Nemen medewerkers datacompliancy echt serieus?

Medewerkers die niet aan de voorschriften voldoen, maken het IT-leiders lastig, en het is moeilijk om erachter te komen hoe ze dit het beste kunnen oplossen. Hoe moeten IT-besluitvormers de juiste balans vinden tussen medewerkers keuzevrijheid geven of strikte regels om fouten te voorkomen?

Een verkeerde balans kan duur zijn. In januari verloor Amazon een rechtszaak in Frankrijk en kreeg het bedrijf een boete van € 32 miljoen voor 'overmatig indringende' monitoring van medewerkers.¹ Zelfs minder extreme voorschriften kunnen de productiviteit in de weg staan en kunnen gefrustreerde medewerkers uiteindelijk verleiden om de regels te omzeilen.

Hoe groot is dit probleem nu eigenlijk? Canon's nieuwe onderzoek, waarin naar de mening van meer dan 1.700 IT-besluitvormers is gevraagd, biedt enkele inzichten. Uit de IT-transformatiebarometer blijkt dat de informatiebeveiliging van de organisatie IT-leiders 's nachts wakker houdt en de afgelopen vijf jaar nooit uit hun top drie van meest uitdagende en tijdrovende verantwoordelijkheden is gekomen.

In 2023 is dit nog iets erger geworden. Als we kijken naar de meest genoemde uitdagingen van IT-besluitvormers is de zichtbaarheid en controle van bedrijfsinformatie het belangrijkste thema. Informatiebeveiliging (33%) werd beoordeeld als de belangrijkste uitdaging, op de voet gevolgd door handhaving van compliancy (25%) en controle over 'schaduw IT' (25%).

De gegevens suggereren dat hybride werken en werken op afstand het probleem nog verder vergroten. Toen we IT-besluitvormers vroegen hoe ze hun bestaande systemen willen verfijnen, gaven velen aan dat ze meer inzicht in het softwaregebruik van medewerkers wilden (43%), terwijl ze ook de controle over het compliant handelen van medewerkers op een externe locatie (42%) en 'schaduw IT' (40%) wilden vergroten.

Kortgezegd: ja. 'Schaduw IT' is in opkomst. Naar verwachting zal in 2027 zo'n 75% van de medewerkers technologie buiten beeld van de IT-afdeling verwerven, aanpassen of creëren. Dit is een enorme stijging ten opzichte van de 41% in 2022².

Gartner wijdt dit aan het feit dat velen van ons 'techneuten’ zijn geworden. Medewerkers beschikken steeds meer over de kennis en technische mogelijkheden om zich aan te melden bij en toegang te krijgen tot programma's via de cloud, zonder dat IT hierbij betrokken hoeft te zijn.

Het resultaat? Compliancy kan gemakkelijk in het gedrang komen. Zoals CSO-magazine meldt: "Medewerkers weten meestal niet of en welke beveiligingslagen de toepassingen die ze kopen hebben, of dat er iets aan moeten worden toegevoegd om ze te beveiligen. En om het nog erger te maken, zetten ze vaak gevoelige gegevens in deze toepassingen om hun werk gedaan te krijgen."³

De redenen die medewerkers geven waarom ze niet aan de veiligheidsvoorschriften van het bedrijf voldoen, lopen uiteen. In veel gevallen weten medewerkers gewoon niet wat de juiste protocollen zijn. De vereisten voor informatiebeheer zijn ingewikkeld en sommige medewerkers beseffen misschien niet hoe ze op een concrete manier van toepassing zijn op hun dagelijkse werk.

In andere gevallen zijn de processen of tools die ze moeten gebruiken gewoon te ingewikkeld om te volgen. Uit een onderzoek van Harvard⁴ bleek dat 5% van de taken opzettelijk op een niet-conforme manier werd voltooid. De drie belangrijkste redenen voor het niet naleven van de regels: 'Om de taken voor mijn werk beter uit te voeren', 'om iets te krijgen dat ik nodig heb' en 'om anderen te helpen hun werk te doen.' Deze drie antwoorden waren verantwoordelijk voor 85% van de gevallen. De overgrote meerderheid brak de regels niet uit kwaadwillende redenen, maar omdat ze gewoon hun werk wilden kunnen doen.

Het vinden van de juiste balans tussen verantwoord beheer en overmatige bemoeienis is een grote uitdaging voor huidige IT-leiders. De praktijk wijst uit dat IT-besluitvormers zich terecht zorgen maken over het gedrag van medewerkers, vooral buiten de kantoormuren.

Het uiteindelijke doel moet zijn om informatiebeheer en datacompliancy niet het gevoel te laten geven dat mensen er door worden tegengewerkt. Primair gaat het erom dat u de vereisten van uw medewerkers echt begrijpt - iets wat sterk wordt beïnvloed door de branche en de rol van elk individu. IT-besluitvormers kunnen de kans verkleinen dat medewerkers het bedrijfsbeleid omzeilen door met bedrijfsonderdelen te praten over hun workflows en te begrijpen welk beleid echt noodzakelijk is en welke regels meer problemen veroorzaken dan ze waard zijn.

Het gaat echter ook om het creëren van een omgeving met meer zichtbaarheid en controle. Interessant genoeg was de zichtbaarheid van zelfs veelvoorkomende aspecten van informatiebeheer een probleem, volgens het onderzoek. Slechts ongeveer de helft van de IT-leiders gaf aan over de mogelijkheden te beschikken om voor auditdoeleinden bij te houden hoe documenten werden beheerd. Zo zei slechts 53% van de IT-leiders dat ze konden bijhouden hoe documenten werden gedeeld. Zonder dit inzicht is het voor IT-leiders een uitdaging om echt te weten of medewerkers zich compliant gedragen.

Uit het onderzoek blijkt dat veel IT-leiders actie ondernemen. Respondenten meldden dat ze begonnen waren met het implementeren van digitaal documentbeheer om best practices af te dwingen. Hiervoor automatiseerden ze de manier waarop bedrijfsinformatie wordt beheerd. Op basisniveau gaat het onder andere om het implementeren van automatische toegangsrechten en het automatisch verwijderen van gevoelige documenten na een bepaalde periode. Voor digitaal geavanceerdere organisaties is dat wellicht automatisering van de workflow zodat automatisering volledig in het bedrijfsproces (zoals factuurverwerking) is ingebouwd, waardoor het proces wordt gecontroleerd volgens een reeks vooraf goedgekeurde stappen.

Maar er is ook een groot deel van de IT-besluitvormers die toegeeft dat ze nog geen enkele van deze basismogelijkheden hebben geïntroduceerd. Zelfs de meest voorkomende functionaliteit - automatische toegangsrechten om te bepalen wie toegang heeft tot documenten en locaties - was bij slechts 51% van de ondervraagde personen in gebruik.

Veilig, compliant beheer van bedrijfsinformatie is een belangrijke zorg voor elke IT-leider. Maar compliancy garanderen is uiteindelijk een uitdaging die zich richt op menselijk gedrag. Om een succesvol beleid op te stellen, moeten IT-leiders ervoor zorgen dat ze medewerkers niet belemmeren maar ze ook niet de vrije hand geven om zelf te selecteren hoe ze informatie beheren.

IT-besluitvormers moeten eerst controleren of ze over de juiste tools beschikken als het gaat om zichtbaarheid en controle over de manier waarop informatie wordt gebruikt. Met deze oplossingen wordt de druk op IT-leiders weggenomen om alles in de gaten te houden in een omgeving waar handmatige tracking gewoon niet haalbaar is. Als u begint met een meer mensgerichte benadering van compliancy, voorkomt u zowel toevallige overtredingen als ook opzettelijke gevallen als gevolg van een doolhof aan maatregelen. Ze helpen IT-leiders ook om een betere nachtrust te krijgen.

Bekijk hier de barometer voor IT-transformatie voor meer inzicht in de ervaring van IT-leiders, van toekomstige inkoopprioriteiten tot hoe ze echt over hun rol denken.

Download het rapport