EnglishIn een eerdere blog over SAM-processen noemde ik de afdeling Human Resources (HR) als een belangrijke partij. Vorige week ontmoette ik de HR M
anager van een middelgroot bedrijf. Naast andere onderwerpen hebben we gesproken over mijn stellingen met betrekking tot de rol van HR in SAM-processen. Zij blijkt een goede relatie met de IT-afdeling (IT) te hebben. Zij communiceren regelmatig en, mede dankzij haar inbreng, worden de softwarelicenties uitstekend beheerd. Op het gebied van regelgeving en opleidingen zijn er hiaten. Risico’s, die zij niet had verwacht.
Eerst over de processen, die lopen gesmeerd. Nieuwe medewerkers, instromers of ‘joiners’, meldt zij bij IT, twee weken voordat zij starten. IT prepareert een desktop of laptop met alle applicaties die standaard zijn voor de functie van de instromer. Medewerkers kunnen aanvullende software aanvragen bij IT. Hun manager accordeert de aanvraag. HR wordt hierover geïnformeerd.
Voor medewerkers, die het bedrijf verlaten, uitstromers of ‘leavers’, is de procedure vergelijkbaar. Uiterlijk de dag, nadat de uitstromer zijn spullen heeft ingeleverd worden accounts en email geblokkeerd. Bijzondere aandacht is er voor het deactiveren van Salesforce accounts. Wanneer het niet gebeurt kan de inmiddels ergens anders werkende medewerker later nog steeds bij bedrijfskritische gegevens komen.
De licenties van de ingeleverde software worden, met inachtneming van de regels van de leverancier (bijv. 90 dagen bij Microsoft), vrijgegeven voor hergebruik.
Punt van aandacht is de procedure wanneer een medewerker een andere functie krijgt (overplaatsing of ‘move’). Hij krijgt dan vaak wel de software voor zijn nieuwe functie, maar die van zijn vorige wordt niet verwijderd. Het is niet duidelijk of deze wordt meegeteld voor de benodigde licenties.
Dit bedrijf zorgt er dus goed voor dat alle medewerkers beschikken over de software die zij nodig hebben. Maar wat als een medewerker nu toch illegale software op zijn laptop installeert? Kan dat überhaupt, heeft hij daar de rechten voor? Wordt erop gecontroleerd? Is het bedrijf zich bewust van de risico’s op dit gebied? Het antwoord van onze HR Manager is duidelijk: gebruikers hebben administratorrechten, wij controleren nauwelijks en persoonlijk heb ik mij nooit gerealiseerd dat dit een risico zou zijn.
In augustus 2016 heeft de rechter uitspraak gedaan in een zaak die Siemens had aangespannen tegen een klant. * De werkgever heeft een laptop aan een externe medewerker verstrekt. Deze heeft er illegaal software van Siemens op geïnstalleerd en gebruikt. De 
werkgever had hier geen weet van en vindt dat hij dit niet had kunnen voorkomen. De rechter oordeelt anders. De werkgever moet Siemens voor meer dan € 13.000 een misgelopen licentie- en onderhoudsvergoeding betalen. Daar bovenop komen de volledige proceskosten van meer dan € 9000.
Dit is een recent voorbeeld en zo zijn er veel meer te vinden. Het bedrijf van onze HR Manager maakt weliswaar geen gebruik van Siemens software, maar het risico is er niet minder om. Een illegale versie van een Adobeproduct is zomaar gedownload en geïnstalleerd. En Adobe gebruiken ze wel!
De werkgever is aansprakelijk, maar wat kan hij eraan doen? Het begint met een duidelijke bepaling in de arbeidsovereenkomst of het inzetcontract van de medewerker met het verbod illegale software te installeren en te gebruiken. De naleving van dit verbod moet vervolgens worden gecontroleerd en er moeten sancties zijn bij overtreding. Bij trainingen op het gebied van ethiek, compliance, e.d. kan het nogmaals worden benadrukt.
Gelukkig heeft de HR Manager een goede band met IT. Zij zullen hier samen uit komen, met – in dit geval – HR in de hoofdrol!
Hans van der Zanden
Medeoprichter en CFO van In2SAM BV
Procesgoeroe sinds 25 jaar
Toegevoegd Expert aan ISO Workgroup 21, coauteur van ISO 19770 bijlagen
* Zie voor een uitgebreide toelichting de column van Maarten Menger, http://www.mkbservicedesk.nl/10676/ben-aansprakelijk-voor-illegale-software.htm#
De formele uitspraak is te vinden op https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBROT:2016:6240