image

Juridische vraag: Belangrijke app werkt alleen met IE6

woensdag 28 september 2011, 13:55 door Arnoud Engelfriet, 8 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Mijn werkgever heeft een nieuw systeem ingevoerd voor de salarisadministratie. Echter, nadat ik het systeem een keer had gebruikt ging ik me flinke zorgen maken. Het lijkt erop dat het systeem uit het pre-internet tijdperk komt en snel even een likje verf heeft gekregen. Zo werkt het systeem alleen met Internet Explorer 6 en kun je na 22:00 niet inloggen "omdat de server dan opnieuw opgestart wordt". Mag mijn werkgever wel met zo'n onveilig systeem salarisgegevens verwerken?

Antwoord: Helaas komt het regelmatig voor dat bedrijven applicaties of tools invoeren die bepaald onprettig werken. Of het nu is omdat het antieke systemen zijn met een semi-moderne interface, omdat het bedieningsgemak nul is of omdat het gewoon een lomp groot stuk software is. Op zich is daar weinig aan te doen, als werknemer heb je je er maar naar te schikken.

Wanneer het gaat om persoonlijke informatie dan mag je iets meer verwachten. Persoonsgegevens moeten adequaat beveiligd worden tegen misbruik en ongeautoriseerde toegang, zo bepaalt de Wet bescherming persoonsgegevens. Wat adequaat is, staat echter niet in de wet. Dit omdat ‘adequaat’ afhankelijk is van de situatie: een lijst e-mailadressen voor een nieuwsbrief is onvergelijkbaar met een server met elektronische patiëntendossiers in een ziekenhuis. Het Cbp heeft een handreiking Achtergrond Studies en Verkenningen 23 gepubliceerd met daarin een methodiek voor het bepalen van passende beveiligingsmaatregelen in verschillende toepassingsgebieden. Deze handreiking is formeel niet bindend.

Diverse branches hebben hun eigen normen ontwikkeld. Ook deze normen zijn formeel niet bindend, maar wie algemeen aanvaarde normen negeert, heeft wel wat uit te leggen in het geval zijn database met gegevens gekraakt of misbruikt wordt. Zo gelden in de zorg diverse NEN-normen (met name NEN 7510) als algemeen aanvaard en in veel gevallen dankzij andere wet- en regelgeving zelfs als verplicht.

Voor bedrijfsadministraties zijn zulke normen er niet. Je kunt je dus niet concreet benoemen op een norm of regel die wordt geschonden, alleen maar omdat het systeem onprettig werkt of niet verklaart ISO/IEC 27002 compliant te zijn. Meer dan navragen of het wel veilig ís, zit er niet in.

(Overigens kun je niet verbieden dat jouw gegevens in zo'n systeem worden gebruikt of dat je een elektronische loonstrook krijgt uit dat systeem. In principe moet een loonstrookje schriftelijk, zo blijkt uit artikel 7:626 BW.

Maar als de loonstrook hetzelfde is als de vorige maand, dan mag men volstaan met een elektronische strook.)

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (8)
28-09-2011, 14:08 door Mysterio
Wellicht dat het mogelijk is om dit pakket in een virtuele omgeving te draaien? Het lijkt me niet wenselijk om dit op een werkplek te hebben. De virtuele omgeving kun je afschermen van je bedrijfsnetwerk en, belangrijker, van internet.
28-09-2011, 15:49 door WhizzMan
En dan wil je de frontend (windows XP met IE6, gefirewalled zodat alleen de backend te benaderen is en geen andere computers) ook op een virtuele omgeving op alle clients gaan draaien? Iets zegt me dat dat niet in de begroting meegenomen is bij de implementatie van het pakket.
28-09-2011, 21:15 door Anoniem
Als het maar goedkoop is. Veiligheid telt in sommige organisaties niet. Upgraden is ook zo moeilijk als je er geen verstand van hebt. Laat ze eerst een certificeringen halen en ineffectieve organisatiestructuren omvormen.
29-09-2011, 08:55 door spatieman
het zal wel een goedkope aanbieding zijn geweest.
kost niets, dan heb je ook niets..
29-09-2011, 11:27 door Anoniem
Belangrijke zinsnede in WbP is "aan de stand van techniek", zie hieronder.

CbP zou dan ook geen documenten op de site moeten hebben uit 2001!!!! Inmiddels zijn er namelijk veel meer methoden en technieken om gegevens goed te beschermen.

“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen…”
29-09-2011, 13:12 door Anoniem
Door spatieman: het zal wel een goedkope aanbieding zijn geweest.
kost niets, dan heb je ook niets..

Zoals opensource software?

Beetje rare uitspraak ....
29-09-2011, 16:33 door Mysterio
Door WhizzMan: En dan wil je de frontend (windows XP met IE6, gefirewalled zodat alleen de backend te benaderen is en geen andere computers) ook op een virtuele omgeving op alle clients gaan draaien? Iets zegt me dat dat niet in de begroting meegenomen is bij de implementatie van het pakket.
Nee, je kan HRM via bijvoorbeeld remote desktop of een tool die daar gebruik van maakt, toegang geven tot de virtuele server waar de applicatie draait. De output kun je via een andere interface (bv. PDF export) richting de gewone gebruikers openstellen.

Ik ken de applicatie niet, maar ik kan me voorstellen dat het een database is met een vrij eenvoudige interface waar je aan kan peuteren wat je wil. Je hoeft niet perse de route aan te houden die de leverancier aangeeft.
03-10-2011, 23:46 door Night
Wel grappig van dat papieren loonstrookje.
Mijn werkgever doet al lang en naar volle tevredenheid van medewerkers aan digitale loonstrookjes. Ik noem geen namen maar het is qua omvang een "aardig" bedrijfje om even een understatement te gebruiken.
En volgens mij zijn er steeds meer bedrijven die dat doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.