image

Juridische vraag: Kun je als bedrijf medewerkers gewoon verbieden om werkbestanden mee naar huis te nemen?

woensdag 10 oktober 2018, 11:02 door Arnoud Engelfriet, 30 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, werd dinsdag gemeld bij Security.nl. Dit blijkt uit het Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit "altijd of meestal" wel doen. 29 procent zegt soms wel, soms niet of meestal niet. Ik vind het nogal een schokkend risico wat ik hier lees. Kun je dit niet beter gewoon verbieden als werkgever?

Antwoord: Het kan natuurlijk een risico zijn om werkbestanden naar jezelf te mailen. Ik vermoed dat in de enquête vooral werd gedacht aan risico's rondom de slechter beveiligde thuiscomputer, waardoor virussen er met de data vandoor kunnen gaan of deze door een foutje gemaild of geüpload wordt naar een plek waar hij niet hoort. Idem voor privémailboxen die minder goed beveiligd zijn. Daarnaast zit je als bedrijf nog met AVG issues, een bestand met persoonsgegevens dat op deze manier mee naar huis gaat, kan best een datalek opleveren.

Vanwege deze risico's kan ik me goed voorstellen dat een bedrijf haar medewerkers verbiedt om bestanden naar privéadressen te mailen en/of op sticks en dergelijke mee naar huis te nemen. Wel moet je als bedrijf dan goed hebben nagedacht hoe je het wil doen met thuiswerken, iets dat vaak de facto zeer zeker verwacht wordt van medewerkers. (Ze nemen die informatie immers niet voor niets mee naar huis.) Je kunt als goed werkgever niet enerzijds thuiswerken verlangen en anderzijds geen middel bieden om de benodigde data thuis te hebben.

In de comments zag ik nog de suggestie om werknemers aansprakelijk te stellen als ze zo'n verbod overtreden of een datalek veroorzaken door slechte beveiliging thuis. Dat gaat 'm niet worden: juridisch gezien kun je werknemers gewoon niet privé aansprakelijk houden voor fouten die ze op het werk maken. En data meenemen naar huis om daar onveilig te werken, is gewoon een werkgerelateerde fout. Ook als het expliciet verboden is. Het arbeidsrecht is hier zeer op de hand van het personeel.

Ik ken werkgevers die om deze reden USB-poorten fysiek onbruikbaar maken en Gmail en consorten blokkeren. Dat is wat radicaal maar voorkomt een hoop ongewenste datatransporten. Je maakt het mensen dan weer wel moeilijker om hun werk te doen, dus daar moet je dan wat anders op verzinnen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (30)
10-10-2018, 11:22 door Anoniem
Toch heel simpel. Als de baas wil dat ik thuis werk, dan zorgt de baas voor een laptop met VPN naar kantoor en betaald mijn internet verbinding. Opgelost! En anders is er geen thuis werken bij! Privé en werk moet je echt gescheiden houden. Is ook beter voor jezelf.

TheYOSH
10-10-2018, 11:54 door Anoniem
Thuiswerken zonder data is als lunchpauzes faciliteren bij een eetwarenmeebrengverbod, als een toiletblok dat permanent is afgesloten, als een callcenter in een stiltecentrum, als ..

Ergo, het probleem ligt niet bij de werknemer maar bij de baas.
Die zal zich dienen te beraden op welke soort werkzaamheden nog thuis kunnen plaatsvinden en of dat werkelijk een waardevolle toevoeging is binnen het bedrijfsproces.

En pas op met de woorden "gewoon" en "even".
"Even" is zelden "even" en "gewoon" is meestal toch niet zo "gewoon".
Breek me de bek niet open over "gewoon even".

Gewoon even veilig thuiswerken zit er dan ook waarschijnlijk gewoon even niet in.
Als je dat even gewoon onderkent ben je al een heel eind op weg naar een goede oplossing.
10-10-2018, 11:57 door Anoniem
Thuiswerken is natuurlijk leuk, maar zolang het geen BYOD-gedoe is, hebben ze een laptop van de baas. Die (hoop ik) met een VPN aan het bedrijfsnet hangt. Als zodanig is er geen noodzaak om files naar huis te sturen om 'thuis te werken'.
10-10-2018, 13:02 door Anoniem
Ik denk dat het helemaal geen gek idee is om de boel grondig dicht te zetten. Ook omdat rondslingerende USB sticks en databestanden in privemailboxen meer problemen veroorzaken dan alleen een lekrisico. Om diezelfde reden zou ik ook bijvoorbeeld niet graag "cloud"-opslag beschikbaar stellen om thuis aan te koppelen. Ransomware, virussen, andere ellende, want je weet niet wat de werknemers thuis allemaal gebruiken.

Je kan overwegen om voor thuiswerk een apparaat ter beschikking te stellen, bijvoorbeeld een thin client met vpn naar kantoor. Al dan niet met scherm/toetsenbord/muis of kvm-switch om tussen "prive" en "werk" te schakelen. Zo zijn er ook VoIP-telefoons te krijgen die zo'n VPN-verbinding naar de bedrijfscentrale leggen. En dat is dan alleen nog maar spraak, niet spreadsheetlbestandjes met al je klantcontacten.

Of je zegt gewoon dat er niet thuisgewerkt kan en mag worden. Past ook wel in de trend dat bedrijven werknemers verbieden om buiten kantooruren nog emails te lezen of te beantwoorden. Als je op kantoor bent, ben je op kantoor, en als je thuis bent, ben je thuis. Valt ook wel wat voor te zeggen.
10-10-2018, 13:43 door Anoniem
Ik vind het nogal een schokkend risico wat ik hier lees. Kun je dit niet beter gewoon verbieden als werkgever?

Wil je als werkgever minder productiviteit, en medewerkers die per definitie nooit thuis voor je zullen werken ? Indien dat je insteek is, dan is zo'n verbod absoluut een goede oplossing.

Wil je als werkgever wel productiviteit, en medewerkers die soms thuis voor je werken ? Indien dat je insteek is, dan is oplossingsgericht denken veel verstandiger.

De vraagstelling vind ik wat dat betreft redelijk bizar.
10-10-2018, 14:12 door Anoniem
Verbieden kan.

Handhaving is bijna onmogelijk
10-10-2018, 14:44 door Anoniem
Door Anoniem: Verbieden kan.

Handhaving is bijna onmogelijk

Hard afstraffen als je erachter komt, daarentegen weer wel. Pour encourager les autres.

Medewerkers met een keurig dichtgetimmerde laptop van de zaak gaan dan mekkeren dat hun eigen systemen zoveel sneller zijn en dat ze toch echt beter daar de data op kunnen zetten om hun analyses te doen.
Zodra je dat challenget komen ze er al pratend achter dat dat eigenlijk wel heel erg meevalt en er geen enkele goede reden is om zo slordig met data om te gaan, behalve dan hun eigen achterhaalde idee. En dat het inderdaad misschien niet zo handig is om tegen wet- en regelgeving en bedrijfspolicy in, lekker je eigen gang te gaan.

Het zou wat moois zijn als alle beroepsgroepen dat deden. Ik zie de hartchirurg al thuis aan de keukentafel bezig omdat hij daar tenminste zijn eigen muziek kan draaien en minder reistijd heeft.
10-10-2018, 15:23 door Pebkac
Lekker progressief hier :P Natuurlijk moet je gewoon kunnen thuiswerken. Dat past bij goede work-life balance.
Daarbij moet je dit als werkgever wel optimaal faciliteren. Er zijn diverse oplossingen, je kunt ook gewoon netjes two factor een remote werkplek opstarten. De heren leveranciers hebben daar goed over nagedacht, ook allerlei cloud oplossingen zijn met mooie interfaces en proxy's er tussen prima aan elkaar te knopen. En, surprise, dan is het nog veilig ook.

Het geheel gaat er over dat je nadenkt over geïnformeerd delen op geëigende platformen. Geëigendheid uit zich in de juist toegepaste maatregelen op basis van risicoanalyse. Het zogenaamde "gezond boerenverstand".

Daarnaast moet je je werknemers opvoeden (awareness). Delen van werkinformatie naar een prive mailbox is in dit verhaal een "no go". Niet alleen moet je dat verbieden (als je voldoende hebt gefaciliteerd in de juiste mogelijkheden, mag dat prima). Je moet ook handhaven, dat is waar technieken als DLP en SIEM om de hoek komen kijken. Gaat voor het MKB wellicht wat ver. Onze vrienden M$ hebben daar binnen de 365 suite echter ook prima oplossingen voor. Het lijkt me geen verrassing dat daar ook allerlei aanvulldende oplossingen tegenaan te modelleren zijn.

Ik blijf hier toch advocateren dat we moeten gaan denken in dingen mogelijk maken voor mensen, binnen de kaders die we vanuit onze vakkennis stellen. De risico's die we zien tot een acceptabel niveau beperkend.
10-10-2018, 15:50 door Anoniem
DLP implementeren en klaar.
10-10-2018, 16:27 door Anoniem
Door Anoniem: Toch heel simpel. Als de baas wil dat ik thuis werk, dan zorgt de baas voor een laptop met VPN naar kantoor en betaald mijn internet verbinding. Opgelost! En anders is er geen thuis werken bij! Privé en werk moet je echt gescheiden houden. Is ook beter voor jezelf.

TheYOSH

Je hebt in zekere zin gelijk maar de houding "en betaald mijn internet verbinding." is echt 1990... Iedereen heeft tegenwoordig een goede internet lijn thuis liggen en de 1mb/s die de vpn verbinding en citrix ica verbinding gebruiken kan er makkelijk bij zonder dat iemand anders er last van heeft. Maar stel dat je dan als nog bij je punt blijft dan mag moreel en integer gezien de verbinding ook niet privé gebruikt worden.


Wat ik me wel afvraag Arnoud Engelfriet, is dit niet de deur open zetten om te lekken?
Als de werkgever de medewerkers niet aansprakelijk kan stellen dan kunnen ze lekken zonder dat daar consequenties aan vast zitten.
10-10-2018, 16:39 door Anoniem
Het lijkt mij dat alle data binnen een bedrijf eigendom van dat bedrijf is. Dus zelfs de email die die werknemer naar zichzelf stuurt. Het is zoals een auto van de zaak waar je ook mee naar huis mag rijden en zelfs prive mag gebruiken.

Het lijkt me handig voor een bedrijf dat die voor data regels opstelt. Want van een gewone werknemer, een verkoper, of de chef lege dozen, kun je natuurlijk niet verwachten dat hij of zij volwaardig systeembeheerder en security expert is. In die zin lijkt me een bedrijf dat op de hoogte is van extern datagebruik, altijd nog gewoon aansprakelijk blijft voor lekken van data. Zinvol dus, zeker voor het bedrijf om regels op te stellen. Zinvol voor werknemers ook, die data naar huis mailen, om in elk geval ervoor te zorgen dat de baas daarvan op de hoogte is.

Of het mag is verder niet echt de relevante vraag. Want in zichzelf verbiedt de AVG dit niet. Ook opvoeden van werknemers is niet echt aan de orde. Ik zie geen verschil tussen de baas vragen of je een weekendje de vorkheftruck mee naar huis kunt nemen of bedrijfsdata. Dat hoor je gewoon te weten. Want anders is het pikken van de baas.

En baas zijn is risico's nemen. Daarmee zijn bedrijven ook anders dan bijvoorbeeld de ambtenarij. Gaat het goed, dan kan het. Gaat het niet goed, is het bedrijf aansprakelijk. gebeurt het bijvoorbeeld bij een bedrijfje als Apple, die hebben toch poen zat om de boete te betalen, dus niks aan de hand.
10-10-2018, 16:57 door Anoniem
Door ErikPost: Lekker progressief hier :P
Alsof "progressief zijn" een doel op zich zou moeten zijn. En het is waar dat onderwijs en vooral academia dat al enige tientallen jaren uitdragen.

Maar niet iedereen is het daar mee eens. Er is een reden dat bijvoorbeeld uitgesproken anti-progessieve kandidaten her en der hoge ogen gooien in de politiek.

Natuurlijk moet je gewoon kunnen thuiswerken. Dat past bij goede work-life balance.
Dat maak jij ervan. Je kan ook heel goed zeggen dat "werken doe je op het werk, leven doe je thuis" een hele duidelijke "work-life balance" oplevert. Stukje zekerheid doet het ook altijd goed bij demense.

En ik denk dat duidelijke keuzes maken steeds belangrijker wordt naarmate de techniek meer kan. Ja het kan allemaal. Moet het daarom ook? Hmm, mischien niet.

Dat je als werkgever die keuze deels aan de werknemer laat, daar kun je voor kiezen. Maar bijvoorbeeld een gigant als yahoo hield daar op een gegeven moment ook gewoon mee op. "Mooi geweest, kom maar weer gewoon naar kantoor."

Ik blijf hier toch advocateren dat we moeten gaan denken in dingen mogelijk maken voor mensen, binnen de kaders die we vanuit onze vakkennis stellen. De risico's die we zien tot een acceptabel niveau beperkend.
Je vergeet dat wel of niet thuiswerken mogelijk maken uiteindelijk een beleidskeuze is die niet puur uit de techniek voortvloeit.

Thuiswerken is ook niet een mensenrecht ofzo. Of hoe moeten we dat doen met de jongens van de hoogovens en jouw idee van "goede work-life balance"?

En de context hier is die van het juridisch kader. Niet die van de techneut die zijn orders maar gewoon moet uitvoeren en iets dat werkt neer moet zetten, waarbij hij dan zelf nog maar even moet bedenken ook nog naar de security te kijken, zonder dat de baas het gevoel krijgt dat'ie z'n tijd zit te verdoen met onnutte zaken.
10-10-2018, 16:59 door Anoniem
Thuiswerken kan prima met een minimum aan risico als je dat doet vanaf een bootable USB Linux stick waarvandaan een terminal sessie wordt gestart op een server bij de werkgever.

Dan hoeven er geen bestanden te worden meegenomen of doorgestuurd. De gehele omgeving blijft gescheiden op twee niveau's: het besturingssysteem en de terminal sessie.
10-10-2018, 19:03 door Anoniem
Door Anoniem: Thuiswerken kan prima met een minimum aan risico als je dat doet vanaf een bootable USB Linux stick waarvandaan een terminal sessie wordt gestart op een server bij de werkgever.

Dan hoeven er geen bestanden te worden meegenomen of doorgestuurd. De gehele omgeving blijft gescheiden op twee niveau's: het besturingssysteem en de terminal sessie.

En als ik een firma heb die balletjes gehakt met pindsaus verkoopt? Moet ik dat allemaal dan weten?
11-10-2018, 00:26 door Anoniem
Door Anoniem:
Door Anoniem: Thuiswerken kan prima met een minimum aan risico als je dat doet vanaf een bootable USB Linux stick waarvandaan een terminal sessie wordt gestart op een server bij de werkgever.

Dan hoeven er geen bestanden te worden meegenomen of doorgestuurd. De gehele omgeving blijft gescheiden op twee niveau's: het besturingssysteem en de terminal sessie.

En als ik een firma heb die balletjes gehakt met pindsaus verkoopt? Moet ik dat allemaal dan weten?

99% van de kleine bedrijven hebben geen systeembeheerder in dienst. Die nemen diensten af van IT dienstenaanbieders. Zij zijn degenen die moeten weten hoe ze het moeten doen.

Een bedrijf dat balletjes met pindasaus verkoopt zou ik overigens niet helpen, sateh dien je te verkopen met spiezen met kippenvlees. Laat dat duidelijk zijn.
11-10-2018, 08:40 door Anoniem
Ik denk dat iedereen hier voorbij gaat aan het *waarom*. Waarom neemt een werknemer bestanden mee naar huis? Om aan de Chinezen/Russen/Amerikanen te verkopen? Of omdat er een of andere onmogelijke deadline gehaald moet worden waar z'n bonus, salaris of baan vanaf hangt?

Werknemers zullen niet met opzet het bedrijf in gevaar brengen, maar soms dwingt een of andere bizarre security policy samen met druk van het management wel tot 'creative' oplossingen. Eigenlijk moeten we dus de oplossing bij onszelf zoeken - niet bij een nieuwe regel of meer straffen.

TheFLOSS
11-10-2018, 08:42 door Anoniem
Door Anoniem:
Door Anoniem: Toch heel simpel. Als de baas wil dat ik thuis werk, dan zorgt de baas voor een laptop met VPN naar kantoor en betaald mijn internet verbinding. Opgelost! En anders is er geen thuis werken bij! Privé en werk moet je echt gescheiden houden. Is ook beter voor jezelf.

TheYOSH

Je hebt in zekere zin gelijk maar de houding "en betaald mijn internet verbinding." is echt 1990... Iedereen heeft tegenwoordig een goede internet lijn thuis liggen en de 1mb/s die de vpn verbinding en citrix ica verbinding gebruiken kan er makkelijk bij zonder dat iemand anders er last van heeft. Maar stel dat je dan als nog bij je punt blijft dan mag moreel en integer gezien de verbinding ook niet privé gebruikt worden.


Wat ik me wel afvraag Arnoud Engelfriet, is dit niet de deur open zetten om te lekken?
Als de werkgever de medewerkers niet aansprakelijk kan stellen dan kunnen ze lekken zonder dat daar consequenties aan vast zitten.

Tuurlijk kunnen daar wel consequenties aan vast zitten. Als een bedrijf door het datalek economische schade lijdt kunnen ze de betreffende medewerker echt wel op staande voet eruit gooien.
11-10-2018, 09:10 door Pebkac
@Anoniem 16:57; feedback op niveau, dank.
11-10-2018, 09:23 door Anoniem
Door Anoniem: Thuiswerken is natuurlijk leuk, maar zolang het geen BYOD-gedoe is, hebben ze een laptop van de baas. Die (hoop ik) met een VPN aan het bedrijfsnet hangt. Als zodanig is er geen noodzaak om files naar huis te sturen om 'thuis te werken'.

Waarom zou ik de veiligheid van mijn thuisnetwerk potentieel compromiteren door hardware/software van mijn werkgever aan te koppelen?
Andersom mag het ook niet...
11-10-2018, 10:01 door Anoniem
Ik denk dat daar per bedrijf goed naar gekeken moet worden, bedrijfsgeheimen, AVG, concurrentiebedingen en dat soort dingen moeten meegenomen worden in de besluitvoering.
11-10-2018, 10:11 door Anoniem
"Handhaving is bijna onmogelijk"

Goed security control framework, om veilig gebruik zoveel mogelijk af te dwingen. En bij mogelijk onveilig gebruik niet alleen denken aan straffen, of aan awareness, maar ook aan de vraag *waarom* medewerkers dit doen. Betere voorzieningen door de werkgever kunnen onveilig gedrag ook tegen gaan.

"Hard afstraffen als je erachter komt, daarentegen weer wel."

Tja, indien je je eigen onvermogen wilt afschuiven op de individuele medewerker en niet verder wil denken dan je neus lang is.
11-10-2018, 10:43 door beatnix
ja platte e-mail versturen is rommel qua privacy/veiligheid over het internet.

overigens prima juridisch toegestaam te verbieden, alleen wat doet in die context de mogelijkheid om prive mail te benaderen naast werkbestanden die kennelijk zo gevoelig liggen? dan behoor werknemer op t minst verschillende vm's te krijgen waar werk vm strict gescheiden van mail vm, zoiets.

en met mogelijkheid van thuis werken gewoon custom made vm daartoe op de laptop die via custom tailored vm werkomgeving synchroniseerd/centraliseerd. is ook prima als beveiligingsmethode op de werkvloer, dus zelfs vanuit kantoor via custom made vm/ tailored vpn de werkomgeving benaderen, geeft verschillende dikke security voordelen tegenover plat open bekabeld kantoornetwerk.
11-10-2018, 11:49 door Arnoud Engelfriet
Door Anoniem:
Wat ik me wel afvraag Arnoud Engelfriet, is dit niet de deur open zetten om te lekken?
Als de werkgever de medewerkers niet aansprakelijk kan stellen dan kunnen ze lekken zonder dat daar consequenties aan vast zitten.

Tuurlijk kunnen daar wel consequenties aan vast zitten. Als een bedrijf door het datalek economische schade lijdt kunnen ze de betreffende medewerker echt wel op staande voet eruit gooien.

Dat moet in de praktijk dan wel een héél ernstig geval zijn. Economische schade is een breed begrip, en zal dus goed onderbouwd en enorm van financiële omvang moeten zijn. Slecht in de pers komen lijkt mij niet genoeg.

De consequenties van fouten op je werk zijn arbeidsrechtelijk. Dus waarschuwing, berisping, intrekken van privileges, weigeren van promotie, niet geven van bonus, overplaatsing en uiteindelijk ontslag. Dit moet wel proportioneel zijn gezien de aard van de fout, de aard van de functie én de omstandigheden. Een nieuwe medewerker die niet goed gebrieft is en net na zijn proeftijd deze fout maakt, kun je niet op staande voet ontslaan hierom. Dat krijg je niet rond. Een senior of manager met twintig jaar ervaring die de risico's kent en dan een loopje neemt met de gegeven instructies, daar zie ik het eerder bij gebeuren.

De rechter weegt wel altijd mee dat een staandevoetje een zéér zwaar middel is dat iemand gigantisch straft. Je staat op straat, krijgt geen uitkering, je hypotheek komt in gevaar, een nieuwe baan zal lastig zijn (hoe leg je dit uit bij de sollicitatie) en ga zo maar door. Dan moet de fout en zijn consequenties ook wel gigantisch zijn.

Ik kan eerlijk gezegd me geen geval heugen uit de gepubliceerde rechtspraak, en vind het ook moeilijk een realistische casus te verzinnen waarin iemand op staande voet ontslagen wordt omdat hij data mee naar huis neemt om er thuis aan te werken, waarna die data bij ongeautoriseerde derden terecht komt. Kwade opzet zoals het aan de concurrent verkopen is natuurlijk een ander verhaal.
11-10-2018, 14:08 door Anoniem
In deze hele discussie mis ik het gebruik van VDI. Hiermee los je in 1 keer het transport van data op. Daarnaast ben je ook niet gebonden aan het gebruik van een fysieke werkplek van je werkgever.
11-10-2018, 15:15 door Anoniem
Door Anoniem: In deze hele discussie mis ik het gebruik van VDI.
Dan heb je niet opgelet.
11-10-2018, 15:19 door Anoniem
Door ErikPost: Lekker progressief hier :P Natuurlijk moet je gewoon kunnen thuiswerken. Dat past bij goede work-life balance.
Daarbij moet je dit als werkgever wel optimaal faciliteren. Er zijn diverse oplossingen, je kunt ook gewoon netjes two factor een remote werkplek opstarten. De heren leveranciers hebben daar goed over nagedacht, ook allerlei cloud oplossingen zijn met mooie interfaces en proxy's er tussen prima aan elkaar te knopen. En, surprise, dan is het nog veilig ook.

Het geheel gaat er over dat je nadenkt over geïnformeerd delen op geëigende platformen. Geëigendheid uit zich in de juist toegepaste maatregelen op basis van risicoanalyse. Het zogenaamde "gezond boerenverstand".

Daarnaast moet je je werknemers opvoeden (awareness). Delen van werkinformatie naar een prive mailbox is in dit verhaal een "no go". Niet alleen moet je dat verbieden (als je voldoende hebt gefaciliteerd in de juiste mogelijkheden, mag dat prima). Je moet ook handhaven, dat is waar technieken als DLP en SIEM om de hoek komen kijken. Gaat voor het MKB wellicht wat ver. Onze vrienden M$ hebben daar binnen de 365 suite echter ook prima oplossingen voor. Het lijkt me geen verrassing dat daar ook allerlei aanvulldende oplossingen tegenaan te modelleren zijn.

Ik blijf hier toch advocateren dat we moeten gaan denken in dingen mogelijk maken voor mensen, binnen de kaders die we vanuit onze vakkennis stellen. De risico's die we zien tot een acceptabel niveau beperkend.

Jij snapt het tenminste. Een aantal fossielen hebben het alleen over verbieden en straffen, die hebben ergens een afslag gemist of te lang onder een steen gelegen.
Ons Security werk betreft het mitigeren of tegengaan van risico's waarbij er nog steeds gewerkt moet kunnen worden. De fossielen onder ons zijn ervan overtuigd dat verbieden nog werkt maar ieder anders snapt (mits er geen idiote bedrijfspolicies gelden) dat een dergelijke houding niet te handhaven is door de steeds verdere oprekking van de grens werk vs. privé.
Daar moet je anders naar gaan kijken en risico's en maatregelen anders beoordelen. We zijn tenslotte geen Politie agentjes ....
12-10-2018, 05:25 door Anoniem
Vreemd dat de wet zo in het voordeel van de werknemer is. Als je de baas niet de mag dan neem je gevoelige bestanden mee naar huis en lekt ze per ongeluk. Tja ik wist niet dat mijn fileshare programma die folder deelde....
12-10-2018, 09:21 door karma4
Door Anoniem: Toch heel simpel. Als de baas wil dat ik thuis werk, dan zorgt de baas voor een laptop met VPN naar kantoor en betaald mijn internet verbinding. Opgelost! En anders is er geen thuis werken bij! Privé en werk moet je echt gescheiden houden. Is ook beter voor jezelf.
TheYOSH

Eens Je kunt het thuis mogen werken koppelen en dat aparte VPN terwijl je alles monitored en logt.

Door ErikPost: Lekker progressief hier :P Natuurlijk moet je gewoon kunnen thuiswerken. Dat past bij goede work-life balance.
Daarbij moet je dit als werkgever wel optimaal faciliteren. Er zijn diverse oplossingen, je kunt ook gewoon netjes two factor een remote werkplek opstarten. De heren leveranciers hebben daar goed over nagedacht, ook allerlei cloud oplossingen zijn met mooie interfaces en proxy's er tussen prima aan elkaar te knopen. En, surprise, dan is het nog veilig ook.
...
Ik blijf hier toch advocateren dat we moeten gaan denken in dingen mogelijk maken voor mensen, binnen de kaders die we vanuit onze vakkennis stellen. De risico's die we zien tot een acceptabel niveau beperkend.
Mooi de zelfde insteek die ik deel (dus eens).

……
Thuiswerken is een gunst waarbij de tijd van het woon-werk verkeer het profijt is.
Hebben de reaguurders ooit eens gedacht wat die reistijd enkel wel eens zou kunnen zijn? Het is geen baantje vergelijkbaar met het werken bij de supermarkt om de hoek.

Contracten werkafspraken etc zijn trouwens geen activiteiten die onder het werk vallen maar aan de eigen persoon verbonden zijn. Hoewel de bron de werkomgeving is zijn er redenen om die wel degelijk naar privé te sturen.
……

De vraag die je moet stellen is waarom dat thuiswerken op eigen apparatuur nodig zou zijn.
Ik zie maar twee mogelijkheden.
a/ De voorzieningen geboden door het bedrijf voldoen niet. Via de lijn wordt dan de opdracht/toestemming gegeven om het dan maar op de privé 'thuismachines te doen.
Een falende ICT voorziening is de werkelijke oorzaak. Dan kom je al snel op server based voorzieningen uit. Exteren dienstverleners met contracten etc. Voor je het weet zit met Linux adepten in een OS flaming. Die vergeten adpten vergeten het doel van de dienstverlening en zijn daarmee een oorzaak.
b/ Het zijn activiteiten die net buiten de bedrijfsvoering vallen maar waar de werknemer zelf toevallig prive sterk in is.
Je kunt dat dan beter benaderen als een opdracht met een op te leveren resultaat en de handelingen conform doen.
12-10-2018, 11:20 door Anoniem
Door Anoniem: Vreemd dat de wet zo in het voordeel van de werknemer is.
In een arbeidsrelatie kan een werkgever gewoonlijk veel meer macht uitoefenen over een werknemer dan andersom. In ongelijke relaties wordt wel vaker de zwakste partij het sterkst beschermd door de wet. Dat zie je ook in de privacywetgeving, in consumentenrecht, in het verbod op kinderarbeid en op seks met minderjarigen, om maar een paar dingen te noemen.
12-10-2018, 22:27 door Briolet - Bijgewerkt: 12-10-2018, 22:28
Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, werd dinsdag gemeld…
…Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit "altijd of meestal" wel doen

En is dit veel? Een paar cijfers. Volgens het CBS heeft Nederland een werkzame beroepsbevolking van ruim 8 miljoen. Hetzelfde CBS geeft op dat we 1,3 miljoen zelfstandige 1-mans bedrijven hebben. Daarmee heb je al 16% van de beroepsbevolking die in een eenmanszaak werkt. Als je ook de 2 en 3 manszaken meetelt zit je al ver boven die 15%. Volgens de opgave zijn ook eenmanszaken meegenomen in dit onderzoek:
Medewerkers in het klein MKB (1-9 medewerkers, inclusief ZZP’ers)

Bij een eenmanszaak is privé en zaak vaak lastig te scheiden. Als je al 2 e-mail accounts gebruikt, zul je ze vaak nog in 1 mail cliënt uitlezen. Ikzelf werk ook in een zaak met maar een paar werknemers en hier wordt zelfs de computer gedeeld tussen privé en zaak. Mail krijg ik wel gescheiden binnen, maar sleep ik vervolgens naar één account op de eigen mailserver. (de ook privé en zakelijk gebruikt wordt).

In elk geval kun je de de kleine zaken niet in de statistiek verwaarlozen omdat daar echt een substantieel deel van de beroepsbevolking werkzaak is. 15% die zakelijke mail naar privé doorstuurt vind ik zelfs weinig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.