Juridische vraag: Mag school e-mail van leerling lezen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Als lid van de medezeggenschapsraad op een scholengemeenschap kreeg ik van het bestuur een concept-reglement voor internetgebruik op school. Het gaat om regels waar systeembeheerder, rector of directeur zich aan moet houden bij computeraccounts en e-mailaccounts. Die regels vond ik nogal streng, zeker waar het doorzoeken van mailboxen, kluisjes en dergelijke betrof. Kan het schoolbestuur zomaar zulke regels stellen? En gelden die dan ook voor scholieren die MR-lid zijn?
Antwoord: In diverse eerdere vragen kwam het onderwerp van internetreglementen op bedrijven aan de orde. Voor scholen gelden ongeveer dezelfde regels.
Kort gezegd komen die er op neer dat een organisatie wel regels mag stellen, maar dat enig privégebruik van de IT-middelen toegestaan moet blijven. Monitoren dient in principe anoniem te gebeuren, bijvoorbeeld door alleen te kijken naar dataverkeer en een geautomatiseerd mailtje te sturen. Persoonsgericht monitoren en/of rapporteren aan management wat er precies gebeurt, mag alleen met een concrete aanleiding.
Bij bedrijven heeft de ondernemingsraad (OR) instemmingsrecht met een IT-reglement. Bij scholen is dat de medezeggenschapsraad (MR), waar ook leerlingen in zitten. Het bestuur volgt dus de juiste procedure, hoewel ze wel streng insteken zo te lezen. Een regel als "de school mag op elk moment het kluisje doorzoeken, ook zonder enige aanleiding" zou niet door de beugel kunnen bijvoorbeeld.
Wanneer het gaat om personeel dat lid is van de OR, of scholieren die lid zijn van de MR, dan is extra zorgvuldigheid geboden. Overleg en discussie binnen deze raden is vertrouwelijk, en de werkgever heeft daar dus niets te zoeken. Er moeten dus waarborgen zijn om te zorgen dat de werkgever niet kan kijken in deze discussies. De betreffende mailadressen zouden op een aparte lijst gezet kunnen worden waardoor de snuffeltools, pardon monitortools, dan weten dat ze deze moeten overslaan.
Ook kunnen aparte mailboxen worden aangemaakt die alleen voor MR-werk gebruikt mogen worden. Omdat er daarnaast ook 'gewoon' mailverkeer mogelijk is, en het hier gaat om een mailbox met speciale functie en geheimhoudingsstatus, is zo'n regel gerechtvaardigd. De werkgever kijkt dan niet in die mailbox, en de medewerker doet niets privé met die mailbox.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Dat sommige bedrijven en scholen dit (willen) doen onder het mum van monitoren is wel heel erg breed te intepreteren. Het monitoren is bedoeld om bottlenecks en beveiligingsproblemen in de omgeving te achterhalen en mag niet gebruikt worden voor privacy inbreukende praktijken.Het is bij een bedrijf wel toegestaan om een internetbeleid te forceren door middel van blokkades (filtering op de internetverbinding, filtering op bepaalde met extensies). Maar pro-actief scannen? Duidelijk niet.
Dan ga je naar een andere school indien mogelijk of accepteer je het. In theorie zou naar de rechter kunnen gaan en daar de regel laten afschieten. Maar wil je echt voor je toekomst afhankelijk zijn van een bedrijf waar je net een rechtzaak tegen hebt gevoerd? Veel cijfers worden subjectief bepaald en het verschil tussen een 5.5 en 5.4 is misschien maar 0.1 punt, het is wel het verschil tussen slagen of zakken. Of men ziet 'toevallig' dat je een blikje naast de afvalbak gooide of je was onbeleefd tegen een medewerker, er is altijd wel een stok om een hond te slaan.
Er is wel meer mogelijk, indien dit vooraf wordt aangekondigd, en wordt vastgelegd in de security policy, zolang het niet strijdig is met wettelijke regels. Bij bijvoorbeeld bedrijven in de defensie industrie is het volstrekt normaal dat uitgaande email gescanned wordt in verband met het risico van het lekken van gegevens / spionage. Je krijgt dat te horen op het moment dat je bij het bedrijf komt werken, en dan ga je met het ondertekenen van de policy akkoord met het feit dat dit gebeurt. Het is allemaal niet zo zwart/wit als jij stelt.
"Het is bij een bedrijf wel toegestaan om een internetbeleid te forceren door middel van blokkades (filtering op de internetverbinding, filtering op bepaalde met extensies). Maar pro-actief scannen? Duidelijk niet."
Hmm het opsporen van malware door te scannen op communicatie met command & control servers (pro-actief scannen) is dus volgens jou niet toegestaan ? Het gebruik van logging rules in ACL's is uit den boze, als ook het gebruik van intrusion detection systemen en meer van dat soort zaken ? En een virus scanner, doet die niet aan pro-actief scannen ?
Dat sommige bedrijven en scholen dit (willen) doen onder het mum van monitoren is wel heel erg breed te intepreteren. Het monitoren is bedoeld om bottlenecks en beveiligingsproblemen in de omgeving te achterhalen en mag niet gebruikt worden voor privacy inbreukende praktijken.Het is bij een bedrijf wel toegestaan om een internetbeleid te forceren door middel van blokkades (filtering op de internetverbinding, filtering op bepaalde met extensies). Maar pro-actief scannen? Duidelijk niet.
Niet geheel correct. Immers doorzoekt een anti-virusscanner op een desktop/server automatisch door deze omgevingen.
Ook zal een beheerer log-files mogen bekijken om vanuit daar noodzakelijke stappen om het beheer beter te maken mogen doen. Echter mag een beheerder de inhoud nooit aan de grote klok hangen.
Uiteraard zal men wel het een en ander mogelijk moeten melden aan het CBP.
Als je geen vertrouwen hebt in de professionele integriteit van een beheerder heb je maar 1 oplossing: maak geen gebruik van ‘zijn’ systemen. Dus geen mail op opslag van het bedrijf gebruiken, geen pc’s waarvan je niet weet wat er allemaal op gelogd wordt, geen lan/internet-verbingen tenzij je een VPN opzet, etc., etc.
Als een beheerder kwade plannen heeft is dat nauwelijks te voorkomen, (denk aan zaken als het volledig opdelen van beheerstaken tussen verschillende afdelingen plus onafhankelijke auditors en meer van dat soort zaken. Dat is alleen werkbaar en betaalbaar voor de meest waardevolle doelwitten zoals financiële instellingen en militaire/diplomatieke systemen) Een beheerder kent de systemen en infrastructuur, hij kent de zwakheden en achterdeurtjes, als hij een keer je wachtwoord heeft veranderd kent hij dat ook en hij heeft genoeg kennis van zaken om zijn sporen te verbergen.
De vraag is echter: waarom zou een beheerder dit willen? Wat heb jij dat het waard maakt voor hem om zijn baan, vrijheid en toekomst op te offeren? Helaas, jij hebt niets wat interessant voor hem is, zelfs al ben je een beeldschone vrouw, 30 seconden op internet geeft hem meer naaktfoto’s dan er mogelijk in jouw homedir staan. In de meeste bedrijven en scholen waar ik heb gewerkt zat iemand van de IT-afdeling in de MR/OR. Waarom moeilijk doen met het doorzoeken van homedirs en mailboxen als je toch al een insider voor je hebt werken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
