Juridische vraag: collega kijkt zomaar op mijn computer
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vanwege vakantie geen juridische antwoorden tot 15 augustus. Maar stuur je vragen gerust in!
Vraag: Vanwege ziekte was ik enige tijd afwezig. In de tussentijd bleken enkele collega's toegang te hebben gehad tot mijn computer, zonder dat daarover enig overleg met mij is gevoerd. Ze hebben daarmee ook privémails en -bestanden kunnen lezen. En ik vermoed dat ze zelfs mijn privé-Gmail hebben benaderd, omdat in mijn browser dat wachtwoord wordt onthouden. Kan dat zomaar allemaal?
Antwoord: Nee, dat kan niet zomaar allemaal. Het kan wel, maar dan moet het goed geregeld zijn.
Ook op het werk heb je recht op privacy, en daaronder valt mede de zakelijke mailbox en de bedrijfscomputer. Deze mogen niet zomaar worden besnuffeld door collega's of management. Er moet een goede reden zijn om dit te doen, en als het even kan ligt die reden vast in een ICT-reglement.
Opvolging van het werk bij afwezigheid door ziekte of ontslag is in principe een goede reden. Maar als je in die situatie in andermans computer of bestanden gaat kijken, moet de manier waarop je werkt op zichzelf ook nog zorgvuldig en proportioneel worden uitgevoerd. Een goede manier hiervoor is vooraf afspreken dat privézaken in de directory "privé" worden opgeborgen, waar de collega dan uit moet blijven. Mails kunnen "privé" in het onderwerp krijgen en/of in een apart mapje geplaatst worden.
Ook ken ik bedrijven die expliciet toestaan dat men privé mailt vanaf webmaildiensten van derden, en daarbij bepalen dat zij geen monitoring daarop zullen doen. In die situatie kun je tevens bepalen dat de werkmail dús niets privé kan bevatten.
Andere bedrijven bepalen dat mailboxen en bestanden alleen door twee mensen tegelijk mogen worden gelicht, bv. een systeembeheerder en een verantwoordelijke manager. Zo is de kans dat er voor de lol wordt gesnuffeld een stuk kleiner.
Helaas blijkt dit met name bij kleine bedrijven lang niet altijd geregeld, en juist daar is het extra vervelend als de directe collega iets heeft gelezen dat niet de bedoeling was.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Wat niet weg neemt dat het wel netter was geweest als ze vooraf even contact opgenomen zouden hebben om te vragen, of zelf alleen maar te laten weten dat ze dit zouden doen.
Het zal ongetwijfeld van het soort werk afhangen of dit opgaat, maar het is in mijn ogen vrij logisch dat als je in een team werkt en werk toebedeeld krijgt dat (qua vertrouwelijkheid) net zo goed bij een ander teamlid terecht had kunnen komen er geen enkele reden is om de bijbehorende bestanden ergens te plaatsen waar de andere teamleden geen toegang toe hebben. Als je vanuit die optiek de opslag van je documenten inricht dan zal de behoefte om toegang tot de computer of persoonlijke netwerkdirectory van een collega te krijgen beperkt zijn tot die situaties dat de documenten en e-mails te vertrouwelijk zijn om te delen binnen de groep. In het werk dat ik doe en gedaan heb is dat uitzonderlijk, en wat ik hier beschrijf is hoe ik gewend ben dat dingen geregeld worden.
Jij gaat er blind vanuit dat ze niet gekeken hebben. De vraag is waar dàt op gebaseerd is.
Het antwoord is hoedanook identiek: referentiekader.
Tegelijk moet je vaststellen dat als je referentiekader zo is dat je je collega's niet vertrouwd op jouw computer het erg dom is om je browser wachtwoorden te laten onthouden.
Een wachtwoord heet niet voor niets een wachtwoord. Het heet geen '(on)gemakswoord'.
Het is een veiligheidsmechanisme.
Het is een vreemd mechanisme dat een browser de mogelheid biedt een wachtwoord te onthouden.
Je laat je voordeursleutel ook niet in het slot steken als je de mensheid niet vertrouwd.
En wat doe je dan, ga je ze vragen "hoe weet jij dat" of zelfs "heb jij in mijn mail gesnuffeld"?
En wat doe je dan, ga je ze vragen "hoe weet jij dat" of zelfs "heb jij in mijn mail gesnuffeld"?
"Hoe weet jij dat" lijkt me een vraag die je sowieso altijd kan stellen, als je er maar niet te agressief mee uit de hoek komt.
Het is sowieso onvoorzichtig om dit te doen , want op een zaak zijn er meestal meer mensen die gebruik maken van dezelfde computers
Het werk is ervoor om te werken.. niet om prive dingen te doen, maar goed als er geen bezwaar is van hogerhand om dit wel te doen, dan hoeft dit geen probleem te zijn.
Maar nogmaals scherm wel af wat prive is en laat het niet openbaar en toegankelijk staan voor de rest van het bedrijf.
Want de naam zegt het al PRIVE.
1. Iedere user heeft een eigen account en wachtwoord en dat weet niemand.
2. Gebruikers slaan hun gegevens op het netwerk op waarbij een afdelings/divisie share (fileshare, crm, sharepoint, etc.) dient voor alle documenten die betrekking hebben tot de werkzaamheden.
3. Persoonlijke shares (waar die ook staat) is alleen voor prive gebruik en mag geen gegevens bevatten die nodig zijn voor anderen om bij ziekte jouw werk te doen.
4. ICT is zodanig ingeregeld dat jouw e-mail kan worden geforward naar een andere mailbox door ict, en er is een afdelings mailbox (of shared resource met e-mail adres) waar werk gerelateerde e-mail binnen komt, cq. in wordt opgeslagen.
Hierdoor is het nooit nodig dat iemand in een persoonlijke e-mailbox of folder hoeft te komen.
""Opvolging van het werk bij afwezigheid door ziekte of ontslag is in principe een goede reden""
Allereerst zou ik willen zeggen, afhankelijk van geheim houding etc. beveilig je computer
met een PGP RSA key, zowel public als secret, zo kan zelfs de systeem behherder niet aan
je prive data komen, klinkt misschien zwaar , maar het is gewoon nodig in een tijdperk dat
alles van iedereen meer en meer op straat komt te liggen, of het nou gaat om smerissen of
andere zogenaamde bevoegde instanties, die het niet zo nou nemen met de regels.
De staatsecretaris van justitie is teevens een goed voorbeeld van iemand die het (..) laarzenlappen
nieuwe betekenis geeft.
Ik kan mij zo voorstellen dat het nodig kan zijn om een bepaalde taak aftekrijgen, dat de
eventuele "waarnemer" weet waar de werknemer met verzuim, op dat moment is gebleven,
brieven planning etc.
Wel moet dan het "snuffelen " zich beperken tot de relevante stukken, waarbij het dan welzo
netjes zou zijn om e.e.a.tevragen aan de verzuimende werknemer.
Aande andere kant kan een verzuimende medewerker ook een email vanuit zijn huis of verblijfplaats
sturen naar het bedrijf en daar zelf voorstellen oveer hoe en waar het "materiaal" tevinden is.
Dit sluit snuffelen niet uit, maar neemt de motivatie om eventueel zoiets tedoen wel weg,
alhoewel het gezegde de gelegenheid maakt de dief om de hoek komt kijken, rijst ook de vraag
geef je gelegenheid om tedoen wat ergedaan is, want dan zou er voorzover ik weet wel van opzet
(uitlokking)sprake moeten zijn.
Is gelegenheid geven uitlokking, of is uitlokking gelegenheid geven, voorzover ik mij herrinner
staat er in het Wb.v Sv eea. geschreven.
Misschien ga ik tever????
Zie onderstaande links
https://encrypted.google.com/#hl=en&gs_nf=1&cp=3&gs_id=eh&xhr=t&q=is+gelegenheid+geven+uitlokking,+of+is+uitlokking+gelegenheid+geven&pf=p&sclient=psy-ab&oq=is+gelegenheid+geven+uitlokking,+of+is+uitlokking+gelegenheid+geven&gs_l=&pbx=1&bav=on.2,or.r_gc.r_pw.r_qf.,cf.osb&fp=76164df474c2d4e8&biw=1024&bih=579
http://forum.infopolitie.nl/viewtopic.php?f=70&t=5015
Los daarvan moet je niet te lam zijn om je password hier en daar in te tikken.
Eigen schuld, jammer dan.
Als je bij een organisatie werkt met verschillende projecten en bv pz mappen hebt of werk je aan een project en/of met cliënten is er een rede dat elke medewerker een eigen gebruikersnaam en wachtwoord heeft.
verder is het al heb je niks te verbergen niet prettig als een collega zonder toestemming bij het ict bedrijf die de ondersteuning en bv nieuwe accounts voor nieuwe medewerkers aanmaakt je wachtwoord opvraagt, dit ook krijgt en zonder toestemming of reden je wachtwoord heeft veranderd en in je bestanden is geweest.
mag dit zomaar?
Mag het ict bedrijf dit doen, mag een collega dit doen (dus niet in opdracht van de werkgever) en zou de werkgever dit wel mogen doen zonder dat hier beleid of afspraken over zijn. (En geen er geen reden is om dit te doen).
Dus 1 had het ict bedrijf dit mogen doen en twee had deze medewerker (die wel de opdracten van medewerkers aan het ict bedrijf goed moet keuren)maar geen extra bevoegdheid heeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!