Ik werk zelf bij een bank en het is daar godsonmogelijk dat een manager even zonder te vragen rechten krijgt voor inzage van persoonlijke data. Daar mag hij een inzageverzoek voor indienen, ondersteund met wat handtekeningen van andere (hogere) managers. Dat gaat naar Risico & Control (R&C), waarna eens wordt gekeken of datgene waarvoor hij of zij inzage wil hebben ook overeenkomt met de ideeën van R&C. Daar bestaat een duidelijk protocol voor met punten als inzage door langdurige afwezigheid, inzage vanwege verdenking van fraude, inzage die wel is goedgekeurd door de eindgebruiker, inzage die niet is goedgekeurd door de eindgebruiker - b.v. bij overlijden etc. Gaat R&C niet akkoord, dan pech gehad voor de manager. Het is PERSOONLIJKE data waar hij in kijkt. Je moet het document van de Wbp eens lezen, daar staan aardige dingen in:

http://www.justitie.nl/images/Handleiding%20voor%20verwerkers%20persoonsgegevens_tcm34-3940.pdf?refer=true&theme=purple

De werkgever heeft rechten om dingen te controleren, maar dat dient altijd *in verhouding tot een incident/ fraudezaak/...* te staan. Iedereen en alles monitoren zonder goede reden mag dus niet. Niet in kofferbakken, niet in persoonlijke schijven, niet in mailboxen. Wat een mafkees zeg. Terecht dat je daar tegen in verweer gaat.

Prima verwijzing, dank daarvoor!

Maar om nu te roepen dat het simpelweg niet is toegestaan klopt niet helemaal: mijn gevoel was dat het ervan af hangt of hierover vooraf richtlijnen op papier zijn gezet, en dat lijkt het betreffende document te bevestigen, bijvoorbeeld (in die paragraaf 3.1):Kortom, het hangt ervan af wat er vooraf met het personeel (en bij wat grotere bedrijven met de OR) is afgesproken.

Overigens vrees ik dat met de toenemende afschaffing van onze privacy (OV-chipkaart, camera's boven de wegen, km-heffing, kunnen volgen van mobieltjes etc) rechters steeds vaker in het voordeel van schenders zullen beslissen. Heb je soms wat te verbergen dan?

Hmm, ten eerste vraag ik me af:

Wat is het dan dat die manager precies zoekt ? En moet hij daarom toegang hebben tot de persoonlijke mappen van de werknemers ? Laat hem eens specificeren wat hij precies zoekt. Anders zou je ook kunnen loggen wat deze manager allemaal op het systeen uitspookt.

Ook vraag ik me af of werknemers wel prive bestanden mogen hebben op een baas zijn netwerk. Het netwerk is ja van de baas, en wordt normaal gebruikt voor werk doeleinden, en naar mijn menig niet voor prive doeleinden.

Niet dat ik de manager gelijk toegang tot alles wil geven, maar toch vraag ik me af waarom werknemers persoonlijk bestanden moeten hebben op een baas zijn pc c.q netwerk. Onder persoonlijk versta ik gegevens die niet werk gerelateerd zijn.

Ik zou een jurist (de bedrijfsjurist om precies te zijn) hierover contacteren...
Schoenmaker, blijf bij je leest!

Of het is toegestaan hangt helemaal af van de gepubliceerde policies in de organisatie waar je werkt.
In beginsel mag het niet. Dat is het uitgangspunt dat gedefinieerd staat in de privacy wetgeving. Het betreft persoonlijke mappen. Hoewel in beginsel uiteraard de data-ruimte voor het werk ter beschikking is gesteld, is het niet tegen te houden dat een medewerker een zekere mate van prive-zaken daar heeft staan. Vanwege allerlei fair-use bepalingen is dat voor een organisatie ook niet tegen te houden.

Indien er echter een policy bekend is gesteld (van tevoren dus) dat een manager onder omstandigheden toegang kan krijgen tot de persoonlijke mappen van zijn medewerkers heeft een medewerker dat maar te accepteren.
Hier zitten echter wel een paar haken en ogen aan:

1. De policy moet van tevoren reeds bekend zijn. Als er geen policy is hierover prevaleert te wet- en regelgeving onverkort
2. De manager mag 'Onder Omstandigheden' toegang krijgen. Hij kan dus niet zomaar het permanente recht krijgen, door bijvoorbeeld zijn account in de rechtenstructuur op te nemen. Da's zowiezo een no-go. Dat kan zelfs middels de policy niet geregeld worden!

Wanneer je dat als medewerker onacceptabel vindt, resten er maar twee opties: Nooit of te nimmer Prive-zaken in de homedir plaatsen of het bedrijf verlaten.

Kort antwoord op je vraag dus:

Hij kan dat wel willen, maar dat wat hij wil kan zowiezo niet. Wat wel kan is regelen dat er middelen komen om een manager daartoe in staat te stellen: Policy opstellen door de directie, bekend stellen, desnoods laten ondertekenen voor gelezen en begrepen en middelen implementeren dat een manager na toestemming inderdaad bij homedirs van gebruikers kan.

cheers

Op goed geluk een beetje gaan browsen in andermans bestanden is volgens mij nooit toegestaan. Een policy dat toestaat is - volgens mij - niet rechtsgeldig.

Wat wel kan is gericht zoeken wanneer er een concrete verdenking is. En dat kan je idd in een vooraf gepubliceerde policy regelen.

Dus wanneer die manager te veel tijd heeft , zich verveelt en daarom wat te lezen wil hebben, dan lijkt het antwoord: NEE, DAT MAG NIET.

En er zijn bijzondere situaties die het inzien van bestanden blokkeren, bijvoorbeeld als de betreffende medewerker als vertrouwenspersoon is aangesteld.

nou ja wat hij wil kan op zich wel. In principe kunnen we gewoon DFS rechten op alle mappen zetten aan zijn eigen account of een groep en hem daar lid van maken of hoe dan ook. Technisch is het dus ook geen enkel probleem.

Wij hebben inmiddels aangegeven hoe het zit met de WBP en wat wel en niet zou mogen wat dit betreft. Helaas hebben we nog geen breed beleid over hoe om te gaan met de automatiseringsmiddelen, zo'n document gaat er wel komen nu trouwens.

Naar aanleiding van onze reacite hebben we inmiddels bereikt dat er kennis is genomen van de bezwaren en wij "ingedekt" zijn door het mgmt te wijzen op hun verantwoordelijkheden, echter in het kader van bedrijfsbelang wordt er toch verlangt dat dit wordt doorgevoerd.

het betreft hier geen verdenkingen of kort durende onderzoeken maar een permanente toegang tot de home directories op de fileserver voor het "geval" dat er een document nodig is.

Stefan

Dat iets technisch kan, maakt het nog niet toegestaan. Dit is dus precies de crux: het mag NIET. Alleen wanneer de omstandigheden dit nodig maken, mag een derde toegang krijgen.


Laat me je waarschuwen: Die 'indekking' is waardeloos. Management zal in essentie alles zeggen om zijn zin te krijgen. Er is GEEN juridische ondersteuning hiervoor en jij bent hoofdelijk aansprakelijk als er aangifte wordt gedaan. Management trekt echt wel zijn keutel in.



Permanente toegang mag niet. Wat wel mag is de zaak zo inrichten dat toegang eenvoudig verleend kan worden op incidentele basis, NA TOESTEMMING van de hogere machten.

Het is niet toegestaan om in iemands gegevens te neuzen. Het is wettelijk verboden aangezien het om schending van privacy en briefgeheim. Dit zijn de wetten.

Behalve dat het gedrag van deze manager hoogst ongepast is, zou ik deze vraag voorleggen aan zijn manager...

hij heeft niet echt een manager. hij is daar de baas, de enige die indirect nog boven hem staat zit er heel praktisch in en geeft aan dat als hij die rechten nodig denkt te hebben dat het onder protest toch moet worden vrijgegeven.

S.

maak er, desnoods anoniem, melding van bij het CBP

Hellas is dit ook niet helemaal waar.

Ook al wordt er van de werkgever en werknemer verwacht dat ze zich tegenover elkaar correct opstellen (Artikel 611 BW), is het zeker zinvol als een werkgever duidelijk beschrijft wat haar werknemers wel en niet mogen doen met de middelen die de werknemers ter beschikking gesteld worden. Indien deze beschrijving niet bestaat dan kan een bedrijf slechts uiterst moeizaam iets tegen een werknemer beginnen, immers, wat heeft deze verbroken?

Mits aan bepaalde voorwaarden wordt voldaan, biedt de Wet Bescherming Persoonsgegevens (WBP) een werkgever de ruimte om onderzoek naar eventuele misdragingen uit te voeren (Artikel 8). Zo moet er bijvoorbeeld voor een verzameling een doel zijn (Artikel 7), en moet deze aan de proportionaliteits- (alleen persoonlijk data / informatie welke relevant is aan het doel mag verzameld worden) en subsidiariteits- (de minst belastende manier om data te vergaren is gebruikt) eisen voldoen.

De vraag dus of een manager toegang gegeven mag worden naar alle mappen en bestanden kan stellig met nee beantwoord worden. Zelfs een uitspraak van de OR is niet bindend voor de werknemer, de WOR is in dit geval ondergeschikt aan de WBP. Naast toestemming van een werknemer, is de enige manier om volledige toegang tot mappen en bestanden te krijgen als de werknemer geen invloed op deze beslissing kan uitoefenen, bijvoorbeeld als er een gegronde verdenking van misdragingen bestaat. Hoe dit in zijn werk gaat zal beschreven, en voor de uitvoering ervan bij een acceptabele partij (zoals een juridische afdeling, of HR) neergelegd moeten worden.

Lijkt me een duidelijke zaak. ALLE gegevens in bestanden, die op bedrijfs netwerken staan, zijn eigendom van het bedrijf. En het staat hun dus vrij hiermee te doen wat ze willen. Ze zouden dit hooguit moeten aangeven, zoals dat bij email ook gebruikelijk is. Zo van, alle bestanden en email kunnen door de werkgever gelezen worden.

Staat los van het feit dat ik hier fel tegen zou zijn als beheerder, want je kunt onmogelijk verantwoordelijk zijn voor data waar een noob manager toegang tot heeft.

Klopt. Ik miste in de discussie nog het subsidiariteits- en proportionaliteitsbeginsel en de functiescheiding. Een zo onafhankelijk mogelijk orgaan in de organisatie (bij voorkeur security/compliance/juridische afdeling) de toetsing moeten doen of een onderzoek (of toegang tot gegevens) gerechtvaardigd is. Deze afdeling is in het algemeen (naast de directie) de enige die IT toestemming tot het uitvoeren van dergelijke onderzoeken mag geven.

Kortom, 'de business' vraagt, het onafhankelijke orgaan toetst en accordeert en IT voert uit.

Je moet gewoon vragen of die op papier wil zetten wat die wil met een handtekening. Dan krabbelt die wel terug

Jij bent niet in de positie om te bepalen wat iemand wel of niet mag in zien. Het feit dat je de sleutels in handen hebt houdt niet in dat je ook je broeders hoeder bent. Laat je manager een mail sturen waarin hij aangeeft wat hij wil, sputter wat tegen in een reply desnoods met wat linkjes van bovenstaande verhalen. En laat het hem vervolgens zelf uitzoeken. Mailtje wel netjes uitprinten en archiveren.

Eddee

Ach, zo'n eikel moet je gewoon met zijn eigen wapens terugpakken.

Stuur een bericht uit naar alle gebruikers dat in verband met security (en een nieuwsgierige mngr) elk document in ieders homedir encrypted moet zijn. Vermeld erbij dat de homedirs dagelijks gescanned worden en dat unencrypted bestanden automatisch worden verwijderd voordat er een backup wordt gemaakt (maakt niet uit of je dit kunt implementeren).

Je zou natuurlijk voor de gein ook die mngr toegang kunnen geven tot dirs waarvan hij denkt dat het de homedirs van de gebruikers zijn en deze vullen met wat flauwekul. Zo'n mngr is niet capabel en zal dit dus ook echt niet merken, vooral niet als je een container maakt met flink wat rommel-bestanden en deze dagelijks random over de homedirs versrpeid, evt voorzien van gewijzigde namen.

Je zou ook nog wat linker kunnen worden (je hebt tenslotte acces tot ook de homedir van de mngr, en kan ook backups defieren en maken?, hehehe), maar dit is natuurlijk strafbaar, echter alleen als bewezen kan worden dat jij de files in zijn dir hebt gestopt. Tja, wat zou je zoal in zijn homedir kunnen doen????

Whahaha.

Je zou kunnen denkene aan CAO gegevens, of gegevens van de OR die niet voor jou bedoeld zijn.
Een CV in je persoonlijke mappen zou kunnen betekenen dat je misschien wel op zoek bent naar een andere uitdaging = hoef hij geen investering meer voor te doen. Persoonlijke foto's (voor je screensaver).
Even kijken wat er besproken is tijdens de werkbesprekingen van een andere afdeling.

Ik kan wel een aantal bedenken.

overigens geldt dat als er niets geregeld is de werkgever gebonden is aan de regels van de wet en dus geen toegang mag hebben tot privé mappen.

je werkgever is in principe eigenaar van alles binnen het bedrijf, en mag zeer zeker de email (bijvoorbeeld) "beheren", als hij een manager die opdracht geeft dan zal het tot een zeker punt zeker kunnen, ik kan namelijk niet een klant verbieden op een bepaalde manier gebruik van zijn (eigen) computers te maken...

waar dit echter ophoud is op het punt dat men aan de persoonlijke leefsfeer komt, de privacy schend, of informatie wil verzamelen/lezen die totaal niet van toepassing is om dit soort zaken te doen. het is mijn mening een beetje dubbele vraag omdat jij als werknemer recht hebt op privacy enz, maar dat jou werkgever (of een andere daarvoor door hem aangestelde persoon) ook volledig het recht heeft om zijn bedrijfsvoering te bepalen, mits hij dus weer binnen die regels tegen privacyschending enz. blijft...

als een werknemer dit op zijn eigen initiatief bepaald dit te willen doen dan geef ik m weinig kans, grote kans dat het dan niet mag...

maar als icter heb ik hele andere overwegingen om dit soort dingen niet te doen, omdat het delen van alle systemen gigantische risico's met zich mee brengt, je hoeft maar 1 virus binnen te krijgen die niet herkend word en je hele netwerk kan plat gaan omdat dmv de gedeelde mappen alle deuren wagenwijd open staan, bijvoorbeeld...
alles word centraal aan elkaar geknoopt op de 1 of andere manier, en we zien wel aan de zoveelste gestolen of verloren database met persoonsgegevens dat dit eigenlijk op zijn minst ongewenst is, zo niet ronduit gevaarlijk (en misschien ook wel een beetje dom?)

hoe graag iemand zoiets ook zou willen, ik zou het dus altijd sterk afraden en waarschijnlijk het ook niet onder mijn verantwoording uit willen voeren...

En wat als het bedrijf niet zo'n afdeling heeft? mag deze dan ook een extern bedrijf inhuren? bijvoorbeeld een particulier digitaal onderzoeker, en wat zijn zijn restricties dan binnen het onderzoeken van het bedrijf?