Juridische vraag: moet de it-afdeling toestemming vragen om een pc over te nemen?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: ik werk op de it-afdeling van een bedrijf (~120 medewerkers). Wij hebben op alle pc’s UltraVNC geïnstalleerd, zodat we op afstand beheer kunnen uitvoeren. Dat doen we uiteraard alleen als mensen ons daar toestemming voor geven. Alleen die toestemming vragen we gewoon aan de telefoon of in de chat als we iemand spreken. De VNC-applicatie toont geen aparte pop-up daarvoor. Nu zegt een medewerker dat dat laatste verplicht is onder de privacywet. Klopt dat?
Antwoord: de privacywet (Wet bescherming persoonsgegevens) bevat geen regels op dat niveau. Of je mensen op een knop "Nu toegang tot mijn pc" laat drukken of ze mondeling dan wel op schrift dat laat verklaren, maakt voor de wet niets uit. Waar het om gaat, is dat er toestemming is.
Of nou ja, zelfs dat niet. Als het nodig is voor het werk, dan mág een collega (zoals de IT-er) zich toegang verschaffen tot de computer. Net zoals een collega mag binnenlopen in je kantoor. Kloppen is netjes, maar juridisch niet verplicht. En natuurlijk blijf je buiten als er “Niet storen” opgehangen is. Dus in principe zou voor support hetzelfde moeten gelden. Even melden is netjes, toestemming vragen hoeft niet (maar is wel héél netjes natuurlijk).
Of je moet zeggen: een goed werkgever doet niets dat nodeloos de privacygevoelens van werknemers schendt. En als mensen het gevóel hebben dat hun pc ineens wordt overgenomen, dan schend je toch ergens een stukje privacy. Dus vraag het dan toch nog maar via een pop-upje.
(Als it-er heb je natuurlijk wel strikte geheimhouding te respecteren rondom eventuele privézaken die je aantreft bij zo’n remote access sessie.)
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Hier komt het gelukkig maar zeer zelden voor dat we toegang krijgen tot het systeem van een eindgebruiker met mogelijke prive informatie daarop. Op het moment dat ik echter per ongeluk iets onder ogen krijg wat niet de bedoeling was geweest maar dit wel wettelijk strafbaar zou zijn dan ben je als systeembeheerder toch niet gebonden aan een beroepsgeheim?
Gevoelsmatig zou ik dan geneigd zijn te zeggen; respect is op zijn plaats zolang dit binnen de grenzen van de wet valt.
Dus jij vindt het vast geen probleem dat uw collega's al uw mails nakijken, uw toetsaanslagen loggen, uw browserhistoriek monitoren, enz ... ?
Deels. De WBP / privacy stelt dat het recht op privacy van een medewerker ten allen tijden boven het recht van een onderneming gaat (binnen bepaalde grenzen) Kort weg: jij kan als beheerder nooit 'even' besluiten om met de mails, of HD mee te kijken zonder dat daar eerst heel goed met HR over gesproken dient te worden en dat daar grond voor is. Zoveel grond dat bij een mogelijke civiele procedure door de werknemer dit moet kunnen bewezen.
Het wordt pas echt tricky bij oplossingen als bijvoorbeeld Websense/Bluecoat Dit creëren een 'MITM" waar het internet verkeer wordt gemonitord. Privacy much? En voordat iemand iets zegt over SSL.. er wordt een decryptor bijgeleverd.
Dus jij vindt het vast geen probleem dat uw collega's al uw mails nakijken, uw toetsaanslagen loggen, uw browserhistoriek monitoren, enz ... ?
Een popup is een eenvoudige beschermjng daartegen. Niet het argument van privacy is het enige belangrijke maar het gaat er ook om dat de apparatuur betrouwbaar te gebruiken is. Je knaagt aan de betrouwbaarheid dat lijkt me wezenlijker
Dus jij vindt het vast geen probleem dat uw collega's al uw mails nakijken, uw toetsaanslagen loggen, uw browserhistoriek monitoren, enz ... ?
Op een door iemand anders beheerd systeem? Ja, dat zou ik zeker toestaan. Ik zou er zelfs van uit gaan dat dit gebeurd, misschien heeft de betreffende PC wel een virus keylogger en is de echte eigenaar niet zorgvuldig in het stoppen van virussen.
Ik zou dan ook zeker niet prove informatie op een niet door mij beheerd systeem invoeren of opvragen...
Naast privacy-gevoelige informatie kunnen veel te veel IT-ers, door onaangekondigd te "gluren", ook zakelijke, HRM, OR, medische en andere informatie onder ogen krijgen - die totaal niet voor hun ogen bestemd is.
Maar ook bij aangekondigd meekijken zijn eindgebruikers vaak veel te goed van vertrouwen ("heb je mijn wachtwoord nodig?" als ze al niet meteen roepen "mijn wachtwoord is ..., kijk straks maar even als ik lunchen ben"). Vensters met daarin vertrouwelijke informatie die niet gerelateerd zijn aan het probleem dat ze hebben, blijven in de regel gewoon openstaan.
Het is hoog tijd dat betrokken IT-ers zelf inzien dat het ook in hun eigen belang is dat zij niet ongemerkt kennis kunnen nemen van vertrouwelijke informatie (waaronder eindgebruikerswachtwoorden) die zij niet nodig hebben voor het uitvoeren van hun werkzaamheden. Want vroeger of later kun je zo verdacht worden van iets dat je niet gedaan hebt, maar wel gedaan kunt hebben. Zie dan maar eens aan te tonen dat niet jij hebt gelekt... Het is dus in jouw eigen belang om de gebruiker vooraf te vragen (bijv. telefonisch) om zoveel mogelijk vertrouwelijke informatie onzichtbaar te maken en erop te wijzen dat je nooit wachtwoorden met anderen mag delen - zelfs niet met systeembeheerders.
Min of meer vergelijkbaar: medewerkers van speelhallen die betrokken zijn bij het geld tellen (na sluitingstijd, met geldtelmachines) vinden het vaak heel prettig dat er veel camera's op hen gericht zijn tijdens dat proces. Want als er een keer geld verdwenen is, kunnen die beelden je vrijpleiten.
Dus jij denk dat je geen recht op privacy hebt in het huis dat door je huisbaas ter beschikking wordt gesteld als je huur betaald?
Ik zie niet in hoe eigendomsrechten gerelateerd zijn aan privacyrechten...
Naast privacy-gevoelige informatie kunnen veel te veel IT-ers, door onaangekondigd te "gluren", ook zakelijke, HRM, OR, medische en andere informatie onder ogen krijgen - die totaal niet voor hun ogen bestemd is.
Maar ook bij aangekondigd meekijken zijn eindgebruikers vaak veel te goed van vertrouwen ("heb je mijn wachtwoord nodig?" als ze al niet meteen roepen "mijn wachtwoord is ..., kijk straks maar even als ik lunchen ben"). Vensters met daarin vertrouwelijke informatie die niet gerelateerd zijn aan het probleem dat ze hebben, blijven in de regel gewoon openstaan.
Het is hoog tijd dat betrokken IT-ers zelf inzien dat het ook in hun eigen belang is dat zij niet ongemerkt kennis kunnen nemen van vertrouwelijke informatie (waaronder eindgebruikerswachtwoorden) die zij niet nodig hebben voor het uitvoeren van hun werkzaamheden. Want vroeger of later kun je zo verdacht worden van iets dat je niet gedaan hebt, maar wel gedaan kunt hebben. Zie dan maar eens aan te tonen dat niet jij hebt gelekt... Het is dus in jouw eigen belang om de gebruiker vooraf te vragen (bijv. telefonisch) om zoveel mogelijk vertrouwelijke informatie onzichtbaar te maken en erop te wijzen dat je nooit wachtwoorden met anderen mag delen - zelfs niet met systeembeheerders.
Min of meer vergelijkbaar: medewerkers van speelhallen die betrokken zijn bij het geld tellen (na sluitingstijd, met geldtelmachines) vinden het vaak heel prettig dat er veel camera's op hen gericht zijn tijdens dat proces. Want als er een keer geld verdwenen is, kunnen die beelden je vrijpleiten.
Dus jij vindt het vast geen probleem dat uw collega's al uw mails nakijken, uw toetsaanslagen loggen, uw browserhistoriek monitoren, enz ... ?
Dus jij vindt het vast geen probleem dat uw collega's al uw mails nakijken, uw toetsaanslagen loggen, uw browserhistoriek monitoren, enz ... ?
Of meekijken terwijl jij gebruik maakt van het toilet dat ook eigendom van de werkgever is. Zo simpel als met eigendom ligt het dan toch weer niet.
Wat er nu allemaal bijgehaald wordt onder het mom privacy begint wel heel raar te worden. Als je in een gehuurd huis zit mag je nog steeds geen criminele of gevaarlijke zaken voor anderen ontplooien. Je mag dat niet beschadigen. Alles wat tot de mogelijkheden hoort (niet afgeschermd) is daarmee nog niet een toegestane actie. Het lijkt het terugkerende probleem te zijn wel schreeuwen over rechten maar niet de plichten die er bij horen willen zien.
(er zijn nog wel een paar andere technische probleempje ;-))
Stel je moet een pc onderzoeken en je vind strafbaar materiaal op de PC aan geld deze regel dan nog steeds :
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.