Juridische vraag: Mag admin wachtwoord van gebruiker wijzigen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Deze week een 'bezemwagen-editie' van de Juridische vraag, waarbij Arnoud elke dag één vraag kort behandelt.
Vraag: Mag een beheerder zomaar een wachtwoord wijzigen van een gebruiker zonder dat deze gebruiker hiervan op de hoogte wordt gebracht? Met andere woorden: is een password "eigendom" van een gebruiker?
Antwoord: Een password is juridisch geen 'ding' dus van eigendom kun je niet spreken. En ik ken ook geen andere wettelijke regels over wachtwoorden. Ik zie eerlijk gezegd het probleem niet met zo'n wachtwoordwijziging, mits men je natuurlijk maar mededeelt wat het nieuwe wachtwoord is geworden. Als je het nieuwe wachtwoord niet krijgt, dan kun je spreken van een vorm van wanprestatie, je kunt immers niet meer bij de dienst waar je voor betaalt.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Als de beheerder van een bedrijf of organisatie is, is dat gebruikelijk. Ik moet dat b.v. iedere 6 weken doen van de gemeente Rotterdam, je moet dan even of een nieuw ww ingeven (oud/nieuw) of een nieuw voorlopig WW aanvragen en zelf weer veranderen.
Een webhoster kan er ook belang bij kunnen hebben en zou je een nieuw WW moeten laten aanvragen of op veilige wijze geven.
Er zijn natuurlijk ook voorbeelden waarbij een ex werknemer 'nog even inlogt', in die gevallen zou het WW door de beheerder rechtmatig verandert kunnen worden of het account gesloten.
Mogelijke redenen kunnen zijn: noodzakelijke updates, virus-bestrijding, upgrades van software of gewoon algemeen computerherstel.
Het lijkt mij dat systeembeheerders dit soort taken ook kunnen uitvoeren zonder als de gebruiker in te loggen maar als het bijvoorbeeld persoonlijke instellingen van de gebruiker betreft is het natuurlijk wel handig.
Overigens kan dit ook gebeuren bij netwerk-migraties waarbij alle gebruikers naar een nieuw domein verhuizen. Dat maakt de situatie zelfs een beetje complex omdat je gebruikers-accounts toch wilt bewaren terwijl dit niet zomaar kan. Je krijgt dan dat alle gebruikers een nieuw account krijgen op het nieuwe domein en hun oude login eigenlijk verdwijnt. Vervelend, maar wel noodzakelijk. Zeker als een bedrijf van naam verandert en dus ook het domein aanpast.
Sowieso, het gaat om beheerders. Zijn taak is het om alle systemen te beheren. Daarvoor mag hij alles doen wat nodig is om zijn taak uit te voeren. En soms betekent dat ook dat de gebruiker opeens in vervelende situaties komt omdat gegevens weg zijn, programma's gedeinstalleerd zijn of wat dan ook.
Ik vraag mij alleen af in hoeverre een ex-werknemer nog recht heeft om op zijn oude systeem in te loggen. Het lijkt mij dat ex-werknemers per direct worden geblokkeerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
