Je beseft je hopelijk ook dat je je daarmee op glad ijs begeeft v.w.b. privacywetgeving?

Ik zou maar eens beginnen met het weghalen van die lokale administrator rechten.

Dit soort monitoring mag zowiezo alleen maar als je het de medewerkers van te voren mededeelt. Ongemerkt observeren mag alleen bij concrete verdenkingen tegen iemand van zaken als diefstal op het werk en zo. Mocht je iemand ontslaan op grond van dit soort gegevens en je hebt niks gemeld (bv. wegens teveel prive surfen of zo), dan loop je grote kans dat de rechter het ontslag terugdraait dan wel een forse schadevergoeding toekent aan de werknemer.

Ik heb deze laatst gebruikt: http://www.actualspy.com/

Mailt om b.v. het kwartier alles wat je wil weten.
Screenshots worden om de minuut opgeslagen.

De licentie van 40 euro had zich binnen een uur al terug verdiend.

als je misbruik vermoedt en een dossier wilt opbouwen is dit niet de weg, praat maar eens met een bedrijfsrechercheur. Als je bij medewerkers het gebruik van de werkplek of computer voor prive doeleinden aan banden wilt leggen, kan je dat beter op andere manieren doen dan ze te bespioneren. De werknemers zullen je namelijk gaan wantrouwen en de arbeidsrelatie raakt ernstig verstoord.

Bedenk ook dat het niet ongebruikelijk is dat medewerkers de computerfaciliteiten ook af en toe even voor priv? doeleinden gebruiken, dit hoeft namelijk niet ten koste te gaan van de productiviteit. Het is als werkgever niet raar om dat te vertellen, en hierbij duidelijk de grenzen aan te geven. Dit kan bijvoorbeeld door middel van een document "richtlijnen email en internetgebruik" of iets dergelijks. Hierin kan je aangeven hoe/wat er gemonitort wordt en wanneer. Het is belangrijk om dit af te stemmen met de OR ?n het is belangrijk om dit document mee te nemen bij het inwerktraject voor nieuw personeel.

google support: http://www.google.nl/search?q=richtlijnen+internetgebruik

regels voor controle op internet- en emailgebruik van werknemers vind je in het document "goed werken in netwerken"van het cbp: http://www.cbpweb.nl/downloads_av/av21.pdf

De Registratiekamer heeft een aantal regels geformuleerd, gebaseerd op bestaande Nederlandse en internationale wetgeving. De belangrijkste rechten en plichten van werkgevers en werknemers op een rijtje:

* De regels voor internetgebruik op het werk moeten helder en eenduidig zijn en voor iedereen toegankelijk. Ze moeten in overleg met de Ondernemingsraad worden opgesteld.
* Een werkgever mag prive-gebruik van internet verbieden. De Registratiekamer vindt dat echter niet gerechtvaardigd als werknemers wil prive mogen bellen en in de pauze even naar het reisbureau mogen lopen.
* Als prive-gebruik is toegestaan, mag persoonlijke e-mail niet worden bekeken bij een controle. De werknemer moet wel van tevoren duidelijk maken welke mail prive is. Een aparte mailbox die het label 'persoonlijk' heeft of een apart account is voldoende.
* Als een bedrijf controlemiddelen voor computers gebruikt, moeten het de werknemers daarvan op de hoogte stellen. De Ondernemingsraad mag meebeslissen over het te gebruiken controlesysteem.
* Controle van e-mail en ander internetgebruik mag alleen als de werkgever het vermoeden heeft dat een werknemer het bedrijfsbelang schaadt. Dit vermoeden moet redelijk zijn. Het bedrijf moet achteraf kunnen aantonen op welke gronden het vermoeden is ontstaan. prive-mail moet met rust gelaten worden.
* Zomaar al het internetverkeer loggen en bekijken als er een verdenking is gerezen, mag niet. Als een bedrijf een individuele werknemer in de gaten wil houden, moet deze van tevoren gewaarschuwd worden.
* Het is onwenselijk als onderschepte e-mail en andere gegevens (logfiles) langer dan een maand bewaard worden.
* De werkgever moet de verdachte werknemer vertellen waarom en hoe hij gecontroleerd zal worden. De werknemer mag de verkregen gegevens ook inzien.

(bron: http://www.xs4all.nl/~mjk/artikelen/Carp/privacy23012001.html

Stiekem je werknemers willen monitoren is not done. Lekkere werkgever ben je dan....

"De licentie van 40 euro had zich binnen een uur al terug verdiend."

Het hangt er erg vanaf wat je onder terugverdiend verstaat. Als ik je verhaal goed begrijp, ben je personeel wederrechtelijk aan het monitoren. Indien dit klopt, dan is ieder materiaal wat je vergaart op deze wijze onrechtmatig verkregen.

Medewerkers staan in hun recht een schadevergoeding te eisen, en je kunt bij een ontslagprocedure op basis van deze informatie verwachten dat je werkgever aan het kortste eind trekt en een flinke zak geld mee mag geven aan de medewerker.

Geachte Anoniem,

het antwoord hierop is kort.

Dit is wettelijk niet toegestaan.

Werknemers hebben een bepaalde privacy, ook op het werk. U schendt op deze manier de privacy van de werknemer en een overtreding als deze kan u zeer zwaar worden toeberekend.

Dit geld ook voor het afluisteren van telefoonverkeer, het afsluiteren van chats en emails enz. enz.

De vraag dan ook waarom je de werknemers wilt monitoren en waarom u uw werknemers in hun wettelijke pricavy wilt schenden. Mocht u uw werknemer willen "betrappen" dan moet u vooraf een plan opstellen waarin je elke stap tot aan het doel beschrijft welk doel u wilt bereiken en niet mag afwijken van het doel dat beschreven is. (zie reactie van bernd)

Ik kan u uitervaring vertellen dat wanneer een juridisch onderlegde werknemer dit te weten komt en u kwaad wilt doen dan u het haasjes bent (En de werknemer weg loopt met een forse schade vergoeding die uit uw zak betaald gaat worden) . En dat dit niet ten goede komt voor het bedrijf en haar imago. U bent gewaarschuwd......

Een andere optie is om het internet alleen maar bereikbaar te maken via een proxy server. Deze logt namelijk ook alle transactie's. Als je het koppelt aan de inlog gegevens van je domein krijg je de gebruikersnaam per log regel zichtbaar. Hier zou je dan ook nog een webfilter en/of antivirus op kunnen zetten om je medewerkers te behoeden voor 'verkeerd' internet gedrag.

Het is wel belangrijk om dit van te voren aan je medewerkers mee te delen. Ze moeten wel weten dat hun acties op het internet na te gaan zijn. Dit zal op zich al zorgen dat ze zich zullen 'gedragen'

je mag wel bijhouden "hoeveel" internetverkeer ze genereren maar je mag niet bekijken wat ze bezoeken (domainnamen/ipadressen).

Je mag wel weer kijken wat er bezocht is door alle medewerkers maar dan moet dit niet terug te koppelen zijn naar een werknemer....

"Ik kan u uitervaring vertellen dat wanneer een juridisch onderlegde werknemer dit te weten komt en u kwaad wilt doen dan u het haasjes bent (En de werknemer weg loopt met een forse schade vergoeding die uit uw zak betaald gaat worden) ."

Eventuele schadevergoeding zal toch echt betaald moeten worden uit de zak van de werkgever die vraagt om de monitoring, en niet uit de zak van de werknemer, die deze monitoring implementeert. De opmerking 'uit uw zak' klopt niet bepaald, tenzij de werknemer op eigen houtje bezig is, en wetten overtreed zonder dat de werkgever hierom heeft gevraagd.

Geachte werkgever,

de vraag is niet specifiek genoeg om makkelijk te kunnen beantwoorden.

1 hoe ver reiken de admin rechten, werkstation, server, modems?
2 wat is de aard van de werkzaamheden
3 waarom moet het vastgelegd worden
4 is er een vermoeden van fraude
enz
enz
enz

Beetje uitgebreider (zonder te identificeren over welk bedrijf het gaat) zou wat makkelijker zijn.

Het Orakel

Waarom niet andersom? Gewoon de rechten voor gebruikers beperken zodat ze niet iets anders kunnen doen dan hun werk? Dit is vrij eenvoudig te realiseren.

Hang de computers in een Active Directory domein, pas Group Policy's toe waar het e.e.a. word uitgeschakeld (start menu, uitvoeren, control panel etc) en je komt al een heel eind.

Verder een blue coat proxy ertussen en url's die niet bezocht mogen worden blokkeren. Streaming data blokkeren en ga zo maar door...

Ook zal je de actie die je wilt doen moeten melden bij het CBP.

Sneaky Sneaky!

Lees even deze uitspraak, vooral punt c:

http://www.cbpweb.nl/Pages/uit_z1999-0141.aspx

of je had dit van te voren voorzien en dit gemeld in de arbeidsovereenkomst met de werknemer ...

Ik heb wat vragen/opmerkingen bij sommige antwoorden:

"Ik zou maar eens beginnen met het weghalen van die lokale administrator rechten." - Misschien gaat het wel om een groep ICT-beheerders. Het staat er niet bij.

"Dit soort monitoring mag zowiezo alleen maar als je het de medewerkers van te voren mededeelt. " - Zo van "Jongens, we vermoeden misbruik en we gaan vanaf nu iedereen monitoren..."? Lijkt me niet realistisch.

"Stiekem je werknemers willen monitoren is not done." - Je vermoedt fraude en leidt daardoor groot verlies. Je weet echter niet wie de dader is, maar wel dat het één van je werknemers is. Wat dan?

"U kunt deze vraag het beste zo gedetailleerd mogelijk voorleggen aan een jurist om te voorkomen dat u straks zelf met de wet in aanraking komt." - Misschien heeft ie dat al gedaan?

"Het antwoord hierop is kort. Dit is wettelijk niet toegestaan." - Je mag een werknemer helemaal niet monitoren? Ook niet als je fraude of misbruik vermoedt? In dat geval zou iedereen er zo mee weg komen.

"De vraag is niet specifiek genoeg om makkelijk te kunnen beantwoorden." - Volgens mij is de vraag toch vrij duidelijk:"Hoe kan ik ervoor zorgen dat de werknemers dit soort programma's niet kunnen vinden en eventueel verwijderen?"

"Ook zal je de actie die je wilt doen moeten melden bij het CBP." - Waarom?

Zoals de waard is zo vertrouwd hij zijn gasten hé? Blijkbaar ben je te lafhartig om je personeel gewoon direct op hun gedrag aan te spreken en probeer je het op deze achterbakse manier. Zegt heel veel over jou als werkgever, miezertje.
Een beetje vent gaat de dialoog aan maar dat is vast een brug te ver voor je. Ik heb medelijden met het personeel dat ze zo'n achterbakse drol van een baas hebben.

typisch een vraag van een manager die zijn 'vervelende' ITers wil beteugelen. huur dan gewoon iemand in om toners te verwisselen, en andere vervelende klusjes voor je te doen. malloten genoeg op de werkvloer tegenwoordig. moet je daar per se senior IT personeel voor inzetten? of vindt je ze te duur? outsource het dan, dan merk je vanzelf wat 'duur' is. besef dat een ITer keihard moet werken om kennis bij te houden. en dat gaat vaak ten koste van vrije tijd, want in de 40 tot 60 uur op de zaak is hier geen tijd voor.

Totaal niet relevant. Het mag NIET tenzij er van te voren iets is aangegeven, en dan nog moet worden voldaan aan voorwaarden zoals hierboven al vermeld.


Dat is nu eenmaal de wet. Je bent geen opsporingsinstantie met vergaande bevoegdheden. Simpel, maar helaas.


Bedrijfsrecherche inschakelen. Als dat een bonafide bureau is dan houden ze zich aan de wet.


Dan zou OP hier niet om raad vragen, maar naar zijn jurist luisteren. Dit geintje kost hem geld, heel veel geld als een andere partij hier lucht van krijgt. En terecht! OP schendt de wet.


Inderdaad, tenzij je ernstig vermoeden van fraude hebt. En een ernstig vermoeden gaat in dit verband heel ver. Al aangifte gedaan?


Het antwoord is nog duidelijker: niet installeren. Het mag niet, het schendt de privacy van (mogelijk onschuldige) gebruikers. Vergeet niet dat iedereen ONSCHULDIG is tot het tegendeel is BEWEZEN. Nadruk met nadruk. Het is niet aan private partijen om hier schuld te bewijzen, het gaat blijkbaar om strafrechtelijke zaken.


Omdat dat in de wet staat. Wat begrijp je niet aan het stukje van Bernd, die zeer helder en met bronvermelding heeft aangegeven waarom een en ander niet mag.

Trust me, als werkgever sta je in deze uiterst zwak. Ik heb verscheidene malen gezien dat werkgever er met bluffen goed af kwam ('ik heb hier bewijs, kijk maar naar de beelden, als je nu je ontslagpapier tekent dan doe ik geen aangifte', maar ook herhaaldelijk gezien dat het zogenaamde bewijs genadeloos onderuit werd gehaald bij de rechter. Dan staat er ineens een hele forse ontslagvergoeding te wachten (want de arbeidsrelatie is duurzaam verstoord), en moeten de andere werknemers ook schadeloos worden gesteld... Vergeet niet dat de gevraagde software alles logt van iedereen die op dat werkstation inlogt...

En dan kijken we nog helemaal niet naar het ethische aspect, mag een werkgever dit 'zo maar' doen? Waarom denkt deze werkgever dat hij een god-achtige status mag gebruiken? We zijn toch al een tijdje uit de 19e eeuw weg, toen de werkgevers nog almachtig waren.

En ja, ik werk onder andere als forensisch onderzoeker en kom regelmatig met deze vragen in aanraking.

EJ

"Zoals de waard is zo vertrouwd hij zijn gasten hé? Blijkbaar ben je te lafhartig om je personeel gewoon direct op hun gedrag aan te spreken en probeer je het op deze achterbakse manier. Zegt heel veel over jou als werkgever, miezertje."

Vreemde reactie. Indien er bijvoorbeeld sprake is van fraude of verduistering, dan zal dit uitlopen op een recthzaak, waarbij forensisch bewijs nodig is. Mocht dat het geval zijn, dan is monitoring niet raar - zolang het maar volgens de regels geschiedt. Misschien dat je kunt overwegen dat er situaties zijn waarinder dit nodig is, en wellicht dat je mensen verder ook op een normale manier te woord kunt staan.

Het mag niet als er een verdenking is gerezen, maar het mag wel als er een vermoeden is dat een werknemer het bedrijfsbelang schaadt? Ik kom er niet uit.

wat hiermee wordt bedoeld is dat je eigenlijk pas mag beginnen met loggen (van internetverkeer en email) als er een redelijk vermoeden is van misbruik door medewerkers. Dit geld uiteraard niet voor anonieme logging en IDS. Een voorbeeld van iets dat niet mag is de logging van een proxyserver die bijhoudt welke persoon op welk moment naar welke site is gesurft. Wat wel mag is het opvangen van verdachte email door een virus- of spamfilter en hieruit handmatig de false positives alsnog doorsturen. Het verschil hierin zit enerzijds in het doel van de oplossing, namelijk het beschermen van het netwerk versus het controleren van wat medewerkers doen en anderzijds de wijze van logging (alles of selectief).

ik hoop dat dit het iets verduidelijkt.

De voorwaarden staan er anders gewoon bij in begrijpelijk Nederlands. Het mag niet, tenzij er redelijk vermoeden is, EN achteraf kan worden aangetoond waarom dit vermoeden er was. Dat laatste gaat niet meevallen. Ook mag privemail niet worden bekeken.

EJ

Maakt deze werkgever zich nu niet reeds al schuldig aan een strafbaar feit?
Zijn intentie is duidelijk en ook worden er al voorbereidingen getroffen.
(Het installeren van programma's en het vragen van advies op dit forum)
Het voorbereidingen treffen voor het plegen van een strafbaar feit is ook strafbaar.

In België is men voor dit soort zaken gebonden aan CAO nr.81 http://www.cao-81.be/cao81/home.htm Als de werkgever zijn werknemers wil controleren, dan is hij verplicht om dat op voorhand aan de werkgevers te vermelden. Het zou me sterk verbazen moest er in Nederland niet iets gelijkaardigs bestaan...

Dat heb je goed gezien.

Dat is in Nederland in de wet vastgelegd, als je hierboven een aantal stukjes leest dan zie je daar wat teksten dienaangaande verschijnen...

EJ

Wacht even: je bedoeld te zeggen dat je beseft dat je onethisch bezig bent en iets gaat ondernemen wat je beter kan uitbesteden aan een prof ? Of is bovenstaande zin onbewust zo krom geschreven omdat je beseft dat je wordt bedonderd door je eigen personeel en nu druipt van emotie ?? Angst en emoties zijn slechte raadgevers, en ik raad je dan ook af dit te doen en gewoon aangifte te doen ofwel duidelijk richtlijnen te geven wat wel en niet kan/mag.


Ja, en jij denkt dat er programmatuur te verkrijgen is die niet traceerbaar is door mensen die alle rechten hebben overal in het systeem te kijken ?

Ofwel je bent echt knettergek, je bent een troll die hier reacties wil uitlokken of je heb er echt de ballen verstand van. In alle drie de gevallen wens ik je een rotschop te geven naar een plek waar je geen kwaad kan. Voor de rest verwijs ik je naar alle behulpzame reacties in deze draad.

@redactie: ik begrijp de zucht naar 'content' maar het niveau daalt door dit soort anonieme vragenstellers wel flink. Dus of minder kwantiteit of verworden tot de zoveelste hangplek voor onzin discussies. Aan jullie de keus. Ik zie de laatste maanden echt een neerwaartse trend. Dat is jammer.

Wat zijn de reacties negatief ingesteld zeg! (de meeste dan).

Naar mijn idee heeft de persoon in kwestie die de vraag stelt iets geconstateerd en heeft er totaal geen idee van wat de juiste stappen zijn om te nemen. Uiteraard zoek je dan wat op het net of je vraagt aan bekenden. Dit zijn zeer waarschijnlijk dan geen security experts en kom je wellicht op het idee om te monitoren.

Maar gelukkig vraagt hij/zij hier om een advies. Waarom kan dat dan niet worden gegeven? Vind dit meteen in een zeer negatieve hoek gedrukt worden. Jammer wel, de meeste security experts zouden toch een degelijk advies moeten kunnen geven.

Indien je over fraude of iets dergelijks praat dan zeker de bevoegde instanties erbij halen voor het correct nagaan/verzamelen va bewijzen.
Praat je over prive gebruik van internet/mail o.i.d dan ben je inderdaad verplicht te melden dat je gaat monitoren. Ik denk overigens wel dat aangezien je over administrators praat, deze ook wel manieren weten dit te omzeilen. Naar mijn idee los je dit het beste op door het bespreekbaar te maken en er bepaalde regels voor op te stellen. Met een goed oog kun je misbruik hiervan ook zelf spotten. De medewerker kan je er dan zeker op aanspreken. Dit zijn gewoon normen en waarden.

"Het mag niet als er een verdenking is gerezen, maar het mag wel als er een vermoeden is dat een werknemer het bedrijfsbelang schaadt? Ik kom er niet uit."

Het monitoren van een individuele medewerker mag wel indien er gegronde verdenking is, en toestemming wordt gegeven door HR + de ondernemingsraad. Bedenk overigens wel wanneer er sprake is van een serieuze verdenking richting een werknemer dat een IT-er die geen forensisch specialist is, als expert heel gemakkelijk onderuit te halen is. Immers moet je de principes van forensisch onderzoek volgen door bewijs veilig te stellen, terwijl je tegelijkertijd moet kunnen aantonen dat er niet met het bewijsmateriaal geknoeid is.

Hoeveel IT-ers beginnen een onderzoek met het klonen van de originele harddisk, en hoeveel IT-ers maken bijvoorbeeld MD5 hashes aan van de relevante data zodat later aangetoond kan worden dat het materiaal authentiek is ? Wat dat betreft is het juridisch gezien bijna altijd beter om het werk aan externe experts uit te besteden. Wat je vooral ook niet moet vergeten is het feit dat je als medewerker van de werkgever altijd de schijn tegen hebt, aangezien bij een conflict in de rechtzaal de advocaat van de tegenpartij je per definitie als partijdig zal bestempelen.