Achtergrond
image

Juridische vraag: Baas dwingt sysadmin tot monitoren

donderdag 18 juni 2009, 09:12 door Arnoud Engelfriet, 32 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Ik werk als systeembeheerder bij een middelgroot bedrijf. We hebben zo'n 300 medewerkers, en die hebben allemaal onbeperkt toegang tot internet. De directie is niet blij met de rekening voor wat zij "misbruik" noemen. Nu hebben ze mij opdracht gegeven om bij te gaan houden wat mensen allemaal doen: chatten, mailen, websites bezoeken. En ze willen overzichten van de personen die eruit springen qua dataverkeer en dergelijke, zodat ze maatregelen kunnen nemen. Ik weigerde dat eerst, omdat we geen reglement hebben over internetgebruik en ik het bovendien veel te ver wil gaan. Maar mijn baas staat erop dat dit moet en zegt nu "ik neem alle verantwoordelijkheid als het tegen de wet blijkt te zijn." Moet ik het nu toch gaan doen?

Antwoord: Inderdaad, dit gaat veel te ver. Monitoren van internetgebruik mag, maar alleen onder duidelijk afgebakende omstandigheden. Belangrijk daarbij is dat het monitoren de beste manier moet zijn om ongewenst gebruik van bedrijfsmiddelen tegen te gaan. Waarom niet bepaalde sites blokkeren bijvoorbeeld? Ook moet in een reglement vastgelegd zijn wat je monitort en waarom.

Een werkgever kan niet zomaar dienstbevelen geven die duidelijk tegen de wet in gaan. Maar ja, een advies op een vage website van een eigenwijze jurist is niet echt bewijs dat de wet wordt geschonden. Dus een print van deze post zal deze baas niet overtuigen vrees ik.

Wat nu? Een beproefde tactiek: vraag alles op schrift en ondertekend, omdat je er zeker van wilt zijn wat je moet doen. (Je zult de eerste niet zijn wiens werkgever later keihard ontkent die opdracht te hebben gegeven.) En daarmee ga je naar de bedrijfsjurist met het verzoek dat die verklaart dat dit in lijn met de Wet Bescherming Persoonsgegevens en aanverwante privacywetgeving is. Bedrijfsjuristen zijn conservatieve mensen en zullen niet snel geneigd zijn iets als dit goed te keuren. Maar je werkgever kan toch moeilijk van je eisen dat je iets doet dat (nog) niet door de bedrijfsjurist is geaccordeerd. Ja, dit is bureaucratisch maar soms is bureaucratie nuttig.

Zegt de bedrijfsjurist dat dit gewoon legaal is, dan zit er niets anders op dan het filter te plaatsen. Maar dan kan jou ook moeilijk nog verweten worden dat je de wet blijkt te schenden.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (32)
18-06-2009, 09:36 door Anoniem
Geldt in dit soort gevallen een PGP ondertekende mail ook als juridisch bindend of moet het echt een pen handtekening zijn? Een gewone mail is uiteraard niet voldoende maar ik vroeg me af wat er al geaccepteerd wordt als bewijs mocht er een rechter aan te pas komen.
18-06-2009, 09:55 door Anoniem
"Bedrijfsjuristen zijn conservatieve mensen", nou Arnoud, niet alleen de juristen hoor; het gehele Nederlandsche management staat nu bepaald niet bekend om zijn vooruitstrevendheid... ;)
18-06-2009, 10:10 door Anoniem
Kunnen wij, als werknemers van een bedrijf, deze vraag ook andersom stellen ?

Hoe kun je als werknemer nagaan of je intenet en (privé) email verkeer niet illegaal door de werkgever gemonitored wordt, door sys admins, als er geen duidelijk internet reglement en/of beleid bestaat binnen het bedrijf ? En dan heb ik het niet over misbruik van internet en email in de baas zijn tijd en met "eigen applicaties" door werknemers zelf, maar puur gezien het feit dat het monitoren "illegaal door de werkgever plaats vindt " ? Zijn er b.v. tools voor om dit te kunnen detecteren ?

Bij voorbaat dank voor jullie bijdragen.
18-06-2009, 11:17 door Anoniem
Door Anoniem: Geldt in dit soort gevallen een PGP ondertekende mail ook als juridisch bindend of moet het echt een pen handtekening zijn? Een gewone mail is uiteraard niet voldoende maar ik vroeg me af wat er al geaccepteerd wordt als bewijs mocht er een rechter aan te pas komen.

Hoezo is een gewone mail niet voldoende?
18-06-2009, 11:21 door Anoniem
een bedrijf dat zich hieraan veelvuldig schuldig maakt is KPN. intern worden werknemer via remote administrator software in de gaten gehouden. Onder het mom van trainingsdoeleinden luisteren ze telefoon gesprekken af en houden ze werknemers in gaten via hun remote software. Verder monitoren ze email en wanneer zij vinden dat iets "niet correct is" spreken ze de werknemers hierop aan/ontslaan een medewerker aan de hand van de illegaal verkregen bewijs last. Ik heb het gevoel dat dit veel vaker gebeurt bij bedrijven en omdat mensen niet weten wat hun rechten en plichten zijn.
18-06-2009, 11:24 door Anoniem
In België is deze vraag eenvoudig te beantwoorden : CAO 81. Al kunnen interpretaties van dit akkoord (tss werkgever en -nemer) soms nog ver uit elkaar liggen.

Als men het oneigenlijk gebruik wil beperken, moet men maar filteren. Kwestie van op de bal te spelen, en niet op de man.

Anderzijds vind ik de houding van de gemiddelde werknemer redelijk hypocriet.
- bedrijfssystemen zijn er om je werk uit te voeren, niet voor entertainment (Porno - patience ...) en persoonlijke zaakjes (gaande van complete ebay shops via 'escortebureau's' tot regelrechte concurrentie van de werkgever)
- Ik vraag me trouwens af waarom 300 werknemers internet uberhaupt nodig hebben, laat staan onbeperkte toegang.
- in principe staat in de meeste arbeidsovereenkomsten dat bedrijfsmiddelen enkel en alleen voor professionele doeleinden gebruikt mogen worden. ICT infrastructuur en internettoegang zijn m.i. bedrijfsmiddelen

En op de vraag betreffende de 'tools' om monitoring te detecteren :
- monitoring gebeurt er sowieso. Logs en traces bij de vleet bij op je werkstation - de proxies - Firewalls - webservers bij de werkgever, ISP en bezochte website. Take your pick...
- Als je baas niet mag monitoren, waarom zou jij dat dan wel mogen ?
- Het zou me trouwens verbazen mocht het je vrij staan om software te installeren op je systeem
18-06-2009, 11:33 door Anoniem
Door Anoniem:
Door Anoniem: Geldt in dit soort gevallen een PGP ondertekende mail ook als juridisch bindend of moet het echt een pen handtekening zijn? Een gewone mail is uiteraard niet voldoende maar ik vroeg me af wat er al geaccepteerd wordt als bewijs mocht er een rechter aan te pas komen.

Hoezo is een gewone mail niet voldoende?

Omdat je de inhoud van een gewone e-mail kunt wijzigen zonder dat dit aantoonbaar is (heel lastig alvast). Zowel de zender als ontvanger kan dit doen waardoor je dus een welles/nietes gevecht kunt krijgen. Bij PGP ondertekende mail klopt de PGP signature niet meer!
18-06-2009, 12:07 door Anoniem
Het bedrijf waar ik voor werk heeft duidelijke richtlijnen afgegeven die je moet ondertekenen bij in dienst treden. Daarin staat o.a. dat internet verkeer (web en e-mail) wordt gecontroleerd, illegale downloads verboden zijn, en bepaalde niet-zakelijke sites worden geblokkeerd.
Niet meer dan logisch mijns inziens.
18-06-2009, 12:21 door Anoniem
Op het advocaten kantoor Evereart hield ook een systeembeheerder ons nou letterlijk in de gaten. En je zoude zeggen ze graag weten wat jij doet met de computer. Systeembeveiliging is belangrijk en computer die op op internet zet is een risico opzich. Met een keyloger kan bedrijf informatie krijgen over zijn medenwerkers. Dus ik zou u kunnen adviseren nooit plaats nemen achter een computer voor prive doel einden. Je werkgever zou door je toetaanslagen een idee kunnen krijgen over jou personelijk instressen en ook je wachtwoord kunnen stelen!
18-06-2009, 13:16 door Preddie
Arnoud ik ben van mening dat je weer een goed onderwerp hebt aangesneden ;)
18-06-2009, 13:48 door Arnoud Engelfriet
Ik ken weinig werkgevers die zulke toezeggingen via PGP-signed mail doen. En de paar die dat doen, die weten beter dan structureel werknemers te filteren :)
18-06-2009, 14:21 door Anoniem
Door Arnoud Engelfriet: Ik ken weinig werkgevers die zulke toezeggingen via PGP-signed mail doen. En de paar die dat doen, die weten beter dan structureel werknemers te filteren :)
Weet je ook of het ooit is toegelaten als onomstreden bewijs in een rechtzaak? Zowel hier in Nederland als in het buitenland? Ik kan me voorstellen dat de digibeten er moeite mee hebben om het principe te begrijpen en het dus niet wordt toegestaan.
18-06-2009, 14:43 door _Peterr
Door Anoniem: Geldt in dit soort gevallen een PGP ondertekende mail ook als juridisch bindend of moet het echt een pen handtekening zijn? Een gewone mail is uiteraard niet voldoende maar ik vroeg me af wat er al geaccepteerd wordt als bewijs mocht er een rechter aan te pas komen.

In de Wet Elektronische Handtekening (WEH) staan de eisen waaraan het sleutelpaar en de opslag daarvan moet voldoen. En als je de sleutels opslaat in software dan voldoe je niet aan deze eis. Ze moeten in een hardware (bv smartcard) staan.

En daarnaast is de WEH niet voor het strafrecht. Lees de Wet maar eens aandachtig door.
18-06-2009, 14:57 door Arnoud Engelfriet
Er is geen juridische plicht om iets te ondertekenen om het als rechtsgeldige toezegging te doen gelden. Een e-mail kan dus gewoon een rechtsgeldig contract bevatten waar je gewoon als beide partijen aan vast zit.
18-06-2009, 15:08 door Arnoud Engelfriet
Weet je ook of het ooit is toegelaten als onomstreden bewijs in een rechtzaak? Zowel hier in Nederland als in het buitenland? Ik kan me voorstellen dat de digibeten er moeite mee hebben om het principe te begrijpen en het dus niet wordt toegestaan.
Ik heb er nooit van gehoord, maar Nederlandse rechters weigeren nooit bewijs omdat ze het niet begrijpen. Er is geen rechtsregel in het gewone recht die zegt dat bepaald bewijs ontoelaatbaar is omdat het vervalst zou kunnen zijn. Als bewijs vervalst *is* of dat sterk lijkt, dan kent de rechter het minder waarde toe. Maar iets weigeren omdat het in theorie eenvoudig vervalst *kan* worden, gebeurt niet.

("Onrechtmatig verkregen bewijs" of "ontoelaatbaar bewijs" is iets uit Amerikaanse TV-series.)
18-06-2009, 17:00 door Anoniem
Door _Peterr:
Door Anoniem: Geldt in dit soort gevallen een PGP ondertekende mail ook als juridisch bindend of moet het echt een pen handtekening zijn? Een gewone mail is uiteraard niet voldoende maar ik vroeg me af wat er al geaccepteerd wordt als bewijs mocht er een rechter aan te pas komen.

In de Wet Elektronische Handtekening (WEH) staan de eisen waaraan het sleutelpaar en de opslag daarvan moet voldoen. En als je de sleutels opslaat in software dan voldoe je niet aan deze eis. Ze moeten in een hardware (bv smartcard) staan.

En daarnaast is de WEH niet voor het strafrecht. Lees de Wet maar eens aandachtig door.
Strafrecht? Hardware?
Ter nuancering is navolgende wel een aardige scriptie op de "[url=http://www.uu.nl/uupublish/content/scriptiemartijn.PDF]Wet elektronische handtekeningen[/url]"
18-06-2009, 18:10 door Anoniem
Door Anoniem: - bedrijfssystemen zijn er om je werk uit te voeren, niet voor entertainment (Porno - patience ...) en persoonlijke zaakjes (gaande van complete ebay shops via 'escortebureau's' tot regelrechte concurrentie van de werkgever)

In nederland is het zo dat indien je toegang krijgt tot het internet van je baas, je binnen redelijke grenzen dit ook voor prive doeleinden mag gebruiken. Het is dus niet zo dat een werkgever je zou kunnen ontslaan omdat je eens een keer je prive email leest. Wel zou het bedrijf het mogen filteren. Maar als de toegang er is, dan mag het in beperkte mate ook gebruikt worden voor prive doeleinden.
18-06-2009, 18:14 door rob
Door Anoniem: Op het advocaten kantoor Evereart hield ook een systeembeheerder ons nou letterlijk in de gaten. En je zoude zeggen ze graag weten wat jij doet met de computer. Systeembeveiliging is belangrijk en computer die op op internet zet is een risico opzich. Met een keyloger kan bedrijf informatie krijgen over zijn medenwerkers. Dus ik zou u kunnen adviseren nooit plaats nemen achter een computer voor prive doel einden. Je werkgever zou door je toetaanslagen een idee kunnen krijgen over jou personelijk instressen en ook je wachtwoord kunnen stelen!

Bovenstaande is echter strafbaar. Monitoren mogen ze, maar ze mogen niet je wachtwoord stelen en gebruiken om je prive leven uit te pluizen.

Wat ik wel vreemd vind is dat men dit uitgerekend bij advocaten zou durven te doen. Ik geloof dat beperkt gebruik voor prive doeleinden toelaatbaar is.. bijv. als je even je prive mail wilt checken in de pauze... Indien je werkgever dan je wachtwoord probeert te stelen, of zelfs gebruikt om het uit te lezen, kun je je werkgever aanklagen.
18-06-2009, 18:18 door rob
Door Anoniem:
Door Arnoud Engelfriet: Ik ken weinig werkgevers die zulke toezeggingen via PGP-signed mail doen. En de paar die dat doen, die weten beter dan structureel werknemers te filteren :)
Weet je ook of het ooit is toegelaten als onomstreden bewijs in een rechtzaak? Zowel hier in Nederland als in het buitenland? Ik kan me voorstellen dat de digibeten er moeite mee hebben om het principe te begrijpen en het dus niet wordt toegestaan.

Het zegt ook helemaal niets. Via de web of trust kun je de identiteit ook nog niet juridisch aantonen.
19-06-2009, 09:38 door Anoniem
Als ze willen dat bepaalde sites/dingen niet meer mogen gebeuren lijkt het mij een kwestie van een juiste proxy configuratie inclusief filtersoftware die de toegang tot bepaalde categorieen/sites blokkeerd. Goede filter software verbergt ook nog eens de gebruikersnamen in names als: user1 user2 ... etc
19-06-2009, 12:04 door Anoniem
Ik heb een keer stage gelopen op een school waar het natuurlijk ook niet de bedoeling was dat leerling zomaar overal konden komen. De oplossing die daar ingevoerd werd was een proxy server met een whitelist, een blacklist en een woord filter. Dat woord filter las dan alle plaintext om te kijken of er goeie of slechte woorden in staan. Met doormiddel van een ratingsysteem werd dan bepaald of de site bezocht mocht worden. Voorbeeld: Het woord breast heeft als rating -5, terwijl cancer +10 heeft. Op deze manier als een leerling zocht naar breastcancer dan kreeg het dus een +5 rating. Zo lang de rating positief is laat die het door, zo niet dan wordt het geblokkeerd. Dit kost wat tijd om te tweaken zodat de goeie sites doorkomen en de slechte sites niet. Het draaide op Linux dus kost niks qua licenties, maar wel werk om het op te zetten. Naam weet ik niet meer, maar vast wel iemand die het herkent :)
19-06-2009, 17:27 door Anoniem
Ik heb een keer stage gelopen op een school waar het natuurlijk ook niet de bedoeling was dat leerling zomaar overal konden komen.

Hoezo "natuurlijk"?

De oplossing die daar ingevoerd werd was een proxy server met een whitelist, een blacklist en een woord filter. Dat woord filter las dan alle plaintext om te kijken of er goeie of slechte woorden in staan.

Werden alle proxyservers en zaken als tinyurl ook geblokkeerd? Anders komen de meeste scholieren er wel door hoor (de technisch minder onderlegden horen het wel van hun vriendjes, er hoeft er maar een een gat te vinden).
19-06-2009, 18:52 door xxx0
Door Predjuh: Arnoud ik ben van mening dat je weer een goed onderwerp hebt aangesneden ;)

Spijker op zijn kop...

Er zijn organisaties die medewerkers op een respect volle manier via een introductie programma de Do's, Don't en wat te doen bij Doubt uitleggen. Cruciaal is de rol van personeelzaken en de direct betrokken manager. Randvoorwaarde is natuurlijk wel dat er een bedrijfsregelement (Code of Conduct) is. Als er voldaan moet worden aan Compliance regels is het wel handig om voor het gereikte bedrijfsregelement (ontvangst), gelezen, besproken en begrepen te laten paraferen of ondertekenen.
19-06-2009, 19:51 door [Account Verwijderd]
[Verwijderd]
20-06-2009, 12:27 door Anoniem
Door Anoniem:

Ter nuancering is navolgende wel een aardige scriptie op de "[url=http://www.uu.nl/uupublish/content/scriptiemartijn.PDF]Wet elektronische handtekeningen[/url]"

Deze scriptie is totaal waardeloos. Hij is niet eens gedateerd.
20-06-2009, 15:06 door Preddie
Door rookie: De baas betaalt jou.


eeuh ja ..... en ?

Als hij zegt dat je een moord moet plegen onder werktijd doe je dat toch ook niet omdat hij je betaalt ?
21-06-2009, 23:10 door Napped
Beste deheer Engelfriet,

Wat nou als je als beheerder monitoring dient toe te passen om het verbruik op de internet lijnen te zien.
Dus de Throughput monitoren, alleen dat programma wat je gekozen heeft werkt via een Port mirror op een switch.
Dus de kabel van de switch naar de firewall wordt gespiegeld, naar een andere port waar een server aanhangt met een netwerkkaart in promiscuous mode.
Echter zie ik hier niet alleen de troughput maar ook de connecties van welke clients naar welke site worden gelegd.
Zover ik weet staat dit wel in het bedrijfsregelement.
Is dit dan een inbreuk op de privacy? Aangezien dit ook raakvlakken heeft met security.
Aangezien we zo mogelijk ongewenst verkeer of gevaarlijk verkeer kunnen zien.
En mogen hier logs van bijgehouden worden ?
22-06-2009, 09:36 door Arnoud Engelfriet
Monitoren en loggen ten behoeve van beveiliging en onderhoud van een netwerk is toegestaan. Wel moet je daarbij zo veel mogelijk persoonsgebonden informatie anonimiseren of weglaten. Kun je bv. ook werken als de laatste 3 cijfers in een IP-adres geanonimiseerd zijn, doe dat dan. Hoeven e-mailadressen niet per se in de log, laat ze dan weg.

Bij het monitoren van verbruik lijkt het me niet relevant welke sites bezocht worden, en in ieder geval is niet relevant *wie* ze bezocht. Die laatste informatie kan dus hoe dan ook weggelaten worden.Vervang dus de IP-adressen in het interne netwerk door een of ander random nummer bij het loggen.
22-06-2009, 10:21 door Napped
Door Arnoud Engelfriet: Monitoren en loggen ten behoeve van beveiliging en onderhoud van een netwerk is toegestaan. Wel moet je daarbij zo veel mogelijk persoonsgebonden informatie anonimiseren of weglaten. Kun je bv. ook werken als de laatste 3 cijfers in een IP-adres geanonimiseerd zijn, doe dat dan. Hoeven e-mailadressen niet per se in de log, laat ze dan weg.

Bij het monitoren van verbruik lijkt het me niet relevant welke sites bezocht worden, en in ieder geval is niet relevant *wie* ze bezocht. Die laatste informatie kan dus hoe dan ook weggelaten worden.Vervang dus de IP-adressen in het interne netwerk door een of ander random nummer bij het loggen.
Maar dan kan je toch niks doen met deze info, als jij een systeem naar random servers ziet connecten over poort 80?
dan mis je de laatste 3 cijfers......

Is het dan niet dat door de privacy je je werk niet kan doen?
Een arts heeft toch ook de gegevens van een Patiënt ?
22-06-2009, 10:33 door Arnoud Engelfriet
Het is natuurlijk niet de bedoeling dat de privacy je werk onnodig hindert. Omgekeerd is het echter ook niet de bedoeling dat je zomaar persoonlijke gegevens van medewerkers verzamelt. In veel gevallen is het niet relevant vanaf welke IP-adressen iets opgevraagd wordt. In die gevallen kun je het anonimiseren. Het gaat dus om de *clients* binnen het bedrijf wiens IP-adres je het beste kunt anonimiseren. Als je wilt bekijken welke sites veel benaderd worden, dan mag je die IP-adressen natuurlijk gewoon loggen. Maar waarom doet het er daarbij toe wie die sites benadert?

Verder heb jij net als een arts een geheimhoudingsplicht over wat je tijdens je werk te weten komt over medewerkers van het bedrijf of over je klanten. Maar ook artsen moeten uitkijken als ze bv. publiceren over een nieuw ziektebeeld dat ze niet de privacy van hun 'klant' schaden.
22-06-2009, 11:16 door Napped
Door Arnoud Engelfriet: Het is natuurlijk niet de bedoeling dat de privacy je werk onnodig hindert. Omgekeerd is het echter ook niet de bedoeling dat je zomaar persoonlijke gegevens van medewerkers verzamelt. In veel gevallen is het niet relevant vanaf welke IP-adressen iets opgevraagd wordt. In die gevallen kun je het anonimiseren. Het gaat dus om de *clients* binnen het bedrijf wiens IP-adres je het beste kunt anonimiseren. Als je wilt bekijken welke sites veel benaderd worden, dan mag je die IP-adressen natuurlijk gewoon loggen. Maar waarom doet het er daarbij toe wie die sites benadert?

Verder heb jij net als een arts een geheimhoudingsplicht over wat je tijdens je werk te weten komt over medewerkers van het bedrijf of over je klanten. Maar ook artsen moeten uitkijken als ze bv. publiceren over een nieuw ziektebeeld dat ze niet de privacy van hun 'klant' schaden.

Je hebt een PC die stelsel matig connecties maakt naar buiten, je firewall vind het gen raar verkeer. De lokale antivirus detecteert niks, en de client firewall geeft geen melding.
Toch zie je dat er raar verkeer gelogged wordt, grote hoeveelheden data of andere rare connectie's.
Omdat jij het bekijkt kan je het IP zien, dan moet je niet de laatste 3 getallen weghalen.
EN een systeem beheerder heeft ook een geheimhoudingsplicht! En daarom denk ik dat een IT het wel mag inzien waar nodig (dus niet random data struinen) maar ook dat geheim dient te houden. Anders wordt het onwerkbaar.
29-08-2009, 16:28 door apie
LS. Nou er is ook nog altijd ondernemingsrad die er toestemming voor heeft moeten geven, er behoort ook een internetprotocol te zijn die alle medewerkers behoren te ondertekenen !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search