Achtergrond

Juridische vraag: manager wil surfgedrag personeel inzien

woensdag 3 oktober 2012, 11:21 door Arnoud Engelfriet, 14 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: De proxyserver bij ons bedrijf logt exact wie welke pagina's opvraagt. Wij gebruiken dit voor het oplossen van technische problemen, meer niet. Management krijgt wel anonieme statistieken. Nu is er een probleem gerezen met een werknemer en is men bij ons komen vragen of er een gedetailleerde rapportage kan worden gemaakt van het surfgedrag van deze persoon. Mogen wij dit geven?

Antwoord: Het monitoren van internetverkeer op niveau van individuele gebruikers valt onder de Wet bescherming persoonsgegevens. Als bedrijf mag je eigenlijk alleen doen als het loggen absoluut noodzakelijk is voor een bedrijfsbelang én dat bedrijfsbelang zwaarder weegt dan de privacy. Het bedrijf moet bewijzen dat beiden zo zijn, en met name dat "weegt zwaarder dan de privacy" kom je niet snel aan.

Eigenlijk ontkom je er niet aan om standaard alléén op geanonimiseerd niveau te loggen, en pas individuele logs aan te zetten bij een concreet vermoeden van misbruik zoals vastgelegd in het IT-reglement. Heb je geen IT-reglement, dan heb je dus een probleem.

Is er een technische reden waarom je moet loggen op individueel niveau, dan is dat prima, maar dan mogen de logs enkel en alleen voor die technische reden worden ingezet. Pas nadat apart is gebleken dát er een concreet zwaarwegend bedrijfsbelang is (zie het reglement) én afgifte van de logs op die werknemer is absoluut noodzakelijk om dat bedrijfsbelang te dienen (er is geen andere optie) dan mag je die logs gebruiken.

Het IT-reglement legt vast wie om deze logs mag vragen en onder welke omstandigheden. Het is dus niet zo dat er altijd een schriftelijk dienstbevel van de directie moet zijn, bijvoorbeeld. De regels over afgifte bepaalt de directie, maar als die vindt dat een afdelingshoofd de bevoegdheid moet hebben, dan mag dat.

Ook moet het reglement voorzien in het beoogde gebruik. Staat in dat IT-reglement dat je logt voor beveiliging en tegen diefstal van bedrijfsgeheimen, dan mag je logs niet gebruiken om een slecht functionerende werknemer aan te spreken. Alleen als hij beveiligingsincidenten veroorzaakt of vermoedelijk bedrijfsgeheimen steelt zou je hem kunnen aanspreken. Het reglement moet dus voorzien in "disfunctioneren" of iets dergelijks als grond om te gaan monitoren.

Het reglement moet bij alle werknemers bekend gemaakt worden (maar ze laten tekenen hoeft niet, het is een eenzijdige instructiebevoegdheid). Is er een OR, dan heeft deze instemmingsrecht.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Hoe providers weten dat je computer besmet is

Security Tip van de week: vertrouwen is goed...

Reacties (14)

03-10-2012, 12:23 door Anoniem

Merk op dat "niet-anoniem" loggen dus al meer informatie vastlegt dan je mag gebruiken.

Raar eigenlijk dat er dan toch iedere keer weer stemmen opgaan om dataretentie uit te breiden. Zo heb je dus eigenlijk meer privacy op je werk dan thuis. Persoonlijk vind ik dat een hele scheve situatie.

03-10-2012, 12:32 door Anoniem

@Arnoud :

Zijn de juridische aspecten uiteindelijk ook de verantwoording van de beheerder aan wie de informatie gevraagd wordt. Hiermee bedoel ik, wat kan een beheerder het beste doen wanneer deze uitleg heeft gegeven over de juridische aspecten, en de werkgever toch de informatie wil hebben ? Voet bij stuk houden, of de informatie alsnog geven ?

Het is natuurlijk heel goed om naar de juridische aspecten te kijken, maar zo'n beheerder kan vervolgens wel het slachtoffer worden van zijn (terechte) houding indien de werkgever zijn houding niet op prijs stelt. Uiteindelijk ligt de juridische verantwoording bij de werkgever, en niet bij de individuele werknemer ?

03-10-2012, 14:20 door Arnoud Engelfriet

@Anoniem 12:32: De juridische kant is de verantwoordelijkheid van het bedrijf, en niet van de beheerder/IT-er als persoon. Hij kan nooit en te nimmer persoonlijk aansprakelijk zijn voor het uitvoeren van een opdracht, ook niet als de opdracht onterecht gegeven was of in strijd met de Wet bescherming persoonsgegevens blijkt.

Wel heb je de taak om verificatie te vragen, bv. door te escaleren of advies van de bedrijfsjurist in te winnen. Maar zegt die ook dat het goed is, dan ga je niet zelf alsnog beslissen dat het niet goed is.

Praktisch gezien is documenteren van een en ander heel verstandig. Je zult de eerste niet zijn bij wie de manager niet meer weet wat hij gevraagd heeft (ahem).

03-10-2012, 19:48 door Anoniem

Bijna alle tools die logs produceren die je als admin gebruikt overtreed je eigenlijk de wet mee. We kunnen zien wanneer iemand het pand binnenkomt en verlaat, we kunnen zien wanneer iemand inlogt en uitlogt, we kunnen zien wie je mailt en wat het onderwerp is, als je een file s'avond open laat staan dan zien we in het backuplog wat de naam was. En zo zijn er nog tig voorbeelden. En zonder dat soort logs is ons werk vaak niet te doen.

04-10-2012, 08:14 door SecOff

@Arnoud Jij bent de expert maar heb je je als burger niet altijd aan de wet te houden, ook al geeft je werkgever je een opdracht om de wet te overtreden? Als mijn werkgever me vraagt bij een collega thuis in te breken om te kijken of hij geen bedrijfsgeheimen mee naar huis heeft genomen ben ik toch ook strafbaar, ook al zegt de bedrijfsjurist dat het mag.

04-10-2012, 08:28 door Arnoud Engelfriet

Natuurlijk moet je je aan de wet houden, maar de wet is lang niet altijd zo zwart/wit als dit voorbeeld. Zeker bij "ik wil inzage in die mailbox" is er een heel groot grijs gebied, en dan houdt het op zeker moment op voor de IT-er die moet inschatten of de inzage mag of niet. De mening van de directie/bedrijfsjurist is dan doorslaggevend.

04-10-2012, 09:18 door M_iky

Indien men een werknemer individueel wil loggen, is men dan niet verplicht om deze ook eerst schriftelijk daarvan op den hoogte te brengen?

04-10-2012, 09:48 door Arnoud Engelfriet

@M@ikey: Nee, je hoeft niet vooraf te zeggen "beste Piet we gaan je loggen". Het is genoeg als in de reglementen staat wanneer iemand gelogd kan worden.

@Anoniem 19:48: Hoe kun jij je dagelijks werk niet doen zonder zulke logs? Wat gaat er mis als je niet elke dag kunt zien wie hoe laat in- of uitlogde?

04-10-2012, 14:09 door Anoniem

Wat als in het internet-, email bedrijfsregelement alleen iets staat van zo'n pakweg 4 á 5 regels en in zeer algemene bewoordingen, dat het voor kan komen dat het gebruik van internet en email gemonitored zou kunnen worden met als voorbeeld in het regelement om de belasting van het bedrijfsnetwerk te monitoren.
Van welke wettelijke regels moet je dan als werknemer uitgaan en wat zijn dan je rechten als zelfs die regelementen
zo vaag zijn opgesteld en mogelijke (privé) activiteiten van werknemers niet bij toenaam genoemd wordt ?

04-10-2012, 15:25 door Arnoud Engelfriet

Zo'n generieke zin biedt geen bevoegdheid om mensen te monitoren en ze aan te spreken op wangedrag. De privacywet eist een specifieke en duidelijk omschreven optie. Je kunt niet zeggen "we monitoren voor security" en dan zeggen "beste Pietje je hebt te veel privé gefacebooked, dat vinden we een securityrisico".

04-10-2012, 17:00 door Anoniem

"Wat als in het internet-, email bedrijfsregelement alleen iets staat van zo'n pakweg 4 á 5 regels en in zeer algemene bewoordingen, dat het voor kan komen dat het gebruik van internet en email gemonitored zou kunnen worden met als voorbeeld in het regelement om de belasting van het bedrijfsnetwerk te monitoren.""

De doelstelling hier is de belasting van het netwerk te monitoren, en daarvoor mag de informatie dus gebruikt worden.

"Van welke wettelijke regels moet je dan als werknemer uitgaan en wat zijn dan je rechten als zelfs die regelementen
zo vaag zijn opgesteld en mogelijke (privé) activiteiten van werknemers niet bij toenaam genoemd wordt ?"

In jouw voorbeeld is het juist helemaal niet vaag; er wordt expliciet aangegeven wat de doelstelling is. Monitoren van prive activiteit van de gebruiker valt daar buiten. Jij lijkt ervanuit te gaan dat men alles mag doen wat men -niet- benoemt ?

04-10-2012, 21:12 door Anoniem

" Van welke wettelijke regels moet je dan als werknemer uitgaan en wat zijn dan je rechten als zelfs die regelementen
zo vaag zijn opgesteld en mogelijke (privé) activiteiten van werknemers niet bij toenaam genoemd wordt ?

" In jouw voorbeeld is het juist helemaal niet vaag; er wordt expliciet aangegeven wat de doelstelling is. Monitoren van prive activiteit van de gebruiker valt daar buiten. Jij lijkt er vanuit te gaan dat men alles mag doen wat men -niet-
benoemt ? "

Het is juist heel vaag omdat er nu niet beschreven wordt wat nu precies de doelstelling is, alleen in heel algemene bewoordingen d.w.z. "het gebruik van internet en email gemonitored zou kunnen worden met als voorbeeld in het regelement om de belasting van het bedrijfsnetwerk te monitoren". Arnoud Engelfried heeft ooit in een eerdere post geschreven dat je een beperkte mate van privacy hebt om privé te internetten en te emailen bij je werkgever.

Uit dit voorbeeld leid ik dit niet uit af wat nu wel geoorloofd is en wat niet. Men zou dus als bedrijf en systeembeheer afdeling van alles onder deze vlag kunnen hangen en "preventief" kunnen gaan monitoren met als reden belasting meten van het bedrijfsnetwerk, hier kan ook privé internetten onder vallen.
In dat geval wordt er heel algemeen en globaal gekeken en niet per individu een log bijgehouden. Dat laatste grijpt heel diep in, in de privacy van een individuele werknemer en dan wordt het een andere heel zaak. Dat mag alleen als degene verdacht wordt van b.v. diefstal van bedrijfsgeheimen o.i.d. een of van ander ernstig feit.
Het moet wel, zoals Arnoud Engelfried al aangaf, in een bedrijfsregelement beschreven staan in welke gevallen het bedrijf bepaalde bevoegdheden heeft om dergelijke maatregelen toe te passen en daar doelde ik in dit voorbeeld op.
Van dat laatste is dit niet altijd het geval dat dit in zo'n bedrijfsregelement staat in welke gevallen men meer per individu kan
gaan monitoren en welke activiteiten die volgens het bedrijf niet toegestaan zijn. Dit behoeft niet altijd "criminele" handelingen
te betreffen. Het gebruik van sociale media zoals Twitter, Facebook zou bijvoorbeeld daar onder kunnen vallen, terwijl email en beperkt internet gebruik wel weer toegestaan zou kunnen worden. En juist om die reden moet dit specifiek benoemt worden in zo'n bedrijfsregelement.

05-10-2012, 12:05 door Anoniem

ja, dat moet ie. het netwerk is van het bedrijf. internet aansluiting ook. het is wel netjes om alle medewerkers te melden dat prive gedrag, wanneer toegelaten, gevolgd kan worden. graag ook VAN TEVOREN ZEGGEN.

het is zelfs zo dat een organisatie gemakkelijk kan stellen geen prive surf gedrag toe te laten. ook niet tijdens lunch of na werkuren en dat alles wat prive plaatsvind voor eigen risico komt. te omzeilen via bv vpn (mits toegelaten, anders over poort 443, mits toegelaten). dat omzeilen kan dus wel goed illegaal zijn.

of je akkoord gaat en daar wil blijven werken? dat is jou zaak.

bv een bedrijfslaptop waar de systeem beheerder je toestaat je eigen dongle in te stoppen kan de systeembeheerder dit weer niet. ze staan je toe je eigen dongle erin te stoppen en dus is internetverkeer via die dongle ook van jou. tenzij ze uitdrukkelijk verbieden tijdens werktijd prive acties te doen.

zo moet je zeg maar een beetje denken.

met terugwerkende kracht is grijs gebied en ligt aan de situatie. meestal mag dat niet zomaar.

dat in de wet (misschien, volgens mij niet hoor) wat anders staat - die hele wet klopt wat mij betreft niet meer, raakt kant nog wal tegenwoordig en al helemaal haar interpretatie. de voeling met de realiteit is dermate weg dat ze zouden @#$@#$# bestraft moeten worden voor dit alom incompetente arrogante patser gedrag, van publiek geld nota bene. zorg maar eens voor wat jurisprudentie, zou de situatie goed doen.

09-10-2012, 13:30 door Patio

Anoniem schreef Vrijdag 12:05: die hele wet klopt wat mij betreft niet

Dat kun je wel vinden, maar het zal je weinig helpen bij een rechtszaak. Ik weet niet meer van wie, maar er is een mooi citaat dat vrij vertaald als volgt luidt:

De wet is hard, maar het is de wet

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer