Achtergrond

Juridische vraag: collega kijkt zomaar op mijn computer

woensdag 18 juli 2012, 10:59 door Arnoud Engelfriet, 11 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vanwege vakantie geen juridische antwoorden tot 15 augustus. Maar stuur je vragen gerust in!

Vraag: Vanwege ziekte was ik enige tijd afwezig. In de tussentijd bleken enkele collega's toegang te hebben gehad tot mijn computer, zonder dat daarover enig overleg met mij is gevoerd. Ze hebben daarmee ook privémails en -bestanden kunnen lezen. En ik vermoed dat ze zelfs mijn privé-Gmail hebben benaderd, omdat in mijn browser dat wachtwoord wordt onthouden. Kan dat zomaar allemaal?

Antwoord: Nee, dat kan niet zomaar allemaal. Het kan wel, maar dan moet het goed geregeld zijn.

Ook op het werk heb je recht op privacy, en daaronder valt mede de zakelijke mailbox en de bedrijfscomputer. Deze mogen niet zomaar worden besnuffeld door collega's of management. Er moet een goede reden zijn om dit te doen, en als het even kan ligt die reden vast in een ICT-reglement.

Opvolging van het werk bij afwezigheid door ziekte of ontslag is in principe een goede reden. Maar als je in die situatie in andermans computer of bestanden gaat kijken, moet de manier waarop je werkt op zichzelf ook nog zorgvuldig en proportioneel worden uitgevoerd. Een goede manier hiervoor is vooraf afspreken dat privézaken in de directory "privé" worden opgeborgen, waar de collega dan uit moet blijven. Mails kunnen "privé" in het onderwerp krijgen en/of in een apart mapje geplaatst worden.

Ook ken ik bedrijven die expliciet toestaan dat men privé mailt vanaf webmaildiensten van derden, en daarbij bepalen dat zij geen monitoring daarop zullen doen. In die situatie kun je tevens bepalen dat de werkmail dús niets privé kan bevatten.

Andere bedrijven bepalen dat mailboxen en bestanden alleen door twee mensen tegelijk mogen worden gelicht, bv. een systeembeheerder en een verantwoordelijke manager. Zo is de kans dat er voor de lol wordt gesnuffeld een stuk kleiner.

Helaas blijkt dit met name bij kleine bedrijven lang niet altijd geregeld, en juist daar is het extra vervelend als de directe collega iets heeft gelezen dat niet de bedoeling was.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Column: Defensie zoekt tamme hacker

"WiFi achilleshiel bedrijven, ook met WPA2" (interview)

Reacties (11)

18-07-2012, 12:16 door DeliciouslyImperfect

Ze hebben daarmee ook privémails en -bestanden kunnen lezen. En ik vermoed dat ze zelfs mijn privé-Gmail hebben benaderd, omdat in mijn browser dat wachtwoord wordt onthouden.

Ik vraag me af waar deze persoon zijn angsten op baseert. Als mijn collega's in mijn afwezigheid op mijn PC zouden zitten, zou ik er blind vanuit gaan dat ze niet naar mijn privé dingen gekeken hebben, ook als ze dat kunnen.
Wat niet weg neemt dat het wel netter was geweest als ze vooraf even contact opgenomen zouden hebben om te vragen, of zelf alleen maar te laten weten dat ze dit zouden doen.

18-07-2012, 13:44 door Anoniem

Zonder de juridische argumenten tot onzin te bestempelen kan je natuurlijk dingen zo inrichten dat het probleem kleiner wordt. Als wat je opslaat voor je werk niet zo vertrouwelijk is dat je directe collega's het niet mogen zien, zorg dan dat je een gezamenlijke groepsdirectory (met alleen toegang voor groepsleden) op het netwerk hebt met daaronder ieder een eigen subdirectory, directory's voor aandachtsgebieden, projecten, enzovoorts, en zet spullen daar neer *tenzij* de leden van je groep er echt geen inzage in mogen hebben. Afhankelijk van welk systeem je voor e-mail gebruikt is daar mogelijk iets vergelijkbaars te regelen. Houd verder privé en werk zo veel mogelijk gescheiden. Dus geen privé-wachtwoorden door je werk-computer laten onthouden (je kan er ook voor kiezen privémail laten wachten tot je weer thuis bent, als het dringend is kunnen ze opbellen); inhoudelijk spannende privé-e-mailconversaties niet met je werk-account doen en vice versa; geen BYOD: als de baas wil dat ik een smartphone of IGimmick heb dan geeft 'ie me er maar een mee.

Het zal ongetwijfeld van het soort werk afhangen of dit opgaat, maar het is in mijn ogen vrij logisch dat als je in een team werkt en werk toebedeeld krijgt dat (qua vertrouwelijkheid) net zo goed bij een ander teamlid terecht had kunnen komen er geen enkele reden is om de bijbehorende bestanden ergens te plaatsen waar de andere teamleden geen toegang toe hebben. Als je vanuit die optiek de opslag van je documenten inricht dan zal de behoefte om toegang tot de computer of persoonlijke netwerkdirectory van een collega te krijgen beperkt zijn tot die situaties dat de documenten en e-mails te vertrouwelijk zijn om te delen binnen de groep. In het werk dat ik doe en gedaan heb is dat uitzonderlijk, en wat ik hier beschrijf is hoe ik gewend ben dat dingen geregeld worden.

18-07-2012, 13:59 door Anoniem

"Zoals de waard is vertrouwd hij zijn gasten" werkt twee kanten op.

Jij gaat er blind vanuit dat ze niet gekeken hebben. De vraag is waar dàt op gebaseerd is.
Het antwoord is hoedanook identiek: referentiekader.

Tegelijk moet je vaststellen dat als je referentiekader zo is dat je je collega's niet vertrouwd op jouw computer het erg dom is om je browser wachtwoorden te laten onthouden.

Een wachtwoord heet niet voor niets een wachtwoord. Het heet geen '(on)gemakswoord'.
Het is een veiligheidsmechanisme.
Het is een vreemd mechanisme dat een browser de mogelheid biedt een wachtwoord te onthouden.
Je laat je voordeursleutel ook niet in het slot steken als je de mensheid niet vertrouwd.

18-07-2012, 17:07 door Arnoud Engelfriet

Ik kan helaas moeilijk in details treden over het hoe en wat, maar stel dat de collega's opmerkingen maken of vragen stellen over dingen die ze niet konden weten behalve via die mail. "Goh, ben jij fan van Justin Bieber?" of "Hee is je vriendin nog ziek?" bijvoorbeeld.

En wat doe je dan, ga je ze vragen "hoe weet jij dat" of zelfs "heb jij in mijn mail gesnuffeld"?

18-07-2012, 17:10 door DeliciouslyImperfect

Door Arnoud Engelfriet: Ik kan helaas moeilijk in details treden over het hoe en wat, maar stel dat de collega's opmerkingen maken of vragen stellen over dingen die ze niet konden weten behalve via die mail. "Goh, ben jij fan van Justin Bieber?" of "Hee is je vriendin nog ziek?" bijvoorbeeld.

En wat doe je dan, ga je ze vragen "hoe weet jij dat" of zelfs "heb jij in mijn mail gesnuffeld"?

Ik zou inderdaad vragen "hoe weet jij dat". Ik vraag het ook wel eens over dingen, en dan blijkt dat ik zoiets zelf ooit gezegd heb. Of ze hebben het gehoord van een ander.
"Hoe weet jij dat" lijkt me een vraag die je sowieso altijd kan stellen, als je er maar niet te agressief mee uit de hoek komt.

18-07-2012, 19:40 door Anoniem

Als je nou graag prive dingen regelt op de zaak via mail, dan zou ik zeggen zorg ervoor dat je browser voortaan je wachtwoorden niet meer opslaat.

Het is sowieso onvoorzichtig om dit te doen , want op een zaak zijn er meestal meer mensen die gebruik maken van dezelfde computers

Het werk is ervoor om te werken.. niet om prive dingen te doen, maar goed als er geen bezwaar is van hogerhand om dit wel te doen, dan hoeft dit geen probleem te zijn.

Maar nogmaals scherm wel af wat prive is en laat het niet openbaar en toegankelijk staan voor de rest van het bedrijf.
Want de naam zegt het al PRIVE.

19-07-2012, 00:50 door Anoniem

Binnen een goed bedrijf is het als volgt geregeld:

1. Iedere user heeft een eigen account en wachtwoord en dat weet niemand.
2. Gebruikers slaan hun gegevens op het netwerk op waarbij een afdelings/divisie share (fileshare, crm, sharepoint, etc.) dient voor alle documenten die betrekking hebben tot de werkzaamheden.
3. Persoonlijke shares (waar die ook staat) is alleen voor prive gebruik en mag geen gegevens bevatten die nodig zijn voor anderen om bij ziekte jouw werk te doen.
4. ICT is zodanig ingeregeld dat jouw e-mail kan worden geforward naar een andere mailbox door ict, en er is een afdelings mailbox (of shared resource met e-mail adres) waar werk gerelateerde e-mail binnen komt, cq. in wordt opgeslagen.

Hierdoor is het nooit nodig dat iemand in een persoonlijke e-mailbox of folder hoeft te komen.

19-07-2012, 13:12 door WhizzMan

Als mijn collega's zouden vragen of ik Bieberfan ben, weet ik zeker dat ze m'n honeypot gevonden hebben. ;)

19-07-2012, 21:25 door Anoniem

Reageerder of reaguursel

""Opvolging van het werk bij afwezigheid door ziekte of ontslag is in principe een goede reden""

Allereerst zou ik willen zeggen, afhankelijk van geheim houding etc. beveilig je computer
met een PGP RSA key, zowel public als secret, zo kan zelfs de systeem behherder niet aan
je prive data komen, klinkt misschien zwaar , maar het is gewoon nodig in een tijdperk dat
alles van iedereen meer en meer op straat komt te liggen, of het nou gaat om smerissen of
andere zogenaamde bevoegde instanties, die het niet zo nou nemen met de regels.
De staatsecretaris van justitie is teevens een goed voorbeeld van iemand die het (..) laarzenlappen
nieuwe betekenis geeft.

Ik kan mij zo voorstellen dat het nodig kan zijn om een bepaalde taak aftekrijgen, dat de
eventuele "waarnemer" weet waar de werknemer met verzuim, op dat moment is gebleven,
brieven planning etc.
Wel moet dan het "snuffelen " zich beperken tot de relevante stukken, waarbij het dan welzo
netjes zou zijn om e.e.a.tevragen aan de verzuimende werknemer.

Aande andere kant kan een verzuimende medewerker ook een email vanuit zijn huis of verblijfplaats
sturen naar het bedrijf en daar zelf voorstellen oveer hoe en waar het "materiaal" tevinden is.

Dit sluit snuffelen niet uit, maar neemt de motivatie om eventueel zoiets tedoen wel weg,
alhoewel het gezegde de gelegenheid maakt de dief om de hoek komt kijken, rijst ook de vraag
geef je gelegenheid om tedoen wat ergedaan is, want dan zou er voorzover ik weet wel van opzet
(uitlokking)sprake moeten zijn.

Is gelegenheid geven uitlokking, of is uitlokking gelegenheid geven, voorzover ik mij herrinner
staat er in het Wb.v Sv eea. geschreven.

Misschien ga ik tever????

Zie onderstaande links

https://encrypted.google.com/#hl=en&gs_nf=1&cp=3&gs_id=eh&xhr=t&q=is+gelegenheid+geven+uitlokking,+of+is+uitlokking+gelegenheid+geven&pf=p&sclient=psy-ab&oq=is+gelegenheid+geven+uitlokking,+of+is+uitlokking+gelegenheid+geven&gs_l=&pbx=1&bav=on.2,or.r_gc.r_pw.r_qf.,cf.osb&fp=76164df474c2d4e8&biw=1024&bih=579

http://forum.infopolitie.nl/viewtopic.php?f=70&t=5015

20-07-2012, 21:28 door Anoniem

Je geeft je account toch niet aan iemand? Want dan kunnen ze niet bij je password store.
Los daarvan moet je niet te lam zijn om je password hier en daar in te tikken.
Eigen schuld, jammer dan.

04-09-2014, 22:02 door Anoniem

Het gaat er naar mijn mening niet zozeer om dat je wel of niet privé gegevens of mails via je werkkpc verzend of opslaat. Werk je bij een bedrijf zoals sommigen die reageren waar de mails bij het hele team binnenkomen of iederee hetzelfde wachtwoord heeft is het wat anders en heb ik geen ervaring mee.
Als je bij een organisatie werkt met verschillende projecten en bv pz mappen hebt of werk je aan een project en/of met cliënten is er een rede dat elke medewerker een eigen gebruikersnaam en wachtwoord heeft.
verder is het al heb je niks te verbergen niet prettig als een collega zonder toestemming bij het ict bedrijf die de ondersteuning en bv nieuwe accounts voor nieuwe medewerkers aanmaakt je wachtwoord opvraagt, dit ook krijgt en zonder toestemming of reden je wachtwoord heeft veranderd en in je bestanden is geweest.
mag dit zomaar?
Mag het ict bedrijf dit doen, mag een collega dit doen (dus niet in opdracht van de werkgever) en zou de werkgever dit wel mogen doen zonder dat hier beleid of afspraken over zijn. (En geen er geen reden is om dit te doen).
Dus 1 had het ict bedrijf dit mogen doen en twee had deze medewerker (die wel de opdracten van medewerkers aan het ict bedrijf goed moet keuren)maar geen extra bevoegdheid heeft.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer