Mag ik ons netwerk opschonen van illegale zaken?

| AE 2527 | Privacy, Security | 66 reacties

delete.pngEen lezer vroeg me:

Ik ben systeembeheerder bij een school. Wij geven iedereen een netwerkaccount zodat ze bestanden kunnen opslaan en kunnen mailen. Nu weet ik dat leerlingen (maar ook docenten) regelmatig illegale zaken opslaan op hun account (plaatjes, filmpjes, muziek, keyloggers, hacktools, niet school gerelateerd materiaal, etcetera). Vorige week heb ik een grote schoonmaak gehouden en alle niet-schoolgerelateerde zaken verwijderd. Maar nu is een aantal gebruikers behoorlijk boos en zeggen ze dat dit niet mag! Ik kan toch als beheerder niet tolereren dat er illegale zaken op onze servers staan?

Ik zou dit niet op deze manier aanpakken. Inderdaad, als je weet hebt van illegale zaken dan mag (moet?) je ingrijpen. Maar dat is niet hetzelfde als “het zijn scholieren, die hebben dús bergen illegale meuk, ik ga alle mappen langs en alles weggooien dat ik zie”.

Dit gaat niet goed vallen bij systeembeheerders, maar zo’n netwerkaccount met eigen opslag is een privéruimte net als de locker bij de ingang of de bureaulades op kantoor. Daar mag je als BOFH dus niet zomaar in gaan snuffelen.

Er zijn een aantal voorwaarden waaraan voldaan moet zijn. Allereerst moet er een expliciet geaccordeerd IT-reglement zijn waarin aangegeven staat wat men mag met het account en vooral wat niet. En daarbij geldt dat “alleen schoolgerelateerde zaken” te kort door de bocht is: er moet enige ruimte voor privégebruik zijn. (Klachten dat dit onzin is, mag u bij het Europese Hof voor de Mensenrechten kwijt.)

Verder mag monitoren in principe alleen op anonieme basis, en moet dit gericht zijn op werkgeversbelangen als overlast, schade of storingen. Als ik 20MB aan MP3’tjes in mijn account heb, heeft niemand daar last van. Daar moet het beheer afblijven. Wordt het 20GB, dan lopen er schijven vol en dat kan wellicht een onderzoekje rechtvaardigen. Of als je heel veel inlogs op mijn account ziet vanaf IP’s over de hele wereld. Dat is een aanwijzing dat ik aan filesharing doe (of dat mijn account gecompromitteerd is) en dan mag je ingrijpen.

Persoonsgericht monitoren (wat spookt die Engelfriet uit op ons systeem) mag alleen bij concrete aanwijzingen dat die persoon iets fout doet, en het hoe en wat wordt dan gedocumenteerd in het IT-reglement. Bijvoorbeeld: als uit het maandelijks dataverkeer-rapport blijkt dat er zeer overmatig wordt gedownload, dan mogen we gaan kijken wie daarvoor verantwoordelijk is en die persoon daarop aanspreken. Wel zou ik dan een waarschuwing verwachten naar alle medewerkers toe.

Bij personen die bestuurslid zijn van de vakbond of medezeggenschapsraad (of de bedrijfsarts) mag het beheer helemaal niet in hun privémappen kijken tenzij met hun toestemming of in zéér uitzonderlijke situaties.

Arnoud

Deel dit artikel

  1. En als in het beleid is opgenomen dat “illegale” downloads niet op het netwerk opgeslagen mogen worden….?

    Met name het zinnetje met de vergelijking over lockers is interessant. Dus in de prive-directory mag niet worden gesnuffeld. En wat als iemand zijn torrent-files opslag buiten zijn profiel, dus op de c-schijf? Dat is feitelijk een “openbaar” gedeelte. Alsof je een lading “illegale” handel naast je bureau op de grond neerzet…..

  2. Dan mag je illegale downloads verwijderen als je ze aantreft. Echter blijft het punt dat je pas mag gaan zoeken naar illegale downloads bij concrete aanwijzingen dát die er zijn. Preventief snuffelen in privéopslagruimte mag niet.

    Als een ruimte openbaar is, dan is daar minder tot geen privacy te verwachten. De C: schijf lijkt me in beginsel doorzoekbaar, hoewel je misschien het mapje “Privé-backup” zou moeten overslaan. Net zoals je wel de ruimte naast het bureau mag bekijken maar niet mijn boodschappentas of rolkoffer die daar staat.

  3. De middelbareschoolleeftijd is een periode om te experimenteren, ook op het gebied van computers. Enig overzicht en controle is wel essentieel, maar juist om te zorgen dat deze ervaringen een positief effect hebben.

    Ik ben meerdere malen in botsing geweest met onze systeembeheerder. Dat was uiteindelijk nooit erg omdat hij ons dan ook weer hielp met het opzetten van een lan party op school. Van hem heb ik geleerd dat met macht ook verantwoordelijkheid komt.

    Behalve het juridisch aspect is dit ook een gemiste kans om de leerlingen voor te lichten. Bijvoorbeeld een discussie over ‘de toekomst van auteursrecht’ met Arnoud als gastdocent. Of ‘hoe ga je veilig om met digitale privegegevens’, of bespreken van de vaak grijze lijn tussen kwaadaardig en leergierig hacken.

    Een school is een heel andere situatie dan een werkplek. Het ‘hoort’ een veilige omgeving te zijn, waar je af en toe iets fout mag doen.

  4. De middelbare school-periode is inderdaad een periode waarin veel ge-experimentterd wordt en leerlingen zichzelf enorm de problemen in kunnen werken. Je kunt je afvragen in hoeverre een school haar leerlingen tegen hun eigen gedrag moet beschermen. En in hoeverre een school haar leerlingen ook mag beschermen. Maar ik bedenk wel iets… De leerlingen zijn minderjarig dus uiteindelijk moeten ze van hun ouders toestemming hebben om een school-netwerk te mogen gebruiken. Stel dat een school een afspraak maakt met de ouders dat ze pro-aktief de prive-folders van de leerlingen zal controleren op malware, illegale downloads, foute foto’s en ander twijfelachtig materiaal en de ouders gaan daarmee akkoord, hoe zit het dan met die privacy?

  5. Wat hAl volgens mij probeert aan te geven is dat het verschil tussen opslaan van bestanden en de genoemde communicatiemiddelen is, dat bij opslaan door de eigenaar van de gegevens een keuze wordt gemaakt om de informatie op die locatie te bewaren, terwijl je die keuze niet altijd hebt als het gaat om communicatie. Je hebt immers geen invloed op zaken die je als ontvanger binnenkrijgt, die wel degelijk privacy gevoelig kunnen zijn.

    Om de analogie van het koffertje aan te houden: Je krijgt een koffer in bruikleen van je werkgever, en daarbij wordt gesteld dat je er geen privé zaken in mag stoppen. De koffer is dus niet van jou. De eigenaar van de koffer heeft voorwaarden gesteld, maar mag de eigenaar dan actief controleren? Keine Ahnung.

    In het voorbeeld valt me wel op dat de bewuste BOFH meteen naar rigoreuze middelen grijpt, zonder dat de aanleiding/noodzaak duidelijk wordt. Ik ben het eigenlijk er wel mee eens dat er een noodzaak moet zijn. En dan kun je eerst een beroep op mensen doen. Waarschuwen, aankondigen en vervolgens een opschoning doen die je eventueel weer terug kunt draaien, voor het schrikeffect. Dan ben je pas een echte BOFH, want dreigen genereert angst!

  6. Een van de belangrijke dingen die leerlingen met de middelbare school leeftijd moeten leren is wat privacy is. (De badkamerdeur gaat dan ineens op slot.) Juist daarom moet je hun privacy vooral serieus nemen. Dat geldt trouwens niet alleen op school maar ook thuis. En aan dat recht op privacy kleeft ook een verantwoordelijkheid (er geen misbruik van te maken). Klopt, dat moeten ze ook leren.

    En ja, school is een leeromgeving waar grenzen worden verkend. Juist daarom doe je er goed aan als volwassene in een dergelijke omgeving waar je een voorbeeld bent zelf te weten waar de grenzen liggen.

  7. @Hans, daar ben ik het wel mee eens, maar hoeveel privacy kinderen krijgen wordt toch mede bepaald door de ouders. Tot hun 18e zijn de ouders immers (mede) verantwoordelijk. Iemand van 16 kan b.v. geen mobiele abonnement afsluiten of lid worden van bepaalde verenigingen of organisaties zonder toestemming van de ouders. Dus tot hun 18e kunnen ouders bepalen hoeveel privacy een kind heeft.

  8. Ik ben het met je eens dat in de praktijk ouders de privacy van jongere kinderen wat zullen matigen. Dat zal zelden een probleem zijn omdat de behoefte aan privacy er bij baby’s nog niet is en pas op latere leeftijd gaandeweg ontstaat.

    Maar toch denk ik dat ook op heel jonge leeftijd bijvoorbeeld dagboeken al strikt gerespecteerd moeten worden. Dat is leerzaam en je neemt het kind serieus wat misschien nog wel het belangrijkste is. Bovendien zijn er heus wel andere manieren om erachter te komen wat er speelt. Tegen de tijd van de middelbare school leeftijd (ruim voor hun achttiende) is het hoog tijd voor de volle “onverdunde” privacy. En dat geldt dan natuurlijk ook voor die ijverige systeembeheerdert op school. Wat denkt ie wel niet? ;-P

    Overigens dacht ik niet (ik ben geen jurist) dat de wet de privacy van kinderen beneden een bepaalde leeftijd expliciet inperkt. Dus daar zou nog best een keer een boeiende rechtzaak over het “lezen van mijn dagboek” uit voort kunnen komen. Of over het “neuzen in mijn persoonlijke folder op de server”…

    (Vanaf welk moment kinderen zonder hun ouders een geldig contract kunnen afsluiten heeft er volgens mij niets mee te maken.)

  9. @Hans, zie WBP artikel 5 punt 1: Indien de betrokkene minderjarig is en de leeftijd van zestien jaren nog niet heeft bereikt, of onder curatele is gesteld, dan wel ten behoeve van de betrokkene een mentorschap is ingesteld, is in de plaats van de toestemming van de betrokkene die van zijn wettelijk vertegenwoordiger vereist. Dus eenieder onder de 16 kan niet zelf beslissen of de school hun privacy wel of niet mag schenden. Daarover kan de school namelijk afspraken over maken met de voogd of ouders van het kind. Het geeft jou als ouder niet het recht om de privacy van je kind zomaar te schenden, maar je kunt wel een school toestemming geven om het internet-gedrag van je kinderen in de gaten te houden, net zoals je thuis ook dat recht hebt. Als ouder is dit namelijk noodzakelijk om je kroost te beschermen tegen datgene wat jij schadelijk vindt voor je kind.

  10. @Wim ten Brink: Goed punt dat je noemt, maar wat ik niet uit het gehele verhaal op heb gemaakt is de leeftijd van de leerlingen op de betreffende school. Als daar leerlingen tussen zitten van 16 jaar (of ouder) zal die als ik het goed begrijp in beginsel zelf mogen beslissen over privacy gerelateerde onderwerpen.

    Op veel middelbare scholen zal dit dus al het geval zijn dat dit voorkomt. Dan moet de systeembeheerder dit echter wel controleren voor hij dingen gaat nakijken als enkel de ouders toestemming gegeven hebben lijkt mij. Een toestemming van de betreffende leerling lijkt mij dan vereist.

    In bovenstaande ga ik er vanuit dat een mentor van de school niet gezien wordt als mentorschap zoals vermeld in deze wet EN er geen curatele is ingesteld bij de betreffende leerling(en).

  11. @Mark Inderdaad, leeftijd van de scholieren is niet genoemd. Maar kinderen raken tegenwoordig al op hele jonge leeftijd bekend met computers en het kan best zijn dat veel van de scholieren nog tot de brugpiepers behoren. Daarnaast hebben veel middelbare scholen voor het merendeel leerlingen onder de 16, niet erboven. Verder is er nog een beetje een schemergebied tussen de 16 en 18 jaar. Plus, als een ouder namens een minderjarige van 13 een afspraak maakt met de school, dan is deze volgens mij nog steeds bindend zolang de student op school blijft en lekker ouder wordt, tenzij hij of zij zelf de afspraak weer blokkeert. Maar ja, dan verliest de student ook weer zijn netwerk-privileges en hij heeft die gedurende 4 jaar juist opgebouwd. En als de leerling wel boven de 16 is, of boven de 18, of boven de 34 wat mij betreft, de school mag nog steeds in hun algemene voorwaarden teksten opnemen die het monitoren van gebruikers mogelijk maakt.

    Wel weer belangrijk: het monitoren dient op anonieme basis te gebeuren en in principe alleen op basis van overlast. Maar een school met 500 hormoon-gevulde scholieren kan iedere dag wel weer de nodige overlast verwachten, varierend van foute foto’s tot dreig-tweets, gehackte websites, filesharing en wat voor ellende leerlingen nog meer kunnen bedenken. Dus ik kan mij voorstellen dat systeembeheerders op een school-netwerk beter monitoren dan systeembeheerders in het bedrijfsleven.

  12. @Wim

    “zie WBP artikel 5 punt 1: Indien de betrokkene minderjarig is en de leeftijd van zestien jaren nog niet heeft bereikt, of onder curatele is gesteld, dan wel ten behoeve van de betrokkene een mentorschap is ingesteld, is in de plaats van de toestemming van de betrokkene die van zijn wettelijk vertegenwoordiger vereist.

    Dus eenieder onder de 16 kan niet zelf beslissen of de school hun privacy wel of niet mag schenden.”

    Er staat alleen maar dat bij personen die nog geen zestien jaar zijn toestemming – voor de verwerking van hun persoonsgegevens – van de wettelijke vertegenwoordiger nodig is. Maar dat zegt helemaal niets over de vraag of hun privacy geschonden mag worden.

  13. @Hans, Let op de definitie van persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Daaronder kun je dus ook het internet-gedrag en de data op de netwerk-schijf onder plaatsen. De ouders geven toestemming om dit in te zien en als kind onder de 16 ben je je privacy dus kwijt…

    Er is verder geen schending indien de school toestemming heeft van de vertegenwoordiger… En als kind moet je na je 16e er wel even aan denken dat je deze toestemming weer wilt intrekken maar zoals ik al zei, dat zou kunnen betekenen dat je je netwerk-rechten verliest en dus ook alle data…

  14. Ik geloof er echt helemaal niets van dat die ouders toestemming hebben gegeven om de mail en documenten van hun kinderen te lezen doordat ze de school toestaan om persoonsgegevens van het kind te verwerken.

    Dan zou precies datzelfde moeten gelden voor de bestanden die jij bij een webhoster of ergens in de cloud hebt staan. Ook daarvoor geldt immers dat je toestemming hebt gegeven om jou persoonsgegevens te verwerken. Dus daar mag Google of Amazon dan wel een beetje in rondgrutten? En KPN heeft ook toestemming om jouw persoonsgegevens als klant te verwerken en mag daardoor dan dus ook vrolijk aan DPI te doen? Zijn ook persoonsgegevens… dat webverkeer, toch?

    Jij verzint ze waar je bij staat. 😉

  15. @Hans, het kan wel in de voorwaarden van de school staan zonder dat de ouders dat deel hebben gelezen of zelfs maar beseffen waar het om gaat. Hoeveel mensen lezen nu eigenlijk altijd de algemene voorwaarden van scholen en bedrijven waar ze contact mee hebben? En hoe makkelijk zijn die AV’s van de diverse scholen eigenlijk te lezen? Bij een website zijn de AV’s meestal wel op een enkele webpagina te bevatten maar een school kan makkelijk een compleet boekwerk produceren met informatie en tussen de regels door ook de algemene voorwaarden…

    Je noemt overigens al die domme actie van KPN, maar zoals Arnoud zelf al ondervond is het dan nog best lastig om aangifte te doen. Want heeft Arnoud bewijs dat hijzelf is afgeluisterd door KPN? Uiteindelijk is er alleen de bekentenis van KPN en die is nog niet voldoende. Het zou best kunnen dat ouders niet eens beseffen dat ze hiervoor toestemming hebben gegeven! Daarom is het altijd zo belangrijk om algemene voorwaarden goed door te lezen.

    Daarnaast zijn er in Nederland een aantal zeer streng religieuze scholen met bijbehorende religieuze ouders en kinderen. Omdat dit soms behoorlijk gesloten gemeenschappen zijn, is het moeilijk te bepalen in hoeverre kinderen op deze scholen eigenlijk wel privacy hebben.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS