ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Onlangs is onze systeembeheerder ontslag aangezegd vanwege allerlei negatieve zaken die ik liever niet toelicht. Zijn opvolger meldde ons vanochtend dat alle belangrijke bestanden zijn versleuteld, inclusief de back-ups. De ex-beheerder zelf zit thuis en weigert ieder contact. Wat kunnen wij het beste doen?
Antwoord: Helaas komt het wel vaker voor dat een ontslagen medewerker op zijn laatste werkdag de nodige schade aan kan richten. Maar waar dat meestal blijft bij een vernielde kantoorruimte of bekraste auto’s, kan een systeembeheerder digitaal behoorlijk wat meer schade aanrichten.
Deze beheerder lijkt geïnspireerd door de Californische collega uit 2008 die alle routers van de gemeente San Francisco saboteerde door de toegang te blokkeren met een alleen aan hem bekend wachtwoord. Die werd in 2010 tot 4 jaar cel veroordeeld wegens ‘hacken’, als ik het goed lees een Californische wet tegen denial-of-service aanvallen.
Bij ons zou zoiets ook denkbaar zijn, hoewel ik het hier eerder zou gooien op het misdrijf vernielen van gegevens (art. 350a Sr), waar ook het "ontoegankelijk maken" van die gegevens onder valt. Aangifte doen dus, zou ik zeggen. Natuurlijk kun je als werkgever ook zelf een procedure opstarten bij de rechter: het plegen van misdrijven tegen je werkgever is ook onrechtmatig, en je kunt de rechter dan vragen op straffe van een dwangsom de verplichting op te leggen een en ander te ontsleutelen.
Voorkomen is beter dan voor laten komen (zogezegd), maar het is helaas erg ingewikkeld om te zorgen dat zoiets niet kan gebeuren. Een systeembeheerder zit in een unieke positie: hij of zij kán overal bij en kán alles installeren en doen dat hem goeddunkt. Zeker bij een wat kleiner bedrijf zijn de controlemogelijkheden nihil, je moet zo iemand dus vertrouwen in die functie. Bij een groter bedrijf kun je met meerdere toezichthouders werken, maar zelfs dan zijn er trucs te over. Uiteindelijk komt het denk dan neer op hetzelfde als diefstal door je personeel: je moet erop vertrouwen dat het niet gebeurt.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.