image

Juridische vraag: Wat zegt de AVG over monitoring van een gastennetwerk?

woensdag 29 januari 2020, 14:13 door Arnoud Engelfriet, 29 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Een bezoeker van ons bedrijf heeft via het gastennetwerk internet gebruikt. Nu krijg ik van hem een verzoek onder de AVG om precies te vertellen wat wij van hem hebben gelogd. We melden inderdaad bij het aanmelden "This network is monitored for security purposes" maar in welk detail moet ik hem dat vertellen? Ik wil geen security-gevoelige details onthullen.

Antwoord: Het monitoren (inclusief loggen) van internetgebruik van gasten is inderdaad iets waar de AVG wat van zegt. Het mag, want we noemen dit een eigen legitiem belang. En zolang je monitoring maar proportioneel is, oftewel dat je niet nodeloos diep zit te spitten in wat mensen op internet uitspoken via jouw verbinding, is er weinig aan de hand.

(Natuurlijk gebruik je die logs alleen voor security doeleinden en niet bijvoorbeeld om te kijken wat hij bij de concurrent aan offertes heeft uitstaan.)

De AVG kent wel diverse informatieplichten, met als doel dat mensen weten wat je over ze verzamelt en met welk doel je die gebruikt. Daar moet dus iets meer informatie komen dan enkel "we monitor for security purposes". Wat monitor je, en voor welke precieze doeleinden dan? Enkel IP-adressen, ook tijd van gebruik, applicaties en poorten, ga zo maar door? Wat is 'security', bedoel je dat je verkeer analyseert op verdacht gedrag, dat je IP-adressen van bezochte sites registreert of dat je een AI loslaat om een profiel van je bezoeker te maken?

Dit moet in je privacy policy staan die je publiceert bij het aanmeldscherm. En dat moet je in eenvoudige taal doen, dus concreet en met bewoordingen die je bezoekers begrijpen. Dat betekent dus dat je inderdaad ongeveer moet uitleggen wat je ingezet hebt aan monitoring tools en wanneer je ingrijpt of naar wie een alert gaat en wat die dan gaat doen.

Het mag natuurlijk in zoverre een tikje in het midden blijven dat je niet de precieze criteria benoemt: "verdacht gedrag zoals verspreiding van bekende virussen" zou genoeg zijn, wat mij betreft. Maar je kunt je niet verschuilen achter enkel de vage frase dat securitydoeleinden in het geding zijn.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (29)
29-01-2020, 14:52 door Anoniem
Dit moet in je privacy policy staan die je publiceert bij het aanmeldscherm

"het aanmeldscherm"??? wij hebben helemaal geen aanmeldscherm! is dat verplicht dan?
de receptioniste heeft het wachtwoord van de gastenwifi een geeft dat aan bezoekers die dat willen hebben, hier en daar
(in vergaderruimtes waar nog wel eens gasten zitten) hangt er ook een bordje aan de muur met SSID en wachtwoord.

moet ze dan meteen een pamflet overhandigen c.q. moet dat op dat bordje staan met wat er allemaal gebeurt als je daar
mee connect? mensen kunnen als ze zich zorgen maken over hun privacy toch gewoon zelf kiezen om geen gasten wifi
te gebruiken maar hun eigen 4G?
29-01-2020, 15:41 door Anoniem
Door Anoniem:moet ze dan meteen een pamflet overhandigen c.q. moet dat op dat bordje staan met wat er allemaal gebeurt als je daar
mee connect?

Een uitgebreid pamflet is niet nodig. In de meeste gevallen is dat in een paar korte punten te noteren op het bordje waar ook de SSID en het wachtwoord op staan. Bijvoorbeeld:

1) We controleren welke domeinen je opvraagt en leggen dat tegen de domeinen die bekende virussen gebruiken. We sluiten je automatisch, zonder menselijke tussenkomst of supervisie, af als we dat detecteren.
2) We controleren met welke IP adressen je contact maakt en handelen op dezelfde wijze als bij punt 1.
3) We houden een teller bij van het aantal verzonder mailberichten om spam te detecteren en te blokkeren.

mensen kunnen als ze zich zorgen maken over hun privacy toch gewoon zelf kiezen om geen gasten wifi
te gebruiken maar hun eigen 4G?

Je zegt hier dus dat mensen die zich zorgen maken over hun privacy niet moeten zeuren.

Ik had onlangs een dergelijk geval. Ik moest bij dat bedrijf een videoconferentie houden met een externe partner. Ik ga die data niet over mijn 4G verbinding doen. Zowel niet vanwege mijn databundel als vanwege de kwaliteit van het beeld via 4G.

Peter
29-01-2020, 15:48 door Anoniem
Hoezo? Hij gaat toch akkoord met de voorwaarden? Anders gewoon geen gebruik van maken.
29-01-2020, 17:10 door Anoniem
Door Anoniem:

[..]
3) We houden een teller bij van het aantal verzonder mailberichten om spam te detecteren en te blokkeren.

Dit punt, slaat dat ook nog op gebruik van gasten net, en hoe doe je dit, praktisch gezien ?
Als het slaat op gebruik van de eigen mailserver is het simpel .

Maar als je alleen naar client verkeer in een gastennet kijkt , doe je dit dan ook ?
'Legacy mail' als in kijken naar #flows naar tcp/25 zou ook nog kunnen bij mail die direct naar de ontvanger-server gezonden wordt, maar met het gebruik van gmail e.a. en smtp submit van veel mails in een enkele TLS sessie kun je toch niet zo veel zinvols meer zien ?
29-01-2020, 19:03 door Anoniem
Door Anoniem:
Een uitgebreid pamflet is niet nodig. In de meeste gevallen is dat in een paar korte punten te noteren op het bordje waar ook de SSID en het wachtwoord op staan. Bijvoorbeeld:

1) We controleren welke domeinen je opvraagt en leggen dat tegen de domeinen die bekende virussen gebruiken. We sluiten je automatisch, zonder menselijke tussenkomst of supervisie, af als we dat detecteren.
2) We controleren met welke IP adressen je contact maakt en handelen op dezelfde wijze als bij punt 1.
3) We houden een teller bij van het aantal verzonder mailberichten om spam te detecteren en te blokkeren.
Zo ver gaan we niet... of mensen hun eigen spullen besmetten met virussen dat boeit ons eerlijk gezegd niet zo erg.
Client-to-client communicatie is toch al uitgeschakeld.
We loggen op WiFi nivo wat iedere client voor verbindingen maakt en hoeveel data die daar over transferred, dit
geeft een indruk van de relatieve bezetting van de AP's en hoe goed het roamen daartussen werkt, en tevens legt
dit per MAC adres e.e.a vast zoals hostnaam en IP adres, en vervolgens worden op routernivo alle connecties
gelogd (netflow). Dit gebeurt niet om "proactief te handelen bij bepaalde verbindingen" of om "te tellen hoeveel mails er
verstuurd worden" maar alleen om te kunnen handelen in geval van eventualiteiten. Bijvoorbeeld als justitie komt
vertellen dat wij kinderporno gepost hebben of dat wij auteursrechtelijk beschermd materiaal gedownload hebben
dan moeten we wel de link kunnen leggen tussen de verstrekte externe gegevens (timestamp/protocol/local en
remote IP en local en remote poortnummer) en wie er dan lokaal die verbinding gemaakt heeft. Die info wordt wel
gelogd en een paar maanden bewaard maar er wordt geen standaard analyse op gedaan.
Dus als iemand vraagt hoe het zit kan ie dit antwoord krijgen, maar moet dat dan ook "aangeplakt" staan of is het
voldoende dat te verstrekken aan iemand die er om vraagt (zoals de oorspronkelijke vraagsteller bij de hand had).

mensen kunnen als ze zich zorgen maken over hun privacy toch gewoon zelf kiezen om geen gasten wifi
te gebruiken maar hun eigen 4G?

Je zegt hier dus dat mensen die zich zorgen maken over hun privacy niet moeten zeuren.

Ik had onlangs een dergelijk geval. Ik moest bij dat bedrijf een videoconferentie houden met een externe partner. Ik ga die data niet over mijn 4G verbinding doen. Zowel niet vanwege mijn databundel als vanwege de kwaliteit van het beeld via 4G.

Ik neem aan dat je daarbij gebruik maakt van "werk" spullen en niet tijdens die videoconferentie nog even de nieuwste
films aan het downloaden bent. Dan heb je dus niks te vrezen.
Los daarvan heb ik het altijd weinig professioneel gevonden als externen bij ons binnenkomen en "niks kunnen doen
zonder dat wij ze een internet verbinding leveren". Bij de tarieven die daarvoor (of voor de diensten die ze vervolgens
verkopen) gerekend worden vind ik geleuter over een databundel eigenlijk nogal pathetisch.

'Legacy mail' als in kijken naar #flows naar tcp/25 zou ook nog kunnen
Poort 25 is bij ons geblokkeerd. De tegenwoordige clients mailen eigenlijk altijd via een andere poort en met login op
hun eigen mailserver. Als er naar poort 25 gemaild wordt is het meestal een spamtrojan.

smtp submit van veel mails in een enkele TLS sessie kun je toch niet zo veel zinvols meer zien
Dat is denk ik wel vrij simpel te doen omdat je afwisselend een exchange van korte commands (mail from/rcpt to/data)
en de mailbodies ziet die grotere packets zijn, maar zo ver gaan wij dus niet, we blokkeren heel poort 25 en het komt
maar een hoogst enkele keer voor dat die firewall rule geactiveerd wordt dus ik denk dat er niet veel poort 25 meer
wordt gebruikt in mobiele devices.
29-01-2020, 20:40 door Anoniem
Je kunt, en dat komt in alle beroepen voor, al doende iets weten wat je eigenlijk niet mocht weten. Daar hoor je dan ook voor jezelf te houden. Maar je kunt het niet ont-weten. Want je weet nou eenmaal wat. Je kunt er ook rekening mee houden, wat je dan toevallig aan de weet bent gekomen. Want het kon ook best intuïtie zijn of voorgevoel.

Weten wat je niet hoort te weten is niet gemakkelijk om voor jezelf te houden. Wegkijken is dan altijd beter.

Wat je vastlegt, daar hoor je openheid van zaken over te geven. Ook waarom en onder wiens verantwoordelijkheid. Wat je moet melden bij inloggen is wel aardig. Want de AVG is een wet. En de wet zegt dat iedereen geacht wordt om de wet te kennen. Dus dat je je aan de wet houdt hoef je niet eens te melden. Daar mag iedereen van uit gaan. Al heb je met die mooie nieuwe wet wel inzagerecht. En dat is veel mooier zo. Wat achter de schermen op security gebied gebeurt dat lijkt me echt meer bedrijfsgeheim. Maar hoort dat ook te blijven. Want je hebt de wet. En handelen naar de geest van de wet. Een verwarring die ik wel eens zie, is dat gebruikers denken dat de rechten op grond van de AVG worden uitgelegd als een recht op volledig electronisch huiszoekingsbevel. En dat kan natuurlijk niet. Dat mag enkel een rechter beslissen. Geheimen mag je voor jezelf houden. Moet je ook. Met of zonder wet, maar met wet beter. Netjes mee om gaan is mijn devies. Eerlijke vraag, eerlijk antwoord. Dat is evenwel wat anders dan dat je ineens verplicht wordt om alles te zeggen. Als iemand wil weten wat er aan gegevens wordt bijgehouden en zo, en met welk doel, gewoon netjes uitleggen. Dat is ook doorgaans niet zo veel moeite.

Wat mij betreft hoeft er dus helemaal niks te staan bij inloggen. Wat de wet is gewoon de wet. Is ook advies van mijn advocaat, vaak. Niet te veel schrijven, want dan kunnen we later nog alle kanten uit. Vooral als je zelf niks kwaads van zins was. Ga je hele documenten maken, en condities, terwijl er niks aan de hand is, dan kan het wel zo zijn dat je er ineens een hele week mee bezig bent. Dan ben je ook twee keer aan de beurt. Eerst juridisch advies voor dat document. En daarna nog eens aan de beurt om alles weer juridisch recht te trekken. De mijne (met die bril) werkt zo niet.
30-01-2020, 08:19 door Anoniem
Door Anoniem:
Dit moet in je privacy policy staan die je publiceert bij het aanmeldscherm

"het aanmeldscherm"??? wij hebben helemaal geen aanmeldscherm! is dat verplicht dan?
de receptioniste heeft het wachtwoord van de gastenwifi een geeft dat aan bezoekers die dat willen hebben, hier en daar
(in vergaderruimtes waar nog wel eens gasten zitten) hangt er ook een bordje aan de muur met SSID en wachtwoord.

moet ze dan meteen een pamflet overhandigen c.q. moet dat op dat bordje staan met wat er allemaal gebeurt als je daar
mee connect? mensen kunnen als ze zich zorgen maken over hun privacy toch gewoon zelf kiezen om geen gasten wifi
te gebruiken maar hun eigen 4G?

Ja, de tijden dat je als MKB zomaar met persoonsgegvens van klanten kunt aanrommelen zijn voorbij.
30-01-2020, 08:34 door Anoniem
Door Anoniem:
Door Anoniem:
Een uitgebreid pamflet is niet nodig. In de meeste gevallen is dat in een paar korte punten te noteren op het bordje waar ook de SSID en het wachtwoord op staan. Bijvoorbeeld:

1) We controleren welke domeinen je opvraagt en leggen dat tegen de domeinen die bekende virussen gebruiken. We sluiten je automatisch, zonder menselijke tussenkomst of supervisie, af als we dat detecteren.
2) We controleren met welke IP adressen je contact maakt en handelen op dezelfde wijze als bij punt 1.
3) We houden een teller bij van het aantal verzonder mailberichten om spam te detecteren en te blokkeren.
Zo ver gaan we niet... of mensen hun eigen spullen besmetten met virussen dat boeit ons eerlijk gezegd niet zo erg.
Client-to-client communicatie is toch al uitgeschakeld.
We loggen op WiFi nivo wat iedere client voor verbindingen maakt en hoeveel data die daar over transferred, dit
geeft een indruk van de relatieve bezetting van de AP's en hoe goed het roamen daartussen werkt, en tevens legt
dit per MAC adres e.e.a vast zoals hostnaam en IP adres, en vervolgens worden op routernivo alle connecties
gelogd (netflow). Dit gebeurt niet om "proactief te handelen bij bepaalde verbindingen" of om "te tellen hoeveel mails er
verstuurd worden" maar alleen om te kunnen handelen in geval van eventualiteiten. Bijvoorbeeld als justitie komt
vertellen dat wij kinderporno gepost hebben of dat wij auteursrechtelijk beschermd materiaal gedownload hebben
dan moeten we wel de link kunnen leggen tussen de verstrekte externe gegevens (timestamp/protocol/local en
remote IP en local en remote poortnummer) en wie er dan lokaal die verbinding gemaakt heeft. Die info wordt wel
gelogd en een paar maanden bewaard maar er wordt geen standaard analyse op gedaan.
Dus als iemand vraagt hoe het zit kan ie dit antwoord krijgen, maar moet dat dan ook "aangeplakt" staan of is het
voldoende dat te verstrekken aan iemand die er om vraagt (zoals de oorspronkelijke vraagsteller bij de hand had).

mensen kunnen als ze zich zorgen maken over hun privacy toch gewoon zelf kiezen om geen gasten wifi
te gebruiken maar hun eigen 4G?

Je zegt hier dus dat mensen die zich zorgen maken over hun privacy niet moeten zeuren.

Ik had onlangs een dergelijk geval. Ik moest bij dat bedrijf een videoconferentie houden met een externe partner. Ik ga die data niet over mijn 4G verbinding doen. Zowel niet vanwege mijn databundel als vanwege de kwaliteit van het beeld via 4G.

Ik neem aan dat je daarbij gebruik maakt van "werk" spullen en niet tijdens die videoconferentie nog even de nieuwste
films aan het downloaden bent. Dan heb je dus niks te vrezen.
Los daarvan heb ik het altijd weinig professioneel gevonden als externen bij ons binnenkomen en "niks kunnen doen
zonder dat wij ze een internet verbinding leveren". Bij de tarieven die daarvoor (of voor de diensten die ze vervolgens
verkopen) gerekend worden vind ik geleuter over een databundel eigenlijk nogal pathetisch.

'Legacy mail' als in kijken naar #flows naar tcp/25 zou ook nog kunnen
Poort 25 is bij ons geblokkeerd. De tegenwoordige clients mailen eigenlijk altijd via een andere poort en met login op
hun eigen mailserver. Als er naar poort 25 gemaild wordt is het meestal een spamtrojan.

smtp submit van veel mails in een enkele TLS sessie kun je toch niet zo veel zinvols meer zien
Dat is denk ik wel vrij simpel te doen omdat je afwisselend een exchange van korte commands (mail from/rcpt to/data)
en de mailbodies ziet die grotere packets zijn, maar zo ver gaan wij dus niet, we blokkeren heel poort 25 en het komt
maar een hoogst enkele keer voor dat die firewall rule geactiveerd wordt dus ik denk dat er niet veel poort 25 meer
wordt gebruikt in mobiele devices.

Een zeer technisch verhaal en wat geklaag over gebruikers.
Het is heel simpel:

Je moet TRANSPARANT zijn, dus bij inloggen van een gast moeten kort en helder de voorwaarden getoond worden. En daarbij moet de gebruiker naar behoefte kunnen doorklikken naar een meer gedetailleerde uitleg over welk gegevens van de gebruiker vastgelegd wordt voor welk doelen, ofwel DOELBINDING. En dat doel moet proportioneel zijn, waarbij overwogen is of het doel ook gehaald kan worden zonder verwerking van persoonsgegevens.
Daarnaast moet je voldoen aan MINIMALE GEGEVENSVERWERKING, OPSLAGBEPERKING (niet langer bewaren dan strikt noodzakelijk), JUISTHEID en INTEGRITEIT en VERTROUWELIJKHEID.

Lees het handboek voor AVG:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleidingalgemeneverordeninggegevensbescherming.pdf
En dit onderzoek over AVG-volwassenheid:
https://www.researchgate.net/publication/337923065_Ontwikkeling_van_een_AVG-volwassenheidsmodel_Pieter_Gerritse_2019
30-01-2020, 10:29 door Anoniem
Door Anoniem:
Je moet TRANSPARANT zijn, dus bij inloggen van een gast moeten kort en helder de voorwaarden getoond worden.
Daar biedt WiFi WPA2 bij mijn weten geen mogelijkheden voor!
Het zou wellicht een goed idee zijn dat de standaard de mogelijkheid biedt dat er bij inloggen een tekst terug wordt gegeven die aan de gebruiker getoond wordt, maar volgens mij kan dat nu niet.
En flutoplossingen die alleen werken in een browser daar doen we natuurlijk niet aan, de mensen kunnen die WiFi gebruiken voor wat ze willen en wat we al helemaal niet moeten hebben is een oplossing waarvan mensen terecht kunnen claimen dat ze die informatie nooit gezien hebben....


En daarbij moet de gebruiker naar behoefte kunnen doorklikken naar een meer gedetailleerde uitleg over welk gegevens van de gebruiker vastgelegd wordt voor welk doelen, ofwel DOELBINDING. En dat doel moet proportioneel zijn, waarbij overwogen is of het doel ook gehaald kan worden zonder verwerking van persoonsgegevens.
Ik denk niet dat er wettelijk iets vastgelegd is over "moet kunnen doorklikken", dat staat vast omschreven als dat de gebruiker deze informatie moet kunnen krijgen en dat kan dan dus ook door een standaard pamflet te maken wat je op aanvraag uitreikt bijvoorbeeld bij de receptie.
30-01-2020, 11:25 door karma4
Door Anoniem: , ofwel DOELBINDING. En dat doel moet proportioneel zijn, waarbij overwogen is of het doel ook gehaald kan worden zonder verwerking van persoonsgegevens.
Ook dat doel zonder verwerking van persoonsgegeven moet proportioneel zijn. je zou het kunnen doen door een paar buddies /bewakers mee te sturen die elke handeling van de gast in de gaten houden. Noord Koreaanse toestanden uit het oogpunt van privacy is nu niet wat je wilt.

Wel een goed verhaal op researchgate, mijn dank.
30-01-2020, 11:43 door Anoniem
Door Anoniem:
Door Anoniem:
Je moet TRANSPARANT zijn, dus bij inloggen van een gast moeten kort en helder de voorwaarden getoond worden.
Daar biedt WiFi WPA2 bij mijn weten geen mogelijkheden voor!
Het zou wellicht een goed idee zijn dat de standaard de mogelijkheid biedt dat er bij inloggen een tekst terug wordt gegeven die aan de gebruiker getoond wordt, maar volgens mij kan dat nu niet.
En flutoplossingen die alleen werken in een browser daar doen we natuurlijk niet aan, de mensen kunnen die WiFi gebruiken voor wat ze willen en wat we al helemaal niet moeten hebben is een oplossing waarvan mensen terecht kunnen claimen dat ze die informatie nooit gezien hebben....

Wat zit je nou te lullen ?

Eerst zeg je "er is geen manier om een tekst te forceren"
Dan zeg je "die flutoplossingen waarbij je wel een pagina in je browser krijgt daar doen we natuurlijk niet aan"

Nou, zo maak je inderdaad wel je eigen probleem.

Wat jij flutoplossing noemt werkt perfect voor het probleem : In zo'n gastennet met captive portal *kun je niets* totdat je op die browser pagina "OK akkoord met de gebruiksvoorwaarden" geklikt hebt, en daarmee is aan de voorwaarde voldoen dat de gebruiker geinformeerd moet zijn.

De meeste OS'en herkennen zo'n captive portal al bij het inloggen en geven meteen de portal pagina, nog voordat de gebruiker zelf is gaan browen (of z'n mailclient gestart heeft) .
30-01-2020, 13:12 door Anoniem
In zo'n gastennet met captive portal
We hebben geen portal. Gewoon een SSID met WPA2 wachtwoord voor gasten.
Ga je nou vertellen dat een gastennet alleen nog maar mag met een portal?
En hoe gaat dat werken met printers, scanners, horloges, AED's en wat er al niet meer op zit aangemeld?
30-01-2020, 14:00 door Anoniem
Door Anoniem:
Door Anoniem:

[..]
3) We houden een teller bij van het aantal verzonder mailberichten om spam te detecteren en te blokkeren.

Dit punt, slaat dat ook nog op gebruik van gasten net, en hoe doe je dit, praktisch gezien ?
Als het slaat op gebruik van de eigen mailserver is het simpel .

Maar als je alleen naar client verkeer in een gastennet kijkt , doe je dit dan ook ?
'Legacy mail' als in kijken naar #flows naar tcp/25 zou ook nog kunnen bij mail die direct naar de ontvanger-server gezonden wordt, maar met het gebruik van gmail e.a. en smtp submit van veel mails in een enkele TLS sessie kun je toch niet zo veel zinvols meer zien ?

Google e.d. hebben voldoende manieren om zelf spam te detecteren en te blokkeren.
Dit betreft systemen die een verbinding maken met tientallen mailservers.

Peter
30-01-2020, 14:13 door Anoniem
In de AVG is nergens voorgeschreven 'hoe je iets moet inrichten / vormgeven' om aa de wet te voldoen.
Je kunt er natuurlijk ook voor kiezen om 'niets te doen aan monitoring en logging' in je gastennetwerk.
Dan vermeld je braaf in 'het pamflet', 'de captionpage, de openingspagina, dat je 'niets doet aan monitoring en logging'.

Dat gedachte dat 'niets doen aan monitoring en logging' op gastnetwerken best kan vind ik in ieder geval wel erg naief.

En wees dan maar open wat je doet, waarom je het doet, en hoe lang je de informatie bewaard.

Overigens :
nu die Gast deze vraag gesteld heeft, gaat daarmee ook de 'formele reactie termijn' lopen waarbinnen je de vraagsteller moet antwoorden. In essentie zo snel mogelijk en wanneer het niet binnen 30 dagen lukt moet je dat melden, en aangeven hoelang het antwoord wel op zich laat wachten.

niet reageren is zeker niet aan te bevelen...
30-01-2020, 14:23 door Anoniem
Door Anoniem:
In zo'n gastennet met captive portal
We hebben geen portal. Gewoon een SSID met WPA2 wachtwoord voor gasten.
Ga je nou vertellen dat een gastennet alleen nog maar mag met een portal?

Ben je dezelfde 30-1 10:29 ?

Wat je alleen maar mag is zorgen dat je gastennet (en niet-gasten netten) voldoen aan de AVG.
Praat vooral met je privacy/security officer wat dat precies betekent - een stukje heb je in de vraag en antwoord van Arnoud kunnen lezen.

Als je zegt dat je gebruikers in de huidige setup kunnen stellen dat ze niet geinformeerd zijn - maar dat wel hadden moeten zijn - tsja, dan voldoet je huidige setup niet.
Misschien kan/mag je het oplossen met een papieren getekende toestemming en voorwaarden bij de balie als ze een password krijgen.
Of moeten gasten tevoren een persoonsgebonden tijdelijk wifi account aanvragen en krijgen ze daarin de set van gebruikersvoorwaarden.
Of misschien moet je de boel naar een captive portal ombouwen waarin ze OK klikken.

Soms verandert er iets in de buitenwereld en moet je een technisch werkende oplossing toch ombouwen. Of in elk geval kijken of die nog voldoet. Dat is je werk als ITer.


En hoe gaat dat werken met printers, scanners, horloges, AED's en wat er al niet meer op zit aangemeld?

Vind je het een gek als ik zeg "printers,scanners, *AEDs* op een _gastennet_ what the fuck is dat voor idioterie " ?

Als je werkt met vaste/bekende gebruikers zijn er allerlei manieren om aan informatieplichten, toestemmingen en voorwaarden te voldoen - typisch een arbeidscontract, medewerkershandboek en noem maar op. Of gewoon een leveringscontract en AV zoals de telefoonmaatschappij met je heeft.
Als je dat hebt, hoef je niet _ook_ nog eens een captive portal erbij wanneer die mensen op een bedrijfswifi werken.
(laat staan als het om min of meer autonome apparatuur gaat, zoals printers/scanners/AEDs ).

Dat model van contracten werkt niet, of heel onhandig , bij gast-gebruik van Wifi - vandaar dat je voor die situatie vaak een captive portal gebruikt om aan de formaliteiten te voldoen.
30-01-2020, 16:11 door Anoniem
Leuk al die discussie.

Ook over handboeken en zo. En ambtenaren van de AP.

Er is wel een belangrijk onderscheid. In principe worden ambtenaren geacht bij voorbaat foutloos te werken. Dus bij dergelijke instanties moet ook echt alles tot in de puntjes en tot achter de komma geregeld zijn.

Daar recht tegenover heb je ondernemers. Daar kan wel eens een slordigheidje opgetreden zijn. Of iets aan het licht komen wat eigenlijk netter geregeld had kunnen zijn. Ondernemen is vaak knokken. En waar geknokt wordt kunnen wat spaandertjes vallen. Het hangt er dan maar net vanaf of iets per ongeluk was of expres. Daar ligt het verschil eigenlijk.

Het verschil is vrij eenvoudig uit te leggen. Een ondernemer die een glijertje maakt, kan zeggen, weet je wat, je krijgt je geld terug. Een ambtenaar kan en mag dat niet. Want stel je voor. Een foutje met, noem eens wat, de kindertoeslag, en je krijgt al je belasting terug, inclusief BTW, en alle betaalde accijnzen op benzine, alcohol en tabak. En een bos bloemen. En een tegoedbon.

Hoe een bedrijf met de AVG omgaat, of hoort te gaan, is heel wat anders dan de overheid. Een bedrijf heel veel meer speelruimte. Dat is ook nodig om flexibel te ondernemen. Want als je om het even welke firma wilt starten met de bril van een ambtenaar op, dan maak je je het wel heel lastig.

Iets anders waar ik vaak misverstanden over lees is de AVG, of GDPR. Het overkomt mij ook af en toe. De GDPR gaat over privacy van personen, niet van rechtspersonen. Het gaat dus wel over B2C (business to consumer), maar niet andersom. En B2B al helemaal niet. Rechtspersonen hebben geen privacy bescherming. Maar mogen natuurlijk wel hun bedrijfsgeheimen geheim houden. Ook als dat over security gaat. Maar stel je voor dat je de Ikea belt, en die zeggen, hoe komt u aan mijn nummer en ik ga een klacht indienen. Want de AVG. Toch komt het voor. Als ik gewoon een B2B email uitstuur bijvoorbeeld. Waarvan ik zeker ben dat het naar een firma gaat. Op hoge poten. Terwijl er gewoon een afmeldlinkje in staat. Scheelt veel tikken. En werkt natuurlijk ook. Want getest. En in naam van de GDPR eis ik en anders komen we je hele server binnenstebuiten keren. Zo iemand delete je dan natuurlijk zelf. Want daar valt bij voorbaat niks aan te verdienen.

GDPR is prachtig. Van de overheid mag je meer verwachten dat die ook gelijk tot in de puntjes is uitgevoerd. Van een ondernemer dat hij netjes en correct met je omgaat. Mailen of zo, dat een ondernemer een hele slechte ambtenaar is (of in forums posten) heeft geen zin. Dan kan het ook zijn dat die ondernemer denkt, deze keer geen bloemen, want er valt toch geen eer aan te behalen. En anders advocaat. Waarbij de goeie ondernemer begrijpt dat advocaten niet per woord betaald horen te worden. het waardevolste advies past doorgaans op 1 kantje. Ook als dat in 10 minuutjes geschreven is. Netjes belonen. Want het is een beroep, geen vak.
31-01-2020, 10:30 door Anoniem
In het zeldzame geval dat ik openbare wifi gebruik zal het me een biet zijn wat men monitoort.
In principe loopt al mijn verkeer via OpenVPN naar huis, dus het enige dat men ziet is de tunnel naar huis en niet de inhoud van mijn communicatie.
31-01-2020, 11:41 door Anoniem
Door Anoniem: Leuk al die discussie.

Ook over handboeken en zo. En ambtenaren van de AP.

Er is wel een belangrijk onderscheid. In principe worden ambtenaren geacht bij voorbaat foutloos te werken. Dus bij dergelijke instanties moet ook echt alles tot in de puntjes en tot achter de komma geregeld zijn.

Daar recht tegenover heb je ondernemers. Daar kan wel eens een slordigheidje opgetreden zijn. Of iets aan het licht komen wat eigenlijk netter geregeld had kunnen zijn. Ondernemen is vaak knokken. En waar geknokt wordt kunnen wat spaandertjes vallen. Het hangt er dan maar net vanaf of iets per ongeluk was of expres. Daar ligt het verschil eigenlijk.

Het verschil is vrij eenvoudig uit te leggen. Een ondernemer die een glijertje maakt, kan zeggen, weet je wat, je krijgt je geld terug. Een ambtenaar kan en mag dat niet. Want stel je voor. Een foutje met, noem eens wat, de kindertoeslag, en je krijgt al je belasting terug, inclusief BTW, en alle betaalde accijnzen op benzine, alcohol en tabak. En een bos bloemen. En een tegoedbon.

Hoe een bedrijf met de AVG omgaat, of hoort te gaan, is heel wat anders dan de overheid. Een bedrijf heel veel meer speelruimte. Dat is ook nodig om flexibel te ondernemen. Want als je om het even welke firma wilt starten met de bril van een ambtenaar op, dan maak je je het wel heel lastig.

Iets anders waar ik vaak misverstanden over lees is de AVG, of GDPR. Het overkomt mij ook af en toe. De GDPR gaat over privacy van personen, niet van rechtspersonen. Het gaat dus wel over B2C (business to consumer), maar niet andersom. En B2B al helemaal niet. Rechtspersonen hebben geen privacy bescherming. Maar mogen natuurlijk wel hun bedrijfsgeheimen geheim houden. Ook als dat over security gaat. Maar stel je voor dat je de Ikea belt, en die zeggen, hoe komt u aan mijn nummer en ik ga een klacht indienen. Want de AVG. Toch komt het voor. Als ik gewoon een B2B email uitstuur bijvoorbeeld. Waarvan ik zeker ben dat het naar een firma gaat. Op hoge poten. Terwijl er gewoon een afmeldlinkje in staat. Scheelt veel tikken. En werkt natuurlijk ook. Want getest. En in naam van de GDPR eis ik en anders komen we je hele server binnenstebuiten keren. Zo iemand delete je dan natuurlijk zelf. Want daar valt bij voorbaat niks aan te verdienen.

GDPR is prachtig. Van de overheid mag je meer verwachten dat die ook gelijk tot in de puntjes is uitgevoerd. Van een ondernemer dat hij netjes en correct met je omgaat. Mailen of zo, dat een ondernemer een hele slechte ambtenaar is (of in forums posten) heeft geen zin. Dan kan het ook zijn dat die ondernemer denkt, deze keer geen bloemen, want er valt toch geen eer aan te behalen. En anders advocaat. Waarbij de goeie ondernemer begrijpt dat advocaten niet per woord betaald horen te worden. het waardevolste advies past doorgaans op 1 kantje. Ook als dat in 10 minuutjes geschreven is. Netjes belonen. Want het is een beroep, geen vak.

Totaal oneens met dit epistel. De grootste aanleiding voor AVG is het gerommel met persoonsgegevens door bedrijven. Taferelen als: Autoverhuurbedrijfjes die paspoorten van klanten scannen en deze op een onbeveiligde ftp-server plaatsen, waar de hele wereld ze kan vinden. En nu is er een instrument om dit stevig aan te pakken (tot 4% van de jaaromzet). En dat is terecht. Het is precies die opportune bedrijfsvoering en winstbejag van bedrijven die het gepruts met IT in de hand werkt.
31-01-2020, 11:42 door Anoniem
Door Anoniem: In het zeldzame geval dat ik openbare wifi gebruik zal het me een biet zijn wat men monitoort.
In principe loopt al mijn verkeer via OpenVPN naar huis, dus het enige dat men ziet is de tunnel naar huis en niet de inhoud van mijn communicatie.

Irrelevant voorbeeld.
31-01-2020, 11:51 door Anoniem
Door Anoniem:
In zo'n gastennet met captive portal
We hebben geen portal. Gewoon een SSID met WPA2 wachtwoord voor gasten.
Ga je nou vertellen dat een gastennet alleen nog maar mag met een portal?
En hoe gaat dat werken met printers, scanners, horloges, AED's en wat er al niet meer op zit aangemeld?

Dit is gerommel.
Een gast moet natuurlijk een persoonlijk account krijgen.
En apparaten moeten in een ander afgeschermd vlan gezet worden via een ander SSID met zo goed mogelijke authenticatie, eventueel op MAC-adres (niet perfect).
31-01-2020, 13:02 door Anoniem
Door Anoniem:
Door Anoniem:
In zo'n gastennet met captive portal
We hebben geen portal. Gewoon een SSID met WPA2 wachtwoord voor gasten.
Ga je nou vertellen dat een gastennet alleen nog maar mag met een portal?
En hoe gaat dat werken met printers, scanners, horloges, AED's en wat er al niet meer op zit aangemeld?

Dit is gerommel.
Een gast moet natuurlijk een persoonlijk account krijgen.
Tuurlijk joh!
Er zitten hier nu 2658 apparaten op de gastenwifi. Als die allemaal een account moeten krijgen komt er een FTE
bij om dat allemaal te beheren. Gaat niet gebeuren!

En apparaten moeten in een ander afgeschermd vlan gezet worden via een ander SSID met zo goed mogelijke authenticatie, eventueel op MAC-adres (niet perfect).
Bullshit natuurlijk. Bijvoorbeeld die AED's. Dat zijn gewoon IoT dingen. Die maken eens per week 5 seconden
verbinding om de status van de batterij door te geven naar een of andere cloudservice zodat de daarvoor verantwoordelijke
medewerker alerts krijgt als de batterij vervangen moet worden. DIe dingen zitten op het gastennetwerk omdat je dit soort IoT spullen niet op je LAN wilt hebben, en ze zitten daar PRIMA want het voldoet uitstekend om even die verbinding te kunnen maken, en er hoeft helemaal niks aan afschermd, geauthenticeerd of beveiligd te worden.
Printers (het gaat dan om cloudprinters die mensen zelf meenemen of neerzetten) hetzelfde. Wil je niet als speciaal geval behandelen, want dat zijn het helemaal niet.

Ik bespeur in je reactie een groot traditioneel-ICT gehalte en weinig gevoel met de realiteit van vandaag.
31-01-2020, 14:06 door Anoniem
mensen kunnen als ze zich zorgen maken over hun privacy toch gewoon zelf kiezen om geen gasten wifi
te gebruiken maar hun eigen 4G?

De wet is van toepassing *ongeacht* of mensen zich zorgen maken. Niet veel mensen zullen komen met deze vraag, maar het recht hebben ze juridisch.
31-01-2020, 14:07 door Anoniem
Ik bespeur in je reactie een groot traditioneel-ICT gehalte en weinig gevoel met de realiteit van vandaag.

Ik bespeur in je reactie arrogantie, en weinig respect voor anderen.
31-01-2020, 14:08 door Anoniem
In het zeldzame geval dat ik openbare wifi gebruik zal het me een biet zijn wat men monitoort.

Heeft erg weinig van doen met een juridische discussie.
31-01-2020, 14:23 door Anoniem
Door Anoniem:

[..]
Bullshit natuurlijk. Bijvoorbeeld die AED's. Dat zijn gewoon IoT dingen. Die maken eens per week 5 seconden
verbinding om de status van de batterij door te geven naar een of andere cloudservice zodat de daarvoor verantwoordelijke
medewerker alerts krijgt als de batterij vervangen moet worden. DIe dingen zitten op het gastennetwerk omdat je dit soort IoT spullen niet op je LAN wilt hebben, en ze zitten daar PRIMA want het voldoet uitstekend om even die verbinding te kunnen maken, en er hoeft helemaal niks aan afschermd, geauthenticeerd of beveiligd te worden.

Verschrikkelijk - alsof er maar twee smaken netwerk kunnen bestaan "je LAN" en "het gastennet".
Godsonmogelijk om SSID "onze IOT meuk" erbij te maken naast het SSID "open voor iedere jandoedel die binnenloopt" ?


Printers (het gaat dan om cloudprinters die mensen zelf meenemen of neerzetten) hetzelfde. Wil je niet als speciaal geval behandelen, want dat zijn het helemaal niet.

Ik bespeur in je reactie een groot traditioneel-ICT gehalte en weinig gevoel met de realiteit van vandaag.

De realiteit vandaag aan je voordeur is de AVG, en nu zit je te zeuren dat je aan het werk moet omdat je een 'lekker makkelijk snel klaar pleur alles in hetzelfde gastennet' keus gemaakt hebt in het verleden.
31-01-2020, 16:25 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
In zo'n gastennet met captive portal
We hebben geen portal. Gewoon een SSID met WPA2 wachtwoord voor gasten.
Ga je nou vertellen dat een gastennet alleen nog maar mag met een portal?
En hoe gaat dat werken met printers, scanners, horloges, AED's en wat er al niet meer op zit aangemeld?

Dit is gerommel.
Een gast moet natuurlijk een persoonlijk account krijgen.
Tuurlijk joh!
Er zitten hier nu 2658 apparaten op de gastenwifi. Als die allemaal een account moeten krijgen komt er een FTE
bij om dat allemaal te beheren. Gaat niet gebeuren!

En apparaten moeten in een ander afgeschermd vlan gezet worden via een ander SSID met zo goed mogelijke authenticatie, eventueel op MAC-adres (niet perfect).
Bullshit natuurlijk. Bijvoorbeeld die AED's. Dat zijn gewoon IoT dingen. Die maken eens per week 5 seconden
verbinding om de status van de batterij door te geven naar een of andere cloudservice zodat de daarvoor verantwoordelijke
medewerker alerts krijgt als de batterij vervangen moet worden. DIe dingen zitten op het gastennetwerk omdat je dit soort IoT spullen niet op je LAN wilt hebben, en ze zitten daar PRIMA want het voldoet uitstekend om even die verbinding te kunnen maken, en er hoeft helemaal niks aan afschermd, geauthenticeerd of beveiligd te worden.
Printers (het gaat dan om cloudprinters die mensen zelf meenemen of neerzetten) hetzelfde. Wil je niet als speciaal geval behandelen, want dat zijn het helemaal niet.

Ik bespeur in je reactie een groot traditioneel-ICT gehalte en weinig gevoel met de realiteit van vandaag.

Ik denk dat jij en je organisatie qua IT niet erg volwassen zijn.

Persoonlijke registratie gastgebruikers kun je en moet je automatiseren, eventueel met workflow dat de ontvanger(medewerker) van de gast kan aanvragen/valideren.

Verschillende apparaten met verschillende belangen hebben meestal verschillende security-eisen. Wanneer jij als network administrator bijvoorbeeld AED's gewoon in een gastennetwerk(segment/vlan) propt (benaderbaar voor alle gasten en beinvloedbaar door andere apparaten) dan faal je keihard. Was ik jouw manager, dan hadden wij een stevig fucntioneringsgesprek en daarna ging je op training.
03-02-2020, 19:34 door Anoniem
Jemig wat een onzinnige discussies allemaal op een heel simpele vraag: "Wat zegt de AVG over monitoring van een gastennetwerk?"

En elke fool heeft wel weer een tool en een mening waarom welles en waarom nietes.
04-02-2020, 08:17 door Anoniem
Door Anoniem: Jemig wat een onzinnige discussies allemaal op een heel simpele vraag: "Wat zegt de AVG over monitoring van een gastennetwerk?"

En elke fool heeft wel weer een tool en een mening waarom welles en waarom nietes.

Soms met relevante onderbouwing.
Ga jij nog wat toevoegen?
05-02-2020, 21:33 door root
Moet het privacy policy heten, of mag ik het ook anders noemen?

Bij ons staat deze informatie nu in de gebruikersvoorwaarden (een pdf dat in het aanmeldscherm in te zien in).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.