image

Juridische vraag: Is IE6 nog op de werkvloer toegestaan?

woensdag 13 juli 2011, 12:27 door Arnoud Engelfriet, 11 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Is mijn werkgever verantwoordelijk als er geld van mijn rekening gestolen wordt via malware op het bedrijfsnetwerk? Ik vroeg me dit af omdat mijn werkgever me enig privégebruik van computer en netwerk toestaat onder werktijd. Heeft hij dan niet ook een zorgplicht om het netwerk vrij te houden van virussen en andere malware? Als dan achteraf blijkt dat zulke malware heeft toegeslagen, kan ik hen dan aansprakelijk stellen?

Antwoord: Het lijkt me bijzonder moeilijk je werkgever aansprakelijk te stellen voor schade als gevolg van privégebruik van bedrijfsmiddelen, zelfs als dat privégebruik expliciet toegestaan was. Dat laatste is overigens onvermijdelijk - de wet maakt een keihard verbod op privé internetten onmogelijk.

Je werkgever moet een veilige omgeving bieden, zowel ARBO-technisch als ICT-technisch. Je mag dus een zeker minimumniveau van beveiliging op het bedrijfsnetwerk verwachten, ongeacht of je dat nu gebruikt voor privé- of werkgerelateerde zaken. Net zoals je mag verwachten dat de stoelen in de kantine niet doorzakken en de fietsenstalling enige beveiliging tegen fietsendiefstal heeft. Dat neemt echter niet weg dat je bij privégebruik en zeker bij internetbankieren ook enige eigen verantwoordelijkheid hebt.

Volgens de wet ben je bij bankfraude niet meer dan 150 euro aansprakelijk, tenzij je "frauduleus of opzettelijk of met grove nalatigheid hebt gehandeld" (art. 7:529 BW).

Uit dit artikel volgt ook dat je wettelijk verplicht bent je te houden aan de voorwaarden van je bank over gebruik van het betaalinstrument (zolang deze redelijk zijn natuurlijk). Het controleren of er een virusscanner draait en je enigszins up to date bent met je patches lijkt me daar wel onderdeel van.

Ik zou dus zeggen: als je wéét dat je werk geen veilige omgeving is om te internetbankieren, dan ben je nalatig als je dat toch gaat doen. Ook als je werkgever je verplicht om IE6 te gebruiken en je verbiedt de voorgeïnstalleerde Flashplayer te upgraden.

Wel vraag ik me af of zulke werkgevers echt nog bestaan.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (11)
13-07-2011, 12:57 door Anoniem
Door Arnoud Engelfriet: Wel vraag ik me af of zulke werkgevers echt nog bestaan.
Kijk eens bij de gemiddelde onderwijsinstelling...
13-07-2011, 13:32 door Anoniem
Hoe meer 'leuke" sites geen IE6 meer ondersteunen des te intressanter wordt het voor een werkgever die toch een dichtgetimmerde desktop aanbied om IE6 niet te vervangen, zolang de sites die het personeel moet bezoeken voor werk het maar normaal doen. Dat ze youtube of facebook niet kunnen gebruiken, jammer toch.
13-07-2011, 13:52 door Anoniem
Bij ons was 1 jaar geleden nog alleen IE6 geinstalleerd, inmiddels zijn alle PCs wel geupdate naar een nieuwe image met IE7 #ofdatzoveelbeteris

Als het goed is zouden we nu al verhuisd zijn naar een nieuw gebouw met nieuwe IT infra en windows 7 etc...
13-07-2011, 14:33 door Wim ten Brink
IE6 zal pas echt verdwijnen indien Windows XP ook echt is verdwenen. En omdat XP nog tot 2014 wordt ondersteund zal het nog wel even kunnen duren voor IE6 ook verdwenen is. Zeker voor bedrijven die verder weinig met ICT doen is het eigenlijk niet de moeite om te upgraden naar nieuwere Windows computers.
Mogelijk dat de komst van Chrome OS uitkomst kan bieden voor die bedrijven die een computer alleen maar nodig hebben voor Internet-toepassingen, inclusief eventuele interne web-applicaties. Chrome OS heeft wel een aantal beperkingen en is op dit moment nog iets te duur maar dat verandert nog wel. Vraag is alleen of bedrijven een dergelijke overstap wel willen maken. (Want email wordt dan webmail, en zo...)
Maar goed, ik weet dat ik in 2002 nog steeds af en toe moest werken aan een 16-bits applicatie die onder Windows 3.11 moest draaien, terwijl deze Windows versie in 1995 al door Windows 95 was vervangen. Maar gebruikers investeren lang niet altijd even snel in nieuwe software en hardware, dus blijven dergelijke oude systemen soms nog veel te lang in gebruik.
En kijk ik naar Windows XP dan zie ik een besturings-systeem dat zo populair is geworden dat deze volgens mij over 5 jaar nog steeds her en der terug te vinden is. Waarschijnlijk ook nog met IE6.
Maar goed, het is aan ons developers de taak om gebruikers maar richting de nieuwere browsers te forceren door absoluut te weigeren dat onze applicaties nog draaien op dergelijke verouderde software. Kost misschien wel klanten, maar de rest is wel een stuk veiliger...
13-07-2011, 15:06 door Anoniem
Ja, de bedrijven die company-breed IE6 hebben bestaan nog. En je kunt niks zelf installeren, dus ook geen Chrome o.i.d. en ook geen flash. Het idee is dat die toepassingen geen zakelijk nut dienen. En hoewel het soms een blok aan het been is (Skydrive werkt bijvoorbeeld niet, maar Dropbox wel), ergens begrijp ik wel dat een bedrijf niet eerder een upgrade doorvoert dan strikt noodzakelijk.
13-07-2011, 19:49 door Arnoud Engelfriet
Maar ik begrijp dat écht niet. Goed, je hebt een legacy app die IE6 vereist. Dan laat je dus IE6 geïnstalleerd zodat mensen die kunnen gebruiken. Maar wat is het probleem met Chrome of Firefox ernaast laten gebruiken?
13-07-2011, 21:41 door Anoniem
hmm....we hebben legio (paar duizend) pc's en laptops met XP SP2 en IE6. Alleen al omdat er meer dan 100 applicaties aangepast moeten worden als we van IE6 afstappen. Mijn installatierechten laten me wel firefox installeren maar door de beperkte profielruimte werkt alleen firefox 3.6 of lager.
Ik vraag me weleens af wat er gebeurd als een gewone gebruiker op zijn/haar verbinding thuis iets verkeerds op de pc/laptop krijgt en ik daarna waardoor het weer op mijn thuisnetwerk kan komen wie dan de schade bij mij thuis vergoed....
14-07-2011, 10:03 door Anoniem
Door Arnoud Engelfriet: Maar ik begrijp dat écht niet. Goed, je hebt een legacy app die IE6 vereist. Dan laat je dus IE6 geïnstalleerd zodat mensen die kunnen gebruiken. Maar wat is het probleem met Chrome of Firefox ernaast laten gebruiken?

Je stelt de verkeerde vraag: wat is het nut voor het bedrijf als mensen een alternatieve browser installeren? Vooral als we het over een dichtgetimmerde desktop hebben. Waarom zou het bedrijf tijd en geld investeren zodat de werknemers onder werktijd naar facebook kunnen? Ieder extra stuk software is immers een extra risico en een extra beheerslast.
14-07-2011, 11:19 door Anoniem
"Vraag: Is mijn werkgever verantwoordelijk als er geld van mijn rekening gestolen wordt via malware op het bedrijfsnetwerk? Ik vroeg me dit af omdat mijn werkgever me enig privégebruik van computer en netwerk toestaat onder werktijd. Heeft hij dan niet ook een zorgplicht om het netwerk vrij te houden van virussen en andere malware? Als dan achteraf blijkt dat zulke malware heeft toegeslagen, kan ik hen dan aansprakelijk stellen?"

Het is toch jouw eigen vrije keuze om op je werkplek te internetbankieren. Niemand verplicht je daartoe, en je kan ook wachten tot je thuis bent indien je de situatie op je werk te onveilig vindt. Het is wel erg gemakkelijk om de schuld te geven aan je werkgever, enkel omdat je toevallig met zijn eigendommen prive -mag- internetten. Waar is jouw eigen verantwoording ?
14-07-2011, 12:18 door Preddie
Door Arnoud Engelfriet: Maar ik begrijp dat écht niet. Goed, je hebt een legacy app die IE6 vereist. Dan laat je dus IE6 geïnstalleerd zodat mensen die kunnen gebruiken. Maar wat is het probleem met Chrome of Firefox ernaast laten gebruiken?

Ik begrijp het bezwaar wel, door bijv. chrome of firefox toe te gaan staan moet je een breederen ondersteuning richting je gebruikers bieden maar je ook op het gebied van beheer. Waar je er eerder alleen de updates van IE hoefte bij te houden moet je dat nu ook voor bijv. een andere browser. Maargoed gezien het feit dat het bedrijf IE6 nog gebruikt denk ik dat er helemaal niet aan updates/onderhoud wordt gedaan ...
14-07-2011, 12:34 door Wim ten Brink
Door Arnoud Engelfriet: Maar ik begrijp dat écht niet. Goed, je hebt een legacy app die IE6 vereist. Dan laat je dus IE6 geïnstalleerd zodat mensen die kunnen gebruiken. Maar wat is het probleem met Chrome of Firefox ernaast laten gebruiken?
Wat dan gebeurt is dat gebruikers vervolgens Chrome of Firefox gebruiken om de IE6 legacy apps te gebruiken en dan zijn de gevolgen een beetje onvoorspelbaar. Het kan b.v. gebeuren dat alles gewoon goed werkt onder Chrome en dan is er niets aan de hand. Het kan ook gebeuren dat de app crasht onder Chrome en dan klaagt de gebruiker bij de systeembeheerder. Helaas zijn gebruikers dan vaak niet slim genoem om er meteen bij te melden dat ze Chrome gebruiken terwijl ze IE6 hadden moeten gebruiken! Gewoon tijdverspilling en slecht voor het moraal.
De gevolgen kunnen ook kwaadaardig zijn! Zo doen de nieuwere webbrowsers graag een prefetch om alvast enkele links op de pagina te laden zodat de browser sneller lijkt te werken. Jammer alleen als de website een beetje verkeerd is gebouwd en een prefetch aan de server opdracht geeft om data te verwijderen. Dus zonder opdracht van de gebruiker! Dergelijke ellende is in het verleden wel vaker voorgekomen, waarbij een zoekmachine gewoon een site afging en alle URLs ging volgen, maar waarbij het volgen van bepaalde URLs als gevolg had dat data werd verwijderd.
Maar het algemene probleem is dat meer browsers bij de gebruikers gewoon meer werk betekent voor de systeembeheerders. Systeembeheerders kosten in het algemeen alleen maar geld en veel bedrijven bezuinigen hier graag op. Dus om het werk van systeembeheerders te vereenvoudigen wil men vaak de software tot een minimum beperken...

En dan is er nog een ander probleem. Er bestaan applicaties die gebruik maken van IE6 embedded in de applicatie zelf. We praten dan over legacy applicaties die intern eventueel HTML gebruiken om een mooie, dynamische form-layout te genereren. Is ook heel practisch als je daar ook nog hyperlinks aan toevoegt die andere sites in een apart browser-scherm openen. Zonder IE6 zouden deze applicaties niet meer werken. En als een andere browser de default is, dan kan het wel eens vervelend worden indien een embedded webbrowser een nieuwe browser wil openen. (Zeker als het om sessie-gegevens en cookies gaat!)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.