image

Juridische vraag: mag ik mijn werkgever op LinkedIn noemen?

vrijdag 15 augustus 2014, 10:57 door Arnoud Engelfriet, 15 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl. Deze week op Security.NL een speciale editie van de Juridische vraag, waarin elke werkdag één vraag kort wordt beantwoord. Vandaag de derde vraag van deze special. De eerdere vragen zijn via de Achtergrondsectie te bekijken.

Vraag: Mijn werkgever verbiedt ons te zeggen op LinkedIn dat we daar werken "vanwege de veiligheid". Kunnen ze dat zo opleggen?

Antwoord: In principe niet. Ik kan me nauwelijks voorstellen hoe het een veiligheidsrisico is om te zeggen waar je werkt. Het zou wel een heel bijzonder bedrijf moeten zijn waar het enkele wéten dat iemand er werkt, al een risico is. Maar als dat risico concreet te onderbouwen is, dan zou het kunnen.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
15-08-2014, 11:10 door Anoniem
Ach, als je bij de AIVD aan de slag bent bijvoorbeeld:

"Wij wijzen er met nadruk op, dat het niet verstandig is om met anderen te spreken over uw sollicitatie bij de AIVD. Het kan de sollicitatieprocedure en uw eventuele loopbaan bij de AIVD schaden. Bovendien kan het uw veiligheid in gevaar brengen!"

en dit is alleen al voor het solliciteren bij, aldus hun website.
15-08-2014, 11:54 door Anoniem
Door Anoniem: Ach, als je bij de AIVD aan de slag bent bijvoorbeeld:

"Wij wijzen er met nadruk op, dat het niet verstandig is om met anderen te spreken over uw sollicitatie bij de AIVD. Het kan de sollicitatieprocedure en uw eventuele loopbaan bij de AIVD schaden. Bovendien kan het uw veiligheid in gevaar brengen!"

en dit is alleen al voor het solliciteren bij, aldus hun website.

Dat heeft een andere reden. Als je aangeeft dat je bij de AIVD solliciteert, weten vrienden en familie dat ook hun doopceel doorgelicht wordt. Dat zouden ze misschien niet zo leuk kunnen vinden. Of ze gaan dingen verbergen die de AIVD graag wil weten.

Peter
15-08-2014, 12:01 door Duck-man
Een werkgever kan altijd vragen of je niet het huidige bedrijf er bij zet. Ik heb ook een tijd lang mijn functie heel vaag op mijn linkedin gehad. Reden was dat we naar buiten nog niet wilde vertellen wat we aan het doen zijn. Inmiddels is het een Europees project dus kan ik het er wel bij zetten.

PS ik kijk ook bij onze concullega's hoeveel mensen en wie ze op bepaalde onderwerpen zetten. Als een bepaalt bedrijf in eens een blik mensen ergens opzetten dan zijn ze dus met wat nieuws bezig. Zelfde geld voor patenten die moet je ook snel aanvragen maar niet te snel want dan weten je concurrenten ook waar je aan werkt.
15-08-2014, 12:53 door Anoniem
Er zit wel een kern van redelijkheid in, namelijk dat als je linkedin afstruint je een aardig beeld kan krijgen van wie er allemaal bij $bedrijf werkt en wat ze daar zoal doen. En dat is dus een informatielek, ook al is het niet echt gepriviligeerde informatie. Uiteindelijk is wat een bedrijf presteert nou ook weer niet echt geheim ofzo. Je kan ook de patenten opvragen en daarmee een aardig beeld vormen van hoe ze denken.

Maar van een "start-up in stealth-mode" kan ik me wel voorstellen dat ze liever nog(!) niet hebben dat je het rondbazuint, of het moet een geheime dienst zijn maar ook alleen maar zolang je er werkt, of ze geven je maar een alternatieve naam om op te schrijven. Persoonlijk hoeft de wereld nou niet per se te weten waar ik allemaal gewerkt heb dus sta ik niet op linkedin, maar er zijn vast genoeg mensen wier identiteit daaruit opgebouwd is en die dat dus wel heel belangrijk vinden.

Niet dat het voor mij zou spelen. Zowel AIVD als MIVD wilden me helemaal niet hebben. Ze schrijven daar rare afwijzingsbriefjes trouwens. Zo van, "Naar aanleiding van uw solicitatie wensen wij u veel geluk met verdere solicitaties." Pardon? Mist daar niet iets? Maargoed, ondertussen ben ik zo teleurgesteld in de hele overheid (en niet vanwege die paar afwijzingen; ik heb nu wel door dat ik het daar nooit lang zou hebben uitgehouden) dat ik daar helemaal niet meer zou willen werken. Ze zijn in den haag gewoon teveel bezig met zichzelf en te weinig met het (eigen) volk te dienen om nog serieus genomen te worden. Hef maar op en begin opnieuw en dan praten we wel verder.
15-08-2014, 13:26 door Anoniem
In aanvulling op het antwoord zou ik eigenlijk nog twee aanvullende vragen hebben:

1. Mijn werkgever, waar ik gedetacheerd zit, vraagt me om deze naam niet te noemen. Veranderd dit het antwoord?

2. Mijn werkgever vraagt met de functie of inhoud van het werk niet te benoemen. Om social engineering te voorkomen. Hoe zou het antwoord dan luiden?
15-08-2014, 13:46 door Anoniem
Het kan natuurlijk in het arbeidscontract zijn vastgelegd. En daarnaast zou je de "goede"
arbeidsrelatie kunnen verstoren. En je weet natuurlijk waar dat toe kan leiden.
15-08-2014, 16:44 door Briolet - Bijgewerkt: 16-08-2014, 08:53
Ik kan me nauwelijks voorstellen hoe het een veiligheidsrisico is om te zeggen waar je werkt.

Ik kan me wel enkele risico's voorstellen.

- Als je bij een geldinstituut werkt, zit je in bedrijfstak die criminelen aantrekt. Men zou via jou kunnen proberen toegang tot het gebouw te krijgen. Dat is dan een risico voor de werknemer (gijzeling) en de werkgever (binnendringen van vreemden)

- Als je bij een firma werkt die gevoelige data beheerd, kan men proberen om via (digitale) inbraak bij de werknemer, toegangscodes voor het bedrijf te bemachtigen. De beveiliging van een privé persoon is doorgaans lang niet zo goed als bij het bedrijf zelf. En in de praktijk blijkt vaak genoeg dat werknemers bedrijfsinformatie thuis hebben opgeslagen. (Zie het TV programma KRO reporter van dec 2012, waar een werknemer echte wachtwoorden op zijn thuis-nas had staan om software te testen.) Of dat de inlog op de bedrijfscomputer, tegen de regels in, ge-automatiseerd is omdat het bedrijf thuis, de naleving van de regels toch niets kan controleren.
15-08-2014, 19:08 door Anoniem
Als je met gevoelige (privacy of financieel) omgaat ben je kwetsbaar voor misbruik.
Het beste zou zijn als duidelijk is dat; dat soort werk bewaakt wordt door anderen die zelf geen toegang tot de gegevens hebben.
Dat is een deel van de vaak genoemde gewenste functiescheiding. Dat is niet altijd op orde (voorzichtig gesteld).
Het is soms vreemd gesteld in bedrijven rond een security inrichting. Het is vaak verplicht (aanwijzingen) om gebruik/misbruik van gegevens te kunnen volgen, daarbij komt meteen een uitspraak dat het niet goed zou zijn dat je kan zien wie ergens aan werkt.
Bij accordering van iets met grote impact zou dat altijd van nog iets moeten afhangen dan eenvoudigweg één persoon.

Deze vraag speelt ook bij BYOD (bring your own device) en het nieuwe werken.
De fysieke controle van de klassieke kantoortuin vallen weg.
Ik hoor altijd dat de gegevens het belangrijkst zijn. Reacties gaan alleen over wat tools en wat toegangsdogma-s.

Met bepaalde functies kun je de bekendheid gewoon niet verbergen. De managers/bestuurders van bedrijven zijn gewoon verplicht heel zichtbaar.
Dat niemand mag weten wie de CEO of CIO bij een beursgenoteerd bedrijf is, is een rare insteek. Juridisch niet vol te houden.
Jammer genoeg spelen de zaken met de grootste impact, ook de foute zaken, zich hier af.

Een bank financiële instelling binnenlopen als klant wil je juist er op kunnen vertrouwen dat de persoon bij het bedrijf hoort.
Openbaarheid van personen/werk mag dan geen bezwaar zijn eerder gewenst.
Er zijn natuurlijk altijd gevallen data discretie van belang is.
15-08-2014, 21:27 door Anoniem
indien dit, indien zus, dit zo , mogelijk.
Wees concreet, dit antwoord zegt mij serieus niets!
15-08-2014, 22:07 door Anoniem
Het eerste wat wij leren tijdens de gemiddelde ethical hacking training was het opzoeken van je doelwit systemen door het bekijken van waar mensen op LinkedIn / Facebook / etc mee werken. Vacature sites zijn ook een welwillend doelwit.

Ik weet niet of het kan worden verboden; ik kan mij wel voorstellen dat op sommige posities (security officers, security engineers etc) het minder wordt geaccepteerd dat je 'even' verteld dat je bij Bank XXXXX werkt met software YYYY wat draait op webserver ZZZZZ.

Ik geef toe dat het best op andere manieren te achterhalen is, maar nogmaals LinkedIn/Facebook zijn geliefde doelwitten.
16-08-2014, 00:23 door Anoniem
Door Anoniem: indien dit, indien zus, dit zo , mogelijk.
Wees concreet, dit antwoord zegt mij serieus niets!

- Ja je werkgever kan dat van je eisen. Of dat legaal of niet legaal is doet er niet toe.
- Nee, je hoeft je daar natuurlijk niet aan te houden. Of dat legaal of niet legaal is doet er niet toe.
- De consequenties zijn voor jou. Of je dat nu wel leuk of niet leuk vindt; Mij doet het er niet toe.
17-08-2014, 01:23 door D0rus
Vrijwel alle argumenten waarom je zoiets niet mag vermelden komen neer op "security through obscurity", een beveiligingstechniek de zelden succesvol is tegen reële risico's. Sterker nog, het leid vaak af van de echte problemen, waardoor je netto minder veilig bent (omdat niemand weet hoe het systeem beveiligt is, worden fouten ook niet opgemerkt). Je kunt beter je servers updaten, dan geheim houden dat je met verouderde versie XXX werkt, waardoor je werknemers met ervaring met systeem XXX nergens mogen vermelden dat ze werken bij jou bedrijf, omdat iemand dan de link kan leggen tussen hun kennis over XXX en jou bedrijf.
17-08-2014, 11:57 door Anoniem
Door D0rus: Vrijwel alle argumenten waarom je zoiets niet mag vermelden komen neer op "security through obscurity", een beveiligingstechniek de zelden succesvol is tegen reële risico's. Sterker nog, het leid vaak af van de echte problemen, waardoor je netto minder veilig bent (omdat niemand weet hoe het systeem beveiligt is, worden fouten ook niet opgemerkt). Je kunt beter je servers updaten, dan geheim houden dat je met verouderde versie XXX werkt, waardoor je werknemers met ervaring met systeem XXX nergens mogen vermelden dat ze werken bij jou bedrijf, omdat iemand dan de link kan leggen tussen hun kennis over XXX en jou bedrijf.

Je hebt een misverstand over security through obscurity.
Het is ongeschikt als _enige_ beveiliging, maar dat wil niet zeggen dat je er goed (of : geen kwaad) aan doet om alles in detail te publiceren.

targeted attacks (inclusief social engineering) beginnen met het vinden van de targets en hun relaties, en kant en klare relatie netwerk documentatie zoals LinkedIn die levert is daar erg nuttig voor.
17-08-2014, 16:07 door D0rus
Alsof dat de enige bron van social engineering is. Hoeveel aanvallers zullen hun targeted attack opgeven omdat ze geen details op LinkedIn kunnen vinden? Tijd terug was er een hoop ophef over inbrekers die op facebook achterhalen wie er op vakantie is, uiteindelijk bleek uit cijfers dat dat vrijwel niet voorkwam, en de gemiddelde inbreker het gewoon bij het ouderwetse huisje observeren hield.

Vage bedreigingen klinken leuk als argument om van alles te verbieden, maar je kunt veel beter concrete maatregelen nemen. Bijv trainingen tegen social engineering, maar er zijn ook dingen die wel nuttig zijn om te verbieden, zoals het delen van interne stukken op publieke sites, maar dat is dan weer iets dat a) minder oplevert voor de werknemers dan een LinkedIn profiel en b) het risico voor het bedrijf nog wel eens veel groter kan zijn, doordat bedrijfsgeheimen kunnen lekken.
17-08-2014, 17:47 door Anoniem
Door D0rus: Alsof dat de enige bron van social engineering is. Hoeveel aanvallers zullen hun targeted attack opgeven omdat ze geen details op LinkedIn kunnen vinden? Tijd terug was er een hoop ophef over inbrekers die op facebook achterhalen wie er op vakantie is, uiteindelijk bleek uit cijfers dat dat vrijwel niet voorkwam, en de gemiddelde inbreker het gewoon bij het ouderwetse huisje observeren hield.

Vage bedreigingen klinken leuk als argument om van alles te verbieden, maar je kunt veel beter concrete maatregelen nemen. Bijv trainingen tegen social engineering, maar er zijn ook dingen die wel nuttig zijn om te verbieden, zoals het delen van interne stukken op publieke sites, maar dat is dan weer iets dat a) minder oplevert voor de werknemers dan een LinkedIn profiel en b) het risico voor het bedrijf nog wel eens veel groter kan zijn, doordat bedrijfsgeheimen kunnen lekken.

De _gemiddelde_ inbreker doet het old skool.
De targeted attacker gebruikt (duh) alles wat te vinden is over, en rondom , een target.

En wat leer je op trainingen tegen social engineering ? Niet over alles tegen iedereen lullen .
En dan moet het nog steeds OK zijn om je hele hebben en houden publiek te zetten ?

Social engineering herkennen is gewoon al moeilijk, en nog veel moeilijker als de 'aanvaller' aannemelijk overkomt. Als je een hele kring van een bedrijf kent kun je dat veel beter doen wanneer je 'blind' bezig bent.
"Ik kom voor Jan op de derde" , 'Oh, niet aanwezig , misschien buromaatje Piet wel binnen ?"
En zo niet de target zelf, een support partij is ook prima.

Maar zit je op een enigszins gevoelige functie in een bedrijf of sector wat een doelwit kan zijn, tsja, dan zou je eigenlijk niet moeten hoeven uitleggen dat je sommige dingen niet weg moet geven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.