cartoon met dief die spullen steelt van een slapende werknemer
Geschreven door Florine Nieland.
Op 25 januari 2021 kwam het bericht naar buiten dat medewerkers van de GGD persoonsgegevens te koop hebben aangeboden via de chatdienst Telegram. Om deze persoonsgegevens in handen te krijgen boden illegale handelaars soms tot wel honderden euro’s. Zowel de gegevens van Nederlanders die een coronatest hebben gedaan als informatie over het uitgevoerde bron- en contactonderzoek konden hierdoor in handen komen van illegale handelaars. Voor deze handelaars is dit een gouden handel; criminelen leggen veel geld neer voor het kopen van deze data. Met informatie over woonadressen, telefoonnummers, e-mailadressen en Burgerservicenummers kunnen criminelen strafbare feiten plegen, zoals identiteitsfraude, phising en stalking. Na onderzoek van het cybercrime team van de politie naar doorverkochte persoonsgegevens zijn twee callcenter medewerkers van de GGD aangehouden.
Om incidenten als deze te voorkomen, vereisen bedrijven vaak een Verklaring Omtrent het Gedrag (VOG) wanneer nieuwe medewerkers in dienst komen. Ondanks dat een VOG verplicht is voor medewerkers van de GGD, leverde niet elke medewerker er een aan en kreeg de GGD te maken met ongewenst gedrag. Biedt een VOG wel voldoende ‘zekerheid’ omtrent een nieuwe medewerker? Welke andere mogelijkheden hebben organisaties om een zo veilig mogelijke organisatie te creëren?
Criminaliteit is dynamisch en verandert continu. Ook nu, ten tijde van de Coronacrisis, zien we dat criminaliteit zich snel aanpast aan de veranderingen binnen de samenleving. Werkwijzen veranderen en criminaliteitsvormen verschuiven. Zo waren er vorig jaar – doordat we simpelweg vaker thuis waren – minder inbraken. Het aantal cybercrime incidenten nam juist toe meldde Omroep Brabant. Van 500 incidenten in 2019 naar 1300 incidenten in 2020. Het is daarom belangrijk om maatregelen ter voorkoming van criminaliteit aan te passen aan de tijdsgeest van dit moment.
Vanuit huis werken is in tijden van de Coronacrisis gewenst en kan zeer veilig en efficiënt gebeuren. Zoals we in onze vorige blog al schreven kan thuiswerken echter ook risico’s met zich meebrengen voor zowel medewerkers als de organisatie. Zeker omdat criminelen slim gebruik maken van deze thuiswerk-maatregel. Voor thuiswerkers is het gemakkelijker om, bijvoorbeeld, gegevens over te dragen naar derden, omdat toezicht vanuit de werkgever ontbreekt. Criminelen kunnen op deze manier moeiteloos aan gegevens komen die zij kunnen gebruiken voor het plegen van strafbare feiten.
Ruim 26.000 callcentermedewerkers van de GGD hebben toegang tot persoonlijke gegevens van Nederlanders die zich hebben laten testen en/of onderzocht zijn tijdens het bron- en contactonderzoek. Omdat medewerkers met privacygevoelige informatie werken, dienen zij een VOG aan te vragen en een geheimhoudingsverklaring te ondertekenen. Als extra check voert de GGD daarnaast ook steekproefsgewijs controles uit onder de medewerkers naar hoe zij het omgaan met de beschikbare informatie. Naar aanleiding van deze uitgevoerde controles, zijn de afgelopen tijd al tientallen medewerkers ontslagen. Wat de precieze redenen van deze ontslagen zijn geweest, is niet duidelijk. Wat wel duidelijk is geworden, is dat het aanvragen van een VOG en het ondertekenen van een geheimhoudingsverklaring geen garantie bieden voor integere medewerkers en een integere organisatie.
Integriteitsschendingen hebben gevolgen voor zowel de desbetreffende medewerker als voor de organisatie zelf. Gezien de incidenten bij de GGD riskeren de aansprakelijke medewerkers ontslag en het betalen van een schadevergoeding. Voor de GGD hangt er, naast een beschadigde reputatie, ook mogelijk een boete van de Autoriteit Persoonsgegevens boven het hoofd en zelfs claims van slachtoffers. Ongewenst gedrag van medewerkers kan dus grote gevolgen hebben voor de organisatie.
Om incidenten binnen de organisatie te voorkomen, is het hebben van een effectief beveiligingsbeleid belangrijk. In het kader van zo’n effectief beveiligingsbeleid is het voor organisaties wenselijk om goed te kijken naar wie zij nou precies aannemen. Is het aanleveren van een VOG hiervoor voldoende? Gezien de illegale handel in privégegevens die mogelijk was bij de GGD kan men hier vraagtekens bij zetten. Een VOG betreft allereerst een momentopname. Daarnaast beoordeelt Justis bij een VOG alleen of het strafrechtelijk verleden een risico vormt voor een specifieke functie bij een bepaalde organisatie. Op welke manieren kunnen organisaties dan wel een veiligere werkomgeving creëren?
Om te controleren of nieuwe medewerkers integer en betrouwbaar zijn, kan een screening uitkomst bieden. Binnen een screening zijn er verschillende soorten onderzoeken mogelijk. Naast het controleren van de echtheid van de VOG, kan onder andere het controleren van diploma’s, open bronnen onderzoek en het bevragen van referenten waardevolle informatie opleveren. Het is ook mogelijk om medewerkers die al in dienst zijn te periodiek te screenen of als zij van functie veranderen. Een nieuwe functie brengt vaak nieuwe verantwoordelijkheden met zich mee. Opnieuw kijken naar eventuele risico’s kan in dit geval relevant zijn. Het zorgvuldig screenen van uw medewerkers draagt bij aan het verminderen van risico’s voor uw organisatie. Levent Bedrijfsrecherche helpt u hier graag bij! Wilt u meer weten over screeningen? Neem contact met ons op!
Een verkenning in pentesten: Het beveiligen van systemen met ethical hacking In een tijdperk waarin…
BKR-registratie biedt inzicht in iemands financiële situatie, zowel positieve als negatieve aspecten. Dit helpt werkgevers…
Verhoog uw security awareness en voorkom nalatigheid bij cybersecurity. Leer de risico's en uw rol…
Het belang van effectieve gesprekstechnieken voor waarheidsvinding in een screening- of rechercheonderzoek en nuttige tips.
Hoe ga je als werkgever om met een sollicitant met een veroordeling? Hoe maak je…