Zelf ergens gewerkt waar ze monitoring software gebruikte. Nadat ik de camera had afgeplakt, kon ik niet meer inloggen.

Toen ik aan de beheerder vroeg waarom ik niet meer kon inloggen, keek hij mij als een domme schaap aan.

Git-commits afgaan of er voldoende gewerkt wordt. SSH thuiswerk.

Waarom monitoring. Motie van wantrouwen?

Het hangt er vanaf wat er precies gemonitord wordt. Wanneer de werknemer met vertrouwelijke gegevens werkt (persoonsgegevens of bedrijfsgeheimen) wil je loggen welke gegevens hij/zij opvraagt en (steekproefsgewijs) nagaan of dat redelijkerwijs bij zijn uitgevoerde werk past. Controleren of er een recente virusscanner op zijn thuiswerkpc draait.

Maar wanneer je toetsaanslagen gaat tellen en bijhouden hoe lang de werknemer "even weg" is om een kop koffie te pakken of juist naar de WC te brengen, dan ben je als baas verkeerd bezig, je kunt veel beter op output sturen dan op x uur achter het toetsenbord zitten.

Precies dit.
Je wilt datalekken voorkomen, een criminele medewerker kunnen stoppen, maar dat mag niet ten koste gaan van het standaard goede vertrouwen dat er moet zijn. Als dat er niet is heb je de verkeerde medewerkers (door je eigen schuld), of ben jij de verkeerde baas (je vertrouwd mensen niet genoeg).

Als het niet kon pre-corona, kan het nu ook niet. Als je het toen eigenlijk al had moeten doen (bv. geen audit-logging etc) en nu aan het inhalen bent, prima.

Zo goed als iedere werknemer werkt met persoonsgegevens. De telefoonnummers en emailadressen van je collega's zijn persoonsgegevens. De adressen van je klanten zijn persoonsgegevens.

Hadden ze de ziekenhuis medewerkers en wat er bij de GGD rond liep maar wat beter gemonitoord.
Dan hadden er niet telkens miljoenen gegevens van mensen op straat gelegen of door verkocht.
Blijkbaar moeten sommige mensen wel gecontroleerd worden omdat ze niet met vertrouwelijke gegevens kunnen omgaan.
Hetzij uit nieuwsgierigheid of om te misbruiken in hun criminele aktiviteiten.
Voor hoeveel thuis mederwerkers van de GGD was het hierdoor blijkbaar aantrekkelijk om complete data bestanden te koop aan te bieden.
Regelmatig lezen we hier over mederwerkers die het niet voor mekaar kregen om daar van af te blijven.
Blijkbaar is het nodig voor sommige mensen om ze in de gaten te houden, dat blijkt telkens wel weer.
Het was niet nodig geweest wanneer je mensen volledig zou kunnen vertrouwen met vertrouwelijke gegevens.
Jammer, het is niet anders helaas.

Per ongeluk 2x oop reageren geklikt, 1x maar verwijderd.

Iedereen zal een ander idee hebben met wat onder 'strikte voorwaarden valt'.
Daarnaast zal het soort werk ook erg kunnen verschillen met wat voor soort monitoring misschien wenselijk zou zijn.

Naast de standaard logging voor system met persoonsgegevens (wie raadplgeet of wijzigt wat), is apart geregeld dat een individueel persoon alleen gemonitord mag worden bij zware verdenking, en dan alleen op verzoek van zijn/haar leidinggevende, en dit wordt meteen aan de betreffende medewerker medegedeeld.
De leidinggevende behoort dan al een aardig dossier opgebouwd te hebben met verdenkingen of bewijzen.

Dus concludeer je nu dat omdat een zeer kleine groep mensen zich niet in kan houden, de hele maatschappij maar gemonitord moet worden? Dat is verkeerde redenatie.

Als bedrijven hun logging voor elkaar hebben, dan kunnen zij precies zien wat er gebeurd met de data. Dan hoef je op de laptop niets te doen. Dus had de GGD logging op de export functionaltieit, en hadden ze de print functionaliteit gewoon uit gezet, was er misschien geen datalek geweest. Ook hier is dus het bedrijf het probleem. Niet de werknemers...
Hoeveel mensen kunnen zich inhouden als er een zak snoep voor hun neus ligt?

Bij de RDW hebben ze het wel voor elkaar, en toen daar met koningsdag in Apeldoorn dus een aanslag met auto was, werden die mensen die bij de RDW het kenteken opvroegen op het matje geroepen. Dus het kan wel.

En als je lekken tegen wilt gaan, dan moet je stoppen met het verwerken van die data... De mens is en zal altijd de zwakste schakel zijn.

Ik zeg altijd: Zoals de waard is vertrouwd hij zijn gasten.... En als ik vind dat de baas onredelijk is, ga ik verder kijken voor werk.

TheYOSH

Voor dat privacy een issue was hadden we ooit, in de vorige eeuw, op kantoor een stuk software wat soms meldingen gaf dat je moest gaan bewegen. Eerst was iedereen tegen natuurlijk tot mensen erachter kwamen dat je nog maar 50% van je tijd met werk bezig was en de rest van de tijd rondjes moest lopen en koffie kon halen.

De baas wist natuurlijk precies wie de onderbrekingen niet serieus nam.

Ik denk dat niet-monitoring geen optie is en wel om de volgende reden:

- Een gemiddelde thuiswerker bekommert zich niet om de veiligheid van zijn of haar systeem. Hij of zij vind dat de verantwoording van de IT-afdeling en ik vind dat terecht als het hulpmiddel door het bedrijf of instelling ter beschikking is gesteld. Bij een gemiddelde gebruiker van een systeem in een thuiswerker situatie ontbreekt alle kennis m.b.t. security.
- Ik vind het begrijpelijk dat in een situatie van 'Bring your own device' de verantwoording van de veiligheid van het gebruikte systeem bij de gebruiker ligt. In veel gevallen vraagt deze gebruiker om hulp aan de IT afdeling van zijn of haar werkgever. Dat is dan optie 3 uit de pol m.a.w. met toestemming onder strikte voorwaarden.
- Als IT afdeling heb je de verantwoording om zorgvuldig om te gaan met privacy gevoelige informatie en die in geen geval in te zetten voor een commercieel doel of op te slaan of te beheren, zelfs niet als daar door een gebruiker om wordt gevraagd. (Zoals een goed huisvader betaamt)
- In alle overige gevallen sluit ik mij aan bij de wettelijke bepalingen omtrent AVG/GDPR.
- Er is een wildgroei aan het ontstaan met de interpretatie waarvoor de AVG/GDPR in eerste instantie was bedoeld. Het garanderen van de veiligheid van persoonsgegevens. In veel gevallen kan dat prima samen maar ik kom ook situaties tegen waarin ik de veiligheid van een systeem voorop moet stellen; juist om deze gebruiker te beschermen tegen malafide praktijken van derden.

Mijn 2 centen.

Edit: Met monitoring bedoel ik uiteraard security-monitoring als enig doel.

Wat probeer je nou hier mee te zeggen?

Je vind nogal wat. Punt 1: je zet gebruikers wel heel snel negatief weg, en het is ook zo dat de meeste incidenten ontstaan door gebruikersfouten. Met punt 2 dat je noemt ben ik het niet eens: Dat bij BYOD de verantwoordelijkheid van het device bij de gebruiker ligt, dat is namelijk niet zo. Als die medewerker met dat BYOD systeem bij bedrijfsgegevens kan, dan moeten ook de bedrijfsregels worden afgedwongen om die bedrijfsgegevens te beveiligen. In de praktijk leidt dat tot iets als VDI, MDM achtige toepassingen. En ik weet wel dat mensen dan geneigd zijn te zeggen, "mijn apparaat, baas in eigen buik", in dat geval geef je geen vergoeding maar een beheerd bedrijfs apparaat. En dat je dan ook aan enpoint security doet is niet meer dan normaal, zeker nu we meer thuiswerken. Verder begrijp ik niet wat je met de AVG punten wilt zeggen, je moet persoonsgegeven passend beveiligen ..... rekening houdend met de stand van de techniek...... (en nog wat meer mooie volzinnen in de wet), "passend" en "rekening houden met" zit risicodenken in dus de opmerking dat je de veiligheid van het systeem voorop moet stellen snap ik niet helemaal

Met bedrijfsgegevens verwerken is "niet monitoring" van "beveiliging" inderdaad geen optie, en daarmee bedoel ik precies wat er staat, zodra je dit ook gaat gebruiken om medewerkers te monitoren, dan ga je een ethische grens over wat mij betreft. Bovendien moeten anderen daar ook van van vinden, bijvoorbeeld een ondernemingsraad of iets dergelijks.

Monitoring is onacceptabel.
BYOD ook.

Pick your poison.

"met behulp" van monitoringsoftware. lulz

Vreemde poll: je mag kiezen tussen "Geen probleem", "zorgelijke ontwikkeling" of "alleen onder strikte voorwaarden". Waarom is de optie "onacceptabel" er niet gewoon bij gezet?

Het is heel simpel. Bedrijf/organisatie is verantwoordelijk voor veiligheid van persoons- en andere gegevens die ter plaatse van het bedrijf/ de organisatie worden verwerkt. Als bedrijf/organisatie kiest voor mogelijk maken thuiswerken, is bedrijf/organisatie nog steeds verantwoordelijk voor diezelfde gegevens.

Die verantwoordelijkheid geeft aan bedrijf/organisatie geen recht om dan maar de privacy van individuele werknemers te gaan schenden.

Dus is bedrijf/organisatie, als ze kiezen voor thuiswerken, verantwoordelijk voor het zodanig faciliteren van het thuiswerken dat de privacy van de werknemer behouden blijft, terwijl tegelijk de bedrijfsgegevens (persoons- en andere gegevens) beschermd blijven.

Als dat niet allebei tegelijk kan, omdat het technisch niet realiseerbaar is, dan is thuiswerken dus helaas niet mogelijk. Dan eist de aard van het werk (namelijk werken met beschermwaardige gegevens) kennelijk dat het werk ter plaatse van het bedrijf ("op kantoor") wordt verricht.

Het hele probleem ontstaat pas als:
(a) het bedrijf verantwoordelijkheid voor gegevensbescherming op de individuele (thuiswerkende) werknemer probeert af te wentelen; of
(b) de individuele werknemer wil thuiswerken, ook als dat ten koste gaat van de veiligheid van bedrijfsgegevens en/of van persoonsgegevens van mensen buiten het bedrijf.

Als mijn persoonsgegevens geregistreerd worden door een bedrijf/organisatie, dan wil ik niet dat er thuisgewerkt wordt, tenzij het bedrijf/organisatie twee dingen doet:
(a) het technisch onmogelijk maken voor individuele werknemers om mijn persoonsgegevens te jatten of te laten lekken (dus niet "monitoren" achteraf, maar preventief technisch onmogelijk maken);
(b) NIET de individuele, thuiswerkende werknemers (qua privacy) de dupe laten zijn van de wens van het bedrijf/organisatie om hen thuis te laten werken.

Maar ja, dan ga ik ervan uit dat men privacy serieus neemt en daar de voor de hand liggende consequenties uit trekt.

In de praktijk wil bijna iedereen (bedrijven, werknemers) een scheve schaats rijden als het eventjes handiger lijkt. En daar moeten dan andere mensen voor opdraaien, die hun privacy moeten inleveren voor het bedrijfsgemak.