Cybersecurity steeds hoger op de agenda. Kan de OR een rol spelen?
Wat niemand nog echt voor mogelijk had gehouden, is nu toch een feit: een gruwelijke oorlog op ons continent. En terwijl de meest hartverscheurende berichten ons bereiken uit Oekraïne, kunnen we hier niet meer doen dan toekijken en humanitaire hulp bieden. Maar terwijl het militaire geweld ons hopelijk bespaard zal blijven, dreigen er wel andere gevaren. De oorlog heeft immers een hybride karakter en dat betekent dat er ook andere middelen worden ingezet dan alleen militaire. En het lijkt erop dat Poetin die in toenemende mate ook in de rest van Europa wil gebruiken. Onze digitale infrastructuur is inmiddels kostbaarder en kwetsbaarder dan de fysieke en vijandelijke hackers hebben het daar in toenemende mate op voorzien. Overheidsorganisaties, militaire en logistieke centra en belangrijke ondernemingen kunnen elk moment doelwit zijn van een criminele hack, al dan niet vanuit Rusland aangestuurd. Hoe veilig zijn al onze systemen? En welke rol kan de ondernemingsraad hierbij spelen?
Uit diverse onderzoeken blijkt dat we ons nog te weinig zorgen maken over onze veiligheid als het gaat om internet. In de privé-sfeer niet – maar ook zakelijk blijken Nederlandse ondernemers vaak te goed van vertrouwen. Zo blijkt ruim tweederde van de ondernemingen te werken met verouderde systemen, waar dus ook verouderde beveiliging mee gemoeid is. Hilarisch zijn de verhalen over systeembeheerders die als wachtwoord nog steeds Admin123! (of voor de hand liggende varianten daarop) blijken te gebruiken, als er een onderneming met gijzelsoftware geconfronteerd wordt. Veel managers hameren erop dat ‘de cyber-awareness’ op de werkvloer hoger moet, maar uit onderzoek blijkt dat deze managers zelf het ook niet zo nauw nemen. Je zou kunnen stellen dat hier nog een hele wereld te winnen is en diverse adviesbureaus op dit thema trekken voortdurend aan de bel. Maar vaak wordt het wel als belangrijk gezien door het management, maar niet als urgent. Er zijn belangrijker kwesties die eerst om aandacht vragen en dus belandt de cybersecurity op de stapel van nog aan te pakken zaken. ‘Goed om eens iemand naar te laten kijken, die stapel!’, zo lijkt vaak gedacht te worden.
Gewoontegedrag
De gevolgen van deze onachtzaamheid laten zich raden. Maar ook als er wel iemand aandacht voor heeft, kan het zijn dat hij op een muur van onverschilligheid stuit. Niets zo hardnekkig als gewoontegedrag op de werkvloer. En zoals het ook heel lang duurde voordat werknemers in de bouw hun veiligheidshelm gingen dragen, zo dreigt nu eenzelfde scenario: tal van mooie plannen in de kast, maar niemand die ze echt kent, laat staan uitvoert. Hier aanbeland in ons betoog komen we op bekend terrein, voor wie de ondernemingsraad een beetje volgt. Want hier ligt natuurlijk een gigantische taak voor dit belangrijke ondernemingsorgaan. Maar ja, ook OR-leden zijn onderdeel van diezelfde cultuur en als de OR al een keer aan de bel trekt, stuit hij op dezelfde mantra’s van “ja, ja, heel belangrijk…Straks!”.
Een cybersecurity-plan behelst meer dan een papieren instructie. Het vraagt een voortdurende opmerkzaamheid van iedereen in de onderneming die op een bepaalde manier met gegevens omgaat: vrijwel iedereen dus. Naast verouderde technologieën blijkt onvoldoende awareness op de werkvloer een belangrijk veiligheidslek betekent. Om menselijke fouten te voorkomen zal er ook een goed controlesysteem voor de toegang tot de kwetsbare technologieën. Kortom: er wordt veel van medewerkers verwacht en dan is het in ons systeem gebruikelijk dat de ondernemingsraad bij het opstellen van regelingen op dit gebied betrokken is. Artikel 27 (instemmingsrecht) lijkt dan voor de hand te liggen, maar daar ontbreekt het kopje cybersecurity. Wel dient de OR conform dit artikel in te stemmen met regelingen omtrent verwerking en bescherming van persoonsgegevens, of voorzieningen die in staat zijn gedrag van medewerkers te registreren, maar de beveiliging tegen indringers van buiten (cybersecurity dus) staat daar niet bij.
Elk besluit even belangrijk
Toch biedt de Wet op de Ondernemingsraden een kapstok om dit probleem aan te pakken (voor welke problemen is er eigenlijk geen kapstok in de WOR?). Artikel 25 lid 1 sub k) verplicht de ondernemer de OR om advies te vragen bij elk voorgenomen besluit tot invoering of wijziging van een belangrijke technologische voorziening (cursief van auteur). Let wel: het woord belangrijk, zo vaak een struikelblok als het gaat om daadwerkelijke betrokkenheid van de OR bij besluitvorming, ontbreekt hier. De OR zou dus om advies gevraagd moeten worden, telkens als er wijzigingen in technologische voorzieningen moeten worden aangebracht. En inmiddels weet iedereen dat een technologische voorziening uit twee delen bestaat: de ‘hardware’ en de ‘software’. De vraag is nu wat onder die software valt: alleen de computercode, of ook de protocollen, instructies en aanwijzingen die ook het gedrag van de gebruikers bepalen? Het begrip technologische voorziening is niet nauw omschreven in de wet (je zou feitelijk ook andere dan IC-voorzieningen eronder kunnen laten vallen) en mijn pleidooi zou zijn om een ruime definitie te hanteren: niet alleen hardware, maar ook software. En software niet alleen als computercode, maar ook als aanvullende regelgeving voor gebruik en toepassing.
Cybersecurity en Arbo vergelijkbaar?
Een ruime interpretatie van het begrip technologische voorziening opent de weg naar een ruimhartige betrokkenheid van de OR bij dit onderwerp, vergelijkbaar met de rol die de OR op het gebied van ARBO krijgt toebedeeld. Hoewel ook cybersecurity op een of andere manier tot het domein van gezondheid en psychosociale arbeidsbelasting gerekend zou kunnen worden, is er ook veel voor te zeggen om hiervoor een aparte commissie in te richten. Die commissie kan dan de rol vervullen van toezichthouder, klankbordgroep en medebeslisser (middels het adviesrecht conform art. 25 WOR) bij de besluitvorming rondom technologische voorzieningen, met inbegrip van de voorzieningen op het terrein van privacy en cybersecurity. Een vaste OR-commissie, die bestaat uit een of enkele OR-leden, aangevuld met gebruikers, IC-collega’s en geïnteresseerden, kan een rol spelen in het verhogen van het algemene bewustzijn rond cybersecurity, maar ook in het bepleiten van werkbare oplossingen, het aanspreken van management op blinde vlekken en het voorkomen van onrecht als het gaat om rigoureuze toepassing van regels. Deskundigen beschrijven de gevolgen van een gebrekkige veiligheid op dit punt in termen van verlies van klanten, financiële verliezen, verstoring van processen en imago-schade – rede genoeg dus om hier fors aandacht aan te besteden.
Een dergelijke commissie heeft dus geen instemmingsrecht, maar kan zich beroepen op de werking van artikel 25 WOR, met inbegrip van een beroepsgang naar de Ondernemingskamer. Ik ben benieuwd of dat in de praktijk een werkbare situatie oplevert. In elk geval, in deze tijden van oplopende spanningen, ook op cybervlak, de moeite van het proberen waard!
Hans Hautvast, Partner OR-Coach.nl.
iDeal