Veilige communicatie voor bestuurders – hoe een rampscenario voorkomen

Met de regelmaat van de klok komen ze in het nieuws: berichten over laptops met geheime gegevens die worden gestolen, belangrijke papieren die in een tas die in een restaurant worden achtergelaten of een vertrouwelijke emailcorrespondentie die is onderschept. Natuurlijk willen leden van de Raad van Bestuur en de Raad van Commissarissen alles doen om in hun organisatie een dergelijk rampscenario te voorkomen, maar soms is er in de waan van de dag onvoldoende aandacht voor een veilige communicatie. Daarom geven we in dit blog tips over veilig communiceren voor bestuurders, met aandacht voor communicatietools en gedragsregels. Natuurlijk is het ook belangrijk om ‘veilig communiceren’ bij alle medewerkers onder de aandacht te brengen, maar in dit blog beperken we ons tot de bestuurscommunicatie.

Stap 1: Over veilige communicatie

Als er binnen uw organisatie nog geen incidenten zijn geweest waarbij vertrouwelijke gegevens per ongeluk of door een hack openbaar zijn geworden, dan zijn er 2 mogelijkheden: of u heeft alles goed op orde en iedereen houdt zich aan de regels – in dat geval vindt u in dit blog waarschijnlijk geen nieuwe tips, of het is min of meer toevallig steeds goed gegaan tot nu toe. U besteedt wel aandacht aan veilige communicatie, maar meer in algemene termen dan in gericht beleid, concrete richtlijnen en speciale tools. Dat is een menselijke handelswijze, toch is het raadzaam om veilige communicatie hoog op de bestuursagenda te zetten voor er sprake is van een incident. Neem de tijd om hierover uitgebreid met uw bestuurscollega’s te praten.

Stap 2: Inventariseer de huidige communicatiemethoden

Het is belangrijk om in een open sfeer te bespreken wanneer en hoe bestuurders bezig zijn met hun werk, en dus met vertrouwelijke informatie. Het is onvoldoende om in algemene termen te blijven hangen. Het gaat er juist om de alledaagse gang van zaken op het werk, thuis en op reis stap voor stap te beschrijven, want pas dan worden de risico’s zichtbaar. U kunt bijvoorbeeld denken aan technische aspecten als de eigen software voor dataopslag, de firewall van de server en de monitoring van ICT-systemen. Daarnaast gaat het om risicovol gedrag, zoals gebruik maken van een onbeveiligd wifinetwerk in openbare gelegenheden, printen van vertrouwelijke informatie in een hotel, gebruik maken van een onbeveiligde berichtenservice voor overleg met collega-bestuurders, de kinderen een spelletje laten spelen op een zakelijke telefoon, de kamer uitlopen terwijl op het computerscherm een vertrouwelijk document staat. Er zijn tal van checklijsten beschikbaar die hierbij kunnen helpen.

Bij zo’n discussie draagt een gemoedelijke sfeer bij aan openheid, waarin bestuurders zich vrij voelen om hun onhandige acties te benoemen. Dat is belangrijk om een juist beeld te krijgen van de huidige situatie. Juist een uitgebreide inventarisatie van de huidige bestuurscommunicatie brengt de grote en kleine risico’s in beeld, en dat is een goed uitgangspunt om beleid te gaan maken.

Stap 3: Maak beleid voor veilige bestuurscommunicatie

Zodra de huidige situatie in kaart is gebracht, is het zinvol om te praten over de gewenste situatie. Wat is in uw organisatie het ideaalbeeld als het om veilige communicatie gaat? Welke middelen zijn daarvoor nodig en welke gedragsregels? Bent u op zoek naar een state-of-the-art ICT-systeem waarbij u met handige tools veilig en efficiënt kunt communiceren? Of voldoet een gecodeerde dataopslag met een paar simpele afspraken rond onderlinge communicatie? Acht u het noodzakelijk wilt u het gehele ICT-systeem met de bijbehorende beveiliging te laten doorlichten?

Wat u ook kiest, we raden aan om één bestuurder verantwoordelijk te maken voor de portefeuille ‘veilige bestuurscommunicatie’. Hij of zij kan dan binnen de organisatie een stuurgroep samenstellen die de benodigde zaken regelt én bijhoudt, eventueel ondersteund door externe adviseurs. Veilig communiceren is immers geen project, maar vraagt constant aandacht. De wetgeving verandert, er komen nieuwe software updates en nieuwe producten, en ook de hardware als computers, laptops en smartphones blijven zich ontwikkelen.

Stap 4: Introduceer de nieuwe werkwijze

Kiest u als bestuur voor een nieuwe manier van veilig communiceren, eventueel ondersteund door technologische hulpmiddelen, dan raden we aan om uitgebreid aandacht te besteden aan de introductie. Dat kan bijvoorbeeld met begeleiding van de Company Secretary of een medewerker van de leverancier van een extern systeem. Alleen als leden van de Raad van Bestuur en de Raad van Commissarissen vertrouwd zijn met de nieuwe manier van werken, heeft dit kans van slagen. In de beginperiode is het bovendien wenselijk om te zorgen voor een interne en/of externe helpdesk die alle vragen kan beantwoorden en eventuele startproblemen kan oplossen,

Stap 5: Zorg voor evaluatie en continuïteit

Bij veilige communicatie is het precies hetzelfde als met andere beleidsgebieden: het is de kunst om de aandacht hiervoor levend te houden, alleen dan heeft het effect. We raden u daarom aan om ‘veilige bestuurscommunicatie’ regelmatig op de agenda te zetten. De betreffende portefeuillehouder kan dan ingaan op de ervaringen van de afgelopen periode en eventuele nieuwe technologische ontwikkelingen presenteren. Op deze manier wordt veilig communiceren verankerd in de RvB en de RvC, en dat is de enige manier om rampscenario’s te voorkomen.