Juridische vraag: Mag admin wachtwoord van gebruiker wijzigen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Deze week een 'bezemwagen-editie' van de Juridische vraag, waarbij Arnoud elke dag één vraag kort behandelt.
Vraag: Mag een beheerder zomaar een wachtwoord wijzigen van een gebruiker zonder dat deze gebruiker hiervan op de hoogte wordt gebracht? Met andere woorden: is een password "eigendom" van een gebruiker?
Antwoord: Een password is juridisch geen 'ding' dus van eigendom kun je niet spreken. En ik ken ook geen andere wettelijke regels over wachtwoorden. Ik zie eerlijk gezegd het probleem niet met zo'n wachtwoordwijziging, mits men je natuurlijk maar mededeelt wat het nieuwe wachtwoord is geworden. Als je het nieuwe wachtwoord niet krijgt, dan kun je spreken van een vorm van wanprestatie, je kunt immers niet meer bij de dienst waar je voor betaalt.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Als de beheerder van een bedrijf of organisatie is, is dat gebruikelijk. Ik moet dat b.v. iedere 6 weken doen van de gemeente Rotterdam, je moet dan even of een nieuw ww ingeven (oud/nieuw) of een nieuw voorlopig WW aanvragen en zelf weer veranderen.
Een webhoster kan er ook belang bij kunnen hebben en zou je een nieuw WW moeten laten aanvragen of op veilige wijze geven.
Er zijn natuurlijk ook voorbeelden waarbij een ex werknemer 'nog even inlogt', in die gevallen zou het WW door de beheerder rechtmatig verandert kunnen worden of het account gesloten.
Mogelijke redenen kunnen zijn: noodzakelijke updates, virus-bestrijding, upgrades van software of gewoon algemeen computerherstel.
Het lijkt mij dat systeembeheerders dit soort taken ook kunnen uitvoeren zonder als de gebruiker in te loggen maar als het bijvoorbeeld persoonlijke instellingen van de gebruiker betreft is het natuurlijk wel handig.
Overigens kan dit ook gebeuren bij netwerk-migraties waarbij alle gebruikers naar een nieuw domein verhuizen. Dat maakt de situatie zelfs een beetje complex omdat je gebruikers-accounts toch wilt bewaren terwijl dit niet zomaar kan. Je krijgt dan dat alle gebruikers een nieuw account krijgen op het nieuwe domein en hun oude login eigenlijk verdwijnt. Vervelend, maar wel noodzakelijk. Zeker als een bedrijf van naam verandert en dus ook het domein aanpast.
Sowieso, het gaat om beheerders. Zijn taak is het om alle systemen te beheren. Daarvoor mag hij alles doen wat nodig is om zijn taak uit te voeren. En soms betekent dat ook dat de gebruiker opeens in vervelende situaties komt omdat gegevens weg zijn, programma's gedeinstalleerd zijn of wat dan ook.
Ik vraag mij alleen af in hoeverre een ex-werknemer nog recht heeft om op zijn oude systeem in te loggen. Het lijkt mij dat ex-werknemers per direct worden geblokkeerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Senior Veiligheidsadviseur
Ministerie van Economische Zaken en Klimaat
Een zeer dynamische en unieke functie met directe impact op de nationale veiligheid, daarover gaat deze interessante vacature. Voor de ministeries Economische Zaken & Klimaat en Landbouw, Natuur en Voedsel-kwaliteit, zorg jij dat staatsgeheime informatie optimaal beveiligd is en je adviseert over beleid en bij vragen op dit gebied.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.