image

Juridische vraag: mag ik voor training op e-mail van collega's inbreken?

woensdag 20 augustus 2014, 13:19 door Arnoud Engelfriet, 9 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Mijn werkgever wil een security awareness event organiseren. Hiervoor ben ik gevraagd om bij diverse mensen in te breken op de werkcomputer en/of e-mail, gebruikmakend van simpele beveiligingsfouten of social engineering. Zo wil men concreet laten zien wat er mis kan gaan. Mijn manager zegt dat hij alle verantwoordelijkheid draagt en ik nergens voor aan te spreken ben. Maar is dat ook zo? Als hij zegt dat ik iemand moet doodschieten dan blijf ik toch gewoon aansprakelijk?

Antwoord: In principe ben je als werknemer niet aansprakelijk wanneer je een werkinstructie opvolgt. De werkgever bepaalt hoe het werk moet worden uitgevoerd, en als werknemer heb je het op die manier te doen.

Natuurlijk zijn hier grenzen aan, en de privacy van je collega's is zo'n grens. Ook op het werk heb je privacy, ook wanneer het gaat om de werkmailbox of werkcomputer. Deze mogen niet zomaar worden doorzocht. Daar moet een goede reden voor zijn, zoals een concreet vermoeden van misbruik van de faciliteiten of overtreding van de regels.

Het verhogen van het securitybewustzijn binnen de organisatie is op zich een best goede reden maar de vraag is dan meteen hoe ver je moet gaan om die awwareness-sessie goed te kunnen geven.

Je zou bijvoorbeeld best via social engineering kunnen kijken of Jan van de postkamer zijn wachtwoord afgeeft, en dan melden hoe veel wachtwoorden je zo kon krijgen. Daarna ook in Jans mailbox kijken als 'bewijs' en dat op het grote scherm projecteren gaat me te ver. Dat komt wel heel dicht in de buurt bij Jan voor gek zetten.

Je zou het gesprek op kunnen nemen en achteraf Jan kunnen vragen of hij mee wil werken aan een film. Zegt hij ja (en hij moet vrijelijk nee kunnen zeggen) dan mag je de opname gebruiken. Zegt hij nee, dan gaat de opname onherroepelijk de bittenbak in. Een acteur inschakelen kan ook, maar komt minder echt over dan een collega.

En wat dat aansprakelijk betreft: de werknemer is aansprakelijk als sprake is van opzet of bewuste roekeloosheid. Je moet je bewust zijn van het gevaar, van de schade die op kan treden. Bij een opdracht iemand te doden zal dat bewustzijn er wel zijn. Bij een hackopdracht is dat discutabel hoewel je er al snel aan zult zitten wanneer duidelijk is dat er geen dringende werkgerelateerde reden is om dit te doen.

Ik zou dus eisen dat vooraf duidelijk is hoe je de privacy van de collega's gaat beschermen, en hoe mensen worden ingelicht voordat ze op de beamer ten overstaan van het hele kantoor getoond worden als securityfaalhazen.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (9)
20-08-2014, 13:46 door mcb - Bijgewerkt: 20-08-2014, 13:53
Mijn werkgever wil een security awareness event organiseren. Hiervoor ben ik gevraagd om bij diverse mensen in te breken op de werkcomputer en/of e-mail, gebruikmakend van simpele beveiligingsfouten of social engineering.....
Dit is helemaal niet slim!
Ten eerste zoals Arnoud aangaf, kan dit juridisch gecompliceerd zijn.

Belangrijker is of het etisch wel verantwoord is.
Het zijn wel je direkte collega's die onderzocht worden.
Die zullen je snel als matennaaier beschouwen omdat je spioneert voor de baas.
Hoe goed je en je baas het ook bedoelen, het op deze manier auditen kan niet goed zijn voor de sfeer op de afdeling.

Audits moeten gedaan worden door mensen die enigszins verweg staan van de te onderzoeken afdeling.
Dus een apart audit team of een externe auditer (denk ook even aan een geheimhoudingsverklaring).

Ik zou dus eisen dat vooraf duidelijk is hoe je de privacy van de collega's gaat beschermen, en hoe mensen worden ingelicht voordat ze op de beamer ten overstaan van het hele kantoor getoond worden als securityfaalhazen.
Ik denk dat je beter helemaal geen namen of persoonsverwijzingen moet gebruiken.
Zowel niet in je raportage naar je baas als in de presentatie.
Hoe je het ook bekijkt, mensen worden te kijk gezet. Ook als ze zeggen mee te willen werken en er geen bezwaar tegen te hebben.
Je kan beter bewoording gebruiken als: we hebben 200 phishing-mails verstuurd; 73 mensen openden de link en kwamen op de phishingsite; 15 vulden daar gegevens in.
20-08-2014, 16:21 door Anoniem
Misschien zijn gedeelde mailboxes een veiligere optie. Daar zouden in principe geen prive-zaken van werknemer in behoren te staan,
20-08-2014, 16:38 door User2048
Wij hebben het gedaan zoals mcb beschrijft: een extern bureau inschakelen en een goede NDA laten tekenen. Vervolgens een protocol opgesteld. Het bureau zette een phishing campagne op en rapporteerde alleen de uitkomsten in cijfers. De opdrachtgever (het bedrijf) kreeg op geen enkele manier inzicht in wie er op de link geklikt had en zijn gegevens had gelekt.

De resultaten werden gepresenteerd aan het personeel. Aan de kleur van de gezichten kon je trouwens wel zien wie de slachtoffers waren...
21-08-2014, 00:11 door WhizzMan
Door User2048: Wij hebben het gedaan zoals mcb beschrijft: een extern bureau inschakelen en een goede NDA laten tekenen. Vervolgens een protocol opgesteld. Het bureau zette een phishing campagne op en rapporteerde alleen de uitkomsten in cijfers. De opdrachtgever (het bedrijf) kreeg op geen enkele manier inzicht in wie er op de link geklikt had en zijn gegevens had gelekt.

De resultaten werden gepresenteerd aan het personeel. Aan de kleur van de gezichten kon je trouwens wel zien wie de slachtoffers waren...

Kijk, dit is een bedrijf wat er goed over nadenkt. Proportionaliteit van het hacken van een collega is totaal weg. Na de hack heeft de collega immers in de "prive"bestanden van iemand gekeken en dat blijft zo. Je moet dagelijks met deze persoon samenwerken. Als een extern bedrijf zoiets doet heeft deze je privacy te respecteren en heb je er verder geen enkele (werk)relatie mee. Juist daarom laat je dit niet door een interne werknemer doen, maar huur je het extern in. Niet alleen kan je hierdoor privacy en werkrelaties beter beschermen, maar is het risico als het fout gaat ook veel beter in geld uit te drukken en heb je niet gelijk een HR-probleem.

Je zou aan moeten geven dat je dit niet kan en mag doen omdat je de wet overtreed en de privacy van je collega's schend. Een werkgever mag alleen zulke acties uitvoeren als er een concrete verdenking is dat iemand zich niet aan wetten of (bedrijfs)regels houdt en moet de OR hier van op de hoogte stellen. Indien het om een externe test gaat zullen privacygevoelige gevens altijd buiten de rapportage horen te blijven en worden zal de privacy van individuele werknemers bewaard horen te blijven. Los daarvan zal er nog steeds in het bedrijfsreglement moeten staan dat er (voor dit soort doeleinden) mogelijk in de werkcomputer, bestanden en e-mail wordt gekeken, anders mag het niet eens.
21-08-2014, 11:06 door Anoniem
Door WhizzMan:
Door User2048: Wij hebben het gedaan zoals mcb beschrijft: een extern bureau inschakelen en een goede NDA laten tekenen. Vervolgens een protocol opgesteld. Het bureau zette een phishing campagne op en rapporteerde alleen de uitkomsten in cijfers. De opdrachtgever (het bedrijf) kreeg op geen enkele manier inzicht in wie er op de link geklikt had en zijn gegevens had gelekt.

De resultaten werden gepresenteerd aan het personeel. Aan de kleur van de gezichten kon je trouwens wel zien wie de slachtoffers waren...

Kijk, dit is een bedrijf wat er goed over nadenkt. Proportionaliteit van het hacken van een collega is totaal weg. Na de hack heeft de collega immers in de "prive"bestanden van iemand gekeken en dat blijft zo. Je moet dagelijks met deze persoon samenwerken. Als een extern bedrijf zoiets doet heeft deze je privacy te respecteren en heb je er verder geen enkele (werk)relatie mee. Juist daarom laat je dit niet door een interne werknemer doen, maar huur je het extern in. Niet alleen kan je hierdoor privacy en werkrelaties beter beschermen, maar is het risico als het fout gaat ook veel beter in geld uit te drukken en heb je niet gelijk een HR-probleem.

Je zou aan moeten geven dat je dit niet kan en mag doen omdat je de wet overtreed en de privacy van je collega's schend. Een werkgever mag alleen zulke acties uitvoeren als er een concrete verdenking is dat iemand zich niet aan wetten of (bedrijfs)regels houdt en moet de OR hier van op de hoogte stellen. Indien het om een externe test gaat zullen privacygevoelige gevens altijd buiten de rapportage horen te blijven en worden zal de privacy van individuele werknemers bewaard horen te blijven. Los daarvan zal er nog steeds in het bedrijfsreglement moeten staan dat er (voor dit soort doeleinden) mogelijk in de werkcomputer, bestanden en e-mail wordt gekeken, anders mag het niet eens.

Wat doe je als er concrete verdenkingen zijn dat 1 of meerdere OR-leden zich niet aan wetten of (bedrijfs)regels houden?
21-08-2014, 14:25 door Te4sheeh
Door Anoniem:
Wat doe je als er concrete verdenkingen zijn dat 1 of meerdere OR-leden zich niet aan wetten of (bedrijfs)regels houden?
De OR komt alleen maar in het vizier als je een grote groep medewerkers gaat bekijken, dus in jou geval is dat niet van toepassing. Over het algemeen is het voldoende om de voorzitter of een andere lid in te lichten. En als je hele OR verdacht is, misschien moet je dan maar de politie inschakelen...
21-08-2014, 14:46 door Anoniem
Door Eric-Jan H te A.

Tja moeilijke vraag. Wil je door je baas gehaat worden of door je collegae.

- Je zou je baas,- gezien de gevoeligheid -, om een geschreven werkorder
kunnen vragen. Je kunt daarbij terloops op het geval van de Mediamarkt
wijzen, waarbij medewerkers ongevraagd gefilmd werden. Een zaak die
de medewerkers wonnen.
- Als je baas je dan desondanks de order geeft, kun je met die in de hand
eventueel naar een vertrouwenscommissie stappen. Als je die tenminste
hebt binnen jullie bedrijf.
- Afhankelijk van de bedrijfsvorm zou dit er toe kunnen leiden dat de
manager op "non actief" wordt gesteld en vervolgens ontslagen vanwege
het feit dat hij jou heeft aangezet tot het plegen van een misdrijf.
21-08-2014, 15:58 door Anoniem
Ik zou de mailbox van de baas op de beamer zetten.
21-08-2014, 16:04 door Anoniem
Door Anoniem: Misschien zijn gedeelde mailboxes een veiligere optie. Daar zouden in principe geen prive-zaken van werknemer in behoren te staan,

Waar stuurt de HR afdeling mail over beoordelingen naartoe? In welke mailbox wordt de discussie met de bedrijfsarts opgeslagen?

Ik zie een gedeelde mailbox dus duidelijk niet als veilige optie. En vergeet eens dat prive =/= zakelijk. Ook zakelijke mail kan zeer prive zijn.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.