Juridische vraag: mag werkgever chatberichten monitoren?
woensdag 24 september 2014, 11:33 door Arnoud Engelfriet, 13 reacties
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Op mijn werk gaat het hardnekkige gerucht dat het management monitort wat we met elkaar bespreken via Lync, het chatprogramma dat onderdeel is van Microsoft Office. Stel dat dit waar is, wat kunnen we daaraan doen?
Antwoord: In theorie zou het gerucht eenvoudig te verifiëren moeten zijn. Om ICT-handelingen van werknemers te mogen monitoren, is een ICT-reglement waar dat in uitgelegd staat verplicht. Je kunt dus het reglement erbij pakken en nagaan of erin staat dat men Lync (of in het algemeen, chatdiensten etc) mag monitoren.
Natuurlijk kan men dingen doen zonder dat gedocumenteerd te hebben maar dat is toch echt tegen de wet. Een werkgever mag geen privacy van werknemers schenden zonder een duidelijke gedocumenteerde basis. Doen ze dat toch, dan kan de werknemer een schadeclaim indienen mits hij kan onderbouwen welke financiële schade hij heeft.
Daarnaast is er altijd de eis dat de schending gerechtvaardigd wordt door een dringende noodzaak én dat de maatregel proportioneel en subsidiair is: het kon niet anders dan op deze manier.
Bij gericht monitoren van een medewerker die al is aangesproken op bv. ongepast taalgebruik of overmatig chatten kan ik me daar wat bij voorstellen. Maar bij het algemeen loggen en monitoren van iedereen zijn of haar chats eigenlijk niet. Het is haast per definitie niet proportioneel om alles te loggen of met alles mee te luisteren.
Het verbaast me wel eens dat dit soort dingen binnen een ICT context normaal lijken te zijn. Terwijl als je het vertaalt naar een analoge context het snel bizar wordt: welke directie gaat onder elk bureau een verborgen microfoon ophangen of met richtmicrofoons de kantine afluisteren?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (13)
Het verbaast me wel eens dat dit soort dingen binnen een ICT context normaal lijken te zijn.
Dit zien we veel in heel het land. Electronisch betalen? Monitoren! Sterker, om de wipwap beslissen dat je kredietkaartaankoop toch niet kosher was en de kaart blokkeren. In de trein of de bus stappen? Nu de kaartjes electronisch zijn blijft drie jaar lang bewaard waar en wanneer jij dat deed. Rondrijden met je auto? Nu we cameras hebben, opslaan wie er waar wanneer reed. Voorheen hadden we het rekeningrijden en ondertussen hebben we de door de EU verplichte zwarte doos met politiebelapplicatie. Reis je verder? Op schiphol wordt je nu electronisch op je gelaatsuitdrukking beoordeeld. Stap je in het vliegtuig dan wordt dat ook bijgehouden en gelijk naar grote broer Amerika doorgestuurd.En zo nog vele meer. Zodra het kan, gebeurt het. Of het wenselijk is? Die vraag wordt niet eens gesteld. En als wel dan krijg je het aloude "als je niets te verbergen hebt, heb je ook niets te vrezen" terug. Helaas is dat laatste gewoon niet waar.
Er zijn twee manieren om hier wat aan te doen. De eerste is beslissers leren dat "willen we dit wel?" een valide vraag is waar goed over nagedacht moet worden, inclusief en vooral over de duistere kanten die zoals ondertussen duidelijk mag zijn toch echt niet denkbeeldig zijn. En aangezien de beslissers meestal oude vastgeroeste reutelaars zijn duurt dat, en dat kon wel eens te lang duren. Dus moet eigenlijk heel het land zich wagen aan dat moeilijke ding van echt nadenken tot de hersens pijn doen, concluderen dat we dit niet willen en laten we het anders aanpakken.
De tweede manier is dat we besluiten dat onze samenleving niet meer te redden is en laten we de boel tot op de grond afbreken en opnieuw opbouwen. Meestal gebeurt zoiets pas na een lange periode van langzaamaan sterker wordende onderdrukking, zodat de boel goed ontploft en er flink veel nevenschade te betreuren is. Helaas verbetert revolutie uiteindelijk meestal minder dan niets, namelijk het wordt een groter zooitje of, meestal en, nog strenger op de vrijheden van het volk. Dus die lastige en moeilijke bewustwording is voor de houdbaarheid toch echt beter.
Dus, huiswerk: Snappen waarom "als je niets te verbergen hebt" zo een corosieve en destructieve houding is. Waarom "vertrouw ons nou maar, burger, want wij als overheid vertrouwen u niet" gewoon niet kan. Waarom transparantie een ding voor het overheidsapparaat en privacy een ding voor de burger is en niet andersom. En leer het je familie en vrienden.
En je werk? Het is makkelijker van werk dan van overheid te wisselen. Maar binnen de veel beperktere context van je werk erover nadenken is een goed begin, als je dat makkelijker vindt.
24-09-2014, 15:06 door
johanw
Nog even afgezien van de vraag of het mag, kan het uberhaupt? Gaat dat MS spul allemaal niet versleutelt via een bedrijfscentrale die chats kan loggen of zo?
Door johanw:Nog even afgezien van de vraag of het mag, kan het uberhaupt? Gaat dat MS spul allemaal niet versleutelt via een bedrijfscentrale die chats kan loggen of zo?
Lync-verkeer is idd standaard versleuteld.De vraag luidt of het kan worden ingezien op de lync server zelf.
Volgens mij niet. Toch maar even uitzoeken....
edit 20:17
http://blogs.technet.com/b/nexthop/archive/2012/02/15/how-to-decrypt-lync-2010-tls-traffic-using-microsoft-network-monitor.aspx
In het kort: Volgens MS moet verkeer live worden gecaptured op de lync server zelf.
Vervolgens kan dit via de lync server certificate met private key worden ontsleuteld.
Zowel de certificate als private key moeten wel worden geexporteerd.
Lync server admins kunnen dus idd TLS encrypted verkeer ontsleutelen en de (chat)sessies inzien.
Door mcb:
De vraag luidt of het kan worden ingezien op de lync server zelf.
Volgens mij niet. Toch maar even uitzoeken....
edit 20:17
http://blogs.technet.com/b/nexthop/archive/2012/02/15/how-to-decrypt-lync-2010-tls-traffic-using-microsoft-network-monitor.aspx
In het kort: Volgens MS moet verkeer live worden gecaptured op de lync server zelf.
Vervolgens kan dit via de lync server certificate met private key worden ontsleuteld.
Zowel de certificate als private key moeten wel worden geexporteerd.
Lync server admins kunnen dus idd TLS encrypted verkeer ontsleutelen en de (chat)sessies inzien.
Door johanw:Nog even afgezien van de vraag of het mag, kan het uberhaupt? Gaat dat MS spul allemaal niet versleutelt via een bedrijfscentrale die chats kan loggen of zo?
Lync-verkeer is idd standaard versleuteld.De vraag luidt of het kan worden ingezien op de lync server zelf.
Volgens mij niet. Toch maar even uitzoeken....
edit 20:17
http://blogs.technet.com/b/nexthop/archive/2012/02/15/how-to-decrypt-lync-2010-tls-traffic-using-microsoft-network-monitor.aspx
In het kort: Volgens MS moet verkeer live worden gecaptured op de lync server zelf.
Vervolgens kan dit via de lync server certificate met private key worden ontsleuteld.
Zowel de certificate als private key moeten wel worden geexporteerd.
Lync server admins kunnen dus idd TLS encrypted verkeer ontsleutelen en de (chat)sessies inzien.
Chatlogs van Lync worden standaard in je Exchange mailbox opgeslagen (foldertje Conversation History oid), wellicht dat de manager simpelweg hier in kijkt.
24-09-2014, 21:30 door
Eric-Jan H te D
Wat is monitoren?
Logging is volgens mij zonder meer toegestaan. Dit kan nodig zijn vanwege mogelijk juridische
gevolgen voor het bedrijf. De log bekijken is weer iets heel anders.
Logging is volgens mij zonder meer toegestaan. Dit kan nodig zijn vanwege mogelijk juridische
gevolgen voor het bedrijf. De log bekijken is weer iets heel anders.
Wederom z'n vraag waarvan ik mij afvraag of de stemmingmakerij die er vanaf straalt niet belangrijker is dan het antwoord dat er op volgt......
Lync is een chatprogramma dat door de werkgever ter beschikking wordt gesteld om als medewerker je werk mee te kunnen doen. Los dus van de vraag of het wel of niet is toegestaan vind ik dat het vanzelfsprekend zou moeten zijn dat een werkgever inzage heeft in de chatlogs.
Het is immers eigendom van de werkgever en de werknemers maken er tijdens werktijd (voor hun werk) gebruik van.
Anders zou het zijn wanneer een werkgever andere chat programma's zou gaan monitoren. Denk aan Whatsapp, FB chat, Line, Telegram, Skype, Tango etc.......
Dus als je iets te chatten hebt waarvan je niet wilt dat de baas dat hoort of leest, spreek elkaar dan buiten werktijd op een plek buiten kantoor of gebruik een ander chatprogramma.
Lync is een chatprogramma dat door de werkgever ter beschikking wordt gesteld om als medewerker je werk mee te kunnen doen. Los dus van de vraag of het wel of niet is toegestaan vind ik dat het vanzelfsprekend zou moeten zijn dat een werkgever inzage heeft in de chatlogs.
Het is immers eigendom van de werkgever en de werknemers maken er tijdens werktijd (voor hun werk) gebruik van.
Anders zou het zijn wanneer een werkgever andere chat programma's zou gaan monitoren. Denk aan Whatsapp, FB chat, Line, Telegram, Skype, Tango etc.......
Dus als je iets te chatten hebt waarvan je niet wilt dat de baas dat hoort of leest, spreek elkaar dan buiten werktijd op een plek buiten kantoor of gebruik een ander chatprogramma.
Het is ook mogelijk om te 'archiven' zonder TLS verkeer te moeten capturen en decrypten, het is gewoon een feature van Lync:
http://technet.microsoft.com/nl-nl/library/jj204900.aspx
http://technet.microsoft.com/nl-nl/library/jj204900.aspx
25-09-2014, 11:46 door
Mysterio
Ik vroeg net aan de baas via Lync of hij mijn bericht kon lezen, daar antwoordde hij op dat hij mijn bericht kon zien dus ik denk dat ik word bespioneerd ;)
-zucht- Het is inderdaad in theorie mogelijk dat 'de baas' de chatgeschiedenis kan inzien. Of iemand het werkelijk nodig vindt om alle gesprekken na te gaan vraag ik me af. Als je ergens werkt waar je bang bent dat het management de inhoud van jouw chat niet kan hebben denk ik dat het goed is om na te gaan of je wel op je plek zit.
-zucht- Het is inderdaad in theorie mogelijk dat 'de baas' de chatgeschiedenis kan inzien. Of iemand het werkelijk nodig vindt om alle gesprekken na te gaan vraag ik me af. Als je ergens werkt waar je bang bent dat het management de inhoud van jouw chat niet kan hebben denk ik dat het goed is om na te gaan of je wel op je plek zit.
Aan Anoniem van 07:14 en Mysterio, maar ook in het algemeen:
Het is niet altijd zo dat als werknemers zich afvragen of hun chats en e-mails door de werkgever gelezen kunnen worden, die werknemers dit doen omdat ze ongestoord willen roddelen of praten over niet werkgerelateerde zaken. Het is te kort door de bocht om te stellen dat als je ongestoord wilt praten je dit maar buiten werktijd moet doen, of dat de werkgever de middelen beschikbaar stelt en dus ongehinderd toegang zou moeten hebben. Sommige communicatie tussen werknemers onderling moet buiten het bereik van de werkgever blijven, maar is wel werk- of functiegerelateerd.
Een voorbeeld hiervan zijn mensen die in de OR zitten. Deze moeten -ook als ze in meerdere fysieke locaties of vestigingen zitten en dus niet dagelijks elkaar kunnen spreken- met elkaar kunnen overleggen over voorstellen en antwoorden e.d. Zij moeten vragen en opmerkingen van personeel kunnen bespreken en beantwoorden zonder dat de werkgever kan zien wie op welke manier tegen een reorganisatie aankijkt.
Hetzelfde gaat op voor vertrouwenspersonen die vooral grotere bedrijven hebben. Daarnaast zijn er dan nog de gesprekken met de bedrijfsarts of ARBOdienst. Verder is er bij sommige bedrijven sprake van bij wet opgelegde vertrouwelijkheid, bijvoorbeeld mensen bij Internetproviders of telefoonmaatschappijen die zich bezig houden met juridische aftapmogelijkheden. Bij sommige bedrijven wordt door medewerkers gesproken over vertrouwelijke zaken, bijvoorbeeld bij ziektekostenverzekeringsmaatschappijen. Vergelijkbare functies heb je ook bij banken en kredietverleners. Bij sommige bedrijven (bijv. in de telecom) worden er diensten geleverd aan "concurrenten", en de details van deze diensten zijn ook vertrouwelijk omdat dit beursgevoelige informatie kan geven.
Kortom, niet alle gesprekken moeten inzichtelijk zijn voor managers of IT-afdelingen en niet al deze gesprekken gaan over voetbal of soortgelijke onzin. Het getuigt van goed werknemerschap wanneer mensen die zich met dit soort dingen bezig houden willen controleren hoe het daarmee zit.
Het is niet altijd zo dat als werknemers zich afvragen of hun chats en e-mails door de werkgever gelezen kunnen worden, die werknemers dit doen omdat ze ongestoord willen roddelen of praten over niet werkgerelateerde zaken. Het is te kort door de bocht om te stellen dat als je ongestoord wilt praten je dit maar buiten werktijd moet doen, of dat de werkgever de middelen beschikbaar stelt en dus ongehinderd toegang zou moeten hebben. Sommige communicatie tussen werknemers onderling moet buiten het bereik van de werkgever blijven, maar is wel werk- of functiegerelateerd.
Een voorbeeld hiervan zijn mensen die in de OR zitten. Deze moeten -ook als ze in meerdere fysieke locaties of vestigingen zitten en dus niet dagelijks elkaar kunnen spreken- met elkaar kunnen overleggen over voorstellen en antwoorden e.d. Zij moeten vragen en opmerkingen van personeel kunnen bespreken en beantwoorden zonder dat de werkgever kan zien wie op welke manier tegen een reorganisatie aankijkt.
Hetzelfde gaat op voor vertrouwenspersonen die vooral grotere bedrijven hebben. Daarnaast zijn er dan nog de gesprekken met de bedrijfsarts of ARBOdienst. Verder is er bij sommige bedrijven sprake van bij wet opgelegde vertrouwelijkheid, bijvoorbeeld mensen bij Internetproviders of telefoonmaatschappijen die zich bezig houden met juridische aftapmogelijkheden. Bij sommige bedrijven wordt door medewerkers gesproken over vertrouwelijke zaken, bijvoorbeeld bij ziektekostenverzekeringsmaatschappijen. Vergelijkbare functies heb je ook bij banken en kredietverleners. Bij sommige bedrijven (bijv. in de telecom) worden er diensten geleverd aan "concurrenten", en de details van deze diensten zijn ook vertrouwelijk omdat dit beursgevoelige informatie kan geven.
Kortom, niet alle gesprekken moeten inzichtelijk zijn voor managers of IT-afdelingen en niet al deze gesprekken gaan over voetbal of soortgelijke onzin. Het getuigt van goed werknemerschap wanneer mensen die zich met dit soort dingen bezig houden willen controleren hoe het daarmee zit.
Het verbaast me wel eens dat dit soort dingen binnen een ICT context normaal lijken te zijn. Terwijl als je het vertaalt naar een analoge context het snel bizar wordt
Het verbaast mij oprecht dat dat je nog verbazen kan Arnoud, alle respect verder.Het voornaamste (achterliggende) doel van automatisering is CONTROLE(REN).
Dat de daarbij gebruikte terminologie, (met opzet) wat 'minder doorzichtig' is, mag voor zichzelf spreken, me dunkt.
Verder weer alle complimenten & dank voor je bijdrage!
Door Anoniem: Wederom z'n vraag waarvan ik mij afvraag of de stemmingmakerij die er vanaf straalt niet belangrijker is dan het antwoord dat er op volgt......
Lync is een chatprogramma dat door de werkgever ter beschikking wordt gesteld om als medewerker je werk mee te kunnen doen. Los dus van de vraag of het wel of niet is toegestaan vind ik dat het vanzelfsprekend zou moeten zijn dat een werkgever inzage heeft in de chatlogs.
Werkzaam in de ICT toevallig?Lync is een chatprogramma dat door de werkgever ter beschikking wordt gesteld om als medewerker je werk mee te kunnen doen. Los dus van de vraag of het wel of niet is toegestaan vind ik dat het vanzelfsprekend zou moeten zijn dat een werkgever inzage heeft in de chatlogs.
Het tegenovergestelde is waar; een werknemer heeft recht op een zekere mate van privacy.
Zoals Arnoud al meldt, zodra je een vergelijking trekt met een tastbare situatie, wordt het al snel bijzonder vervreemdend.
Ik noem één voorbeeld; het toilet.
Als ik jouw mening tot beleid verhef, zal dat resulteren in buitengewoon 'transparante' arbeidsomstandigheden...
De uitkomst van de som 1 + 1 is maar zelden exact 2. Vaker is het een getal ergens tussen de 1 en de 3.
Door Mysterio:Als je ergens werkt waar je bang bent dat het management de inhoud van jouw chat niet kan hebben denk ik dat het goed is om na te gaan of je wel op je plek zit.
Ik denk dat vrijwel iedereen dan "op de verkeerde plek zit."Mijn ervaring is dat nog geen 10% v/d leidinggevenden binnen organisaties daadwerkelijk prijs stellen op een (uitgesproken) eigen mening. Dit geldt, als ik héél eerlijk ben, ook voor mijzelf.
Dat is ook geen onbekend fenomeen, juist daarom zijn werknemers buitengewoon goed beschermd door de Nederlandse Wet.
Wat ik vaak terug zie is dat mensen de gespreken in lync opstaan of automatisch laten opslaan in outlook. Veel bedrijven waar ik kom is dat zelfs de standaard instelling. Wanneer dit gebeurd kan je eenvoudig alle gespreken terug lezen indien je toegang heb tot een gebruiker zijn mailbox. En naar mijn weten kan een admin zonder moeite je mailbox openen.
Door Eric-Jan H te A: Wat is monitoren?
Logging is volgens mij zonder meer toegestaan. Dit kan nodig zijn vanwege mogelijk juridische
gevolgen voor het bedrijf. De log bekijken is weer iets heel anders.
mo·ni·to·ren (monitorde, heeft gemonitord) Logging is volgens mij zonder meer toegestaan. Dit kan nodig zijn vanwege mogelijk juridische
gevolgen voor het bedrijf. De log bekijken is weer iets heel anders.
1. controleren, toezicht houden op
http://vandale.nl/opzoeken?pattern=monitoren&lang=nn#.VCQ0GBbEm9Y
25-09-2014, 23:05 door
mcb
Door Anoniem: Wederom z'n vraag waarvan ik mij afvraag of de stemmingmakerij die er vanaf straalt niet belangrijker is dan het antwoord dat er op volgt......
Lync is een chatprogramma dat door de werkgever ter beschikking wordt gesteld om als medewerker je werk mee te kunnen doen. Los dus van de vraag of het wel of niet is toegestaan vind ik dat het vanzelfsprekend zou moeten zijn dat een werkgever inzage heeft in de chatlogs.
Het is immers eigendom van de werkgever en de werknemers maken er tijdens werktijd (voor hun werk) gebruik van.
....<knip>....
Dus als je iets te chatten hebt waarvan je niet wilt dat de baas dat hoort of leest, spreek elkaar dan buiten werktijd op een plek buiten kantoor of gebruik een ander chatprogramma.
Wil je hiermee zeggen dat je het ook niet erg vindt als je manager de hele dag achter je dat en over je schouder zit mee te kijken?Lync is een chatprogramma dat door de werkgever ter beschikking wordt gesteld om als medewerker je werk mee te kunnen doen. Los dus van de vraag of het wel of niet is toegestaan vind ik dat het vanzelfsprekend zou moeten zijn dat een werkgever inzage heeft in de chatlogs.
Het is immers eigendom van de werkgever en de werknemers maken er tijdens werktijd (voor hun werk) gebruik van.
....<knip>....
Dus als je iets te chatten hebt waarvan je niet wilt dat de baas dat hoort of leest, spreek elkaar dan buiten werktijd op een plek buiten kantoor of gebruik een ander chatprogramma.
Ik heb er geen problemen mee als mijn manager op dezelfde kamer zit als mijn collega's en ik.
Die hij/zij kan horen wat wij bespreken (al dan niet werkgerelateert) is niet erg, maar bespioneren gaat toch echt te ver.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
