Har du styr på e-mail-politikken, når en medarbejder stopper?

Der findes klare retningslinjer for, hvordan man må håndtere e-mail, der bliver sendt til fratrådte medarbejdere. Se om dit firma lever op til kravene.

En nøglemedarbejder er stoppet, men vigtige e-mails ligger stadig i personens indbakke eller bliver løbende tilsendt fra kunder.

Hvad gør man som it-ansvarlig? Det er der faktisk regler for fra Datatilsynet, og hos elektronikvirksomheden RTX i Nordjylland har man taget en ’stram’ fortolkning af Datatilsynets henstillinger, fortæller it-chef Kent Præstgaard.

»Vi har autosvar på i en måned, efter en medarbejder er stoppet. Derefter bliver kontoen lukket, så mails fremover vil blive afvist,« siger han til Version2.

Det sker efter en nøje beskrevet procedure, så det altid er samme autosvar, der bliver lagt på. En betroet medarbejder, typisk chefen i afdelingen, vil have adgang til mail-kontoen i denne måned, og det vil også fremgå af autosvaret, hvem det er.

Alle gamle e-mails på kontoen bliver arkiveret, når kontoen lukkes helt, for RTX har oplevet, at det har været afgørende med adgang til de gamle e-mails for at kunne bevise en aftale.

»Vi har haft nogle kedelige patentsager, som blev reddet af, at vi kunne finde en e-mail frem, vi havde gemt,« siger it-chefen.

Det er kun firmaets ledelse, som kan få lov at genskabe et gammelt e-mail-arkiv, ligesom det er ledelsen, der skal beslutte, hvem der skal passe en e-mail-konto i den måned, den bliver holdt i live, efter at medarbejderen er stoppet.

Problemet med vigtig information gemt i en lukket mail-konto har RTX arbejdet på at minimere ved at indføre særlige projekt-emailpostkasser. Alle dokumenter og data for et projekt skal havne i disse fælles e-mail-bokse.

»Det er noget, vi har arbejdet meget på, og nu fungerer det fint. Mange siger, at det jo er noget, de selv har lavet, men de har skrevet under på, at det er firmaets data, da de blev ansat,« fortæller Kent Præstgaard.

Særligt system til fortrolige e-mails

Cirka samme procedure kører JP/Politikens Hus, hvor en konto bliver holdt i live, men inaktiv, i ’nogle måneder’ efter en medarbejder er stoppet. Her har ’relevante personer’ adgang til indholdet, bortset fra det, som er markeret som ’privat’ i emnefeltet.

»Vi har mange funktionspostkasser, så for eksempel pressemeddelelser ikke bliver sendt til bestemte personer, men til bestemte funktioner. Og de ændrer sig jo ikke, så det er ikke det store issue, når en personlig e-mail bliver lukket,« fortæller it-direktør Per Palmkvist Knudsen.

Som mediearbejdsplads, der vil gå meget langt for at beskytte anonyme kilders identitet, modtager journalisterne dog nogle gange e-mails, som andre ikke må læse. Det har koncernen klaret ved at oprette et særligt system til den slags fortrolig kommunikation. Hvordan det fungerer, vil it-direktøren dog ikke fortælle af sikkerhedshensyn.

Som ny medarbejder risikerer man at overtage en tidligere medarbejders telefonnummer - og nogle steder også en ’brugt’ e-mail-adresse. Det sker dog aldrig hos hverken RTX eller hos JP/Politiken. Her bliver e-mail-adresser af princip ikke genbrugt.

»Vi bruger fulde navne i e-mail-adresserne, og har man et almindeligt navn, som Per Knudsen, bruger vi mellemnavne. Selvom vi er 2.000 i koncernen, er det ikke noget problem, fordi vi har så mange forskellige mail-domæner, for eksempel et for hvert medie,« fortæller Per Palmkvist Knudsen.

Husk at lukke for alle adgange

Når en medarbejder har forladt arbejdspladsen, er der en anden vigtig procedure - nemlig at få lukket personens adgang til alle firmaets it-systemer.

Det går nemt nok hos RTX, for her er det hele koblet sammen med brugerstyringen i Windows.

»Vi lukker en bruger, når HR-afdelingen giver besked. Det har vi også en helt klar procedure for. Og det hele kører via Windows AD’et, så det er der styr på,« siger Kent Præstgaard.

I JP/Politiken-koncernen er landskabet af it-systemer og webplatforme mere broget, så her bliver der manuelt fulgt op hver måned, for at sikre, at en tidligere ansat ikke stadig kan pille ved systemerne i årevis.

»Vi følger op cirka en gang om måneden, ud fra tjeklister over systemerne. Og ja, hver gang finder vi nogen, der er faldet mellem maskerne og stadig har adgang. Det er netop derfor, vi laver denne her kontrol,« siger Per Palmkvist Knudsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Claus Jacobsen

jo du har fuldkommen ret Brian - Typisk vil det være sund fornuft - men som vi jo også så med CSC-sagen og deres forældede systemer - så er det absolut ikke nogen selvfølge at alle procedurer bliver fulgt som om det var en daglig funktion i firmaet - jeg er faktisk glad for at RTX fx fortæller at de rent faktisk rydder op en gang om måneden. - Det havde CSC jo ikke lige gjort i en del tilfælde :D

  • 0
  • 0
#3 Brian Hansen

Jeg vil glat væk indrømme at oprydning af gamle profiler (der dog ikke er enabled, men stadigvæk figurerer med profiler på vores intranet f.eks.) ikke står ret højt på min dagsorden, typisk fordi mellemlederen der i sidste ende har ansvaret for den afskedigedes filer ikke kan fortælle mig hvornår de har snuppet hvad de skal bruge :)

  • 0
  • 0
#4 Claus Jacobsen

Og teknisk kan der jo gå lang tid - der kan være sager hvor man er nødt til at gå langt tilbage fordi der pludselig opstår en situation, som man skal bruge information om - men så må man jo være forberedt på dette og have arkiveret tingene med mulighed for at finde det forholdsvis hurtigt. og så ellers give mellemlederen en tidsgrænse. Sandsynligheden for at de ikke skal bruge info er jo meget stor. Typisk bliver de bare ajourført af de andre implicerede parter (kunder, kolleger etc) og træffer beslutninger ud fra det. Men selvfølgelig. ligger der specifik information af et "produkt" i mailboksen eller på ens personlige sharepoint eller hvor det nu ligger, så stiller man sig jo spørgsmålet - har jeg nu uddannet mine medarbejdere godt nok omkring struktureret datalagring :D

  • 0
  • 0
#5 Mads Larsen

Det at have en strategi for hvordan email-konti for tidligere medarbejdere håndteres er bestemt en relevant problemstilling. Men I dag hvor flere og flere cloudtjenester finder anvendelse i jobsammenhæng, er problemet selvsagt meget større end blot mail.

Hvordan sikrer man som virksomhed at ens gamle medarbejdere afskærmes mod at logge på diverse tjenester med eventuelt virksomhedsfølsomme oplysninger, som fx. Salesforce eller Dropbox-lignende produkter. Løsningerne til at styre medarbejdernes login til cloudtjenester via for eksempel AD'et findes derude, men overraskende nok har det tilsyneladende ikke meget opmærksomhed ude i virksomhederne. Tilsyneladende må vi vente på at tilpas store katastrofer sker, før vi, i hvert fald her i vores firma, begynder at mærke efterspørgslen.

  • 0
  • 0
#6 Brian Hansen

Helt enig! Den er svær, da f.eks. Dropbox kan øge produktiviteten en del hvis man lige skal dele en lidt større fil end hvad mail systemet tillader. Ja, vi har en FTP server med SSL, men for de fleste i firmaet der ikke er IT kyndige, kunne man lige så godt bede dem om at ta' til månen. På cykel. Chancen for succes er ca. lige stor :) Nu er vi så også i den lidt specielle situation at vores virksomhed blev opkøbt af et større firma for 2år siden, og de har bl.a. også vores tidligere værste konkurrenter inde under paraplyen, så de behøver kun spørge pænt hvis de vil have CAD tegninger :)

  • 0
  • 0
#8 Claus Jacobsen

hvilket også er årsagen til at virksomhederne i en vis fart skal få indført deres egne "dropbox-lignende" løsninger. (rushfiles, citrix, vmware etc har alle løsninger til enterprisebrug) Så man sikrer sig at folk bruger lige netop den løsning til virksomhedsdata og ikke sin egen private dropbox - som helt sikkert OGSÅ vil blive installeret når man skal have fat i sine egne personlige data. (som eksempelvis billede af ens nøglekort til NEMID!! ;-) )

  • 1
  • 0
Log ind eller Opret konto for at kommentere