image

Juridische vraag: Een klant van ons neemt ongevraagd onze remote beheersessies op. Mag dit zomaar?

woensdag 17 januari 2018, 11:52 door Arnoud Engelfriet, 41 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wij doen remote beheer voor diverse bedrijven. Eén van onze klanten blijkt al onze beheersessies op te nemen, hier ben ik toevallig achtergekomen maar zij hebben er nooit wat over gezegd. Mogen zij dit zomaar doen?

Antwoord: Ook op het werk heb je privacy, is een vast mantra in deze rubriek. Je bent niet vogelvrij als werknemer als je je werk doet. Je werkgever mag je dus niet continu volgen of vastleggen wat je allemaal doet.

Hier ligt er een kleine complicatie, en dat is dat het hier niet gaat om de werkgever maar om de klant. Dan gaat er een ander belang ook meespelen, namelijk dat de klant het recht heeft te kijken met welke kwaliteit er wordt geleverd en of er niets misgaat. Dat maakt het iets eerder gerechtvaardigd om de ingeschakelde medewerker te volgen bij het werk.

Ik denk dus dat dit wel mag, maar het moet wel vooraf gemeld zijn zodat je als medewerker weet dat je bij dat deel van het werk wordt gevolgd. Ook belangrijk zal zijn of het hier gaat om het vastleggen van specifieke werk-activiteiten (zoals een medewerker van de klant helpen met het installeren van iets) of dat álles van half negen tot half zes wordt opgenomen dus inclusief je lunchpauze-browsegedrag. Dat laatste zou me wat ver gaan.

Heb je er desondanks moeite mee, dan kun je daar je werkgever op aanspreken. Die moet zorgen voor een prettige werkomgeving, inclusief dus een redelijke privacyverwachting. Hij kan dan weer naar de klant om werkafspraken te maken en wellicht een oplossing waarbij de opnames niet zomaar kunnen worden gebruikt.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (41)
17-01-2018, 12:11 door Anoniem
Wij doen remote beheer voor diverse bedrijven. Eén van onze klanten blijkt al onze beheersessies op te nemen, hier ben ik toevallig achtergekomen maar zij hebben er nooit wat over gezegd. Mogen zij dit zomaar doen?

Als professional, die zijn werkzaamheden bekwaam uitvoert, moet je je toch helemaal niet druk maken over dergelijke zaken ? Men zou het wel moeten melden, maar het zou mij als IT-er *niets* uitmaken of de klant de sessie opneemt.

Ook op het werk heb je privacy, is een vast mantra in deze rubriek

Privacy op het systeem van een klant ? Ik heb dat niet nodig, ik vind het ook iets heel anders dan het volgen van mijn activiteiten op mijn werk PC waar ook prive zaken op staan.
17-01-2018, 12:14 door Anoniem
Mag de klant volgens deze vraagsteller ook geen audit trails bijhouden van de systemen waarop de leverancier werkzaamheden uitvoert ? Moet alle logging uit, om de privacy van de leverancier te waarborgen ?
17-01-2018, 12:36 door Anoniem


Als professional, die zijn werkzaamheden bekwaam uitvoert, moet je je toch helemaal niet druk maken over dergelijke zaken ? Men zou het wel moeten melden, maar het zou mij als IT-er *niets* uitmaken of de klant de sessie opneemt.

Niet mee eens. De klant mag netjes een melding hiervan doen, en daarna is het geen probleem. De reden dat ze dit doen is belangrijk, omdat ze ermee je urenfacturatie kunnen beoordelen, en inderdaad of je een fuckup maakt die je corrigeeert, en voor beide factureert, maar ook om je kennis en kunde later voor een breed publiek beschikbaar te maken, of usernames af te vangen die je als leverancier nodig hebt om upstream zaken te downloaden.
Fijn als ze je geheime licentiecodes opslaan, of in je gmail gaan screenshotten waarmee je je zelf in hun omgeving een txt file mailt.
Als ze aangeven waarvoor ze het doen, en dat ze het nergens anders voor gebruiken prima, alternatief is einde contract met de klant. (of bij het volgende klanttevredenheidsonderzoek een camera-team mee. ;-)
17-01-2018, 12:49 door Anoniem
session recording is ook een onderdeel voor PCI/DSS, daar is het dus zelfs verplicht om te doen. Mogelijk is dit ook voor andere compliancy certificeringen het geval
17-01-2018, 13:00 door Anoniem
Verstandige klant, die houdt tenminste een oogje in het zeil en heeft bij een calimiteit welke door jou/jullie veroorzaakt is tenminste bewijsmateriaal. Aan de andere kant kan het jou/jullie ook ontlasten bij een calamiteit en zou je juist blij moeten zijn hiermee.
17-01-2018, 13:12 door Anoniem
Door Anoniem: Als professional, die zijn werkzaamheden bekwaam uitvoert, moet je je toch helemaal niet druk maken over dergelijke zaken ? Men zou het wel moeten melden, maar het zou mij als IT-er *niets* uitmaken of de klant de sessie opneemt.

Je argument klinkt enorm als "ik heb toch niks te verbergen"...

Je hebt vast een auto van de zaak - betaald door je bedrijf. Enig bezwaar als je baas via een GPS in de wagen kijkt hoe professioneel je rijdt? Of dat je gesprekken bij de door de baas betaalde koffieautomaat worden opgenomen om te zien of je niet de verkeerde dingen zegt? Tellen hoe vaak je de backspace toets indrukt om te tellen of je niet teveel fouten maakt tijdens het typen? Want je voert je werkzaamheden bekwaam uit, toch? Dus geen enkel probleem mee?
17-01-2018, 13:40 door Anoniem
Door Anoniem:
Wij doen remote beheer voor diverse bedrijven. Eén van onze klanten blijkt al onze beheersessies op te nemen, hier ben ik toevallig achtergekomen maar zij hebben er nooit wat over gezegd. Mogen zij dit zomaar doen?

Als professional, die zijn werkzaamheden bekwaam uitvoert, moet je je toch helemaal niet druk maken over dergelijke zaken ? Men zou het wel moeten melden, maar het zou mij als IT-er *niets* uitmaken of de klant de sessie opneemt.

Ben ik met je eens, vaak zijn het alleen de prutsers die daar problemen mee hebben. Als er bij mij iemand mee kijkt zijn ze al verbaasd over hoe snel er gewerkt wordt op de console.

Compliment aan de klant, wou dat ik zulke had.
17-01-2018, 14:11 door Anoniem
Als ze aangeven waarvoor ze het doen, en dat ze het nergens anders voor gebruiken prima, alternatief is einde contract met de klant. (of bij het volgende klanttevredenheidsonderzoek een camera-team mee. ;-)

Als klant zou het voor mij al snel einde contract zijn met leverancier, indien de leverancier denkt te kunnen bepalen wat ik doen aan logging, audit trails en dergelijke op mijn eigen infrastructuur. Ook zou ik me gaan afvragen waarom de leverancier zich hier druk over maakt. Op zich klopt het dat men het zou moeten aankondigen. Maar als je kundig en zelfverzekerd bent, dan zou je je beter over andere zaken druk kunnen maken.

De reden dat ze dit doen is belangrijk, omdat ze ermee je urenfacturatie kunnen beoordelen, en inderdaad of je een fuckup maakt die je corrigeeert, en voor beide factureert, maar ook om je kennis en kunde later voor een breed publiek beschikbaar te maken, of usernames af te vangen die je als leverancier nodig hebt om upstream zaken te downloaden.

Usernames capturen ? Mijn klanten gaan over user account management, en weten dus al welke account ik gebruik op hun systemen - die verstrekken zij mij zelf. Verder hebben ze alle recht van de wereld om bij te houden wat gebruikers doen op hun systemen.

Indien ik een fuckup maak, dan vertel ik dat aan de klant. En indien men dit terug kan kijken, dan is dat ook geen enkel probleem. Indien je denkt fuckups te moeten verbergen, zoek dan ander werk. Immers ben je als leverancier indien dat je doel is volstrekt onbetrouwbaar.

Verstandige klant, die houdt tenminste een oogje in het zeil en heeft bij een calimiteit welke door jou/jullie veroorzaakt is tenminste bewijsmateriaal. Aan de andere kant kan het jou/jullie ook ontlasten bij een calamiteit en zou je juist blij moeten zijn hiermee.

100% mee eens. Voorkomt onnodige discussies achteraf.
17-01-2018, 14:22 door karma4
Je doet een beheersessie ofwel je kan potentieel van alles met beheer rechten naar jouw goeddunken veranderen.
De klant is en blijft de data verantwoordelijke niet de verwerker. In dat kader is het vreemd als de klant niets zou kunnen aantonen of verantwoorden wat onder een beheer change actie gebeurd is.

In een kennis overdrachtssessie met outsourcing werk vond ik het heel normaal dat de sessies opgenomen worden.
Hoe zouden ze anders een en ander moeten naslaan en leren. Voor het deel wat wij deden ging dat best in een hoog tempo.
Moocs zonder video alleen op papier dat kan echt niet meer.
Neem b.v. http://www.universiteitvannederland.nl/college/waarom-zijn-wij-nog-niet-klaar-voor-robots
17-01-2018, 14:32 door Anoniem
Ik zou me er niet zo druk om maken. Al bestaat er wel zoiets als wederzijds vertrouwen. De klant is niet voor niets klant, die neemt een dienst af waar afspraken over gemaakt zijn. Dat doet die klant in goed vertrouwen. Je werkgever vertrouwd je klant dat deze niks doet ten nadele van jou (of je werkgever). De klant zou jou/je bedrijf moeten vertrouwen als dienstverlener.

Als je negatief wil denken zou je kunnen stellen dat de klant geen vertrouwen heeft in de geboden dienstverlening.
17-01-2018, 15:59 door Anoniem
Je argument klinkt enorm als "ik heb toch niks te verbergen"...

Ik heb ook weinig te verbergen, wanneer ik bezig ben met een remote sessie, op een systeem dat eigendom is van een klant. Dat wil niet zeggen dat ik voor de rest geen behoefte heb aan privacy in mijn leven.

Je hebt vast een auto van de zaak - betaald door je bedrijf. Enig bezwaar als je baas via een GPS in de wagen kijkt hoe professioneel je rijdt?

Ik heb een eigen auto, en als ik in een auto van de zaak zou rijden, zou ik daar *wel* bezwaar tegen hebben. Echter gaat deze sessie over de vraag of een klant een remote beheer sessie op zijn eigen systeem op mag nemen.

Dat jij vervolgens aannames gaat doen, die daar niets mee van doen hebben... Dat moet je geheel zelf weten.
17-01-2018, 16:00 door Anoniem
Je hebt vast een auto van de zaak - betaald door je bedrijf. Enig bezwaar als je baas via een GPS in de wagen kijkt hoe professioneel je rijdt?

Indien jij taxi chauffeur zou zijn, mogen je klanten dan kijken hoe je rijdt ? Of geef je ze een blinddoek en oordopjes, vanwege jouw privacy ?
18-01-2018, 10:13 door Anoniem
Door Anoniem:


Als professional, die zijn werkzaamheden bekwaam uitvoert, moet je je toch helemaal niet druk maken over dergelijke zaken ? Men zou het wel moeten melden, maar het zou mij als IT-er *niets* uitmaken of de klant de sessie opneemt.

Niet mee eens. [...] of usernames af te vangen die je als leverancier nodig hebt om upstream zaken te downloaden.
Fijn als ze je geheime licentiecodes opslaan, of in je gmail gaan screenshotten waarmee je je zelf in hun omgeving een txt file mailt.
[...]

Usernames? Ga je via de klantomgeving naar Internet? Als onderdeel van beheer?
Ok...

Geheime licentiecodes? Gebruik je niet gewoon de licentiecodes van die klant? Die kent hij toch?

of in je gmail gaan screenshotten waarmee je je zelf in hun omgeving een txt file mailt.
[...]

Als je beheer uitvoert op een klantomgeving, en je gebruikt gmail (of iets anders) om ongecontroleerd bestanden in de klantomgeving te brengen, dan zou dat voor mij als klant een reden zijn om het contract te heroverwegen: je gaat dan kennelijk buiten alle systemen van de klant om die bv. data leakage moeten voorkomen


Q
18-01-2018, 10:16 door Anoniem
Is bij mij snel leverancier AF als ik niet mag monitoren/auditen. Sterker nog ik vraag mijn local support mensen om steeksproefgewijs mee te kijken via TV/RDP/DW sessies.

De klant is voor mij bezig en niet andersom. Daarnaast werkt de klant met useraccounts (service accounts) door mij verstrekt als het onze applicatieve laag/hardware is.Mocht het de hardware zijn van de klant, voldoet het aan onze eisen en niet andersom.

eminus
18-01-2018, 21:01 door Anoniem
Door Anoniem:
Je hebt vast een auto van de zaak - betaald door je bedrijf. Enig bezwaar als je baas via een GPS in de wagen kijkt hoe professioneel je rijdt?

Indien jij taxi chauffeur zou zijn, mogen je klanten dan kijken hoe je rijdt ? Of geef je ze een blinddoek en oordopjes, vanwege jouw privacy ?
Het verschil tussen gegeven afname van privacy en verhulde afname van privacy. Een taxichauffeur weet vooraf dat deze een afname van privacy heeft als klanten meenemen, maar of een werkgever heimelijk de privacy ontneemt niet. Vooraf inlichten is de tussen oplossing zodat een werknemer/dienstverlener zelf keuzes kan maken of de afname van privacy acceptabel is. De voorwaarden waaronder werkzaamheden verricht worden horen dit helder af te dekken. Als een opdrachtgever zich onttrekt aan het stellen van deze voorwaarden dan mag het contract waarschijnlijk zelfs ontbonden worden omdat privacy niet stopt enkel omdat iemand meent het recht te hebben om eenzijdig over andermans privacy te beslissen.
18-01-2018, 21:05 door Anoniem
Door Anoniem: Is bij mij snel leverancier AF als ik niet mag monitoren/auditen. Sterker nog ik vraag mijn local support mensen om steeksproefgewijs mee te kijken via TV/RDP/DW sessies.
Maar vind je het acceptabel om je leverancier niet vooraf in te lichten dat jij achteraf eenzijdig beslist of de leverancier recht heeft op privacy en in welke mate?

Je kan wel menen in je recht te staan om monitoring of auditen toe te passen, maar als je je dienstverlener daar vooraf niet over inlicht ontneem je je dienstverlener het recht om daar zelf een keuze in te hebben. Privacy is een grondrecht en dat recht komt de houder toe, niet een buitenstaander die meent dat iemand wel of geen recht heeft in zijn eigen voordeel.
19-01-2018, 08:05 door Anoniem
Het probleem is hier niet het feit dat de klant sessies opneemt, maar dat het geheim is. Sessies opnemen is hier bedoeld als letterlijk alles registreren, dus niet alleen meekijken. Als het loggen van wijzigingen was, zal je hier niemand over horen klagen, dat vinden de meesten normaal.

Als de leverancier niet op de hoogte is zou het kunnen dat hij bijvoorbeeld vanuit een klantsessie iets download van de leveranciersite, zoals een softwareupdate, of configdocumentatie, waar autorisatie voor nodig is. Op deze manier is de klant dus ook inlognamen en wachtwoorden aan het verzamelen. Dat is geen monitoren/auditen maar spioneren!
Als bekend is dat het wordt opgenomen kan de leverancier de afweging maken of hij wel moet inloggen, en is het een heel ander verhaal.
Paul
19-01-2018, 09:01 door Anoniem
Door Anoniem:
Door Anoniem: Als professional, die zijn werkzaamheden bekwaam uitvoert, moet je je toch helemaal niet druk maken over dergelijke zaken ? Men zou het wel moeten melden, maar het zou mij als IT-er *niets* uitmaken of de klant de sessie opneemt.

Je argument klinkt enorm als "ik heb toch niks te verbergen"...
Bedenk wel dat het hier niet gaat om het opnemen van wat iemand doet op zijn eigen werkstation, maar om beheerhandelingen op een systeem van een ander. Dan zit iemand nadrukkelijk niet in zijn eigen wereldje te werken maar op een plek waar je mag verwachten dat er niets overbodigs wordt gedaan (omdat elke handeling een zeker risico op ongelukken meebrengt, zeker als je beheerrechten hebt, en je wilt niets kapot maken; en omdat het systeem domweg niet bedoeld is als werkstation van de beheerder). Je gaat in deze situatie niet op het systeem van een klant je e-mail checken of websites bezoeken (zelfs niet de websites die je informatie opleveren voor wat je op het systeem van die ander aan het doen bent), daarvoor heb je je eigen werkstation. Ik vind dat dat een totaal andere privacyverwachting oplevert.
Je hebt vast een auto van de zaak - betaald door je bedrijf. Enig bezwaar als je baas via een GPS in de wagen kijkt hoe professioneel je rijdt? Of dat je gesprekken bij de door de baas betaalde koffieautomaat worden opgenomen om te zien of je niet de verkeerde dingen zegt? Tellen hoe vaak je de backspace toets indrukt om te tellen of je niet teveel fouten maakt tijdens het typen? Want je voert je werkzaamheden bekwaam uit, toch? Dus geen enkel probleem mee?
Dat is wezenlijk anders. Als werknemer mag je, binnen grenzen, je eigen werkplek inrichten en daar ook, met mate, privédingen doen. Dat geldt voor je fysieke werkplek, inclusief die auto van de zaak, en voor je elektronische werkplek, je eigen werkstation. Als je remote beheer aan het plegen bent doe je dat vanaf je eigen werkplek maar de beheerde machine is nadrukkelijk niet die eigen werkplek. En je hebt het werkstation van waar je remote beheer pleegt tot je beschikking, je kan je eigen dingen gewoon in je eigen wereldje doen. Dat is anders bij die auto van de zaak, dan hangt er geen tweede auto waar je privédingen mee kan doen aan de trekhaak.

Ik vind dus dat je privacyverwachting op systemen van een ander die je beheert substantieel anders is dan op je eigen werkstation. Maar ik vind ook dat duidelijk moet zijn dat je doen en laten gelogd wordt. Dit is een vertrouwensrelatie en vertrouwen hoeft niet alleen maar blind te zijn, een zekere mate van controleerbaarheid doet wonderen om te illustreren dat het vertrouwen terecht is. Maar vertrouwen werkt ook pas als het wederkerig is, het moet niet van een kant komen. Daarom moet de eigenaar van het systeem duidelijk zijn in wat hij logt en wat daarmee gedaan wordt. Dingen stiekem doen of erin doorslaan is een indicatie van wantrouwen en roept wantrouwen op. Dat is vermoedelijk precies waarom de vraagsteller geschokt genoeg was over het loggen om er hier een vraag over te stellen.
19-01-2018, 09:44 door Anoniem
Je kan wel menen in je recht te staan om monitoring of auditen toe te passen, maar als je je dienstverlener daar vooraf niet over inlicht ontneem je je dienstverlener het recht om daar zelf een keuze in te hebben. Privacy is een grondrecht en dat recht komt de houder toe, niet een buitenstaander die meent dat iemand wel of geen recht heeft in zijn eigen voordeel

Er is wel een wereld van verschil tussen privacy op je eigen werk PC bij je werkgever, en privacy op het systeem van een klant, waarop je onderhoudswerkzaamheden uitvoert. Wel heb je gelijk dat men vooraf de leverancier dient in te lichten.

Ik heb als IT systeembeheerder *geen* verwachting van privacy wanneer ik via een remote desktop sessie onderhoudswerkzaamheden uitvoer op het systeem van een klant. Ik zou ook niet weten waarom ik privacy zou moeten verwachten op zo'n systeem.

Straks gaan mensen nog roepen dat er in een operatie kamer niemand aanwezig mag zijn, omdat dit de privacy van een chirurg zou schenden ;)
19-01-2018, 09:55 door Anoniem
Je kan wel menen in je recht te staan om monitoring of auditen toe te passen, maar als je je dienstverlener daar vooraf niet over inlicht ontneem je je dienstverlener het recht om daar zelf een keuze in te hebben

De meeste dienstverleners zijn bezig met geld verdienen, en niet met een privacy kruistocht.

Stel dat jij een potentiele klant bent, en de leverancier gaat direkt vragen of je audits uitvoert op je eigen apparatuur, of je cameratoezicht hebt in je kantoor pand, en meer van dat soort zaken. Ben jij dan nog altijd geinteresseerd als potentiele klant ?

Is het als potentiele leverancier nou echt het vraagstuk waar je je mee bezig wilt houden ? Of wil je gewoon zorgen voor een goede dienstverlening en omzet.
19-01-2018, 10:02 door Anoniem
Een taxichauffeur weet vooraf dat deze een afname van privacy heeft als klanten meenemen, maar of een werkgever heimelijk de privacy ontneemt niet.

Indien je als leverancier onderhoudswerkzaamheden verricht voor een klant, dan is dat niet anders. En bij een klant heb je *niet* hetzelfde recht op privacy in vergelijking met het recht wat je hebt op privacy in relatie tot je werkgever. Zijn volstrekt verschillende situaties. Meen je op klant systemen bijvoorbeeld ook prive zaken te kunnen regelen; iets wat in beperkte mate acceptabel is op je PC op je werk ?
19-01-2018, 10:05 door Anoniem
Als je beheer uitvoert op een klantomgeving, en je gebruikt gmail (of iets anders) om ongecontroleerd bestanden in de klantomgeving te brengen, dan zou dat voor mij als klant een reden zijn om het contract te heroverwegen: je gaat dan kennelijk buiten alle systemen van de klant om die bv. data leakage moeten voorkomen

Professionele beheerders zorgen er meestal ook voor dat servers helemaal geen internet toegang hebben (buiten wat functioneel strict noodzakelijk is). Een server hoeft niet op port 80/443 toegang te hebben tot het hele internet. Een service monteur kan zijn werk gewoon voorbereiden, zodat dit soort zaken ook helemaal niet nodig zijn.
19-01-2018, 10:14 door Anoniem
Volgens mij mag die dat gewoon doen maar niet publiceren zonder toestemming, cq ja dit mag voor privé gebruik.
19-01-2018, 10:20 door Anoniem
Als remote beheerder kan je niet meer garant staan voor de continuïteit als UN/PW door een klant worden opgenomen en dus te lezen en te gebruiken zijn. Voor sommige omgevingen is het wellicht verplicht (PCI) maar als beheerder kan je nooit zeker zijn dat iemand anders onder jouw gebruikersgegevens heeft lopen rommelen (lijkt mij ook botsen met de PCI-compliancy). Ik zou hier als beheerder wel een clausule voor op laten nemen in mijn beheercontract.
19-01-2018, 12:27 door Anoniem
Door Anoniem:
Door Anoniem: Is bij mij snel leverancier AF als ik niet mag monitoren/auditen. Sterker nog ik vraag mijn local support mensen om steeksproefgewijs mee te kijken via TV/RDP/DW sessies.
Maar vind je het acceptabel om je leverancier niet vooraf in te lichten dat jij achteraf eenzijdig beslist of de leverancier recht heeft op privacy en in welke mate?

Laat jij je je eigen huis uitsturen zodat de loodgieter 'in privacy' aan jouw leidingen kan werken ?
19-01-2018, 12:27 door Anoniem
Voor sommige omgevingen is het wellicht verplicht (PCI) maar als beheerder kan je nooit zeker zijn dat iemand anders onder jouw gebruikersgegevens heeft lopen rommelen (lijkt mij ook botsen met de PCI-compliancy)

Hangt er onder meer vanaf of je zaken als multi-factor authenticatie implementeert. Hierdoor worden gestolen credentials hoe dan ook al snel waardeloos.
19-01-2018, 12:29 door Anoniem
Door Anoniem: Als remote beheerder kan je niet meer garant staan voor de continuïteit als UN/PW door een klant worden opgenomen en dus te lezen en te gebruiken zijn.
Het denk dat degenen die hier loggen al uitgebreide rechten hebben op het beheerde systeem en geen rechten verwerven die ze niet sowieso al hebben. Of hier ook wachtwoorden gelogd wordt is me trouwens niet duidelijk. We weten bijvoorbeeld niet of het loggen op de verbinding plaatsvindt (is die dan niet versleuteld?) of binnen de sessie op de remote machine, als de authenticatei al heeft plaatsgevonden. En ook als het op de verbinding is bestaan er authenticatiemethoden die geen wachtwoorden over de lijn sturen.
19-01-2018, 12:40 door Anoniem
Volgens mij mag die dat gewoon doen maar niet publiceren zonder toestemming, cq ja dit mag voor privé gebruik.

Prive gebruik ? Deze discussie gaat over zakelijke dienstverlening aan klanten van ondernemingen.
19-01-2018, 13:03 door Anoniem
Het denk dat degenen die hier loggen al uitgebreide rechten hebben op het beheerde systeem en geen rechten verwerven die ze niet sowieso al hebben. Of hier ook wachtwoorden gelogd wordt is me trouwens niet duidelijk.

Natuurlijk worden wachtwoorden niet gelogged. Maar het klinkt mooi als argument voor de privacy. Ik ken geen logs/audit trails waarin wachtwoorden worden bijgehouden. Bij het opnemen van sessies zijn wachtwoorden, bij een fatsoenlijke implementatie, afgeschermd. Als ze plaintext te zien zijn, is er hoe dan ook veel mis met de implementatie.
19-01-2018, 13:08 door Anoniem
Door Anoniem:
Door Anoniem: Als professional, die zijn werkzaamheden bekwaam uitvoert, moet je je toch helemaal niet druk maken over dergelijke zaken ? Men zou het wel moeten melden, maar het zou mij als IT-er *niets* uitmaken of de klant de sessie opneemt.

Je argument klinkt enorm als "ik heb toch niks te verbergen"...

Je hebt vast een auto van de zaak - betaald door je bedrijf. Enig bezwaar als je baas via een GPS in de wagen kijkt hoe professioneel je rijdt? Of dat je gesprekken bij de door de baas betaalde koffieautomaat worden opgenomen om te zien of je niet de verkeerde dingen zegt? Tellen hoe vaak je de backspace toets indrukt om te tellen of je niet teveel fouten maakt tijdens het typen? Want je voert je werkzaamheden bekwaam uit, toch? Dus geen enkel probleem mee?

Ik zie alleen "je baas, je baas, je baas". Echter betreft het hier een klant. Dus totaal niet relevant en ik ben het ook eens met hem. Als professional boeit het mij niet dat "beheersessies" opgenomen worden, zolang mijn eigen werkplek vrij blijft.
19-01-2018, 13:11 door Anoniem
Als een opdrachtgever zich onttrekt aan het stellen van deze voorwaarden dan mag het contract waarschijnlijk zelfs ontbonden worden omdat privacy niet stopt enkel omdat iemand meent het recht te hebben om eenzijdig over andermans privacy te beslissen.

Stel dat jij nou ondernemer zou zijn, zou jij deze kans dan grijpen om het contract te ontbinden, en je klant en omzet te verliezen, om jouw privacy te beschermen tijdens onderhoudswerkzaamheden op zijn systeem ? Je bent echt een top ondernemer als je zo'n contract ontbindt, omdat dat kan.

De vraag of jij privacy hebt op het systeem van een klant, dat is echt een vraagstuk waar je je als ondernemer mee bezig dient te houden, omdat het de doelstellingen van je onderneming direkt raakt..... ;)

Wat zou voor jou als ondernemer belangrijker zijn, je privacy of je bedrijfsresultaten ? Wat denk je dat het marketing technisch trouwens betekent voor je bedrijf, indien je contracten gaat ontbinden met klanten die toezicht willen houden op hun eigen systemen, denk je dat dit zorgt voor goede PR ? Of denk je dat dit negatieve mond-tot-mond reclame tot gevolg zal hebben.

Een ondernemer die zich met dat soort issues bezig houdt, heeft die niet iets te verbergen ? ;)
19-01-2018, 15:28 door Briolet
Door Anoniem:Je hebt vast een auto van de zaak - betaald door je bedrijf. Enig bezwaar als je baas via een GPS in de wagen kijkt hoe professioneel je rijdt?

Dat is wat anders omdat het de auto van je werkgever is. Hier is het een derde partij die wat op jouw systeem doet. Het lijkt me goed dat je wilt kunnen controleren of het wel goed gebeurd.

Vergelijk het met een dakdekker die jouw huis repareert. Als hij klaar is, moet je maar geloven dat hij de goede isolatie gebruikt heeft en wel alle randen extra afgedicht heeft. Je kunt hem op zijn blauwe ogen geloven dat hij zo goedkoop is omdat hij efficiënt kan werken. Maar controle is beter.

Vooraf melden is wel beter want dan weet de dakdekker dat alles nog eens gecontroleerd wordt voordat al het werk onder de laatste afdeklaag verdwijnt. Of in het geval van een opgenomen sessie, dat al zijn werk achteraf nog nagelopen kan worden als er problemen zijn ontstaan.

Als die dakdekker het dak van een bank repareert, lijkt het me zelfs de plicht van een bedrijf om te controleren of de dakdekker niet naar andere zaken kijkt.
19-01-2018, 15:58 door Anoniem
Zouden sommige privacy evangelisten hier direct omdraaien indien ze aankomen bij de klant, en daar -zonder dat ze vooraf geinformeerd zijn- zou blijken dat er sprake is van camera toezicht op het parkeer terrein, of in het kantoor gebouw ? Immers kan dat hun ''privacy'' raken. Ook al heeft de klant alle recht om op eigen terrein dergelijk toezicht te installeren.
20-01-2018, 09:54 door Anoniem
Door Anoniem:
Door Anoniem: Is bij mij snel leverancier AF als ik niet mag monitoren/auditen. Sterker nog ik vraag mijn local support mensen om steeksproefgewijs mee te kijken via TV/RDP/DW sessies.
Maar vind je het acceptabel om je leverancier niet vooraf in te lichten dat jij achteraf eenzijdig beslist of de leverancier recht heeft op privacy en in welke mate?

Je kan wel menen in je recht te staan om monitoring of auditen toe te passen, maar als je je dienstverlener daar vooraf niet over inlicht ontneem je je dienstverlener het recht om daar zelf een keuze in te hebben. Privacy is een grondrecht en dat recht komt de houder toe, niet een buitenstaander die meent dat iemand wel of geen recht heeft in zijn eigen voordeel.

je had kunnen stoppen bij "in te lichten"

ja we lichten onze leveranciers in dat er monitoring en audit plaatsvind. Het staat in policies en in een SLA. Niet accepteren is natuurlijk hun goed recht. Maar dan ons recht om een ander te zoeken

Eminus
20-01-2018, 12:22 door Anoniem
Door Anoniem: Zouden sommige privacy evangelisten hier direct omdraaien indien ze aankomen bij de klant, en daar -zonder dat ze vooraf geinformeerd zijn- zou blijken dat er sprake is van camera toezicht op het parkeer terrein, of in het kantoor gebouw ? Immers kan dat hun ''privacy'' raken. Ook al heeft de klant alle recht om op eigen terrein dergelijk toezicht te installeren.
Dat recht zou je nog wel eens vies tegen kunnen vallen. Cameratoezicht moet duidelijk zichtbaar zijn (goed zichtbare camera's of een bordje dat het duidelijk meldt) en heimelijk cameratoezicht moet vooraf bij AP gemeld en door AP getoetst worden, ook op je eigen terrein.

En is iedereen die iets belangrijk vindt en dat hardop zegt meteen een evangelist? Hoe heet dan de religie die je zelf nu aan het verspreiden bent?
20-01-2018, 14:20 door karma4
Door Anoniem:
Dat recht zou je nog wel eens vies tegen kunnen vallen. Cameratoezicht moet duidelijk zichtbaar zijn (goed zichtbare camera's of een bordje dat het duidelijk meldt) en heimelijk cameratoezicht moet vooraf bij AP gemeld en door AP getoetst worden, ook op je eigen terrein.
.....
En is iedereen die iets belangrijk vindt en dat hardop zegt meteen een evangelist? Hoe heet dan de religie die je zelf nu aan het verspreiden bent?
Cameratoezicht, waar heb je het over? Bedenk huiselijke toepassingen vallen buiten de AP.
Bedrijfsmatig met belang mag het binnen kaders met een interen vermelding wat en hoe zonder verdere betrokkenheid AP.
Het gaat hier over vastleggen van uitvoering van werkzaamheden en in opdracht van.
Het is de controle op de werkzaamheden die voor de opdrachtgever (data controller) van belang is om te zien wat de verwerker (data processor) doet. De data controller blijft ten alle tijde aansprakelijk dus zo raar lijkt me controle niet.
Alsof een kapitein op een schip geblinddoekt zijn werk moet doend, dat werkt niet. Privacy activisten lijken niets van de GDPR te snappen.
20-01-2018, 23:59 door Anoniem
Door Anoniem:Ik heb als IT systeembeheerder *geen* verwachting van privacy wanneer ik via een remote desktop sessie onderhoudswerkzaamheden uitvoer op het systeem van een klant. Ik zou ook niet weten waarom ik privacy zou moeten verwachten op zo'n systeem.
Leuk dat jij geen verwachtingen hebt. Privacy is persoonlijk. Dus als jij het niets verwacht is het prima, maar een ander mag een andere grens trekken voor deze aan het werk gaat. Omdat het een grondrecht is kan je als opdrachtgever niet zomaar zeggen dat de persoon die je een vergoeding geeft voor werk verder geen rechten heeft. Dat heeft niets met de (werk)relatie te maken of wie betaald en wie geld ontvangt. Je hebt ook recht op een veilige werkplek, dat een werkgever of opdrachtgever daar eenzijdig anders over kan denken maakt wat is bedacht ook niet zondermeer acceptabel. De werknemer moet vooraf kunnen controleren of het aan de eigen eisen voldoet. Of die dat ook doet is iets anders. En of en hoe die gebruik maakt van de informatie is ook iets anders.

Straks gaan mensen nog roepen dat er in een operatie kamer niemand aanwezig mag zijn, omdat dit de privacy van een chirurg zou schenden ;)
Een chirurg kan prima eisen dat niemand heimelijk beeldmateriaal maakt en iedereen zorgvuldig om gaat met de privacy van anderen in de ruimte. Mooier nog, de medische wereld doet precies wat Arnoud voor stelt: vooraf inlichten hoe met privacy dient te worden omgegaan bij het uitvoeren van werk.
21-01-2018, 00:22 door Anoniem
Door karma4: Alsof een kapitein op een schip geblinddoekt zijn werk moet doend, dat wekt niet. Privacy activisten lijken niets van de GDPR te snappen.
En je snapt het zelf ook niet. De GDPR gaat over geautomatiseerde dataverwerking, heeft niets met omstandigheden als cameratoezicht te maken of met aanwezigheid van derden op een reguliere werkplek. Nou, misschien als de loods aan boord komt en inzicht kan hebben in persoonsgegevens. Maar ook dan gaat op dat er vooraf afspraken horen te zijn gemaakt. Het concept van verbetering van beschermen van privacy gaat inderdaad heel en verder dan sommige hier willen beseffen. Want strikt genomen kunnen rechten inderdaad botsen. En hoe idioot het voor de een ook mag klinken dat dit met zich mee kan brengen dat er minder privacy is, klinkt het voor een ander als idioot dat die rekening dient te houden met anderen en daarmee vrijheid verliest als die privacy te ver door slaat. Het is dus van groot belang om vooraf dit uit te onderhandelen. Als dat je te complex zou zijn dan had veel handel nooit bestaan, want dat is een grote vermenging van onderhandelen en instemmen met elkaars eisen en wensen.
21-01-2018, 08:47 door Anoniem
Dat recht zou je nog wel eens vies tegen kunnen vallen. Cameratoezicht moet duidelijk zichtbaar zijn (goed zichtbare camera's of een bordje dat het duidelijk meldt) en heimelijk cameratoezicht moet vooraf bij AP gemeld en door AP getoetst worden, ook op je eigen terrein.

Oh, en jij gaat er vanuit dat klanten camera's verbergen, niet aanmelden bij de AP, of meer van dat soort onzin ? Of zijn dat niet de vraagstukken waar je als ondernemer mee bezig bent (of hoort te zijn) ? Leuk dat je wat mantra's kan opdreunen over cameratoezicht, alsof ik die regels niet zou kennen.

Nog nooit een kantoorgebouw meegemaakt waar niet voldaan werd aan de regels die je noemt mbt camera toezicht ;)
21-01-2018, 10:37 door karma4
Door Anoniem:
Door karma4: Alsof een kapitein op een schip geblinddoekt zijn werk moet doend, dat wekt niet. Privacy activisten lijken niets van de GDPR te snappen.
En je snapt het zelf ook niet. De GDPR gaat over geautomatiseerde dataverwerking, heeft niets met omstandigheden als cameratoezicht te maken of met aanwezigheid van derden op een reguliere werkplek. ..

Het voorbeeld van een kapitein op een schip werd in een GDPR cursus gebruikt. Het gaat om helderheid in rollen en verantwoordelijkheden. Aangezien je dat begrip mist kun je foeteren op anderen maar geeft je aan dat je de basis van de GDPR geheel mist.
In de gestelde vraag gaat het "remote beheer" en opname van "beheersessies".
Het gaat dan om een remote terminal sessie waarbij de (loods) ingehuurde beheerder in een tijdelijk open gezette verbinding zijn werk doet. Van het werk in die remote verbinding wordt alles vastgelegd.

Het er bij halen van camera op de eigen omgeving van de remote beheerder is iets zoeken wat helemaal niet genoemd is.
Ik kan dat met een camera niet in de vraag lezen en het komt naar mijn ervaring niet eens voor in genoemde situatie.
Ik zou pleiten voor zo'n stricte aanpak als gangbaar iets met het benoemd zijn in de aanbestedingsprocedure (niet anders gezien dan dat het benoemd is). Als het in de aanbesteding staat is het helder al zal de uitvoerende beheerder van die voorwaarde iets weten.

Het vergelijk met een loods is best aardig. https://nl.wikipedia.org/wiki/Loods_(scheepvaart) de kapitein blijft verantwoordelijk. Je wilt beweren dat de verantwoordelijke van niets mag weten wat er gedaan wordt?
21-01-2018, 10:39 door karma4
Door Anoniem:
Straks gaan mensen nog roepen dat er in een operatie kamer niemand aanwezig mag zijn, omdat dit de privacy van een chirurg zou schenden ;)
Een chirurg kan prima eisen dat niemand heimelijk beeldmateriaal maakt en iedereen zorgvuldig om gaat met de privacy van anderen in de ruimte. Mooier nog, de medische wereld doet precies wat Arnoud voor stelt: vooraf inlichten hoe met privacy dient te worden omgegaan bij het uitvoeren van werk.
Heb je nog leukere moppen dan die. Juist de privacy in de medische wereld is een grote uitdaging. Alles wordt vastgelegd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.