Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Mijn onderwijsinstelling geeft laptops in bruikleen aan medewerkers. Zij mogen alles doen (je krijgt administratorrechten), en het beheer doet niets meer dan op verzoek alles formatteren en opnieuw installeren. Zo wil men de kosten laag houden. Maar om te voorkomen dat men aansprakelijk gesteld wordt voor licentieschendingen, wil men wel een speciale tool installeren die op de achtergrond draait en doorgeeft welke software wordt geïnstalleerd. Dit wordt dan tegen een blacklist gecontroleerd. Maar mag dat wel?
Antwoord: Het is heel creatief dat deze instelling haar medewerkers zo veel ruimte geeft, dat zie je niet vaak bij grote instellingen. De aanpak van "doe het zelf en wij herinstalleren alleen" lijkt mij organisatorisch prima, hoewel een alternatief "wij doen alles maar dan mag je zelf niets installeren" misschien nog wel handig is.
Punt is wel dat de organisatie ook in deze situatie aansprakelijk is voor illegale handelingen gepleegd met de laptops. Het zijn en blijven bedrijfslaptops, en de werkgever is aansprakelijk voor hetgeen de werknemer doet naar derden toe. Ook als dit expliciet verboden is! Je moet als werkgever echt actief toezicht houden en ingrijpen als je problematische situaties ziet ontstaan om je aansprakelijkheid te kunnen beperken. Een bordje ophangen "illegale software installeren is verboden" is echt niet genoeg. De blacklist en monitoring software is dus een goede poging om dit risico in te dammen.
Als het een volledig automatische tool is, dan zie ik er weinig problemen mee. Je krijgt dan een waarschuwing, of misschien zelfs een blokkade op het uitvoeren van die software. Dat zou netjes zijn: is de melding terecht dan kun je de software deinstalleren, is de melding onterecht dan kun jij als medewerker kiezen te escaleren naar de juiste persoon.
Een automatische mail naar het management is een heel ander verhaal. Dat lijkt me niet direct proportioneel, dus dat zou ik pas doen na een waarschuwing (of twee) waar niet op gereageerd is. Maar als het even kan, zou ik adviseren om alleen te werken met een automatische tool zodat mensen zelf moeten piepen als er iets onterecht geblokkeerd wordt.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.