image

Juridische vraag: Mag mijn werkgever ssl-verkeer decrypten en inspecteren om datalekken te voorkomen?

woensdag 24 mei 2017, 14:24 door Arnoud Engelfriet, 21 reacties
ter preventie van om te voorkomen

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Ons bedrijf beheert voor klanten grote hoeveelheden gevoelige data, waaronder persoonsgegevens. Nu is recent een nieuwe firewall geïnstalleerd met DPI, die ook ssl-verkeer kan decrypten en inspecteren. Dit zou zijn om datalekken te voorkomen. Maar nu wordt al mijn beveiligde internetverkeer bekeken! Mag dat zomaar?

Antwoord: Vanwege de Wet meldplicht datalekken van januari vorig jaar, en de aankomende Algemene Verordening Gegevensbescherming in mei 2018 zie je steeds meer bedrijven hard aan de weg timmeren ten aanzien van datalekken en informatiebeveiliging.

Inspectie van in- en vooral uitgaand netwerkverkeer is daarbij een relevant aandachtspunt. Immers, een hoop datalekken of security breaches gebeuren per ongeluk: een bestand naar de verkeerde persoon gemaild, een stukje malware dat iets naar buiten wil smokkelen of een gevolg van social engineering. (Om niet te spreken van mensen die willens en wetens data stelen.)

Diverse moderne firewalls zijn in staat om uitgaand SSL-verkeer open te breken. Logisch vanuit een security-gedachte: het is wel erg eenvoudig om de beveiliging te omzeilen anders. Je moet eigenlijk wel even kijken in die beveiligde verbindingen.

Maar het raakt ook allerlei legitiem verkeer van de werknemer in kwestie, zoals privemailtjes (een SSL-verbinding met Gmail of een privé Outlook adres), bankzaken of communicatie met een verzekeraar. En dan wordt het juridisch ingewikkeld, want je moet óók rekening houden met de privacy van je werknemer.

Hier moet de werkgever dus een balans in vinden. Een belangrijke voor mij is daarbij hoe geautomatiseerd dit proces gaat. Wordt er door een automatisch proces gecheckt op een serie keywords of fingerprints van de te beschermen data, dan is dat privacytechnisch héél wat minder ernstig dan een steekproefsgewijze controle door een persoon.

Ook zou belangrijk zijn dat de data niet wordt gelogd (tenzij de automatische scan natuurlijk aangeeft dat er iets mis is) en dat inspectie bij afgaande alarmbellen onder strikte geheimhouding gebeurt. Dergelijke waarborgen moeten in een reglement zijn uitgeschreven, zodat je als werknemer weet waar je aan toe bent. Maar als het zorgvuldig wordt uitgewerkt en ingevoerd, dan denk ik dat het wel kan.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (21)
24-05-2017, 15:27 door Anoniem
Dit is een interessante quote:
'Maar het raakt ook allerlei legitiem verkeer van de werknemer in kwestie, zoals privemailtjes (een SSL-verbinding met Gmail of een privé Outlook adres), bankzaken of communicatie met een verzekeraar. En dan wordt het juridisch ingewikkeld, want je moet óók rekening houden met de privacy van je werknemer.'

Dus je werkt voor bedrijf X maar je privemailtjes of communicatie met je verzekeraar (prive) ga je via je werk doen.
Hoezo is dit legitiem en hoezo ingewikkeld? Dit dek je toch meteen al af in de contracten met je werknemers?
Snap echt niet wat er zo legitiem is aan je prive Gmail gebruiken op werk...
24-05-2017, 15:43 door Anoniem
Het "inbreken" op een TLS verbinding gebeurt al jaren, al was het maar om malware, virussen en porno tegen te houden.
24-05-2017, 16:20 door Anoniem
Door Anoniem: Dit is een interessante quote:
'Maar het raakt ook allerlei legitiem verkeer van de werknemer in kwestie, zoals privemailtjes (een SSL-verbinding met Gmail of een privé Outlook adres), bankzaken of communicatie met een verzekeraar. En dan wordt het juridisch ingewikkeld, want je moet óók rekening houden met de privacy van je werknemer.'

Dus je werkt voor bedrijf X maar je privemailtjes of communicatie met je verzekeraar (prive) ga je via je werk doen.
Hoezo is dit legitiem en hoezo ingewikkeld? Dit dek je toch meteen al af in de contracten met je werknemers?
Snap echt niet wat er zo legitiem is aan je prive Gmail gebruiken op werk...

Let op dat de vraag gaat over ".. _vanaf_ het werk" , en niet "via het werk" , en ook niet "werk doen vanaf privé email" .

Werk jij uberhaupt ergens , en zo ja , wat is je ervaring daar ?

Ik wel - en in mijn ervaring wordt het in alle kantoor omgevingen redelijk normaal gevonden dat mensen soms even een paar privé zaken onder kantoortijd moeten regelen. Sommige dingen kun je niet eens 'buiten kantoortijd' doen omdat de partij die je nodig hebt (hallo overheid) ook alleen maar op kantoortijden werkt.
En je eigen zaken regelen met je eigen email als contact is alleen maar goed .

Je gebruikt dan alleen wel de kantoor werkplek voor (webmail/internetbankieren/digid e.d.) - en kunt je zorgen maken over DPI van dat SSL verkeer.

Maar vertel eens, werk jij op een plek waar ze zeggen "neem maar lekker een ochtend vrij als je zonodig je woningbouw moet bellen" ?
24-05-2017, 16:32 door Anoniem
Ik denk inderdaad dat er eerst gedefinieerd moet worden wat "mijn beveiligde internetverkeer" precies inhoudt.
Is dat het verkeer wat jij bij de uitoefening van je werk veroorzaakt en wat net zo goed de baas zijn verkeer is als
dat het jouw verkeer is, of bedoel je verkeer wat je in de baas zijn tijd puur voor je eigen gebruik veroorzaakt?
24-05-2017, 19:23 door Anoniem
Er is eigenlijk geen noodzaak tot decrypten bij email, want die arriveert onversleuteld op MTA's (tenzij GPG o.i.d. is gebruikt, zeldzaam). Het verkeer tussen email servers is versleuteld als dat zo is ingesteld op betrokken mail servers. Als dat niet zo is, gaat de email leesbaar over de lijn.

De vermoedde privacy bij email onder gebruikers bestaat niet daadwerkelijk. Postmasters weten dat. Vroeger werd onbezorgbare email gewoon naar de postmaster gezonden.

Geautomatiseerde processen kunnen veel schade toebrengen aan privacy. Stel dat je bijvoorbeeld een spamfilter hebt die zoekt naar een woord als dildo en dergelijke emails apart zet voor handmatige controle. Dat levert zeer privacygevoelige email op, met toch een legitieme reden. De reden is dat het een niet direkt als zodanig herkend spambericht zou kunnen zijn. Veel spamfilters werken met diverse niveau's van zekerheid en vereisen handmatige controle.
24-05-2017, 21:37 door Anoniem
Dit gebeurt al zo lang, en het wordt ook steeds makkelijker.
Wat misschien alleen een groter probleem is, is dat vaak de verbinding naar TLS1.0 gedowngeade is. Met ook niet altijd de beste cipher settings.
24-05-2017, 22:25 door Anoniem
Als ik mij niet vergis dient de OR hier wel bekend mee te zijn?
De bedrijven die ik ken en dit doen laten je een contact tekenen bij ontvangst van je device, dat alles wat je erop doet zakelijk is (en prive gebruik dus niet de bedoeling is) en dit soort monitoring actief gebeurd.

Sites zoals banken en verzekeraars zijn duidelijk weinig risico, dus zouden die netjes moeten worden gewhitelist.
Gmail is overigens zeker wel risico, daar kun je natuurlijk zo bedrijfsdata naar toe pompen. Dan natuurlijk niet de inlogpagina van gmail/google account, want dat is dan weer geen risico.

Overigens kun je als gebruiker dit altijd zien als je op het slotje klikt bij EV-sites, daar staat dan niet je bv. je bank (zoals thuis), maar een naam van iets anders. Jammer dus dat security.nl of digID geen EV-certificaat heeft, want dan zou je het ook op deze sites duidelijk zien.
24-05-2017, 23:45 door Anoniem
Door Anoniem: Snap echt niet wat er zo legitiem is aan je prive Gmail gebruiken op werk...
Het komt voor dat privézaken moeilijk tot vanavond kunnen wachten. Als je een afspraak hebt met een vriend om direct na je werk uit eten te gaan te en een van jullie wil melden dat je een half uur later bent dan zal je dat onder werktijd moeten doorgeven. Als je met een bedrijf of instantie die alleen tijdens kantooruren reageren iets dringends af te handelen hebt dan kan het nodig zijn tijdens kantooruren te communiceren. Het is al lang en breed vastgesteld dat een werknemer binnen redelijke grenzen ook privézaken tijdens het werk moet kunnen regelen. En dan wordt de vraag die gesteld is relevant.

En er is een ander argument. Veel werkgevers willen tegenwoordig maar al te graag dat hun werknemers buiten werktijd benaderbaar zijn. Als werk de privésfeer mag binnendringen is het toch volkomen redelijk als privézaken ook de werksfeer mogen binnendringen? Als de ene partij (de werkgever) alleen rechten heeft en de andere partij (de werknemer) alleen plichten is er iets mis met de verhoudingen. Je hebt een arbeidscontract, je bent geen lijfeigene.
24-05-2017, 23:46 door Anoniem
Dames en Heren,

zover mijn kennis gaat is het verzamelen van internet verkeer/decrypten van internet verkeer gewoon toegestaan mits de desbetreffende gegevens NIET oneigenlijk worden gebruikt

Ergo: als security analist (monitoring van bijv SIEM/websense/bluecoat/all of the above) mag uitstekend kijken naar het webverkeer als het doel maar blijft "om eventuele cybersecurity incidenten te voorkomen of mitigreren" ..

het mag niet zo zijn dat de desbetreffende analist besluit om nou eens te kijken hoevaak truus teunisssen op website www.gmail.com zit om haar privé webmail te bekijken.Zo zie ik het en handel ik ook naar. Wat wel mag is om een rapport uit te draaien om te bekijken hoe vaak er hits te zien zijn op een eventueel 'adult' filter aangezien dit tegen het beleid van de onderneming is.

mvg
Eminus
25-05-2017, 06:15 door Anoniem
Mag mijn werkgever ssl-verkeer decrypten en inspecteren om datalekken te voorkomen?
Het argument deugt niet om meerdere redenen.

1) Tenzij bestanden op de een of andere manier gelabeled zijn als "vertrouwelijk" o.i.d., die informatie niet is verwijderd voor verzending, en het inspecterende apparaat dergelijke informatie weet te blokkeren (als dit soort systemen überhaupt bestaan in folders, werken ze dan ook echt?) is er hooguit sprake van detecteren (wat zinvol kan zijn, maar echt iets anders is dan datalekken voorkomen).

2) De werkgever moet het personeel informeren over zo'n maatregel, en gerichte aanvallers zijn ook niet gek: de kans dat zij informatie eerst zelf versleutelen is aannemelijk, waardoor zo'n apparaat flauwe kul wordt en vooral iets is waar verkopers gelukkig van worden.

De effectiviteit tegen malware -als gevolg van content scanning- van dit soort apparaten is overigens ook veel lager dan in de folder gesuggereerd wordt. Als pakketjes eerst tot bestanden moeten worden samengevoegd om fatsoenlijk te kunnen worden gescand (en wellicht eerst worden uitgepakt bij een herkend compressieformaat), worden interactieve verbindingen veel te traag (denk ook aan streaming). Hooguit kan zo'n apparaat zoeken naar patronen die (hopelijk) uniek zijn voor malware - met het risico op false positives.

Ook moet het risico dat zo'n apparaat zelf gecompromitteerd raakt door het scannen van (booby-trapped) data, niet worden onderschat. Als de aanvallers vervolgens malware signeren met de private key in dit apparaat, behorende bij fe public key in het rootcertificaat dat op elke computer in de organisatie staat, is het niet heel moeilijk meer om alle computers in die organisatie "over te nemen".

Ten slotte zien gebruikers geen EV certificaten meer (grotet phishing risico) en is het gangbaar dat dit soort apparaten niet de laatste TLS security adviezen volgen. Dat is ook lastig, omdat de makers en beheerders ervan niet weten met welke internet servers gebruikers verbindingen zullen willen maken, en een hoog minimaal beveiligingsniveau ook verbindingen zal blokkeren waarbij zware beveiliging niet zo belangrijk is (exact zoals anoniem gisteren 21:37 aangeeft). Als zo'n apparaat niet in staat is om een minimaal TLS beveiligingsniveau te kiezen afhankelijk van de verbinding-initiërende interne of externe computer, en daarom bijv. SSLv3 toch maar voor alle verbindingen toestaat, geldt dit ook voor computers van bijv. HRM en de directie. Iets vergelijkbaars geldt voor bijv. OCSP controle: als je verbindingen blokkeert als een OCSP server geen (correct) antwoord geeft, geldt dit voor iedereen maar andersom ook. Gisteren lag bijv. ocsp.managedpki.com (KPN PKIoverheid) er weer eens even uit (eerst internal error, daarna try again later), is dat een reden om de bijbehorende verbinding te blokkeren of neem je de gok (voor elke verbinding)? En welke set van rootcertificaten vertrouw je?

Kortom: een apparaat dat blokkeert op basis van blacklisted IP-adressen is zeker aan te raden, maar daar hoef je geen TLS voor open te breken. Maar of je als werkgever, bij een juridisch geschil over de inzet van zo'n apparaat (met alle nadelen ervan die niet in de folders staan), sterk staat voor een rechter die dit soort bijdragen leest en weet te wegen, vraag ik mij af. Op z'n minst zou ik, als zo'n kreng "echt moet", een apparaat kiezen waarin je flexibel uitzonderingen kunt configureren. En in de argumentatie richting personeel zou ik, bij "datalekken", het woord "voorkomen" vervangen door "detecteren".
25-05-2017, 10:01 door Anoniem
Door Anoniem: Dit is een interessante quote:
'Maar het raakt ook allerlei legitiem verkeer van de werknemer in kwestie, zoals privemailtjes (een SSL-verbinding met Gmail of een privé Outlook adres), bankzaken of communicatie met een verzekeraar. En dan wordt het juridisch ingewikkeld, want je moet óók rekening houden met de privacy van je werknemer.'

Dus je werkt voor bedrijf X maar je privemailtjes of communicatie met je verzekeraar (prive) ga je via je werk doen.
Hoezo is dit legitiem en hoezo ingewikkeld? Dit dek je toch meteen al af in de contracten met je werknemers?
Snap echt niet wat er zo legitiem is aan je prive Gmail gebruiken op werk...

Inderdaad al die watjes die hun prive zaken moeten doen op kantoor. Of een games room moeten hebben, omdat ze anders niet kunnen ontspannen. Hoeveel bedrijven zijn niet gehacked via het 'prive kanaal'
25-05-2017, 10:22 door Anoniem
Het blijft bijzonder dat bedrijven graag in ssl verkeer willen roeren om data lekken te voorkomen, dat past perfect in pre 2000 gedachten.
Als mensen een document naar buiten willen smokkellen kan dat op zoveel manieren USB, zip files, word in word documenten, printen als PDF of gewoon uitprinten op papier.
Ook bijzonder is dat bedrijven op het werk vaak laptops hebben met alle netwerk filters/proxies in place en thuis prik je je laptop in je eigen netwerk zonder filters en dan is weer hallo wereld.

Waarom zou je de vertrouwelijke data zelf niet versleutelen zodat een buitenstaander er niets mee kan?
Documenten zouden dan zelfs ergens kunnen landen maar zijn nog steeds onleesbaar, voorbeelden van oplossingen zijn RMS van MS maar er zullen echt meer oplossingen zijn.

Denk eens aan andere dingen dan gebruikers pesten, mensen willen hun werk doen en hoe moeilijker je het voor ze maakt onder het mom van lekker veilig hoe meer mensen anders gaan werken, tot werken in prive onedrive toe en delen met medewerkers onderling.
Daarmee is alle security voor niets.
25-05-2017, 11:02 door Anoniem
Vrijwel alle bovengenoemde privézaken kun je doen vanaf je smartphone.
Daar heb je de systemen van je werkgever niet voor nodig.
25-05-2017, 16:48 door Anoniem
Uiteraard mag de werkgever dit. Hij wil zijn bedrijfsnetwerk beschermen. Als gewoon verkeer wordt gecheckt en dat ok is, moet ssl openbreken voor inspectie geen probleem zijn. Alsof ssl traffic meer privacygevoelige data omvat....

Als het gaat om security of privacy dan kun je je afvragen of ssl wel de juiste veiligheidslaag is voor je toepassing want je weet dat je baas en provider de Keys kunnen onderscheppen.

Met ssl everywhere en toenemend gebruik van ssl is het alleen logisch dat firewalls en ids systemen inbreken op de stream. anders is je detectie rate heel laag

Als het technisch kan moet je er gebruik van maken. Wil je het niet, moet je de techniek veranderen.
26-05-2017, 09:51 door Anoniem
Door Anoniem: ... Dus je werkt voor bedrijf X maar je privemailtjes of communicatie met je verzekeraar (prive) ga je via je werk doen.
Hoezo is dit legitiem en hoezo ingewikkeld? Dit dek je toch meteen al af in de contracten met je werknemers?
Snap echt niet wat er zo legitiem is aan je prive Gmail gebruiken op werk...

Waarom zou het bezoeken van de website van je verzekeraar niet legitiem zijn vanaf een zakelijke computer? Volgens mij is het bijna onmogelijk om dit via een contract onwettig te verklaren. En gebruik maken van een zakelijke computer wil niet zeggen dat je meteen je privacy opgeeft.
26-05-2017, 18:35 door Anoniem
Vaak is privé gebruik van kantoorapparatuur (zoals laptops, smartphones) een secundaire arbeidsvoorwaarde. Dan bouwt de werkgever zelf het problem in dat de werknemer de apparaten privé gebruikt en zal de werkgever er ook voor moeten zorgen dat privé gegevens privé blijven.
Naar mijn idee blijft toch de simpelste oplossing om appraten van het werk niet te gebruiken voor privé handelingen én om niet via het kantoornetwerk in te loggen bij belangrijke diensten zoals de bank en belastingdienst.
29-05-2017, 10:47 door Anoniem
Door Anoniem:
Door Anoniem: Dit is een interessante quote:
'Maar het raakt ook allerlei legitiem verkeer van de werknemer in kwestie, zoals privemailtjes (een SSL-verbinding met Gmail of een privé Outlook adres), bankzaken of communicatie met een verzekeraar. En dan wordt het juridisch ingewikkeld, want je moet óók rekening houden met de privacy van je werknemer.'

Dus je werkt voor bedrijf X maar je privemailtjes of communicatie met je verzekeraar (prive) ga je via je werk doen.
Hoezo is dit legitiem en hoezo ingewikkeld? Dit dek je toch meteen al af in de contracten met je werknemers?
Snap echt niet wat er zo legitiem is aan je prive Gmail gebruiken op werk...

Let op dat de vraag gaat over ".. _vanaf_ het werk" , en niet "via het werk" , en ook niet "werk doen vanaf privé email" .

Werk jij uberhaupt ergens , en zo ja , wat is je ervaring daar ?

Ik wel - en in mijn ervaring wordt het in alle kantoor omgevingen redelijk normaal gevonden dat mensen soms even een paar privé zaken onder kantoortijd moeten regelen. Sommige dingen kun je niet eens 'buiten kantoortijd' doen omdat de partij die je nodig hebt (hallo overheid) ook alleen maar op kantoortijden werkt.
En je eigen zaken regelen met je eigen email als contact is alleen maar goed .

Je gebruikt dan alleen wel de kantoor werkplek voor (webmail/internetbankieren/digid e.d.) - en kunt je zorgen maken over DPI van dat SSL verkeer.

Maar vertel eens, werk jij op een plek waar ze zeggen "neem maar lekker een ochtend vrij als je zonodig je woningbouw moet bellen" ?

Ik werk zeker ergens en ook die data verbinding die jij op je werk laptop en werk internet verbinding (*lees even goed: werk*) dan valt dat onder je contract en evt policies van je bedrijf.
Duidelijk van te voren communiceren dat dit wel of niet de policy is voorkomt veel ellende.
Dus mijn ervaring is dat het duidelijk gecommuncieerd wordt dat het mogelijk is dat de it security afdeling je internet verkeer kan monitoren onder het mom van bestrijding van malware, etc.
Ik begrijp het wel maar werk niet bij een bedrijf wat het de standaard is.
30-05-2017, 09:57 door Anoniem
Door Anoniem:Ik werk zeker ergens en ook die data verbinding die jij op je werk laptop en werk internet verbinding (*lees even goed: werk*) dan valt dat onder je contract en evt policies van je bedrijf.
Duidelijk van te voren communiceren dat dit wel of niet de policy is voorkomt veel ellende.
Dus mijn ervaring is dat het duidelijk gecommuncieerd wordt dat het mogelijk is dat de it security afdeling je internet verkeer kan monitoren onder het mom van bestrijding van malware, etc.
Ik begrijp het wel maar werk niet bij een bedrijf wat het de standaard is.

Wat er ook in je contract of in de bedrijfs policies staat, een wergever dient zich gewoon aan de wet te houden. Dat medewerkers van de IT security afdeling inzicht hebben in het decrypted verkeer tussen jouw zakelijke browser en bijvoorbeeld jouw bank is op geen enkele manier goed te praten.
30-05-2017, 10:34 door Anoniem
Door Anoniem:
Door Anoniem:Ik werk zeker ergens en ook die data verbinding die jij op je werk laptop en werk internet verbinding (*lees even goed: werk*) dan valt dat onder je contract en evt policies van je bedrijf.
Duidelijk van te voren communiceren dat dit wel of niet de policy is voorkomt veel ellende.
Dus mijn ervaring is dat het duidelijk gecommuncieerd wordt dat het mogelijk is dat de it security afdeling je internet verkeer kan monitoren onder het mom van bestrijding van malware, etc.
Ik begrijp het wel maar werk niet bij een bedrijf wat het de standaard is.

Wat er ook in je contract of in de bedrijfs policies staat, een wergever dient zich gewoon aan de wet te houden. Dat medewerkers van de IT security afdeling inzicht hebben in het decrypted verkeer tussen jouw zakelijke browser en bijvoorbeeld jouw bank is op geen enkele manier goed te praten.

Waar staat dan in de wet dat je dat niet mag doen ook al staat er in de policies van het bedrijf dat je internet verkeer gemonitored kan worden voor anti malware bestrijding doeleinden?
Zie graag het wetsartikel tegemoet!
31-05-2017, 11:57 door Anoniem
Door Anoniem:
Door Anoniem: ... Wat er ook in je contract of in de bedrijfs policies staat, een wergever dient zich gewoon aan de wet te houden. Dat medewerkers van de IT security afdeling inzicht hebben in het decrypted verkeer tussen jouw zakelijke browser en bijvoorbeeld jouw bank is op geen enkele manier goed te praten.

Waar staat dan in de wet dat je dat niet mag doen ook al staat er in de policies van het bedrijf dat je internet verkeer gemonitored kan worden voor anti malware bestrijding doeleinden?
Zie graag het wetsartikel tegemoet!

"Internet verkeer monitoren" omvat natuurlijk veel meer dan het voorbeeld dat een IT security medewerker inzicht heeft in decrypted verkeer tussen een person en zijn/haar bank.

Geen wetsartikel, maar wel geode info mbt het onderwerp:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-uitkering/controle-van-personeel
01-06-2017, 10:20 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: ... Wat er ook in je contract of in de bedrijfs policies staat, een wergever dient zich gewoon aan de wet te houden. Dat medewerkers van de IT security afdeling inzicht hebben in het decrypted verkeer tussen jouw zakelijke browser en bijvoorbeeld jouw bank is op geen enkele manier goed te praten.

Waar staat dan in de wet dat je dat niet mag doen ook al staat er in de policies van het bedrijf dat je internet verkeer gemonitored kan worden voor anti malware bestrijding doeleinden?
Zie graag het wetsartikel tegemoet!

"Internet verkeer monitoren" omvat natuurlijk veel meer dan het voorbeeld dat een IT security medewerker inzicht heeft in decrypted verkeer tussen een person en zijn/haar bank.

Geen wetsartikel, maar wel geode info mbt het onderwerp:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-uitkering/controle-van-personeel

Precies, en daar staat letterlijk:
'Controle van e-mail en internet
Mag mijn werkgever mijn gebruik van e-mail en internet controleren?
Ja, dat mag. Uw werkgever mag voorwaarden stellen aan het gebruik van e-mail en internet op het werk of bepaalde soorten gebruik verbieden. Vervolgens mag uw werkgever controles uitvoeren. Uw werkgever moet daarbij wel voldoen aan de voorwaarden uit onder meer de Wet bescherming persoonsgegevens voor de controle van personeel.

Algemene controle
Uw werkgever kan bijvoorbeeld steekproefsgewijs monitoren of er verboden gebruik van e-mail of internet plaatsvindt. Zoals het bezoeken van pornowebsites of downloaden van muziek- en filmbestanden.

Heimelijke controle
Heeft uw werkgever een vermoeden van misbruik door een of meerdere medewerkers? Dan mag hij onder bepaalde voorwaarden een specifieke controle uitvoeren naar het gebruik van e-mail en internet door deze individuele medewerker(s). Voor zo’n heimelijke controle, dus zonder dat de betreffende werknemers hiervan vooraf weten, gelden extra voorwaarden.

Doel controle
Voordat uw werkgever start met de controle, moet hij het doel bepalen waarvoor de controle noodzakelijk is. Van het doel van de controle hangt af hoe omvangrijk de controle mag zijn. En op welke manier die mag gebeuren. Een doel kan bijvoorbeeld zijn: systeem- en netwerkbeveiliging, beschermen van bedrijfsgeheimen of verminderen van kosten en tijdsverlies.

Uw werkgever kan vaak volstaan met een kortdurende, gerichte controle bij een vermoeden van misbruik.'

Dus ja je mag het internet verkeer en email verkeer monitoren op werk, mits het gericht is en vantevoren mede gedeeld en bestaat uit steekproeven.
Het staat er letterlijk dus als jij Gmail wilt gebruiken op je werk dan mag je werkgever hier inzage in hebben mits het vantevoren is medegedeeld (en jij daar mee akkoord bent gegaan met het ondertekenen van je contract en de policies van dat bedrijf) dat dit kan gebeuren en een goede reden heeft (reden tot frauduleus gedrag, malicious verkeer gezien met IDS, etc.).
Kortom als je je boodschappen bij ah.nl, gmail wilt checken of andere zaken voor prive doel einden wilt gebruiken dan kan je werkgever daar op inprikken mits bovengenoemde redenen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.