Oni i my

W dokumentach były poufne dane, a prezes wyszedł na chwilę i nie zamknął ich w szafce. Kobieta złamała zaś zasadę, ogólnie przyjętą we współpracy z firmami sprzątającymi, jaką jest zakaz porządkowania biurek. Broniła się jednak, że nikt jej o tym nie informował i przez to trudniej było stwierdzić, czy chodziło tylko o porządki czy np. o poszukiwanie informacji na zlecenie konkurencji. Co więcej, podpisując z jej pracodawcą umowę, nie zadbano o to, by znalazła się w niej klauzula dotycząca biurek. Gdyby zatem spółka chciała podważyć wiarygodność firmy sprzątającej, nie miałaby ku temu formalnych podstaw. 

W tej historii najważniejsze jest zresztą co innego: prezes, wychodząc z pokoju, powinien schować dokumenty w szafce i jeszcze zamknąć ją na klucz, a otwarty komputer „uśpić”. Jak bowiem zauważa Marek Kowalski, prezes Polskiej Izby Gospodarczej Czystości, najskuteczniejszym zabezpieczeniem firmowych tajemnic jest zasada ograniczonego zaufania. Co ważne, dotycząca zarówno wynajętych usługodawców, jak i własnych pracowników. 

Tu wszystko skończyło się szczęśliwie: żadne dane nie trafiły do konkurencji, sprzątaczka nie straciła pracy, a jej pracodawca klienta. Podpisano odpowiedni aneks do umowy, prezes zaś stara się pamiętać, by nie zostawiać na wierzchu ważnych dokumentów. 

Co jednak, gdy newralgiczne informacje wyciekają? W ubiegłym roku głośno było np. o ujawnieniu danych abonentów sieci Play. Jej klienci korzystający z narzędzia „bramka sms dla firm” (pozwalającego na jednorazowe wysłanie dowolnej liczby wiadomości o tej samej treści do wielu anonimowych odbiorców) ze zdziwieniem stwierdzali, że przy numerach telefonicznych pojawiają się różne określenia, jak „frajer” czy „kotulek”, ale także imiona i nazwiska, jakie abonenci przypisują do swoich kontaktów w telefonie. Play zrzucił winę za tę wpadkę na zewnętrznego usługodawcę zarządzającego „bramką”, a ten z kolei oskarżył Play o błąd w aplikacji internetowej. 

– Jeśli ktoś wykradnie dane z firmy, podlega odpowiedzialności karnej jak każdy, kto dokonał kradzieży. Jeżeli natomiast ujawni je nieświadomie, nie można mieć w stosunku do niego żadnych roszczeń. Podkreślam to jeszcze raz! To na zlecającym usługę spoczywa odpowiedzialność za przechowywanie danych wrażliwych i innych dokumentów stanowiących tajemnicę firmy! – podsumowuje Marek Kowalski. 

Dmuchanie na zimne

Odpowiedzialność to także sprawdzenie outsourcera, nim zdecydujemy się na współpracę. Nieważne, czy chodzi o obsługę prawną, marketingową, informatyczną, wsparcie w rekrutacji czy sprzątanie. Dzisiaj wiele informacji o firmach znajdziemy w internecie, ale to nie wystarczy. Poprośmy też potencjalnego partnera o rekomendacje, referencje i weryfikujmy je bezpośrednio u tego, kto je wystawił. Podpytajmy o niego jego obecnych i byłych klientów, zobaczmy, czy należy do którejś z organizacji branżowych. Kolejna rzecz to opinia o nim wśród jego pracowników i poziom rotacji tych ostatnich (im mniejsza rotacja i lepszy pracodawca, tym mniejsza szansa, że nasze dane trafią w ręce przypadkowej osoby). Sprawdzenie kondycji finansowej też jest ważne. Jeśli byłaby marna, stwarzałoby to rozmaite zagrożenia: od problemów z utrzymaniem pracowników i standardów bezpieczeństwa po mniejszą odporność na łapówki od konkurencji. Gdy powierzane informacje są szczególnie ważne, można nawet wynająć wywiadownię gospodarczą. 

Należy też zwrócić uwagę, czy zewnętrzna firma bierze na siebie odpowiedzialność za czynności swych pracowników związane z obsługiwaniem klientów i czy ma polisę OC. – Zwykle w tego typu współpracy nie przywiązuje się wagi do ubezpieczeń, ale są one pomocne, gdy pojawiają się problemy – mówi Tomasz Dziobak z Polskiego Stowarzyszenia Marketingu SMB i dodaje, że wprawdzie wszystko zależy od wymagań określonych przez klienta, ale już np. wiedza o rynku jest konkretnym aktywem i jej ujawnienie może mieć gigantyczne konsekwencje. – A zatem, mimo że często trudno wycenić wartość takiego OC, nie zmienia to faktu, że jest ono dobrą formą zabezpieczenia dla obu stron umowy o outsourcingu.

Warto wreszcie sprawdzić, jakie certyfikaty funkcjonują w branży, w której działa outsourcer, jakie standardy są w niej wymagane. Np. wiarygodna firma sprzątająca powinna mieć znak jakości przyznawany w wyniku audytów przeprowadzanych przez organizację TÜV Rheinland, która przyznaje certyfikaty pod kątem właśnie jakości świadczonych usług, stosowanych technologii czy organizacji pracy. Dobrze, by firma zewnętrzna posiadała system monitoringu wykonania usługi oparty na metodzie SLA (Service Level Agreement). – Jednak, aby to wprowadzić, konieczne jest czytelne określenie oczekiwanych standardów przez zamawiającego – podkreśla Marek Kowalski. 

W przypadku wielu usługodawców, w tym kancelarii prawnych czy firm świadczących outsourcing IT, koniecznie trzeba wypytać (aż do momentu, gdy poczujemy się usatysfakcjonowani odpowiedzią) o stosowane przez nich procedury bezpieczeństwa. Np. kancelarie prawne, które same także korzystają z usług zewnętrznych, zabezpieczają często biometrycznie wejścia do pomieszczeń, w których przechowywane są akta. Prewencyjną rolę pełnią też w ich przypadku przepisy ogólne: ochrona dokumentów i tajemnicy klienta wynika z obowiązującego prawa i etyki zawodowej. Na tej podstawie radca, adwokat czy aplikanci nie mogą zdradzać informacji dotyczących swych klientów. Personel pomocniczy powinien natomiast podpisać zobowiązanie o przestrzeganiu tajemnicy zawodowej. 

Umowa przede wszystkim 

– Firma zewnętrzna wpłynie na wszystko, od naszego bezpieczeństwa po wizerunek. To zasada wzajemnego zaufania – podkreśla Wiktor Doktór, prezes fundacji Pro Progressio zajmującej się rozwojem branży outsourcingowej w Polsce. Dlatego to, co znajdzie się w umowie z takim usługodawcą, ma ogromne znaczenie. 

Monika Smulewicz, partner w firmie doradczej Grant Thornton, podkreśla, że oprócz standardowego opisu zakresu usług i wymogów dotyczących ich świadczenia, w kontrakcie powinny się znaleźć zapisy dotyczące ochrony danych i sposobów monitorowania realizacji usługi (w tym SLA). Należy uwzględnić narzędzia kontroli, plany awaryjne, kary umowne i wytyczne dotyczące przetwarzania danych. Dobrze też ustalić możliwości ewentualnego rozszerzenia współpracy, np. po pilotażowym wdrożeniu, oraz wprowadzania modyfikacji i usprawnień. 

Tomasz Dziobak uczula, że zleceniodawca musi mieć u siebie dobrze opisane procedury bezpieczeństwa. Potem należy je przenosić do dokumentów określających ramy współpracy. M.in. trzeba sprecyzować, jak ma być ona zakończona, jaki powinien być np. sposób odbioru zniszczonych danych. 

Dobrą praktyką są również oświadczenia osób zaangażowanych w usługę. Jeżeli współpraca dotyczy np. call center czy marketingu bezpośredniego, warto zweryfikować tych, którzy będą mieli dostęp do naszych danych, proces wykorzystania i utylizacji tych ostatnich czy bezpieczeństwo sprzętu firmy zewnętrznej. 

Ale nawet największe starania nie pomogą, gdy procedur nie przestrzega nieuważny czy nieuczciwy pracownik. A to się zdarza nawet u najbardziej renomowanych usługodawców, jak w przypadku pewnej międzynarodowej firmy headhunterskiej, z której przed ośmiu laty wyciekły do mediów informacje, kim są kandydaci na nowego prezesa Orlenu.