image

Juridische vraag: Mag admin wachtwoord van gebruiker wijzigen?

zondag 13 februari 2011, 12:59 door Arnoud Engelfriet, 3 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Deze week een 'bezemwagen-editie' van de Juridische vraag, waarbij Arnoud elke dag één vraag kort behandelt.

Vraag: Mag een beheerder zomaar een wachtwoord wijzigen van een gebruiker zonder dat deze gebruiker hiervan op de hoogte wordt gebracht? Met andere woorden: is een password "eigendom" van een gebruiker?

Antwoord: Een password is juridisch geen 'ding' dus van eigendom kun je niet spreken. En ik ken ook geen andere wettelijke regels over wachtwoorden. Ik zie eerlijk gezegd het probleem niet met zo'n wachtwoordwijziging, mits men je natuurlijk maar mededeelt wat het nieuwe wachtwoord is geworden. Als je het nieuwe wachtwoord niet krijgt, dan kun je spreken van een vorm van wanprestatie, je kunt immers niet meer bij de dienst waar je voor betaalt.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (3)
13-02-2011, 13:12 door Syzygy
Als er mogelijk kans op schade voor het bedrijf is door dit NIET te doen, wellicht wel.
13-02-2011, 16:42 door Eerde
Arnoud, het ligt er natuurlijk aan wie die beheerder is en de reden van de verandering.
Als de beheerder van een bedrijf of organisatie is, is dat gebruikelijk. Ik moet dat b.v. iedere 6 weken doen van de gemeente Rotterdam, je moet dan even of een nieuw ww ingeven (oud/nieuw) of een nieuw voorlopig WW aanvragen en zelf weer veranderen.
Een webhoster kan er ook belang bij kunnen hebben en zou je een nieuw WW moeten laten aanvragen of op veilige wijze geven.
Er zijn natuurlijk ook voorbeelden waarbij een ex werknemer 'nog even inlogt', in die gevallen zou het WW door de beheerder rechtmatig verandert kunnen worden of het account gesloten.
13-02-2011, 16:42 door Wim ten Brink
Het lijkt mij vervelend voor de gebruiker maar systeem-beheerders moeten systemen beheren. En ja, soms kan het gebeuren dat ze dan via de gebruikers-account iets moeten doen dat ze niet via een login-script kunnen aanpassen. (Bijvoorbeeld omdat de gebruiker op vakantie is en dus een paar weken niet zal inloggen.) Het resetten van het wachtwoord is dan een goede methode om een bepaalde actie dan alsnog onder die account uit te voeren.
Mogelijke redenen kunnen zijn: noodzakelijke updates, virus-bestrijding, upgrades van software of gewoon algemeen computerherstel.
Het lijkt mij dat systeembeheerders dit soort taken ook kunnen uitvoeren zonder als de gebruiker in te loggen maar als het bijvoorbeeld persoonlijke instellingen van de gebruiker betreft is het natuurlijk wel handig.
Overigens kan dit ook gebeuren bij netwerk-migraties waarbij alle gebruikers naar een nieuw domein verhuizen. Dat maakt de situatie zelfs een beetje complex omdat je gebruikers-accounts toch wilt bewaren terwijl dit niet zomaar kan. Je krijgt dan dat alle gebruikers een nieuw account krijgen op het nieuwe domein en hun oude login eigenlijk verdwijnt. Vervelend, maar wel noodzakelijk. Zeker als een bedrijf van naam verandert en dus ook het domein aanpast.
Sowieso, het gaat om beheerders. Zijn taak is het om alle systemen te beheren. Daarvoor mag hij alles doen wat nodig is om zijn taak uit te voeren. En soms betekent dat ook dat de gebruiker opeens in vervelende situaties komt omdat gegevens weg zijn, programma's gedeinstalleerd zijn of wat dan ook.

Ik vraag mij alleen af in hoeverre een ex-werknemer nog recht heeft om op zijn oude systeem in te loggen. Het lijkt mij dat ex-werknemers per direct worden geblokkeerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.