Oude medewerker nog in de WhatsApp-groep: het lek dat je niet ziet

Mailboxen en logins regel je netjes bij vertrek, maar WhatsApp-, Signal- en Teams-groepen worden vaak vergeten. Zo pak je dat structureel aan.

Iemand neemt afscheid. Je sluit de mailbox af, je trekt de laptop in, je verandert de wachtwoorden van de gedeelde accounts. Klaar, denk je. Tot drie maanden later iemand in de groepsapp van de werkvloer een prijslijst deelt en je ineens beseft: hé, Karin zit hier nog steeds in. Karin werkt al een half jaar bij de concurrent.

Dit is een van de meest voorkomende lekken bij MKB-bedrijven. Niet spectaculair, geen hack, geen alarmbel. Gewoon vergeten. En precies dat maakt het hardnekkig.

Waarom WhatsApp-groepen zo vaak vergeten worden

Mailaccounts en zakelijke logins staan meestal in een lijstje. Bij vertrek loopt iemand dat lijstje af. Maar groepschats ontstaan organisch: een chauffeur maakt een groep "Bezorging Noord", een verkoper begint een Signal-groep met drie collega's voor offertes, iemand zet een Teams-kanaal op voor een project dat allang afgelopen is.

Niemand documenteert die groepen. Ze zitten op privételefoons. En degene die de groep ooit opzette, herinnert zich na een tijdje niet meer wie er allemaal in zit. Resultaat: oud-medewerkers blijven jarenlang meelezen met operationele info, prijsstellingen, klantnamen en interne frustraties.

Wat er concreet kan misgaan

• Concurrentiegevoelige info: prijslijsten, kortingsafspraken, leveranciersnamen.
• Klantgegevens: foto's van pakbonnen, adressen, telefoonnummers — vaak AVG-relevant.
• Reputatie: een ex-medewerker die meeleest met geklaag over een klant en dat doorvertelt.
• Phishing-vector: een oud-collega wiens nummer is overgenomen of telefoon is gestolen, kan plotseling "namens het bedrijf" iets vragen in een groep waar mensen hem nog vertrouwen.

Dat laatste klinkt onwaarschijnlijk, maar wij zien het vaker dan je denkt. Een ex-medewerker raakt zijn telefoon kwijt, het nummer wordt later opnieuw uitgegeven, en de nieuwe houder zit ineens in jouw bedrijfsgroep.

Een werkbare aanpak in vier stappen

1. Maak een lijst van alle groepen — eenmalig

Vraag elke medewerker om in vijf minuten op te schrijven in welke werkgerelateerde groepschats hij of zij zit. Niet alleen WhatsApp, ook Signal, Telegram, Teams-kanalen, Slack-channels en die ene Facebook Messenger-groep uit 2021. Verzamel dat in één document. Je zult schrikken hoeveel het er zijn.

2. Wijs per groep een "groepseigenaar" aan

Eén persoon is verantwoordelijk voor wie erin zit. Geen eigenaar = de groep mag weg of moet samengevoegd worden. Dit voorkomt dat groepen blijven voortbestaan zonder dat iemand zich verantwoordelijk voelt.

3. Voeg "groepschats opschonen" toe aan je offboarding-checklist

Bij vertrek vraag je de medewerker zelf om uit alle werkgroepen te stappen — voor de laatste werkdag, niet erna. En de groepseigenaar verwijdert diegene ook actief (mensen vergeten dat soms gewoon te doen). Dubbel slot.

4. Doe twee keer per jaar een korte check

Loop in januari en juli de groepenlijst langs. Klopt het ledental nog? Zit er niemand in die hier niet meer hoort? Tien minuten werk, enorm verschil.

Bonus: zakelijke nummers loskoppelen van privé

Als je werkt met privételefoons en een medewerker vertrekt, gaat hij of zij met het persoonlijke nummer weg. Logisch, dat is hun nummer. Maar daarmee verdwijnt ook hun toegang tot klantcontacten die met dat nummer zijn opgebouwd. Overweeg voor functies met veel klantcontact een apart zakelijk nummer (bijvoorbeeld via een tweede simkaart of een mobiele app als WhatsApp Business met een apart nummer). Bij vertrek lever je dat nummer in, klanten houden hetzelfde aanspreekpunt, en de oud-medewerker neemt geen klantenbestand mee in zijn telefoon.

En Teams, Slack en SharePoint dan?

Bij Microsoft 365 of Google Workspace is dit deels makkelijker: zodra je het account uitzet, vervalt de toegang tot alle gekoppelde kanalen en bestanden. Mits je dat account ook echt uitzet en niet alleen "tijdelijk pauzeert". Wij zien regelmatig dat oude accounts maandenlang actief blijven omdat "we misschien nog wat uit de mailbox nodig hebben". Pak in plaats daarvan een mailbox-export en sluit het account binnen 30 dagen.

Wil je weten of je dat goed hebt staan? Dan helpt het om eens een toegang-check te laten doen: we kijken wie er nog actief is in je Microsoft 365 of Google Workspace, welke accounts al lang niet meer ingelogd hebben, en welke externe gasten nog toegang hebben tot je bestanden. Vaak komen daar twee of drie verrassingen uit die je al maanden niet had opgemerkt.

De kern

Offboarding is meer dan een uitlogknop. De informele kanalen — groepschats, kanalen, gedeelde mappen waar niemand eigenaar van is — zijn waar de meeste lekken zitten. Niet omdat iemand kwaad wil, maar omdat niemand het bijhoudt. Een lijstje, een eigenaar per groep, en twee check-momenten per jaar lossen 90% op.