragscode, moet de werknemer
contact opnemen met zijn leidinggevende. De leidinggevende moet
bepalen of de afwijking gerechtvaardigd is.
2.4 De gedragscode wordt aan iedere werknemer bij indiensttre-ding
uitgereikt en is bovendien voor iedere werknemer te down-loaden via
het bedrijfsnetwerk.
2.5 De gedragscode bevat richtlijnen en geboden voor de wijze waarop
een werknemer moet handelen. Voor kennisneming van de administratieve
procedures wordt verwezen naar het bedrijfsnetwerk.
Artikel 3 Administratieve organisatie/inteme controle (AO/IC)
3.1 De werknemer vervult geen andere functies dan aan hem zijn
opgedragen in de functiebeschrijving.
3.2 De werknemer spant niet samen met andere functionarissen om
zodoende de AO/IC-procedures te omzeilen (samenspan-ning).
3.3 De werknemer stelt zich op de hoogte van de bestaande
AO/IC-procedures en de wijzigingen daarin. De organisatie verplicht
zich tot het regelmatig bijwerken van de AO/IC-procedures en het
bekendmaken van de wijzigingen.
3.4 De werknemer en de organisatie verplichten zich om de functies om
de paar jaarte laten rouleren, om zodoende mtegriteits-risico's te
voorkomen (functieroulatie).
3.5 De werknemer is verplicht kennis te nemen van procedures die
specifiek voor zijn functie gelden.
Artikel 4 Nevenwerkzaamheden
4.1 Als een werknemer nevenwerkzaamheden wil gaan uitvoeren die het
belang van de organisatie kunnen raken, moet hij daarvoor vooraf
schriftelijke toestemming van de organisatie hebben. Daartoe moet hij
een aanvraagformulier invullen en inleveren bij zijn leidinggevende.
De aanvraag wordt beoordeeld aan de hand van vaste criteria, die via
het bedrijfsnetwerk voor iedereen toegankelijk zijn.
4.2 Voor het melden van nevenfuncties gaat het om het raken van het
belang van de organisatie. Niet van belang is of de werknemer een
vergoeding voor de nevenwerkzaamheden ontvangt.
4.3 De organisatie verleent de werknemer toestemming voor de
nevenfunctie, als het belang van de organisatie niet geraakt wordt.
4.4 Als het belang van de organisatie wel geraakt wordt, wordt
onderzocht op welke wijze aan de bezwaren van de organisatie tegemoet
gekomen kan worden en de werknemer toch de nevenfunctie kan
vervullen. Is dit niet mogelijk, dan krijgt de werknemer geen
toestemming voor het vervullen van de nevenfunctie.
4.5 De werknemer die toestemming heeft gekregen voor het vervullen
van een nevenfunctie meldt iedere wijziging van omstandigheden die
van invloed kan zijn op de verleende toestemming aan zijn
leidinggevende.
4.6 De werknemer stelt zijn leidinggevende op de hoogte als hij
werkend voor de organisatie geconfronteerd wordt met partijen die hij
vanuit zijn nevenfunctie kent (belangenverstrengeling).
Artikel 5 Financieel belang
5.1 De werknemer meldt financiele belangen in ondernemingen waarmee
de organisatie zaken doet aan zijn leidinggevende.
5.2 De werknemer die familie- of vriendschapsbetrekkingen of andere
persoonlijke betrekkingen heeft met een aanbieder van diensten aan de
organisatie, onthoudt zich van deelname aan de besluitvorming over de
betreffende opdracht.
Artikel 6 Relatiegeschenken
6.1 Geschenken en giften die de werknemer uit hoofde van zijn functie
ontvangt, worden gemeld en geregistreerd en zijn eigendom van de
organisatie.
6.2 In afwijking van het vorige lid hoeven geschenken of giften die
minder dan € .... waard zijn en een alledaags karakter hebben
(bijvoorbeeld een bos bloemen of een fles wijn), niet gemeld te
worden en mag de werknemer deze houden. Hierbij geldt dat per relatie
maximaal eenmaal per jaar een geschenk verstrekt mag worden aan een
werknemer.
6.3 De werknemer neemt nooit geschenken of giften aan van een relatie
waarmee op dat moment wordt gesproken of onderhan-deld over
opdrachtverlening, ook al is de waarde van het geschenk minder dan €
....
6.4 De organisatie stelt via de leidinggevenden formulieren aan de
werknemer ter beschikking waarop de werknemer melding kan maken van
de ontvangen geschenken of giften.
Bijlage Model gedragscode (vervolg)
6.5 Eenmaal per jaar maakt de afdeling Personeelszaken een overzicht
op van schenkingen.
6.6 Als een schenking niet wordt geaccepteerd, wijst de werknemer de
schenker op de gedragscode van de organisatie, waarin is opgenomen
waarom de schenking niet mag worden geaccepteerd.
6.7 Geschenken en giften die op het priveadres van de werknemer
worden bezorgd, worden te alien tijde geweigerd of retour gezonden
(ook als deze een waarde hebben van minder dan € ....) en er wordt
melding van gedaan bij de leidinggevende. De organisatie bericht de
gever dat schenkingen op het prive-adres van een werknemer niet zijn
toegestaan.
6.8 De werknemer neemt van een aanbieder van diensten of goederen
geen faciliteiten of diensten aan die zijn onafhankelijke positie ten
opzichte van de aanbieder kunnen beinvloeden (omkoping).
6.9 De werknemer verstrekt geen geschenk of gift om zijn eigen
positie of die van de organisatie (onrechtmatig) te bevoordelen
(steekpenningen).
6.10 De werknemer neemt geen geschenken of giften aan in ruil voor
een tegenprestatie.
6.11 De werknemer accepteert aanbiedingen voor priv^diensten of
kortingen op privegoederen niet.
6.12 De werknemer levert alle geschenken en giften in het kader van
de kerst- of eindejaarsperiode in bij de leidinggevende. Deze
schenkingen worden onder alle werknemers verdeeld.
Artikel 7 Excursies, werkbezoeken, studiereizen, congressen, lunches, diners, recepties
7.1 Excursies, werkbezoeken, studiereizen, congressen, lunches,
diners en recepties moeten functioneel zijn en in het belang van de
organisatie.
7.2 De werknemer meldt elke aanbieding aan de leidinggevende, ook al
wordt deze niet geaccepteerd.
7.3 De werknemer vraagt toestemming aan de leidinggevende voor het
accepteren van een uitnodiging.
7.4 De uitnodiging moet binnen de grenzen van de redelijkheid liggen.
Artikel 8 Overige uitnodigingen
De werknemer accepteert uitnodigingen voor (sport)toemooien,
concerten, theaterbezoek of anderszins, die niet direct als
functioneel kunnen worden gezien, alleen na overleg met en
toestemming van de leidinggevende.
Artikel 9 Persoonlijk gebruik
9.1 De werknemer neemt geen kantoorartikelen mee voor eigen gebruik.
9.2 Het gebruik van e-mail, internet, telefoon, kopieerapparaat e.d.
voor privezaken blijft beperkt en belemmert het dagelijks
func-tioneren van de werknemer niet. Wat onder beperkt gebruik
moet worden verstaan. stemtde werknemer af met zijn leidinggevende.
9.3 De werknemer gebruikt dienstauto's niet voor eigen gebruik,
tenzij hierover andere afspraken zijn gemaakt.
9.4 De werknemer oefent niet met behulp van eigendommen van de
organisatie bedrijfsmatige activiteiten uit voor eigen rekening of
voor rekening van een derde.
Artikel 10 (Vertrouwelijke) informatie
10.1 De werknemer ruimt aan het einde van de dag zijn bureau op
(clean desk) en bewaart gevoelige documenten achter slot en grendel.
10.2 De werknemer verstrekt geen vertrouwelijke informatie aan
on-bevoegde personen.
10.3 De werknemer wendt informatie die hij vanuit zijn
taakuitoefe-ning heeft verkregen, niet ten eigen bate aan.
10.4 De werknemer zorgt voor transparante vastlegging van zijn
handelingen en neemt de dossierverordening in acht.
10.5 De werknemer spreekt niet zonder toestemming van een
leidinggevende over vertrouwelijke zaken met de media.
10.6 De werknemer gaat zorgvuldig om met persoonlijke informatie over
andere werknemers.
Artikel 11 Declaraties
11.1 De organisatie vergoedt uitgaven van de werknemer uitsluitend
als de werknemer de hoogte en defunctionaliteit ervan kan aan-tonen
en de uitgave niet ondoelmatig is.
11.2 Een uitgave is functioneel als de uitgave is gedaan in het
belang van de organisatie en de uitgave voorvloeit uit de functie.
11.3 Een uitgave is doelmatig als deze in overeenstemming is met
functie van de werknemer en het doel dat met de uitgave moet worden
bereikt.
11.4 De werknemer declareert geen onkosten die al vergoed zijn.
11.5 De werknemer dient de declaratie in door middel van een
declaratieformulier, waarachter de betalingsbewijzen zijn ge-voegd.
De declaratie wordt binnen een maand na de uitgave ingediend.
11.6 De werknemer die onkosten wil declareren neemt het
declara-tieprotocol in acht.
Artikel 12 Facturen
12.1 De werknemer vraagt vooraf toestemming aan de budgethou-der of
hij kosten mag laten factureren aan de organisatie.
12.2 De te factureren uitgave is functioneel en doelmatig (zie ook
artikel 10.1, 10.2 en 10.3). Privekosten van de werknemer worden
terugbetaald.
Artikel 13 Creditcards
13.1 Als de werknemer een creditcard wil gebruiken, dient hij
hiervoor een aanvraag in bij zijn leidinggevende, waarin de werknemer
de noodzaak van het gebruik van een creditcard toelicht.
13.2 De werknemer beperkt het gebruik van de creditcard voor
binnenlands gebruik zo veel mogelijk.
13.3 De werkgever verantwoordt uitgaven met de creditcard
schriftelijk, onder-bouwd met betalingsbewijzen.
13.4 De creditcard uitgave is functioneel en doelmatig (zie ook
artikel 10.1, 10.2 en 10.3). Privekosten van de werknemer worden
terugbetaald.
Artikel 14 Reizen
14.1 De werknemer die een buitenlandse reis wil ondememen, vraagt dit
van tevoren aan bij zijn leidinggevende. Hierbij werkt de werknemer
de onkosten, het doel van de reis, de afstand, het vervoermiddel, de
omvang van het gezelschap en de duur van de reis uit.
14.2 De werknemer die is uitgenodigd voor reizen, werkbezoeken en
dergelijke, op kosten van derden legt de uitnodiging altijd voor aan
de leidinggevende.
14.3 De werknemer vraagt altijd toestemming aan de leidinggevende
voor het meereizen van de partner, kinderen of andere mensen die niet
werken voor de organisatie, al dan niet op kosten van de organisatie.
14.4 De werknemer mag een reis verlengen, zij het dat de aanvullende
kosten en tijdsverlof voor zijn rekening komen.
14.5 De werknemer mag de gemaakte onkosten conform het
declaratiebeleid declareren.
Artikel 15 Veiligheidsbeleid
15.1 De werknemer moet zich vergewissen van het veiligheidsbeleid van
de organisatie.
15.2 Sleutels en wachtwoorden zijn persoonlijk aan de werknemer
overhandigd en toegekend en mogen niet uitgeleend worden.
15.3 De werknemer moet verlies van sleutels direct aan de
leidinggevende melden.
15.4 De werknemer is verantwoordelijk voor de aan hem verstrekte
apparatuur en dient als een goed huisvader op deze zaken te passen.
15.5 De werknemer laat bedrijfsmiddelen en gegevens nooit onbeheerd
achter en treft afdoende maatregelen ter voorko-ming van diefstal of
verlies van de bedrijfsmiddelen en gegevens.
15.6 De werknemer meldt verlies of schade aan bedrijfsmiddelen en
gegevens direct aan zijn leidinggevende. In geval van schade aan,
diefstal en/of verlies van bedrijfsmiddelen of gegevens die het
gevolg is van opzet of bewuste roekeloos-heid van de werknemer, kan
de organisatie de schade bij de werknemer verhalen.
15.7 De werknemer kan zich altijd legitime-ren.
Artikel 16 Toepasselijkheid van andere gedragscodes
16.1 Ter zake van het gebruik van internet en e-mail geldt de
gedragscode internet.
16.2 Ter zake van vermoedens van niet integer gedrag geldt de
gedragscode integriteit (klokkenluidersregeling).
16.3 Ter zake van vermoedens van ongewenst gedrag geldt de
gedragscode ongewenst gedrag (seksuele intimidatie).
Artikel 17 Toezichthouder
1 7.1 De organisatie heeft een toezichthouder benoemd in de persoon
van (naam en functie).
1 7.2 De toezichthouder houdt niet alleen toezicht op de naleving van
de bedrijfscode, maar functioneert ook als adviseur binnen de
organisatie. Bij de benoeming van de toezichthouder zijn diens taken
en bevoegdheden bekendgemaakt en vastgelegd.
17.3 De toezichthouder vervult een ver-trouwensfunctie en neemt de
grootst mogelijke zorgvuldigheid in acht met betrekking tot de onder
zijn aandacht gebrachte zaken.
Artikel 18 Slotbepaling
Deze regeling is tot stand gekomen in overleg met en met instemming
van de ondernemingsraad. De regeling treedt in werking op (dag,
maand en jaar).
