Moet de IT-afdeling toestemming vragen om een pc over te nemen?

yes-toestemming-ja-permission.pngEen lezer vroeg me:

Ik werk op de IT-afdeling van een bedrijf (~120 medewerkers). Wij hebben op alle pc’s UltraVNC geïnstalleerd, zodat we op afstand beheer kunnen uitvoeren. Dat doen we uiteraard alleen als mensen ons daar toestemming voor geven. Alleen die toestemming vragen we gewoon aan de telefoon of in de chat als we iemand spreken. De VNC applicatie toont geen aparte popup daarvoor. Nu zegt een medewerker dat dat laatste verplicht is onder de privacywet. Klopt dat?

De privacywet (Wet bescherming persoonsgegevens) bevat geen regels op dat niveau. Of je mensen op een knop “Nu toegang tot mijn pc” laat drukken of ze mondeling dan wel op schrift dat laat verklaren, maakt voor de wet niets uit. Waar het om gaat, is dat er toestemming is.

Of nou ja, zelfs dat niet. Als het nodig is voor het werk, dan mág een collega (zoals de IT-er) zich toegang verschaffen tot de computer. Net zoals een collega mag binnenlopen in je kantoor. Kloppen is netjes, maar juridisch niet verplicht. En natuurlijk blijf je buiten als er “Niet storen” opgehangen is. Dus in principe zou voor support hetzelfde moeten gelden. Even melden is netjes, toestemming vragen hoeft niet (maar is wel héél netjes natuurlijk).

Of je moet zeggen: een goed werkgever doet niets dat nodeloos de privacygevoelens van werknemers schendt. En als mensen het gevóel hebben dat hun pc ineens wordt overgenomen, dan schend je toch de privacy. Dus vraag het dan toch nog maar via een popupje.

(Als IT-er heb je natuurlijk wel strikte geheimhouding te respecteren rondom eventuele privézaken die je aantreft bij zo’n remote access sessie.)

Arnoud

20 reacties

  1. Arnoud, leg eens uit ‘En als mensen het gevóel hebben dat hun pc ineens wordt overgenomen, dan schend je toch de privacy’.

    Zowel juridisch als technisch kan ik niet heel veel met (terechte of onterechte) gevoelens van mensen.

    1. Toegegeven, ik chargeerde hier een beetje. Maar privacy is uiteindelijk een gevoel. Het is niet prettig om gevolgd te worden of gefilmd. Meestal, soms is het niet erg. Hoe kwantificeer je dat? Net zoals “ik moet dit kunnen zeggen” uiteindelijk een gevoel is.

      Natuurlijk moet er wel iets objectiefs aan zitten. Alleen maar “ik vind dit niet prettig” zou niet genoeg moeten zijn. Maar hoe dan wel? Als ‘men’ het vindt? Maar hoe bepaal je ‘men’?

      1. Of je wordt wel gefilmd, of je wordt niet gefilmd. Dat is toch objectief? Of je PC kan wel op afstand worden bediend, of niet. Dat is toch ook objectief?

        Volgens mij wordt het pas subjectief als het om een moeilijk te detecteren gevaar gaat. “Ik weet niet of ik hier gefilmd word, maar het zou zomaar kunnen”. Net zoiets als het gevoel van onveiligheid, dat niet zo veel te maken heeft met de werkelijke hoeveelheid criminaliteit.

      2. Het feit dat mensen ongemerkt meekijken, of zelfs maar kunnen meekijken, kan gemakkelijk een onaangenaam gevoel geven.

        Maar dit is geen WBP materie.

        Dit is gluren. Misschien kun je iets met anti stalking bepalingen, of met een netwerkanalogie van hinderlijk volgen?

        1. Het staat of valt met de informatie vooraf en het feit dat een werkgever nu eenmaal een machtspositie heeft. De reactie dat het geen Wbp materie is, steunt op de breed gehanteerde gedachte dat het moet gaan om gegevens(verwerking). Maar levenssfeer (zie de Grondwet) gaat verder, vooral in de sfeer van vrijheid om te zijn wie je bent zonder te worden waargenomen.

          1. Ik snap even niet waarom de Wbp niet zou gelden? Het is een geautomatiseerde omgeving en er worden persoonsgegevens verwerkt op de PC van de helpdeskmedewerker. Die krijgt immers informatie binnen over de PC van de werknemer, en dat is gekoppeld aan bv. diens werknemer-ID of gebruikersnaam. Alle informatie is dus persoonsgegeven. “Piet heeft een evaluatieversie van Photoshop geïnstalleerd” of “op de PC draait een virusscanner die 90% van de processortijd in beslag neemt” zijn gewoon persoonsgegevens.

            1. Uiteraard is de Wbp wel van toepassing. Ik ben alleen van mening dat het erg krampachtig is om steeds eerst te motiveren dat er gegevens worden verwerkt. Dan verschuift de focus naar de feitelijke actie. Een werkgever die dit soort ingrepen voorziet moet vooraf nadenken en duidelijkheid scheppen, dat los je met een pop-upje (als vage equivalent van instemming) niet op.

            2. Zo zie je maar dat het zeer moeilijk is om in een electronische discussie de nuance juist te krijgen.

              Natuurlijk zijn wat die helpdeskmedewerker te zien krijgt persoonsgegevens onder de Wbp. (Als hij ze tenminste verwerkt. Als hij alleen maar kijkt, uit nieuwsgierigheid, en niets opslaat, dan twijfel ik)

              Wat ik bedoelde is dat het oncomfortabele gevoel van dat je MISSCHIEN bespied wordt, dat de technische mogelijkheid bestaat dat je bespied wordt, geen Wpb materie is. M.a.w: De werkgever hoeft op basis van de Wbp geen actie te ondernemen omdat werknemers het niet fijn vinden dat ze niet weten of ze stiekem electronisch begluurd kunnen worden.

              Hij hoeft pas actie te ondernemen als dat electronische begluren echt gebeurt, niet als de technische mogelijkheid om het te doen bestaat maar niet gebruikt wordt, en al helemaal niet als werknemers zich onprettig voelen omdat ze niet weten of het technisch kan.

              1. Dat is mij even wat te simpel. Wie geen doel heeft moet niet bij gegevens kunnen, dat is onderdeel van elke bescherming. Dus wie kan kijken hoeft niet te verwerken om de situatie als ongewenst te beschouwen, het feit dat hij onterecht ergens bij kan is het probleem. Of er moet geregeld zijn dat dat kijken terecht is, maar dan weet elke gebruiker dat ook. Een werkgever moet dus onterechte toegang beperken (need to know) en de toegang die hij voorziet duidelijk maken zodat gebruikers daar op kunnen anticiperen.

      3. Heeft het ook niet te maken met de rechten van de IT-er? Volgens mij mag er geen onderscheid gemaakt worden, maar als zomaar ergens, zonder toestemming ingelogd mag kan worden zou die IT-er wel heel veel rechten krijgen, zeker in een bedrijf waar het strikte on-a-need-to-know-basis beleid gevoerd wordt.

        En stel je een OR medewerker voor, of een directie lid. Die heeft informatie die zo restricted zijn, dat ik mij afvraag of bovenstaande wel uit te voeren is. Want bij een data lek kan zo maar een IT-er de schuld krijgen.

  2. Ongeacht wat de wet er van vindt, kan ik me wel wat voorstellen bij waarom mensen graag een pop-up zouden willen zien i.p.v. mondelinge toestemming.

    Het gaat er denk ik om dat het bij mondelinge toestemming volstrekt duidelijk is dat de IT-afdeling ook de technische mogelijkheid heeft om stiekem mee te kijken, zelfs als ze niet om toestemming vragen: er is geen technische link tussen telefoongesprek en het aanzetten van de VNC-sessie.

    Als de VNC-software prioriteit legt bij de privacy van de gebruiker, dan zal ‘ie geen VNC sessies toestaan zonder eerst (via een pop-up) toestemming te krijgen van de gebruiker. Dan kan de IT-afdeling niet ongemerkt meekijken. Ik denk dat dat is wat gebruikers graag zouden willen zien.

    Een pop-up eisen is wel een beetje een kop-in-het-zand verzoek: alleen het feit dat er bij officiële IT-service een pop-up komt is nog geen garantie dat er ook echt niet gegluurd kan worden. Het blijft een vrij fundamenteel probleem dat leveranciers (je IT-afdeling, Microsoft, elektronica-fabrikanten e.d.) een behoorlijke vinger in de pap hebben als het gaat om wat je computer onder de motorkap echt doet. De afwezigheid van een pop-up is een symptoom, dat het onderliggende probleem zichtbaar maakt, maar afwezigheid van het symptoom is niet afwezigheid van het probleem.

    1. Als de VNC-software prioriteit legt bij de privacy van de gebruiker, dan zal ‘ie geen VNC sessies toestaan zonder eerst (via een pop-up) toestemming te krijgen van de gebruiker. Dan kan de IT-afdeling niet ongemerkt meekijken. Ik denk dat dat is wat gebruikers graag zouden willen zien.
      De gebruikers van de betreffende meekijksoftware zijn echter het bedrijf en de beheerders van het bedrijf. Het tonen van een popup is eigenlijk alleen beleefdheid tav van de overige werknemers.

      1. Je kunt het woord “gebruiker” op verschillende manieren uitleggen. Ik bedoelde natuurlijk de werknemer die daadwerkelijk toetsenbord en muis bedient. Voor zover ik weet mag een werknemer zelfs onder werktijd nog wel enige privacyverwachting hebben; daar hoort een IT-afdeling rekening mee te houden.

  3. Een pop-up met timer om binnen 1 tot 5 minuten akkoord te gaan of te weigeren zou het werkbaar maken voor iedereen lijkt mij. Waar mogelijk vragen wij ook toestemming, met onderhoud is dat niet altijd mogelijk (als de persoon niet aanwezig is).

    1. Als de persoon niet aanwezig is, hoef je toch ook niet zijn sessie over te nemen? Dan kun je gewoon remote inloggen, zodat dat je ziet wat die persoon aan het doen is. (Hij is toch niet aanwezig…)

  4. Toevallig ken ik de vragensteller (:P) en kan ik wat verduidelijking scheppen: 1. Er staat altijd een groen VNC-icoontje in de systemtray van de gebruiker. Dit icoon wordt geel op het moment dat er een sessie actief is (=de admin neemt de computer over). Stiekem meekijken kan dus niet; in ieder geval niet zonder kwade opzet, want technisch is er maar weinig dat niet mogelijk is. 2. De admins beheren ook de fileservers, het fysieke netwerk, de mailservers, enz., enz. Ook al weet de gebruiker dit misschien niet; “gluren” via UltraVNC is de minst efficiënte manier. Van de makkelijkere manieren merkt de gebruiker helemaal niets. Ik geef onmiddellijk toe dat dit losstaat van het gevoel van de gebruiker overigens, maar als dát relevant zou zijn, dan zou je net zo goed een nep-knop kunnen gebruiken voor toestemming. 3. De opzet van het kantoor is zodanig dat elke willekeurige voorbijganger eenvoudig op ieders scherm kan kijken. Er is dus een lage privacyverwachting.

  5. Misschien is toestemming via een knop juridisch niet nodig, maar ik zou het zelf als gebruiker wel helder vinden als dat technish zou zijn afgedwongen. Dan hoef ik bij onverwacht gedrag van ‘mijn’ systeem ook geen rekening te houden met het scenario dat een voortvarende ict-er iets heeft gedaan terwijl ik er even niet was; ik kan dan altijd gewoon mezelf of een softwareleverancier de schuld geven… Als je in de praktijk toch al toestemming vraagt, waarom dan niet zo’n knop?

    1. Heel eenvoudig: omdat er geen budget beschikbaar wordt gesteld voor andere software, waarmee dat wel kan. Met VNC is het zo dat je de Windows-sessie van de gebruiker overneemt. Als de gebruiker van zijn plek gaat, lockt hij de sessie en kan de admin die dus ook niet overnemen.

      Desalniettemin ben ik wel voorstander van een veel duidelijker systeem waarin expliciet om een actieve handeling voor toestemming wordt gevraagd.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.