Een admin die zomaar illegaal materiaal wist, mag dat?

| AE 5837 | Ondernemingsvrijheid | 67 reacties

delete.pngEen lezer vroeg me:

Ik werk als systeembeheerder bij een middelgroot bedrijf. Na klachten over volgelopen netwerkschijven ben ik eens gaan onderzoeken waar dat door kwam, en ik trof grote verzamelingen illegaal gedownloade films, muziek en software aan. (Plus de nodige porno die ik bepaald niet hoefde te zien.) Dat mag natuurlijk niet, dus dat heb ik direct gewist. Maar nu krijg ik boze gebruikers in de mail die mij verwijten de wet te schenden. Dat is toch de wereld op zijn kop?!

Eh, nou, niet helemaal. Dit gaat vast niet goed vallen bij systeembeheerders, maar: een netwerkaccount met eigen opslag is een privéruimte net als de locker bij de ingang of de bureaulades op kantoor. Daar mag je als BOFH dus niet zomaar in gaan snuffelen en al zéker niet zomaar dingen uit weggooien, ook niet als jij denkt dat ze illegaal zijn.

En nee, het is niet illegaal om op je werk muziek of films, of zelfs porno te hebben staan die je hebt gedownload uit illegale bron. Dat staat daar voor je eigen, ahem, gebruik, en daar heeft de werkgever dus in principe niets mee te maken. Pas als collega’s er last van krijgen zou je daarop aangesproken kunnen worden. Maar wie met koptelefoon op een muziekje wil luisteren, mag dat met een mp3-verzameling uit illegale bron.

Verder mag monitoren in principe alleen op anonieme basis, en moet dit gericht zijn op werkgeversbelangen als overlast, schade of storingen. Als ik 20MB aan MP3-tjes in mijn account heb, heeft niemand daar last van. Daar moet het beheer afblijven. Wordt het 20GB, dan lopen er schijven vol en dat kan wellicht een onderzoekje rechtvaardigen. Of als je heel veel inlogs op mijn account ziet vanaf IP’s over de hele wereld. Dat is een aanwijzing dat ik aan filesharing doe (of dat mijn account gecompromitteerd is) en dan mag je ingrijpen.

Zo’n onderzoek zou in eerste instantie anoniem moeten gebeuren. Waarom is die schijf vol, en bij wie kunnen we de vraag neerleggen “ruim eens wat bestanden op”? Persoonsgericht monitoren (wat spookt die Engelfriet uit op ons systeem) mag alleen bij concrete aanwijzingen dat die persoon iets fout doet, en het hoe en wat wordt dan gedocumenteerd in het IT-reglement. Bijvoorbeeld: als uit het maandelijks dataverkeer-rapport blijkt dat er zeer overmatig wordt gedownload, dan mogen we gaan kijken wie daarvoor verantwoordelijk is en die persoon daarop aanspreken. Wel zou ik dan een waarschuwing verwachten naar alle medewerkers toe.

Het verbaast me soms hoe makkelijk sommige systeembeheerders omgaan met data van medewerkers. Maar in dit geval verbaast het me nóg meer dat mensen gaan klagen dat hun porno is gewist.

Arnoud

Deel dit artikel

    • ‘Recht’ is een groot woord. Ik heb ook niet echt ‘recht’ om een krant in mijn bureaulade te bewaren, maar om nou in het arbeidsreglement te gaan verbieden dat ik kranten mag opslaan in mijn bureau voelt een beetje overdreven. Waarom zou je dat bij digitale data wél willen doen?

      Belangrijkste vraag is denk ik waaróm je die dingen wilt verbieden. Je bent er niet aansprakelijk voor, en zolang de werkgever zijn werk goed doet en het geen overlast geeft, zie ik het probleem niet. Een werknemer die door zijn giga-filmverzameling zijn rapporten niet meer kan opslaan, zal als het goed is zelf wel inzien dat hij niet handig bezig is.

      • Een krant opslaan in je buro kost de werkgever geen geld. Het opslaan van (grote hoeveelheden) data op de netwerkschijf kost de werkgever wel geld. Hij moet immers zorgen voor grotere netwerkschijven, grotere backupmogelijkheden etc.

        Dat een werknemer wat muziek op zn schijf wil zetten kan ik me iets bij voorstellen. Maar films kan ik me niet voorstellen. Wanneer gaat hij die film bekijken? Tijdens zn werk? Blijft hij na werktijd nog hangen om een film te kijken? Ik kan me voorstellen dat je als werkgever dat niet wil. Waarom dan niet verbieden?

        • De werkgever gaat toch geen extra schijven kopen omdat werknemers films willen opslaan? De werknemer krijgt X gigabyte opslag, net zoals hij een bureau met X lades krijgt. Het is de werknemer die dat vult met privédata en/of werkdata. Ik zie niet hoe dat tot extra kosten kan leiden. Zijn er nog bedrijven die van hun ICT-bedrijf een factuur per gebruikte gigabyte opslag krijgen?

          Vroeger toen ik nog werknemer was ging ik met enige regelmaat op dienstreis en bleef dan in hotels. Dan is het toch wel prettig om een zelfgekozen film te kunnen kijken. (En goedkoper dan wat de betaaltelevisie in het hotel aanbiedt.) Inderdaad lijkt me dat onder werktijd niet echt gepast, tenzij je natuurlijk zit te wachten omdat je code compileert.

          • In de praktijk krijgen werknemers vaak niet x hoeveelheid schijfruimte toegewezen. Capaciteit wordt vaak aangeschaft op basis van data van het bedrijf en de te verwachten groei. Niet op basis van de hoeveelheid niet werk gerelateerde muziek en filmpjes die het personeel op wil slaan.

            Jouw referentie naar reizen voor de zaak: die film stond dan op, naar ik aanneem, een laptop en niet op het netwerk. Wat een gebruiker lokaal plaatst zal, zolang het geen probleem voor de bedrijfsvoering is, minder interessant zijn.

          • Yep. Wachten omdat je code compileert is altijd wel een goed excuus geweest om even iets anders te doen. Maar naast compileren zijn er nog andere processen die redelijk tijdrovend kunnen zijn zodat je als ICT’er even tijd hebt om andere dingen uit te voeren. Backups maken, code uit het versiebeheersysteem halen, lange test-procedures of grote downloads. Allemaal dingen die mij laten wachten zodat ik tijd heb om via mijn RSS reader even diverse hoogtepunten te zoeken en soms ook ergens kan reageren.

          • “Zijn er nog bedrijven die van hun ICT-bedrijf een factuur per gebruikte gigabyte opslag krijgen?”

            Juist in het tijdperk van de cloud diensten is dit een trend die veel meer in opkomst is, betalen naar wat je daadwerkelijk verbruikt is helemaal hip op het moment. Daarnaast word je dus concreet belast nav het gebruik, dus het strikter kijken naar wat voor zooi er op een netwerk staat en evt verminderen geeft ook financiele prikkels voor een bedrijf, inclusief backup en beheer zie je dat dit al snel meer dan een euro per GB per maand kost, moet je dus voorstellen wat 500GB aan zooi per jaar al scheelt (en dat is te halen door een snelle ‘prive schendende’ scan te draaien).

  1. illegaal materiaal
    illegaal gedownloade films, muziek en software
    gedownload uit illegale bron
    Met andere woorden: legaal materiaal. Opvallend hoe hardnekkig mensen ‘illegaal’ en ‘downloaden’ met elkaar blijven verbinden.

    Om de vraag aan te scherpen: stel dat er kinder- of dierenporno was aangetroffen – werkelijk verboden materiaal – had de systeembeheerder dan mogen wissen? Of had hij slechts aangifte mogen (of moeten, in geval van verkrachting) doen?

    Enerzijds mag er niet zonder meer doorzocht worden, anderzijds mag men dergelijk materiaal niet onder zich houden. Relevant is misschien ook nog hoe de autorisatie tot de schijf geregeld is. Onder omstandigheden zou er sprake kunnen zijn van het faciliteren van verspreiding.

  2. Mag een beheerder (in opdracht van het management) automatisch en anoniem bepaalde soorten bestanden van homedrives verwijderen? En van group-drives?

    En hoe anoniem moet anoniem zijn? Mag je een script een rapport laten maken van de 100 grootste files in de homedirs waarbij alleen de filenaam zichtbaar is maar niet het pad? Vervolgens kan je na aanleiding van verdahchte namen verder onderzoek instellen.

    • Anoniem rapportages mag, zomaar dingen weggooien mag niet. En de rapportages moeten zo anoniem zijn dat de lezers deze niet kunnen herleiden naar een specifieke werknemer. Dat kan nog knap lastig zijn in een kleine organisatie; als er één meneer bekend is als gothicliefhebber dan is die 5GB met gothicmuziek vast niet van de dame van de receptie. Vaak zul je dus nóg verder moeten aggregeren: er is 20GB aan MP3’s, 2 terabyte aan avi’s en de e-mailboxen zijn gemiddeld 1GB met een uitschieter naar 35. Maar dat zijn Powerpoints en daar kan onmogelijk iets privés aan zitten (ahem).

      Vervang “bestanden op de netwerkschijf” door “spullen in de bureaulade”, dan wordt het ineens heel gek om te vragen of je die zomaar mag weggooien.

  3. Wij hebben software draaien die elke dag kijkt wat er aan data staat en die aangeeft waar de groei zit. Op die manier kun je grote veranderingen of vaag materiaal (wij doen intern niets met avi’s) vinden.

    Op basis van groote/type bestand. Potentieel ook op naam maar de zoektocht is altijd technisch van aard. Als we grote bergen bagger vinden dan gaat het weg.

  4. Ik snap zo wie zo niet hoe werknemers het in hun hoofd halen om gedownload materiaal op een bedrijfsnetwerk op te slaan. Om nog niet te beginnen over 18+ materiaal.

    Ik ga er van uit dat er in een regelement/overeenkomst gesteld mag worden dat het netwerk alleen bedoelt is voor zakelijk gebruik. En dat administratoren het recht behouden om materiaal wat hierin niet thuis hoort te blokeren dan wel niet te verwijderen?

    Natuurlijk moet je dan ook opnemen dat verkeer gemonitort mag worden etc.

    • De werkgever kan niet zomaar alle privé-gebruik verbieden (daar is jurisprudentie over); beperkt gebruik van de computer van de baas voor niet werkgerelateerde zaken moet toegestaan worden. En omdat privé-gebruik toegestaan is, mag ook niet zomaar in bestanden of netwerkverkeer gekeken worden; dat mag alleen als daar een reden voor is en dat kijken moet in verhouding staan tot het probleem. (Als de schijf vol is mag je de top-10 bepalen en aan hun vragen op te schonen, maar dat is geen reden om de inhoud van hun bestanden te bekijken.)

        • De werkgever mag niet actief privéhandelen onmogelijk maken, tenzij het werk dit absoluut vereist. Zo heeft Holland Casino bedrijfskleding voorgeschreven die geen broekzakken heeft. Dat is vereist omdat anders croupiers geld of chips kunnen meenemen. Bij een psychologenpraktijk kan een regel gesteld worden dat je geen familiefoto’s op je bureau mag zetten om zo zakelijk en privé te scheiden naar de cliënt toe.

          Enkel “wij willen dat je alleen werkt onder werktijd” is niet genoeg, er moet een objectieve reden zijn waarom het écht niet anders kan.

          • De werkgever mag niet actief privéhandelen onmogelijk maken, tenzij het werk dit absoluut vereist.

            Er lijkt echter geen noodzaak voor werknemers om een schijfruimte te hebben op het werk voor opslag van prive bestanden.

            Prive gebruik van bestanden, die worden binnengehaald via downloads, USB sticks of email levert bijvoorbeeld veel grotere risico’s op malware op. Dat lijkt me een prima argument om prive bestanden op je systemen niet toe te staan.

              • Het bezoeken van porno-websites zou mogelijk wel te verbieden zijn. Immers, bij het bezoek wordt je IP adres door de pornosite vastgelegd en men kan dan weer ontdekken dat IP adres x.x.x.x is gekoppeld aan bedrijf Y. Het bedrijf kan dan bekend worden door hun porno-zoekende personeel wat weer imagoschade kan opleveren. Hoe klein de kans hierop is, de kans is aanwezig dat de pornosite deze gegevens gewoon bekend gaat maken. Het zou gebruikt kunnen worden om het betreffende bedrijf af te persen. (Hey, we zien dat er dagelijks 20 MB aan porno wordt gedownload vanaf jullie netwerk. Betaal even 5000 euro of we maken dit bekend aan de pers!) Idem als het gaat om websites van rechts-radicalen of Jihad-sites. Je bedrijf krijgt dan een associatie met “verkeerde” websites, wat imagoschade oplevert.

  5. Wij gaan binnenkort over op een nieuw backup systeem waar idd de backup-licentie gerelateerd is aan het aan GB’s wat naar de backup gaat. Nu willen we uiteraard niet dat alle Home dirs vol staan met spul wat naar de backup gaat, maw we willen opschonen.

    Moet ik dan eerst aan gaan kondigen aan de medewerkers dat ik een rapport ga maken? Want zoals ik het hier boven allemaal lees mag ik dus niet zo maar een rapport draaien waar naam en toenaam in vermeld staat en ze er dan op wijzen dat bestanden of op USB moeten zetten of weg moeten gooien…

    • Goeie. Als het naar de werknemers zelf gaat, dan hoef je niet apart dit te vooraankondigen. Een bericht met “Uw schijf is vol, doe iets, bijvoorbeeld met die berg .mp3 bestanden” naar de persoon in kwestie schendt zijn privacy niet.

      De privacytechnisch netste oplossing is dat je eerst de mensen zelf aanspreekt met zo’n mail, daarna ze de kans geeft op te ruimen en dan pas gaat backuppen. Eventueel met de tussenstap dat je dan de uitschieters nog een keer aanspreekt: wat heeft u veel data, backuppen kost ons X euro per gigabyte, moet dat écht?

      • Dat lijkt me wel een redelijke eis ja. Je ziet dat veel in ICT-reglementen: privémails moeten “[privé]” in de onderwerpregel of in een apart submapje, op je laptop mag je een map d:\persoonlijk aanhouden, dat soort dingen. Dan creëer je een redelijke privéruimte.

        Gewetensvraag: stel je hebt een kluis op je kantoor, zou je daar dan je portemonnee en autosleutels in leggen? Die zijn privé maar ’t voelt wel zo veilig.

  6. Voor de volgende keer het beleid aanpassen en daarin keihard opnemen dat de ‘eigen’ schijfruimte niet gebruikt dient worden voor private doeleinden maar bedoeldt is voor opslag van persoonlijk instellingen en (tijdelijke) werkdocumenten en dat ALLE schijfruimte periode gecontroleerd kunnen worden op de aanwezigheid van niet legale content en dat bij deze controles alle documenten kunnen worden ingezien.

        • Ik kan mijn “privé-hoek” ook gebruiken om even een brief aan de belastingdienst of mijn ziektekostenverzekeraar die ik in de pauze getikt heb op te slaan. Daar zit geen groter risico voor virussen in dan in het schrijven van een (werk-) verslag.

          Ja, er zijn goede (ook auteursrechtelijke) redenen om het installeren van privé-software te verbieden; maar dat is niet hetzelfde als een verbod op privé-bestanden.

          • Maar is er wel een privacybelang voor opslag van bestanden op bedrijfssystemen. Gebruik van een bedrijftelefoon telefoon of een emailaccount kan ik me nog net wel voorstellen. Bijvoorbeeld ivm beperkte bereikbaarheid tijdens werktijden.

            Maar ik zie erg weinig reden waarom mensen op hun werk bestanden vanaf het internet moeten gaan zitten downloaden of met USB sticks bestanden naar binnen hengelen. Dus lijkt me een security reden al heel gauw voldoende reden om alle bestanden op systemen te scannen en alle gedownloade rommel direct te verwijderen.

            • Loonlijstjes, diverse administratieve documenten voor b.v. aanvraag hypotheek of lening, leermateriaal, simpele spelletjes voor als er even niets te doen is, vakantiefoto’s en zo zijn er vast nog wel meer prive-zaken te bedenken die men op het werk doorneemt. Ikzelf heb vooral diverse eBooks als studiemateriaal op mijn werk, inclusief boeken over Linux en PHP terwijl ik normaal alleen met .NET en Windows werk. Gewoon, om mijn kennis uit te breiden. Maar ook gewoon MP3 bestandjes om af te luisteren tijdens het werk. Dat is eigenlijk wel de meest gebruikte prive-toepassing, volgens mij. En plaatjes van katten om de een of andere, domme reden. 🙂

    • Wij hebben gewoon geen prive opslag op het netwerk, alleen klanten mappen, die alleen voor wie die aan die klant werkt toegankelijk is. En waar ook alleen voor die klant relevante gegevens in worden opgeslagen.

      Priv’e zaken zet je maar op de laptop. Er is wel een beperking aan de backup van My Documents (enige waarvan een backup wordt gemaakt) en van filmpjes en muziek wordt geen backup gemaakt. Mocht die relevant zijn voor een klant dan zorg je er zelf voor dat die op het netwerk komt. Plaatjes worden wel meegenomen in de backup aangezien we die vaak wel produceren voor klanten. Maar je krijgt vragen als je backup te groot wordt.

      Blijkbaar kan de werkgever je niet verbieden prive zaken op je laptop te hebben is wat ik hierboven lees, maar nergens staat dat ze jouw prive gegevens in de backup op moeten nemen. Gevolg is dat er buiten een beperkt backup volume geen capaciteit wordt gebruikt voor werknemers prive bestanden.

  7. Voorbeeldje uit mijn praktijk: op een project hadden we 1 netwerkschijf voor iedereen, te gebruiken voor de project documentatie. Alle medewerkers mochten op deze schijf een eigen directory aanmaken, zodat ze hun eigen documentatie bij elkaar konden houden. Deze directories waren publiek toegankelijk voor iedereen.

    Op een gegeven moment was de gezamelijke netwerk share vol, en liet een zoek opdracht zien dat dit werd veroorzaakt door een grote hoeveelheid gedownloade DVD’s en mp3’s met muziek.

    Ik heb toen een email uitgestuurd met de mededeling dat films en muziek op de lokale harde schijven opgeslagen dienen te worden en dat met 1 week de tijd had om hun spul op te ruimen. Na een week heb ik rucksichtlos alle films en muziek die ik vinden kon verwijderd.

    Wast dit in strijd met de wet, of was dit geval terecht?

  8. Mag je wel het volgende doen om alles in banen te leiden in het ICT regelement opnemen dat alle persoonlijke zaken in laat we zeggen x:/persoonlijk moet opslaan en z:/ alleen voor zakelijk gebruik is. Daarbij in het regelement opnemen dat perssonlijk echt persoonlijk is en zakelijk gecontroleerd kan worden door de bevoegde persoon in de organisatie.

  9. Wat ik even niet goed begrijp: als iedere werknemer een eigen werk-PC heeft dan hebben ze toch ook locale schijfruimte? En een beetje moderne PC moet toch wel 500 GB beschikbaar hebben voor de gebruikers-bagger, dus waarom moet dit dan op het netwerk? Een werkgever van mij heeft dit overigens netjes opgelost: iedereen kreeg een prive-folder op een netwerkschijf waar men van alles en nog wat op neer kon zetten. Alleen, iedere zaterdag werd een automatisch script gestart die al deze folders weer volledig leeg gooide en zo weer ruimte vrij kon maken. Als je als werknemer belangrijke data had, was het even doorgeven aan de IT afdeling en werd het veilig gesteld.

    • Denk even aan thin clients die helemaal geen locale opslag hebben of bedrijven waar mensen geen vaste werkplek hebben, wat ook kan bedrijven die de PC’s locaal beveiligen zodat je niet lokaal op kan slaan. Netwerkopslag is dan de enigste manier om bestanden te bewaren ook gemakkelijk zodat mensen altijd weten waar ze moeten opslaan. Ik had het vroeger op mijn eigen werk dat we stagiaires waarschuwden om hun bestanden op de netwerk te zetten zodat het naar backup ging, ik weet niet hoeveel stagiaires er geweest zijn die op een diskette opsloegen en er achter kwamen dat het niet meer leesbaar was de drama die hier uit voort kwam was vrij groot aangezien hun veslag het laatste was wat ze nodig hadden om de stage te beëindigen.

      • Volgens mij heeft iedere gebruiker wel ergens een “My Documents” folder of “usr” folder die specifiek voor zijn account is. Deze kan op het netwerk staan, of locaal, maar is in principe bedoeld voor opslag van werk-documenten maar ook prive-zaken. Als een bedrijf de moeite heeft genomen om hier een netwerk-schijf van te maken dan kan daar ook gemakkelijk een quota aan verbonden worden. Zelfs bij gebruik van Google Apps in een web-only omgeving heeft iedere gebruiker een “eigen” opslagruimte tot een bepaald aantal gigabytes en kan daarnaast een gemeenschappelijke omgeving worden ingesteld en/of bestanden gedeeld worden met andere gebruikers. Werken zonder een prive-opslagruimte is vrijwel onmogelijk, maar als gebruikers een beperkte hoeveelheid krijgen moeten ze ook zelf hun bagger beheren. Als ze hun quota van 5 GB volzetten met MP4 bestandjes moeten ze daarna niet gaan klagen over gebrek aan ruimte voor hun werk-documenten.

        Doen ze dat wel, dan komt een admin wel even kijken waarom de boel zo vol is. Moet je zien hoe snel die collectie naar dev/null verdwijnt…

        En ja, stagiaires… Ik zou ze adviseren om een GMail account te nemen, wat in principe al gratis is. Dat komt inclusief Google Drive, waar ze dan hun verslagen in op kunnen slaan en de ruimte die ze daarin hebben is behoorlijk. Dropbox en Skydrive zijn ook goede, gratis alternatieven. Ze kunnen dan overal bij hun bestanden komen, waar ook ter wereld ze zijn. (Tenzij ze geen internet hebben.)

  10. Ik denk dat Arnoud hier gewoon de opvattingen van de meeste systeembeheerders weergeeft. Ik zou als systeembeheerder geen bestanden van anderen wissen als dat niet acuut nodig is om het systeem overeind te houden – hooguit comprimeren of verplaatsen. Wat ik wel heel normaal vind is op een schijf die bijna vol is rondneuzen om te kijken waar materiaal staat dat veel ruimte inneemt en misschien weg kan, en de eigenaar aanschrijven.

      • Die clausule hoeft niet altijd nietig te zijn. Er kunnen vast uitzonderingen bedacht worden. Ook weet ik dat vooral banken een stevige firewall gebruiken zodat de medewerkers misschien maar 5 websites kunnen bezoeken vanaf de werkplek. Daarnaast zou men een gedeelde computer kunnen gebruiken zodat “prive-data” niet echt prive is omdat je collega’s deze ook in kunnen kijken simpelweg omdat iedereen inlogt als user0001 met wachtwoord abcd1234. Ook het meenemen van een USB-stick of andere geheugendrager zal bij sommige organisaties niet erg op prijs gesteld worden.

        Maar goed, in plaats van prive opslag te verbieden zouden bepaalde soorten data op de werkplek verboden kunnen worden. Zo hoeft niemand een porno-collectie op de werkplek op te bouwen. Of een enorme verzameling MP3’s op het netwerk te plaatsen. (Heel vervelend bij een telefonische helpdesk, bijvoorbeeld. Je wordt dan geacht de telefoon te kunnen horen…) Of World of Warcraft te installeren om samen met collega’s tijdens de pauses te gaan questen… Sowieso kun je het gebruik van MP3 bestandjes blokkeren door alle muziekspelers (dat zijn programma’s en geen data) te verbieden of te de-installeren. Of gewoon de geluidskaart in de PC’s uitschakelen. Kunnen ze alleen nog luisteren naar 4’33” van John Cage…

  11. Praktijk versus theorie: Laat die werknemer maar een officiële klacht indienen bij het MT/Directie als de ICTer zijn porno/muziek /dvd’s heeft weggegooid :). Dan krijg de ICTer een foei van: ” officieel had je dit niet mogen doen…” en daarna een knipoog. En de werknemer mag uitkijken voor zijn baan.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS