Privacy - Wat niemand over je mag weten

Werk-pc leegmaken voor vertrek?

09-08-2011, 15:12 door Anoniem, 19 reacties
Ik zat me af te vragen of dit ok is. Stel je werkt al enige tijd bij een bedrijf waar je dagelijks de hele dag met een pc bezig bent. Programmeurs of systeembeheerders ofzo. Maar op een gegeven moment heb je een nieuwe baan gevonden en laat je de boel achter. Of niet?

Ik had me bedacht dat er een relatief simpele manier is om je PC in ongeveer 5 minuten van alle gegevens te ontdoen, vlak voordat je de laatste keer het pand verlaat. Eerder in die week had je je schijf/schijven verlsuteld met de FDE-mogelijkheid van DiskCryptor (of iets vergelijkbaars). Dit is unobtrusive en laat je dus tijdens het versleutelen ongehinderd doorwerken. Ook erna is het enige dat je moet doen een wachtwoordje invoeren. Big deal. En dan vlak voordat je weggaat, flikker je de bootloader weg die het de ontsleuteling bevat, en veeg je de partitietabel schoon.

Omdat de boel encrypted is, kan een sysadmin de partities (misschien) wel terugtoveren, maar kan niets met de inhoud. Niemand zal dus weten welke privé dingen er op je werk-pc achtergebleven zijn. Lijkt me redelijk veilig. Probleem opgelost.

Maar. Nu de vraag.

Weet iemand hoe dit juridisch zit? Als er in het contract niets over vermeld is (dat dit verplicht is, of juist niet toegestaan is), is het dan jurisdisch aanvaardbaar dat je al je data op deze manier wegveegt? Zijn er wetten (iets met bedrijfeigendom misschien) die je ervan weerhouden om je pc leeg te maken, voordat je vertrekt?
Reacties (19)
09-08-2011, 16:43 door SirDice
Waarom zou je die moeite doen? Het is een werk PC waar je geen prive zaken op opslaat, toch? De rest is eigendom van je werkgever.
09-08-2011, 17:07 door cryptomannetje
Door SirDice: Waarom zou je die moeite doen? Het is een werk PC waar je geen prive zaken op opslaat, toch? De rest is eigendom van je werkgever.
Mee eens, het lijkt mij niet handig om alle data ontoegankelijk te maken. Ik begrijp tussen de regels door ook uit je verhaal dat er geen back-ups worden gemaakt van de PC? Inderdaad, waarom zou je dat doen? Heb je wat te verbergen dan?
09-08-2011, 19:48 door Anoniem
Alleen prive spul er af halen, mits je de pc voor prive gebruikt hebt. De rest is eigendom van de klant. Ook de e-mail en overige documentatie. Helaas hebben veel bedrijven geen beleid. Maar in principe zou je e-mail box gekoppeld moeten worden aan je leidinggevende en je home folder beschikbaar gesteld worden aan je leidinggevende.

Daarnaast is het heel erg krom om lokale data op je pc te hebben, want die loopt meestal niet mee in de backup.
09-08-2011, 21:20 door Anoniem
Dit lijkt me niet strafbaar omdat het me logisch lijkt dat de meeste bedrijven zulke harde schijven toch eerst wel zullen wissen (of vernietigen) voordat ze opnieuw ingezet zullen worden als dit sowieso wordt gedaan met oude schijven.
10-08-2011, 09:55 door Anoniem
Die pc is gereedschap die je gebruikt hebt is eigendom van je 'ex'-baas.
Leegmaken of encrypten is 'vernieling' van andermans eigendommen.
Al het werk dat je verricht hebt en op die pc staat, is ook eigendom van je 'ex'-baas.
Dit geldt ook voor al je email (wettelijke verplichting het een x-aantal jaren te bewaren).

Echte privé gegevens, tja ... die kan je netjes verwijderen.

Waarom leegmaken of encrypten?
Klinkt als: Ik heb iets te verbergen.

Mentaliteit van tegenwoordig ....
10-08-2011, 10:28 door Above
Ik vraag altijd netjes aan de vertrekkende gebruiker of hij zijn privé zaakjes van de computer wilt verwijderen zoals e-mail en dergelijke. Soms vind je nog wel eens wat zoals foto's en belastingaangifte. Dan neem ik contact op met deze persoon of hij dit nog wilt hebben ja of nee. Daarna verwijder ik het pas in overeenstemming natuurlijk.

Nieuwe gebruiker aanmaken gaat namelijk sneller als een complete nieuwe installatie en heb je vaak geen tijd voor als systeembeheerder.
10-08-2011, 10:55 door SirDice
Door Above: Ik vraag altijd netjes aan de vertrekkende gebruiker of hij zijn privé zaakjes van de computer wilt verwijderen zoals e-mail en dergelijke.
Netjes.
Soms vind je nog wel eens wat zoals foto's en belastingaangifte. Dan neem ik contact op met deze persoon of hij dit nog wilt hebben ja of nee. Daarna verwijder ik het pas in overeenstemming natuurlijk.
Achteraf is het jammer-de-bammer. Nadat een gebruiker heeft aangegeven dat er niets (meer) op staat verwijder ik blind (dus zonder te kijken wat er eventueel nog stond) het gehele profiel. Dan kun je ook geen problemen krijgen, je mag immers geen privé zaken bekijken van (ex)werknemers.
10-08-2011, 12:09 door Anoniem
Ik denk dat een beetje van het bedrijf afhangt. Zo te zien heb je een persoonlijke band met de gebruikers.
Zodra je echter met een groot bedrijf te maken hebt is een pc ook maar een nummer, druk op de knop van een Altiris (oid) server en er staat na enige tijd een nieuwe image op.
Dan geen gevaar meer van zelf knutselende gebruikers die wat hebben veranderd.

Privé gegevens horen niet thuis op een bedrijfscomputer, feitelijk mag de systeembeheerder de data ook niet ongevraagd inzien, dus je kunt niet weten of er een belastingaangifte staat. Dus het veiligste is om alles weg te halen zonder inzage wat er staat.
10-08-2011, 17:06 door thany
Jullie zeggen wel allemaal dat privé-gegevens niet op een bedrijfcomputer thuishoren, en theoretisch is dat ook zo. Maar kom zeg, je bezoekt toch allemaal weleens een forum, of kijkt es naar je linkedin. Dat is natuurlijk alleen browsergeschiedenis, maar je weet gewoon nooit wat dingen zoal op een pc achterlaten. Het feit dat applicaties zo ontransparant zijn daarin, zou mij ertoe bewegen dan maar de hele boel te formatteren. Just in case. De volgende persoon die aan je pc gaat zitten, die ken je helemaal niet, en als je een privé pc verkoopt, dan doe je natuurlijk ook de harddisk 3x overschrijven met random bagger :)

Nee, ik heb niks te verbergen, maar dat is geen reden om privé gegevens dan maar toegankelijk te maken. Dat zou net zoiets zijn als dat je het ok vind dat je e-mail gescreened wordt.

Maargoed, de vraag was hoe het juridisch zit. E-mail staat natuurlijk op een server, en sourcecode (bijv van programmeurs) staat in sourcecontrol. Documenten staan op een fileserver of in een DMS, en software daar zijn licenties van die niet computer-gebonden zijn. Ik vraag me dus af wat je zogezegd zou "vernietigen".

Die home-dir is ook nog een leuk punt. Een sysadmin op mijn vorige werk vertelde me dat hij niet eens in mijn home-directory *mag* komen, omdat hij daarmee strafbaar zou zijn. Ook mijn manager kan/mag hem daartoe geen opdracht geven. De home-dir werd daar gezien als een persoonlijke directory (privé is niet hetzelfde als persoonlijk) waar je helemaal zelf verantwoordelijk voor bent. Maar ik heb helaas toen niet gevraagd of dit een wettelijk iets was, of dat het bedrijfsbeleid was.
11-08-2011, 21:30 door Anoniem
Het is een werk PC. Daar horen geen prive zaken op opslaan. Natuurlijk kan dat soms wel het geval zijn, maar zulke gegevens kan je zelf verwijderen voordat je weg gaat.

Ik ga er van uit dat de gemiddelde systeembeheerde na je vertrek deze PC compleet opnieuw installeerd. Zelfs als ze dit niet doen dan zal de volgende gebruiker van die PC niet in jouw profiel kunnen komen.


Wat betreft een netwerk homedirectory geld het zelfde. Ik zie die als prive directory. Dit in tegenstelling tot andere netwerk schijven waar je werk data als het goed is wel op staat.
12-08-2011, 15:50 door thany
Geen of weinig prive-zaken inderdaad. Maar in tegenstelling tot prive-zaken, staan er wel persoonlijke zaken op. Persoonlijke zaken die voor je werk zijn, maar persoonsgebonden zijn. Denk aan wachtwoorden, cookies, licenties, e-mails, logfiles, certificaten, de hele shit. Dat staat er allemaal op. Is niet prive, maar wel persoonlijk.

Dat kun je natuurlijk wel gaan verwijderen, maar hoe weet ik waar dat allemaal staat? Misschien zit er wel vanalles diep weggeborden in het register, of in verborgen systeembestanden, weet ik veel. Ik weet gewoon nooit of ik alles gehad heb als ik denk klaar te zijn met opruimen.

En nogmaals, ik heb niets te verbergen. Ik wil alleen de volgende werknemer (die voor mij een wildvreemde is) mijn persoonlijke gegevens opvragen en/of gebruiken.
13-08-2011, 17:05 door Harbert
Door thany:
Die home-dir is ook nog een leuk punt. Een sysadmin op mijn vorige werk vertelde me dat hij niet eens in mijn home-directory *mag* komen, omdat hij daarmee strafbaar zou zijn. Ook mijn manager kan/mag hem daartoe geen opdracht geven. De home-dir werd daar gezien als een persoonlijke directory (privé is niet hetzelfde als persoonlijk) waar je helemaal zelf verantwoordelijk voor bent. Maar ik heb helaas toen niet gevraagd of dit een wettelijk iets was, of dat het bedrijfsbeleid was.

Interessant. Ik zit als collega regelmatig in homedirs van andere collega's te neuzen op zoek naar iets wat ik kan gebruiken. Als een map "personal" heet of zo mijd ik die natuurlijk, maar verder ga ik toch zoeken als ik iets nodig heb. Ben wel benieuwd of dat inderdaar niet stiekem illegaal is.
15-08-2011, 10:49 door SirDice
Door Harbert: Ben wel benieuwd of dat inderdaar niet stiekem illegaal is.
En dat is het. Je hebt daar niets in te zoeken.
15-08-2011, 15:16 door Anoniem
Bij mijn vorige werkgever heb ik de permissies van de homedirs als volgt ingesteld:
1. Volledige toegang voor de gebruiker.
2. Lees toegang voor het backup programma.
3. *Geen* toegang voor collega's (incl. admin).

Wel is het handig om quota's in te stellen om te voorkomen dat deze locaties vol lopen.


Re Harbert:
Snuffelen in een homedir is een beetje te vergelijken met snuffelen in de koffer van je collega. Dat doe je ook niet.
15-08-2011, 15:44 door Anoniem
"Interessant. Ik zit als collega regelmatig in homedirs van andere collega's te neuzen op zoek naar iets wat ik kan gebruiken. Als een map "personal" heet of zo mijd ik die natuurlijk, maar verder ga ik toch zoeken als ik iets nodig heb. Ben wel benieuwd of dat inderdaar niet stiekem illegaal is."

Jawel, maar ik denk dat bedrijfscultuur ook een rol speelt. Binnen een organisatie waar iedereen rechten heeft op elkaars mappen zal het niet een probleem zijn, en mensen zullen minder snel geneigd zijn om privacy gevoelige documenten in deze folders op te slaan.

Ik denk dat een kantoor met vijf medewerkers heel anders om gaat met dit soort vraagstukken, waarbij men wellicht in elkaars mappen kan, of zelfs over elkaars passworden beschikt, dan binnen een grote international, met tienduizenden medewerkers, weinig persoonlijke banden, en met strakke policies over wat wel en niet is toegestaan op IT Gebied.
16-08-2011, 00:43 door Anoniem
Door SirDice:
Door Harbert: Ben wel benieuwd of dat inderdaar niet stiekem illegaal is.
En dat is het. Je hebt daar niets in te zoeken.

Sterker nog, het is strafbaar en kan einde baan betekenen. Het is vergelijkbaar als een kluisje openen van iemand bij een bedrijf. Geldt ook voor systeembeheerders.

Daarnaast is er nog wat anders aan de hand. Stel een werknemer wordt ontslagen en er wordt bweijs gevonden op home-drive/mailbox van die persoon en die persoon kan aantonen dat dat bewijs is verkregen voordat er formeel toegang geregeld was dan kan het bedrijf zelfs nog een schadevergoeding om zijn oren krijgen.

Systeembeheerders hebben meestal rechten tot folders en e-mail boxen van anderen. Maken ze daar misbruik van, dan is dat eveneens strafbaar. Persoonlijk mag zo iemand van mij de laan uit met een registratie van onbetrouwbaar beheerder. Helaas bestaat zo een systeem niet.....
16-08-2011, 23:54 door thany
Maargoed, dat is niet helemaal wat ter discussie staat...

Je actetasje met allerlei kopiën van documenten van klanten. Als je die baan opzegt, gaan die documenten de shredder in, want je wil zeker weten dat die spullen niet in de verkeerde handen vallen. Je hebt in je koffertje ook wel persoonlijke dingen zitten, dus die gaan mooi mee. Ik noem bijv ouderwets met pen opgeschreven wachtwoorden, of telefoonnummers van hoge heren, of gewoon het huisadres van een klant waar je bent geweest. Dat is persoonlijk en ik vind dat je dat moet vernietigen.

Gemaakt werk laat je natuurlijk achter bij de baas. Dat geldt ook voor dat koffertje als je dat van de zaak had gekregen.

Ik denk dat je dit voor een PC ook zo kunt stellen. Wat erop staat is persoonlijk (maar niet privé), tenzij je iets expliciet voor het werk erop hebt staan. Als je PC niet persoonlijk is, kan iedere werknemer ook wel hetzelfde wachtwoord gebruiken en op elkaar pc en elkaar profiel werken. Dat kan niet, want het is persoonlijk.

Werk of geen werk, iets dat van mij is, mag niet in andermans handen vallen. Anders kan ik mijn wachtwoord wel van de daken gaan schreeuwen. Gezien hoe laks applicaties omgaan met het opslaan van allerlei dingen, is dan leegvegen niet gewoon de veiligste optie? Of anders gezegd, hoe kan ik zeker weten dat ik alle handelingen uitvoer om de pc in een staat te brengen die compleet onpersoonlijk is, en straffeloos aan de volgende werknemer uitgedeeld kan worden?
17-08-2011, 11:24 door Atropos
Wat thany zegt klopt zeker.
Je gaat veel te veel uit dat omdat het digitaal is, het ook anders zal zijn dan op een normale werkplek.
Je buro en de stoel blijft staan.
De prullebak en de ladekastjes haal je leeg zodat alleen de spullen van je baas overblijven.

Lekker simpel en wel zo netjes.

(en over snuffelen wil in anderemans pc/systemen wil onder deze toch "professionele" en zeker zakelijke gebruikers niet eens hebben. Kom op!)
13-09-2011, 11:21 door Anoniem
Je prive gegevens verwijderen is geen probleem zover ik weet.
Het is alleen handig om te weten of je een home schijf op de server hebt.

Dit kun je zien door te kijken bij je hardeschijven, en te kijken of je een schijf ziet bijvoorbeeld: H: \\fileserver
Als je het 2 "\\" ziet staan, betekend het dat dit om een server gaat.

Je kunt hierop dan wel alles verwijderen, maar mogelijk is dit al in de server backup meegenomen, waardoor het bedrijf je data nog steeds heeft.

Dit zou geen probleem moeten zijn, omdat alles wat je op de werkplek van je werkgever doet, eigenlijk eigendom is van het bedrijf. Prive zaken die je mogelijk hebt opgeslagen hebt bij je werkgever mogen niet ingezien worden zonder toestemming.

Als ik me niet vergis mag een werkgever ( baas ) wel toestemming geven aan systeembeheer dit in te zien als er verdenking is ( van fraude bijvoorbeeld ) .

Als je het ide hebt dat prive bestanden / mail is ingezien door de systeembeheerders / werkgever, zou ik aangifte doen.
Dit is juridisch niet toegestaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.