Procedures en onnodige angsten

Geplaatst op 29 mei 2012 door Bas van de Haterd

Op HNWb hebben we het over ‘het normale werken. Mensen eerst, dan pas technologie en structuur. Dat roept iedereen, dat we menselijker moeten worden, maar ondertussen bedenken we procedure na procedure zonder stil te staan bij de vraag waarom die procedures zo moeten.

Ik zeg niet dat procedures per definitie slecht zijn, of dat het niet goed is een proces te definiëren, maar de afgelopen maanden kom ik vooral twee type procedures tegen. De volkomen overbodige, onnodige handelingen uit ‘privacy’ overweging, waarbij niemand de wetten der logica lijkt te volgen en de procedures om ons in te dekken, niet om iets goed te laten lopen. Enkele voorbeelden.

Verklaring van goed gedrag

Een aantal maanden geleden kreeg ik bij een factuur de eis dat ik een verklaring van goed gedrag overlegde. Op zich is dat geen probleem, maar waarom zou ik dat moeten doen. Het was in hun optiek standaard procedure als je ‘iets’ deed op een MBO school, in ieder geval op die van hen. Nu kan je in discussie gaan over de vraag of dit moet of niet, logisch is of niet en geldt voor iedereen (ik had namelijk geen contact met scholieren, ik deed iets op een docentendag), maar die discussie wil ik niet voeren. Als het een procedure is om het onderwijs veiliger te maken ga ik daarmee akkoord, alleen moet je dan zo’n verklaring vragen voor de activiteit en niet als onderdeel van het facturatie-proces. Dan is het enkel indekken en dat is natuurlijk totale onzin.

VAR verklaring

Een vergelijkbaar gedrocht is de VAR verklaring. Die wordt te pas en te onpas gevraagd, daar waar hij op zich enkel nodig is wanneer er een risico bestaat voor een verkapt loondienstverband. Dus wanneer ik 1 keer een lezing ergens geef is dat risico er niet en is het dus wederom totale onzin om deze te vragen. Een procedure die is ingericht ‘voor alle zelfstandigen’, maar verder totaal onzinnig is. Spijtig genoeg merk ik steeds vaker dat de gemiddelde medewerker niet eens weet waarom hij dit soort zaken vraagt. Onbegrijpelijk vind ik dat, dat je werk doet waarvan je niet weet welk nut het dient. Heb je dan geen enkel zelfrespect?

Overigens kan je over de VAR stellen dat het document als geheel volkomen nutteloos en onzinnig is, maar daar zie je weer dat ook in ambtelijk Den Haag ze niet al te goed nadenken over procedures. Inmiddels wordt hij namelijk automatisch verlengt zonder dat je iets hoeft te doen. Je krijgt hem als je hem ooit een keer hebt gekregen en er staat op dat als je niet meer aan de eisen voldoet dat hij dus ook met terugwerkende kracht ingetrokken kan worden. Een document met 0 rechtsgeldigheid lijkt me een redelijk nutteloos document, maar in plaats van afschaffen hebben ze gekozen voor automatisch verlengen.

Wachtwoorden, documenten en privacy

De meest interessant procedures die kant nog wal raken vind ik de laatste tijd echter die van het opvragen van een wachtwoord. Veel partijen weigeren je je wachtwoord te mailen, maar sturen een nieuw. Volkomen onzinnig natuurlijk, want je irriteert enkel je gebruiker er mee. Als je een wachtwoord gewoon versleuteld opslaat kan je dat ook gewoon aan de gebruiker mailen.

Nog interessanter wordt het als men het wachtwoord ‘enkel per post’ toe stuurt. Dit zou veiliger zijn, terwijl iedereen die even nadenkt weet dat dit per definitie onveiliger is. Immers weten we dat het grootste veiligheidsprobleem is… de mens. Wat gebeurt er als je mij een wachtwoord per e-mail stuurt? Er komt geen mens aan te pas. Wat gebeurt er als je het per post stuurt? Er komt in ieder geval een postbode aan te pas, met alle risico’s van dien. Er zitten meer handelingen in, dus er kan meer mis gaan.

Let goed op hier: je stuurt natuurlijk een wachtwoord enkel naar het eerder opgegeven mail adres, als dat verandert is, dan ben ik het er helemaal mee eens dat je het per post stuurt. Je kan niet zomaar een wachtwoord naar een nieuw mail adres vragen.

Identificatie is weer zo’n anders element. Vandaag heb ik mijn reisgegevens van de OV Chip opgevraagd. Lang verhaal (dat al meer dan een jaar loopt), maar ik heb deze gegevens niet online (ze krijgen niet mijn hele account gewoon gekoppeld) en moet ze dus voor de belastingdienst (aangifte) hebben. Dat kan gelukkig, maar ik moet me wel identificeren. Je kan stellen: logisch, maar ik stel altijd de vraag: wat is het ergste dat kan gebeuren. Stel je voor dat ik de reisgegevens van mijn buurman opvraag. Dan krijgt mijn buurman zijn reisgegevens. Immers worden ze gestuurd naar het adres dat bekend is. Dus wat zou het uitmaken als iemand reisgegevens van een ander opvraagt? Niets, immers kan die persoon die gegevens niet krijgen (tenzij de postbode ze aan deze persoon geeft in plaats van in de bus doet, wat zou betekenen dat hij zijn werk niet zou doen, maar dat risico is er nu nog).

Denk na

Ik stel dus niet dat we alle procedures zomaar moeten afschaffen, zeker niet. Veel dingen zijn er met een reden. Wel vraag ik of we iets meer kunnen nadenken over waarom we dingen doen. Een verklaring van goed gedrag kan nooit een voorwaarde voor facturatie zijn, dat is gewoon indekken. Identificatie vind ik niets mis mee, zeker aan de telefoon, maar als iemand iets naar het reeds bekende (e-mail) adres gestuurd krijgt is er niet zoveel dat mis kan gaan, dus is het opsturen van een kopie van een paspoort redelijk overbodig. Probeer altijd in ‘worst case’ scenario’s te denken bij het opstellen van procedures en als die worst cases eigenlijk geen schade doen, is het waarschijnlijk overbodig al te veel procedures in te bouwen.


Stem of voeg toe aan:Plaatsen/stemmen op NUjij Plaatsen/stemmen op eKudos Plaatsen/stemmen op Digg Deel met je LinkedIn-contacten Verstuur deze pagina per e-mail via Feedburner

Over Bas van de Haterd

Bas van de Haterd is professioneel bemoeial. Hij helpt organisaties met het begrijpen van social media en de gedragsveranderingen die dit met zich meebrengt op het gebied van de arbeidsmarkt. Hoe blijven organisaties interessant als werkgever? Hoe moeten organisaties zich aanpassen aan de veranderende technologische en sociale omgevingen? Bas is o.a. auteur van Personal Brand.nl en Werken Nieuwe Stijl. Hij is te bereiken op bas@vandehaterd.nl
700 views | Reageer (5 reacties) Dit bericht is geplaatst in efficienter werken, Normaal werken. Bookmark de permalink.
  • Hans

    Bas, de reden dat je wachtwoord niet opnieuw verzonden kan worden, is omdat de meeste partijen wachtwoorden versleuteld opslaan op een manier die niet eenvoudig terug te versleutelen is. Wel kan jouw wachtwoord gecontroleerd worden als je inlogt. Hiermee voorkom je dat wachtwoorden onnodig in handen van derden terechtkomen. Het per post toesturen is zeker niet waterdicht, maar beperkt het risico tot partijen met wie je zaken doet, in plaats van het (in de regel) onversleuteld versturen van e-mail, dat door iedere partij op de “digitale route” (die is er ook) gelezen kan worden. Er zitten geen mensen tussen, maar er zijn vaak genoeg mensen/partijen die kunnen meeluisteren onderweg. Jouw “fysieke” brievenbus is bovendien alleen makkelijk toegankelijk voor mensen in jouw regio, terwijl e-mailaccounts vanaf overal ter wereld gekraakt kunnen worden. De drempel ligt hiermee hoger.

    Ik heb verschillende fraudegevallen meegemaakt waarbij door criminelen vertrouwen werd gewekt door vanuit een mailbox te emailen van de eigen organisatie. Die mailbox was toegankelijk geworden door een virus of ander kwaadaardig stuk software, op de eigen computer, bij een bekende, of bijvoorbeeld een internetcafe. Mailbox-logingegevens zijn veel geld waard. De door de “boeven” verzonden mails gingen over een scherpe commerciele aanbieding, bij een webwinkel die er overtuigend uitzag en het logo van de organisatie voerde. De bestellingen werden uiteraard niet uitgeleverd. Zowel de webserver waarop de webwinkel draaide, als ook de bankrekeningen er achter waren in handen van deze (georganiseerde) criminelen.

    Dat het met de spyware en malware op de Mac (nog) meevalt wil ik even buiten beschouwing laten ;-)

    • http://www.vandehaterd.nl/ Bas van de Haterd

      Hans, sorry, maar je zegt hier twee dingen waar ik het fundamenteel niet mee eens ben. Het eerste is dat wachtwoorden versleuteld opgeslagen worden en niet eenvoudig terug te versleutelen zijn. Dat kan kloppen en dat noemen we dan DOM. Als veel andere partijen het wel kunnen, is het een kwestie van willen dus.

      Het tweede is dat je het risico via de fysieke weg beperkt, maar zoals je ook al in het artikel kan lezen klopt dat dus niet. Je stelling dat er geen mens aan te pas komt klopt namelijk niet, ooit gehoord van de postbode? de postsorteerder? Er zitten meer menselijke stappen in en daarmee is het per definitie onbetrouwbaarder (zeker als je nu naar de reorganisaties bij de post kijkt). 

      Dat mailboxen gehackt kunnen worden: ja, klopt. Je kan ook inbreken in een voordeur, zelfde principe. De drempel ligt dus niet hoger, maar lager (namelijk de postbode). 

      • Hans

         Het idee achter versleuteld opslaan van wachtwoorden en pincodes is dat ook medewerkers van  je leverancier niet zomaar bij deze gegevens kunnen.  Het is een bewuste keuze, om bij het opslaan en gebruiken van vertrouwelijke gegevens niet meer op te slaan en toe te staan dan noodzakelijk is.  Dat komt in vrijwel alle vormen van (informatie)beveiliging terug.  Waarom je die keuze zo “DOM” vindt, kan ik niet goed uit je reactie halen.

         ”Het per post toesturen is zeker niet waterdicht, maar beperkt het risico
        tot partijen met wie je zaken doet, in plaats van het (in de regel)
        onversleuteld versturen van e-mail, dat door iedere partij op de
        “digitale route” (die is er ook) gelezen kan worden. Er zitten geen
        mensen tussen, maar er zijn vaak genoeg mensen/partijen die kunnen
        meeluisteren onderweg.”

        Met “geen mensen” heb ik het over de digitale route, niet over de postsorteerder/-bezorger.

        Een papieren brief moet je openmaken, wat lastig te verstoppen is, terwijl je digitale informatie ongemerkt massaal kan vastleggen, tegen minimale kosten.  Het onderscheppen van één brief is natuurlijk best te doen voor een corrupte postbode, maar dat moet dan wel een belangrijke brief zijn wil hij/zij dat risico nemen.   In de digitale wereld is het veilig en vrijwel gratis om computers te besmetten met software die waardevolle informatie verzamelt.

        Het hacken van mailboxen is anders dan het openbreken van de voordeur, aangezien de hele wereld zonder kosten of moeite bij jouw digitale voordeur kan, terwijl jouw fysieke voordeur alleen interessant is voor wie het de moeite waard vindt om de afstand af te leggen.

        In de digitale wereld kan je bovendien honderdduizenden voordeuren tegelijkertijd open peuteren,  met tienduizenden breekijzers, die je bovendien zonder moeite vanaf één plek aanstuurt (botnets). Zonder braakschade, pakkans vrijwel nul.

        Ik heb al veel gevallen gezien van digitale criminaliteit en het ging maar zelden om gerichte aanvallen op één persoon. Vrijwel altijd worden mensen het slachtoffer van acties die zijn gericht op grote groepen en vrijwel altijd komt het van ver.

        Denk je echt dat deze verschillen in gemak en kosten er niet toe doen, alleen omdat zowel fysieke als digitale fraude mogelijk zijn?

        • Hans

          Begrijp me overigens niet verkeerd:  je kritiek op het dom navolgen van regeltjes zonder zelf na te denken vind ik helemaal terecht.  Het algemene principe, dat je mensen in staat wil stellen om zelf verantwoordelijkheid te nemen en zelfstandig keuzes te maken, sta ik volledig achter.

        • http://www.vandehaterd.nl/ Bas van de Haterd

          Hans, begrijp met niet verkeerd, het versleuteld opslaan van gegevens is iets dat ik enkel deel, maar het (als gebruiker) kunnen ontsleutelen van die gegevens is daar een essentieel onderdeel van en dat blijkt te kunnen, tenminste, dat begrijp ik altijd van techneuten. Dat bedoel ik met dom, versleutelen: ja, maar zorg dan dat je dat wel op een klantvriendelijke manier doet. 

          Dat er veel digitale criminaliteit is zal je mij niet horen ontkennen en dat we daar iets aan moeten doen ook. Echter zijn er vaak veel betere, klantvriendelijkere, oplossingen dan meteen teruggrijpen naar de post, waar de kans op fraude niet veel minder is. Ja, het verschil is dat je bij de post op individueel niveau gepakt kan worden, terwijl digitaal het grootschaliger kan. Echter, digitaal kan je meer beveiliging inbouwen dan fysiek grappig genoeg, maar dan moeten organisaties dat natuurlijk wel willen en daar goed over nadenken en bereid zijn daar de kosten voor te maken. Dat is wat ik bedoel.