Mijn werk wordt gelivecaptured en dat wil ik niet!

screen-captureEen lezer vroeg me:

Op ons werk beheren wij servers van klanten, die bij ons in het datacenter gehost staan. Natuurlijk wordt er uitgebreid gelogd wat wij doen op die servers. Maar nu is er een nieuw systeem: zodra ik de server van een klant benader vanaf mijn terminal, wordt mijn gehele sessie via een live-capturing tool opgenomen en ergens opgeslagen. Zo is er precies bewijs van wat ik heb gedaan, is het argument. Dat is beter dan loggen en onze klanten willen die zekerheid dat álles gemonitord wordt. Maar echt álles wordt gemonitord nu, ook wat ik privé tussendoor doe terwijl ik een server open heb staan. Mag dat zo wel?

Dit is een moeilijke. Enerzijds heb je recht op privacy op het werk, anderzijds hebben klanten recht op informatie over wie er aan hun systemen zit. Zeker als daar persoonsgegevens of bedrijfsgeheimen in zitten. Hier moet de werkgever dus een balans in vinden.

Logging lijkt mij een prima middel om de klant tegemoet te komen. Er kan dan worden gewerkt met een geanonimiseerde aanduiding, die bij een vermoeden van fouten of misbruik door een manager kan worden gekoppeld aan een persoon. Dan weet de klant dat persoon 123 iets deed, maar pas na een onderzoek kan dan blijken dat dit de vraagsteller was.

Alleen, dan moet de klant (of de IT-dienstverlener) wel álles weten te loggen. En dan zul je net zien dat je iets vergeten was. Dus vanuit die optiek snap ik het wel om gewoon maar alles te filmen en achteraf te zien wat je nodig hebt. Met een complete screencapture van de gehele sessie zul je niet snel meer iets missen.

Maar ja, dan loop je weer tegen privacygevoelige dingen aan: een werknemer kan tussendoor even z’n privémail checken terwijl de server nieuwe software staat te compileren, of een Skypeberichtje van zijn partner krijgen. En dat komt dan óók mee met zo’n opname. HEt liefst zou die opname dan beperkt moeten zijn tot het window waarmee de verbinding met die server wordt gelegd. Ik heb alleen geen idee of zulke software bestaat.

En hm. Menig datacenter hanteert ook cameratoezicht in de serverruimtes naast logging van activiteiten op hun server. Dan film je ook een neuspeuterende werknemer of een privételefoontje. Is dit wezenlijk anders?

Arnoud

23 reacties

  1. Camstudio kan ook alleen een window opnemen, dus ja, die software is er wel degelijk. Maar een tool die het hele scherm opneemt is waarschijnlijk makkelijker, omdat je best meerdere vensters tegelijkertijd open kunt hebben staan, als je op meerdere servers tegelijkertijd bezig bent.

    Ik zou zelf die recordingsoftware op de server installeren. Starten op het moment dat er aangemeld wordt, en stoppen als er afgemeld wordt. Dan mis je zeker niets meer (behalve het bootproces), want ook de sessies waarbij je direct fysiek op de server aanmeld worden dan opgenomen.

    1. Mee eens. Bijkomende argumenten:

      • Loggen is niet effectief als je echt wilt kunnen nagaan wat er precies gebeurd is, capture is dat wel. Als ik zelf iets met IT doe dat niet helemaal met de command line te doen is maak ik altijd screenshots ter documentatie.
        • Ook veel opzoekwerk wil je waarschijnlijk buiten de capture houden, dat is immers geen interactie met de systemen van de klanten, en waar je je informatie precies vandaan haalt hoeft de klant niet te weten.

      Ik zou dus eisen dat je een extra computer (liefst laptop) krijgt om alles op te kunnen doen wat niet gecaptured wordt.

  2. Waar een datacenter vaak wel camera’s in de serverruimte heeft (waar medewerkers alleen komen als ze een specifieke klus hebben), zijn camera’s in de controleruimte, vergaderzaal of keukentje minder gebruikelijk. Daarnaast is camera-observatie van een telefoongesprek minder ingrijpend dan het observeren van een chat-sessie op een computerscherm. Bij het telefoongesprek (zonder geluid) mis je de inhoud en weet je niet wie de gesprekspartner is; allemaal zaken die je bij een eerste blik op een screendump zo ziet. John suggereert twee minder ingrijpende varianten van logging; een werkgever zou deze moeten overwegen voordat ze overgaat tot loggen van alle activiteit op een werknemer-pc.

  3. Ik neem aan dat die capture op de server loopt en niet op de terminal. Het lijkt mij dus ook geen probleem om de privezaken tussendoor op je terminal te doen en alleen de acties die daadwerkelijk op de server worden uitgevoerd te capturen.

    1. Zoals ik het begreep, loopt de sessie wel degelijk op de terminal. Hoe het technisch exact werkt, weet ik niet. Maar ik kan me er iets bij voorstellen dat de controlepaneelsoftware de logging/recording start. Zo capture je ook dingen als ht resetten van de server of acties om de sessie heen (zoals het draaien van software die screendumps maakt en zo bedrijfsgeheimen steelt).

      1. Het gaat om iemand die werkt voor meerdere klanten dus het lijkt me vreemd als er buiten de server sessie wordt gecaptured want dan wordt de data van klanten mogelijk vermengd. Een ander probleem bij capturing van buiten de sessie is dat bijvoorbeeld keystrokes van inloggen op een nieuwe sessie kunnen worden gecaptured en er dus wachtwoorden van de beheerder kunnen worden gecompromiteerd in de opgenomen sessies.

  4. Zodra je weet dat er wordt gefilmd, dan stop je toch gewoon met privé-dingen doen? Dus je sluit even alle tabbladen met facebook, zet je skype even uit, en klaar. Zoveel is het toch niet gevraagd om tijdens het werk op servers van klanten (declarable uren!) ook daadwerkelijk met dat werk bezig te zijn en niet te worden afgeleid?

    Ik vind het werkelijk belachelijk dat iemand hier een bezwaar tegen heeft met als argument ‘dan kan ik geen privé-zaken meer doen terwijl ik aan het werk ben. Dan kun je op deze manier ook wel bezwaar gaan maken tegen een werkplek waarbij collega’s op je beeldscherm kunnen kijken en je dan niet meer gemakkelijk kunt youtuben en facebooken.

    1. Bart, ik denk dat jij niet veel ervaring hebt met het werk als systeembeheerder. Een van de zaken is dat klanten tegenwoordig ook Skype en Whatsapp gebruiken om te communiceren; die programma’s afsluiten werkt dus niet. (En het feit dat de klant via Skype communiceert, maakt het relevant om ook de Skype vensters te loggen.) En een deel van het werk van een systeembeheerder is aanwezigheid om brandjes te blussen… uit je neus eten (of freecell spelen). Een werkgever hoeft niet bij te houden hoeveel neuspulk zijn beheerder vergaart in de slappe uurtjes.

      1. Eens, ik heb helemaal geen ervaring als systeembeheerder zelfs. Maar denk even in oplossingen, je kunt je zakelijke skype contacten toch in een aparte groep plaatsen en voor de andere groepen offline zijn? Of blokkeren? Ik blijf erbij dat zodra je aan het werk gaat voor je klant, en je weet dat het wordt vastgelegd, je best even zonder privezaken kunt.

  5. In hoevere heeft een werkgever een verplichting om prive gebruik te faciliteren? Ik zou zeggen in deze dagen van de smartfoon dat je je mail ook op je foon kunt lezen.

    Een groter probleem zie ik als je twee of drie klanten tegelijk aan het bedienen bent. Sessie 1 update server (duurt 2 uur) dus dan ook wat routine werk in sessie 2 tussendoor. Dan moet je gaan filteren.

    Dus dat kun je dan ook doen met prive/zakelijk (met risico op fouten).

  6. In hoevere heeft een werkgever een verplichting om prive gebruik te faciliteren?

    Een goed werkgever moet een beperkt privégebruik van de door haar ter beschikking gestelde computers toestaan en daarbij ook de privacy (ook van opgeslagen privégegevens) respecteren. Er is geen juridische verplichting om loggegevens van verschillende klanten apart op te slaan, zolang er maar voor gezorgd wordt dat bij het bekijken van de logfiles gegevens van andere klanten afgeschermd worden. Privégebruik kan ook bij het opvragen afgeschermd worden voor degene die de inhoudelijke beoordeling van de loggegevens doet. (Daarvan hoort een reglement te zijn.)

    1. Een goed werkgever moet een beperkt privégebruik van de door haar ter beschikking gestelde computers toestaan en daarbij ook de privacy (ook van opgeslagen privégegevens) respecteren.

      Een werkgever kan echter prima in een regelement vastleggen dat privegebruik van je computer niet is toegestaan op het moment dat je op de server van een klant bent ingelogd. En ook dat op dergelijke momenten ale je handelingen worden vastgelegd.

      1. Een werkgever kan echter prima in een regelement vastleggen dat privegebruik van je computer niet is toegestaan op het moment dat je op de server van een klant bent ingelogd.

        Hoe werkbaar is dat? Alle vrienden een e-mailtje sturen met de vraag of ze jou de komende 30 minuten niet willen storen? Ook niet inloggen op Skype, want dat geeft ook een bericht. Jouw idee werkt gewoon niet.

        1. Dat kan prima. Gebruik gewoon een prive email adres naast je werkadres en negeer alle berichten die op prive adressen binnenkomen (en zet er bijvoorbeeld geen notificaties voor op) en bekijk die dan wanneer je niet bij de klant bent ingelogd.

          Het is ook prima mogelijk om Skype voor prive en bedrijfmatig te scheiden.

  7. Ook als je niets prive doet binnen de opgenomen sessie, vind ik het een ZEER onprettig idee dat alles wordt opgenomen, dus ook als je bv. via Google aan het zoeken bent naar een foutmelding of als je aan het proberen bent met welke parameters een command-line tool gestart moet worden.

  8. Het probleem is dat het gaat om een computer en werknemers die een werk-computer voor privezaken willen gebruiken. Maar kennelijk maakt de werkgever dat lastig in deze situatie omdat alles wordt opgenomen. En dat is onderdeel van het werkproces. Je moet dan als werknemer overwegen of je dan niet beter een ander middel moet zoeken voor je privezaken, zoals het gebruik van een prive-tablet of mobiele telefoon. De werkgever moet wel de mogelijkheid geven aan werknemers om tussen het werk door prive-zaken af te handelen, maar de hulpmiddelen daarvoor hoeft zij niet te leveren. En als de werkgever deze aanlevert dan mogen daar weer voorwaarden aan verbonden zijn… Lijkt mij, ten minste…

  9. Als je camera’s ophangt moet je dat gericht doen. Bijvoorbeeld door de voordeur van je bedrijfspand te filmen. Een camera boven iedere werkplek is niet verboden maar dan moet je wel kunnen aantonen dat er geen andere mogelijkheden zijn en het middel in redelijke verhouding staat tot het doel.

    In dit geval lijkt mij dat er wel een andere oplossing is die minder ver gaat: de sessie op de server opnemen en niet op de desktop van de beheerder. Dat heeft als bijkomend voordeel dat sessies voor verschillende klanten niet door elkaar lopen. Daarnaast voorkomt het dat als de beheerder (om wat voor reden dan ook) een andere computer gebruikt dan z’n normale workstation de sessie niet wordt opgenomen.

  10. Eigenlijk is er voor de persoon een eenvoudige optie. Hiermee voorkom ook mogelijk nog meer ellende. Het is verstandiger om tussen de werkstation van de medewerker en de server(s) van een klant een steppingstone neer te zetten.

    Deze steppingstone kan men zelfs per medewerker uniek inrichten qua rechten, maar ook per klant. Ook kan men dan aan een klant garanderen dat van één specifieke IP-adres naar hun systemen kan worden verbonden. Op deze steppingstone kan men dan alle acties van een medewerker opnemen.

    Op deze wijze blijven dan ook alle privé-acties op de werkstation van de medewerker dan privé en worden geen beheerders wachtwoorden opgenomen.

  11. Volgens is hier niet het probleem dat de acties van de medewerker op de server waarop hij werkt worden gelogd, maar dat alles dat er op de desktop van de client gebeurt op dat moment gelogd wordt. Het eerste is prima technisch op te loggen, terminal en GUI clients zijn prima zo in te stellen dat ze alles bijhouden dat er wordt gedaan.
    Het lijkt me dat de werkgever een beetje de verhouding klant/medewerker uit het oog is verloren. Dat de klant alles wil weten wil niet zeggen dat de klant alles ook te weten krijgt. Al was het maar dat de klant niet alle interne bedrijfsprocessen hoeft te weten. Ik zou als medewerker eens goed gesprek met mijn leidinggevende aangaan, dit gaat te ver.

  12. Een ander punt apart van de privésetting is je knowledge base als sysadmin, waarin allerlei procedures opslaat. Deze wordt dan ook ineens beschikbaar voor de klant. Het lijkt me niet dat je zo je “bedrijfsgeheimen” met je klanten wilt delen…

  13. Bij ons is het credo: “Weet wat je zegt, zeg niet wat je weet.” En in de ICT is dat een hele belangrijke.

    Als gebruikers alle optie’s zien die in de beheersoftware voor de beheerders aan te vinken zijn, is het wachten op de eerste –‘ja maar, dat wil ik óók kunnen’– reactie. Los van of ze het nodig hebben, of dat het überhaupt wel zo handig is dat ze dat hebben.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.