image

Juridische vraag: school installeert spyware op laptop

woensdag 4 januari 2012, 10:15 door Arnoud Engelfriet, 13 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Mijn onderwijsinstelling geeft laptops in bruikleen aan medewerkers. Zij mogen alles doen (je krijgt administratorrechten), en het beheer doet niets meer dan op verzoek alles formatteren en opnieuw installeren. Zo wil men de kosten laag houden. Maar om te voorkomen dat men aansprakelijk gesteld wordt voor licentieschendingen, wil men wel een speciale tool installeren die op de achtergrond draait en doorgeeft welke software wordt geïnstalleerd. Dit wordt dan tegen een blacklist gecontroleerd. Maar mag dat wel?

Antwoord: Het is heel creatief dat deze instelling haar medewerkers zo veel ruimte geeft, dat zie je niet vaak bij grote instellingen. De aanpak van "doe het zelf en wij herinstalleren alleen" lijkt mij organisatorisch prima, hoewel een alternatief "wij doen alles maar dan mag je zelf niets installeren" misschien nog wel handig is.

Punt is wel dat de organisatie ook in deze situatie aansprakelijk is voor illegale handelingen gepleegd met de laptops. Het zijn en blijven bedrijfslaptops, en de werkgever is aansprakelijk voor hetgeen de werknemer doet naar derden toe. Ook als dit expliciet verboden is! Je moet als werkgever echt actief toezicht houden en ingrijpen als je problematische situaties ziet ontstaan om je aansprakelijkheid te kunnen beperken. Een bordje ophangen "illegale software installeren is verboden" is echt niet genoeg. De blacklist en monitoring software is dus een goede poging om dit risico in te dammen.

Als het een volledig automatische tool is, dan zie ik er weinig problemen mee. Je krijgt dan een waarschuwing, of misschien zelfs een blokkade op het uitvoeren van die software. Dat zou netjes zijn: is de melding terecht dan kun je de software deinstalleren, is de melding onterecht dan kun jij als medewerker kiezen te escaleren naar de juiste persoon.

Een automatische mail naar het management is een heel ander verhaal. Dat lijkt me niet direct proportioneel, dus dat zou ik pas doen na een waarschuwing (of twee) waar niet op gereageerd is. Maar als het even kan, zou ik adviseren om alleen te werken met een automatische tool zodat mensen zelf moeten piepen als er iets onterecht geblokkeerd wordt.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (13)
04-01-2012, 10:54 door Anoniem
Als men admin rechten heeft kan men die tool ook verwijderen. Lijkt me derhalve een slecht plan
04-01-2012, 12:16 door SirDice
Door Anoniem: Als men admin rechten heeft kan men die tool ook verwijderen. Lijkt me derhalve een slecht plan
Mee eens. Vanuit een technisch oogpunt heeft het niet zo gek veel zin om een machine helemaal dicht te timmeren om vervolgens een gebruiker alle rechten te geven om dat te omzeilen of ongedaan te maken.
04-01-2012, 13:40 door Anoniem
Een aardige presentatie over de zin en onzin van dergelijke maatregelen is te vinden op http://boingboing.net/2011/12/27/the-coming-war-on-general-purp.html.

Peter
04-01-2012, 13:50 door Anoniem
Door Anoniem: Als men admin rechten heeft kan men die tool ook verwijderen. Lijkt me derhalve een slecht plan

De school heeft maatregelen genomen om illegale software tegen te gaan. Een device wat je fysiek in handen hebt is nooit 100% te beveiligen. Als jij dit soort maatregelen omzeilt zal de school een stuk sterker staan om hun onschuld aan te tonen als illegale software op "jouw" laptop wordt aangetroffen. Of, indien ze daar toch een boete voor krijgen, die bij jouw te vorderen.
04-01-2012, 14:14 door SecOff
Arnoud,
Je zegt in je antwoord:
Je moet als werkgever echt actief toezicht houden
Kun je aangeven waar deze verplichting uit voortkomt?
04-01-2012, 17:41 door Arnoud Engelfriet
Art. 6:170 bepaalt dat de werkgever risico-aansprakelijk is voor wat de werknemer doet, "indien de kans op de fout door de opdracht tot het verrichten van deze taak is vergroot".

Zie http://www.arbeidsrechter.nl/werkgever-risico-aansprakelijkheid-voor-schade-door-fout-werknemer waar men zegt:
Bij voorgaande moet bedacht worden dat niet vereist is dat de werkgever zelf een verwijt valt te maken. Het is zijn risico dat hij wordt aangesproken voor een onrechtmatige daad van een medewerker die verband houden met het werk, wat risico-aansprakelijkheid wordt genoemd.
04-01-2012, 19:51 door Anoniem
Inderdaad, leuke oplossing om mensen de ruimte te geven...

"Je moet als werkgever echt actief toezicht houden en ingrijpen als je problematische situaties ziet ontstaan om je aansprakelijkheid te kunnen beperken."
Actief toezicht kan, maar dat zou ook zonder of met andere technische maatregels (opnemen in arbeidsovereenkomst/getekend computerreglement/bruikleenovereenkomst, sociale controle, regelmatige of overvalscontrole door baas, monitoren netwerkverkeer - met inachtneming privacy etc) kunnen.

Wat me meer zorgen baart is dat iedereen admin heeft => legale software van verdachte bron kan worden geinstalleerd;drive by exploits via web browsers=>malware op laptops=>netwerk besmet. Het lijkt me handig dat ze de overige hosts op het netwerk en de netwerkdevices goed dichtzetten...
04-01-2012, 22:52 door SLight
Als de gebruiker gewoon administrator is en hij weet van de spyware af, dan kan hij die gewoon verwijderen...
05-01-2012, 08:41 door SecOff
Anrnout, Dank voor je reactie.
Ik vond ook de passage iets verderop in de uitleg verhelderend i.r.t. het vanuit de organisatie afdwingen van ib maatregelen tegenover de verantwoordelijkheid bij de medewerker leggen.
Zorgt een medewerker er niet voor dat bepaalde risico’s zijn uitgesloten, dan wil dat nog niet zeggen dat hij deze risico’s bewust accepteert. Het bewustzijn van het risico moet niet altijd letterlijk opgevat worden, omdat het dronken achter het stuur plaatsnemen ook als bewuste roekeloosheid gezien kan worden. Onvoorzichtigheid op zich, zal doorgaans onvoldoende zijn om bewuste roekeloosheid aan te nemen.
Het simpelweg in een reglement vastleggen dat medewerkers vertrouwelijke informatie niet in persoonlijke accounts op clouddiensten mogen zetten betekent dus niet per definitie dat die medewerkers bewust roekeloos zijn als ze dat wel doen. Als een medewerker dan bijvoorbeeld een database met persoonsgegevens uitwisselt met een leverancier via yousendit.com dan zal dat niet snel als bewust roekeloos worden gezien omdat het risico voor de medewerker onvoldoende duidelijk is?
08-01-2012, 15:44 door Anoniem
Een bedrijf is ook verantwoordelijk voor het weggedrag van medewerkers? Wat een onzin. Zo'n monitoringtool is nergens voor nodig en algemene gebruikersvoorwaarden zijn wel degelijk meer dan voldoende.
08-01-2012, 17:21 door Arnoud Engelfriet
@Anoniem 15:44 Je hebt ongelijk. Lees de wet en de rechtspraak, of begin eens met wat ik citeerde uit Arbeidsrechter.nl. Je hebt écht een probleem als je werknemers naar derden toe wangedrag vertonen, want daar ben jij aansprakelijk voor.

Het enkele hebben van regels is NIET genoeg voor ontslag. Je moet echt een dossier opgebouwd hebben én liefst ook pogingen tot verbeterstappen vanuit directie laten zien alvorens je een vergunning krijgt. Anders wordt het een hele dure grap, of kan de rechter zelfs bepalen dat meneer of mevrouw gewoon mag blijven werken. Leuk voor de sfeer dat.
09-01-2012, 16:18 door Anoniem
Mijn $0.02: Dit soort situaties kan naar mijn smaak het best met BYOD worden opgelost. De spullen zijn eigendom en verantwoording van de mensen zelf, de werkgever met diens zaken in zijn/haar eigen cloud(je), waarbij er met remote desktop achtige oplossingen verbinding wordt gelegd. Dit laatste is tamelijk goed dicht te timmeren, terwijl de computergebruiker/hacker zijn/haar vrijheid behoudt. Betaal de mensen die je inhuurt een vergoeding voor de laptop , er is lang niet zoveel IT staff nodig, en juridisch verwacht ik eigenlijk ook simplificaties.

gr. Willem
10-01-2012, 11:56 door Anoniem
"Een bedrijf is ook verantwoordelijk voor het weggedrag van medewerkers? Wat een onzin. Zo'n monitoringtool is nergens voor nodig en algemene gebruikersvoorwaarden zijn wel degelijk meer dan voldoende."

Nee hoor, de eigenaar is juridisch verantwoordelijk. Indien er bij controle op bedrijfsdesktops of bedrijfslaptops illegale software staat, dan moet de werkgever betalen. Als werkgever kan je niet de schuld afschuiven door te stellen dat je je medewerkers admin rechten geeft, en dat het hun verantwoordelijkheid is.

Overigens is een werkgever inderdaad aansprakelijk voor het weggedrag van de werknemer tijdens zakelijke ritten onder werktijd. Indien een vrachtwagenchauffeur of busbestuurder jou aanrijdt, dan is zijn werkgever daarvoor (mede-) verantwoordelijk.

Dat is echter een geheel ander onderwerp ;)

"Als men admin rechten heeft kan men die tool ook verwijderen. Lijkt me derhalve een slecht plan"

De hele situatie lijkt me vanuit beveiligingsoogpunt niet optimaal, maar op zich hoeft dat niet het grootste probleem te zijn; indien je aan de serverkant kan zien dat een medewerker dat doet, bijvoorbeeld doordat je geen dagelijkse update meer ontvangt, dan kan je hem of haar daarop aanspreken en indien nodig maatregelen nemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.