Privacy - Wat niemand over je mag weten

internetverkeer werknemers

03-03-2011, 17:59 door Anoniem, 7 reacties
Stel bedrijf x outsourced zijn informatica bij bedrijf Y.
Bedrijf x vraagt aan bedrijf Y om het internetverkeer van 'iedereen' in kaart te brengen (top 100, hoeveel megabyte enz...) en dit via een wekelijks rapport. (bluecoat proxys)
Mag dit worden gegeven? (er moet wel een disclaimer worden ondertekend waar men de 'verantwoordelijkheid' afschuift.) (Men heeft dit rapport zogezegd 'nodig' om de 'load' op de proxy's te onderzoeken...

Maar mag dit???
Reacties (7)
06-03-2011, 11:30 door Anoniem
De hoeveelheid dataverkeer kan zonder juridische problemen gemonitord worden. Als men de feitelijke inhoud wil monitoren is hiervoor eerst toestemming van de gebruikers nodig. Men dient dit dus van te voren kenbaar te maken. Het is dan aan de werknemers of die hiermee accoord gaan.
06-03-2011, 18:50 door SirDice
Zolang de gegevens "anoniem" zijn is het geen enkel problem. Er mag best een top 10 gemaakt worden zolang die top 10 maar niet slaat op de gebruiker zelf, een top 10 van bijv. meest bezochte websites mag wel, maar dat per gebruiker opgesplits niet.
07-03-2011, 07:50 door Syzygy
Ik denk dat het voorbeeld van SrDice het probleem het beste en duidelijkst illustreert.
Het feit dat er een bedrijf Y tussen zit maakt niet uit.
X mag zelf ook niet het Internet verkeer aan een persoon linken en dan publiceren.
07-03-2011, 08:40 door Anoniem
Het is niet relevant of de dienstverlening is uitbesteedt of niet. Bedrijf Y bewerkt in deze case gewoon data van bedrijf X en heeft hiervoor een vrijwaring (een bewerkersovereenkomst). Vóór de uitbesteding had bedrijf X zelf deze rapportages kunnen maken.

Bedrijf X moet wel aan zijn werknemers kenbaar maken dat het dataverkeer geanalyseerd kan worden. Dit kan in bijvoorbeeld policies opgenomen worden. Het zou goed zijn als bedrijf X naar de medewerkers duidelijk is over wat gezien wordt als acceptabel gebruik van internet.
07-03-2011, 11:16 door Anoniem
"Mag dit worden gegeven? (er moet wel een disclaimer worden ondertekend waar men de 'verantwoordelijkheid' afschuift.) (Men heeft dit rapport zogezegd 'nodig' om de 'load' op de proxy's te onderzoeken... "

Voor het onderzoeken van de proxy load kan men ook gegevens gebruiken waarbij eindgebruikers niet worden geidentificeerd (geaggregeerde gegevens). Er zijn dus meer proportionele middelen beschikbaar.

"X mag zelf ook niet het Internet verkeer aan een persoon linken en dan publiceren."

Dat hangt wel af van de interne policies die aan medewerkers bekend zijn gemaakt, of er toestemming van de OR is, en meer van dat soort zaken. Hoe het juridisch zit - ligt de verantwoording enkel bij de klant of ook bij de leverancier - is mij niet geheel duidelijk. Misschien een leuke vraag voor de heer Engelfriet ;)
07-03-2011, 20:56 door Anoniem
Wij de 'outgesourcte IT' weten niet wat de policies zijn bij de klant. Men weet niet of de werknemers zo een policy hebben getekend, vandaar de disclaimer om zichzelf in te dekken.

De usernames worden in dit verhaal mee opgenomen op vraag van de klant, dus voor de klant zijn deze te herleiden tot een enkele gebruiker.

Als het volledig internetverkeer niet mag gemonitored/geraporteerd worden, mogen dan specifieke 'categorieen' dat wel bvb enkel softwaredownloads (alweer inc. usernames)

Mij lijkt dat dergelijke zaken toch "persoonlijk" moeten verwittigd worden aan de werknemer en niet in een of andere polcy die men -tig jaar geleden heeft 'getekend' bij indienstreding.
08-03-2011, 10:50 door peterrus
Het verwerken (dwz ook alleen opslaan) van persoonlijk-identificeerbare gegevens mag alleen na toestemming van het subject (De onderzochte gebruikers in dit geval).

In het geval van een wijziging in de policy dient deze opnieuw ondertekend te worden. Ook kan men de werknemers op de hoogte brengen van de data-gathering dmv een circulaire.

CMIW
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.