Mag mijn werkgever privébestanden in de zakelijke OneDrive bekijken?

| AE 8998 | Arbeidsrecht | 39 reacties

archief-opslag-bestanden-filesEen lezer vroeg me:

Mag en kan mijn werkgever mijn OneDrive van Office 365 lezen? We hebben tegenwoordig office365, met daarbij meer dan een terabyte aan opslagruimte. Dat is zakelijk veel meer dan wat ik nodig heb, en privé kom ik opslagruimte te kort. Dus ik dacht, niemand heeft er last van als ik daar mijn privézaken backup (ongeveer 150 gigabyte). Niets illegaals, gewoon een archief van een familieleven. Mag dat?

Vaste lezers van mijn blog kennen mogelijk het antwoord al: ook op het werk heb je privacy. Niet zo veel als thuis, maar meer dan nul. Een werkgever heeft zich daaraan te houden en mag dus niet zomaar gaan snuffelen in opgeslagen gegevens of daar wellicht iets privés tussen zit.

De werkgever mag niet gaan spitten, maar gezien de aard van deze gegevens is de kans aanwezig dat hij er toevallig tegenaan loopt. En dan mag hij er zeker wat van zeggen. Het is immers niet de bedoeling dat je privézaken doet via de werkmail of -opslag. Af en toe een mailtje, bestandje of printje zou geen punt moeten zijn, maar structureel je werk gebruiken als backup gaat mij ergens toch te ver.

Ook wanneer je deze bestanden in een submap stopt die “Privé” heet, zou dit een probleem blijven. De werkgever mag dan op zich die map niet zomaar aanklikken, maar hij kan en mag wél opvragen hoe groot deze is. En als dat dan zo’n vijftien procent is van de totale opslag, dan zou ik daar toch wat van vinden als werkgever.

Dus nee, ik zou dit écht niet doen en een berisping zou ik zomaar logisch vinden als de werkgever dit per toeval aantreft. Dan liever een paar euro voor extra opslag bij Microsoft (of elders).

Arnoud

Deel dit artikel

  1. Buiten dat het onwenselijke gedrag is:

    Er is ook gratis cloud/on-line opslag te vinden, zelfs specifiek in Nederland gehost. ( 1 Terabyte) Nou is gratis een begrip met dubbele bodem (als het om het Internet gaat), maar het beveiligen van wat je in de cloud opslaat maakt inzien al lastiger. Kortom waarom opslaan in de zakelijke cloud van je werkgever.

    • Nou is gratis een begrip met dubbele bodem (als het om het Internet gaat)

      Tenzij je bedoelt dat om gebruik te kunnen maken van de online opslag, je daar een apparaat voor moet aanschaffen en een internet verbinding nodig hebt? Anders is de 1TB die je aanhaalde (Stack van TransIP) wel degelijk 100% gratis. En als je je bestanden daar versleutelt (voordat je ze er naar toe kopieert 😉 ) kan Transip ook geen profilering op de bestanden toepassen. Dus nogmaals, ik zie je voorbehoud niet zo.

      Ik gebruik Stack bijvoorbeeld om de backup van mijn VPS te parkeren. (Naast de snapshot die bij de VPS provider dagelijks gemaakt wordt)

  2. En als dat dan zo’n vijftien procent is van de totale opslag, dan zou ik daar toch wat van vinden als werkgever.

    Vroeger stond deze data op de zeer dure eigen dubbel uitgevoerde netwerkschijf en kwam ook nog eens alles op de backup terecht waardoor deze 4 uur langer duurde en het niet meer op één tape paste. Nu betaalt de werkgever waarschijnlijk een bedrag X per werknemer en de werknemer krijgt hiervoor een bepaalde ruimte bij Microsoft. Deze ruimte is nog niet vol. De gepaste reactie van de werkgever is dus: BOEIE!

    TENZIJ de voorwaarden van Microsoft dit verbieden of de prijs voor de werkgever toch omhoog gaat, hetgeen niet aannemelijk is.

    EDIT: (Toch nog een) MITS het bedrijf geen hinder heeft van de upload via de waarschijnlijk flat-fee internetpijp.

  3. Het idee alleen al dat je de opslag van je werkgever zonder te vragen gebruikt en dan ook nog op privacy zou willen beroepen, is ‘preposterous’ (weet er even geen passend Nederlands woord voor). Stel je dit eens voor in de fysieke wereld: even zonder te vragen wat privé dozen in het magazijn zetten en dan vinden dat je werkegever er niet in mag kijken. Tijd voor een normoverdragend gesprek.

  4. Ook wanneer je deze bestanden in een submap stopt die “Privé” heet, zou dit een probleem blijven.

    Ik bedenk me ineens dat meer en meer bestanden automatisch geïndexeerd worden. Ik kan me voorstellen dat dat voor werk ook over verschillende gebruikers heen gaat. Dan wordt het oneens el heel lastig om je privé spullen goed af te schermen.

    • Een geëncrypteerde ZIP doet wonderen. Maar eigenlijk is het een beetje een onnozele discussie. Als je storage van je werkgever gebruikt moet je niet bang zijn dat hij er in gaat neuzen. Ben je daar wel bang voor (omdat het je P***O verzameling betreft bijvoorbeeld, dan moet je gewoon andere storage zoeken. Mogelijkheden zat.

      Ik lees elders het argument dat een werkgever niet in een mapje met de naam privé mag kijken. Ik vind het echter een plicht van de werkgever om er op toe te zien dat zijn storage niet misbruikt wordt voor bijvoorbeeld porno of racisme of terrorisme. Een werkgever heeft hoe dan ook het recht om klakkeloos te verwijderen waarvan hij denkt dat dat nodig is. Tot zover dus een betrouwbare backup…

      • Ik vind het echter een plicht van de werkgever om er op toe te zien dat zijn storage niet misbruikt wordt voor bijvoorbeeld porno of racisme of terrorisme.

        Daar ben ik het helemaal niet mee eens. Privacy is privacy; pas bij concrete verdenking wordt het misschien anders. Het is wat mij betreft dus omgekeerd: bij afwezigheid van concrete verdenking heeft de werkgever de plicht om de privacy van de werknemer te beschermen, en dus ook de plicht om niet de opgeslagen gegevens te analyseren!

        • Je krijgt die faciliteiten van je werkgever voor het werk. Bij ons staat expliciet in het reglement dat ze niet voor privegebruik zijn, en dat zal elders niet anders zijn. Dan mag je dus controleren of dat reglement wordt nageleefd.

          Als er op je werk een grote hal leegstaat, zet je daar dan ook je huisraad, kinderspeelgoed, fotoboeken enzovoorts in als je thuis geen ruimte hebt, en ga je dan ook roepen dat iedereen daar met zijn poten van af moet blijven en er zelfs niet in mag kijken omdat het prive is? Waarom ineens wel als de ruimte en de spullen digitaal zijn? Ik zie niet wat dat voor verschil maakt.

          • Het punt is dus dat zo’n reglement dat niet mag zeggen. Een reglement mag ook niet bepalen dat ik op de wc gefilmd wordt in verband met drugsbestrijding, om eens wat te noemen. Je hebt privacy, dat is een grondrecht en ook op het werk moet dat worden gerespecteerd. Het reglement moet dus kunnen rechtvaardigen dat de privacy wordt geschonden. Dat kán wel maar het is niet een kwestie van “we mogen te allen tijde alles”.

            Een collega van me kwam altijd fietsend naar het werk (30km, ligfiets), en ging dan altijd even douchen eerst. Hij had dus een toilettas met privéspullen zoals douchegel en extra ondergoed op het werk staan. Het zou toch héél raar zijn als de Beveiliging zomaar in die tas ging snuffelen “want het reglement zegt, geen privézaken op het werk”?

            • Oké, normaal gesproken houd ik me buiten dit soort discussies omdat ze eigenlijk voor zich spreken, maar deze opmerking van Arnoud geeft me toch wel een beetje vreemd smaakje… Ik mag dan wel geen werkgever zijn, maar iets snap ik hier niet aan.

              “Bij ons staat expliciet in het reglement dat ze niet voor privegebruik zijn, en dat zal elders niet anders zijn.”
              “Het punt is dus dat zo’n reglement dat niet mag zeggen.”

              Pardon? Mijn werkgever stelt mij iets ter beschikking waar zij voor betalen of in geïnvesteerd hebben. Het doel hiervan is dat het gebruikt wordt voor zakelijk nut, daarom krijg ik hier als werknemer (niet als iedere willekeurige particulier die toevallig net voorbij loopt) toegang tot. Waarom zou mijn werkgever hier dan niet van mogen zeggen: “Maarten, wij stellen je dit ter beschikking zodat jij je werk goed kan doen. Veel plezier ermee. Vriendelijk verzoek om je privé zaken hier niet mee te regelen, want daar is het niet voor.”

              Sterker nog, ik zou het vreemd vinden als het NIET gebeurt! Want als dat er niet in staat, dan mag je er als werkgever dus ook geen opmerking over maken. Dus in het geval van een cloud storage met een totale opslaglimiet (dus niet user-gebonden, maar ‘zo groot is de harde schijf en niet meer’) waarbij de vraagsteller zijn volledige persoonlijke fotoalbum upload waardoor collega’s hun zakelijke bestanden niet meer kwijt kunnen, ontstaat de volgende situatie:

              “Hey werknemer, luister. Onze bedrijfs-cloud zit op 99% van z’n schijfruimte. Ik zie een mapje ‘prive’ in jouw account staan met 15% schijfgebruik erin. Kan je dat even weghalen? Want daar is het niet voor.” “Nou luister werkgever, dan had je dat van tevoren even moeten zeggen. Want het staat nergens.” “Nee klopt, we wilden het in het reglement opnemen, maar dat mag schijnbaar niet.”

              Ik ga er van uit dat ik gewoon iets verkeerd begrijp. Want als dit inderdaad de situatie is, klopt er structureel iets niet in de wetgeving denk ik zo. En nu wordt het zelfs heel verwarrend, want in je eigen artikel zeg je dit:

              “Dus nee, ik zou dit écht niet doen en een berisping zou ik zomaar logisch vinden als de werkgever dit per toeval aantreft. “

              Maar hoe kan hij dan een berisping geven, als hij niet mag vertellen dat je je privé zaken er niet op mag hosten?

            • Digitale opslag kost net zo goed wat. En “grote” of “kleine” logistiek; wat maakt het uit? Het gaat om het principe. En uiteraard, even snel een privé-bestandje daar plaatsen en later weer weghalen, omdat je je USB-stick vergeten bent (vergelijk: even snel een boodschap doen), dat is geen probleem. Het punt is het structurele gebruik. Dan mag jij als werknemer misschien wel denken: wat kost dat nou helemaal? Maar dat is niet aan jou om te beslissen, maar aan je werkgever.

              • Ligt een beetje aan de definitie van privé, privé is niet werk gerelateerd, dat waar je werkgever, ik heb geen baas, iets over te zeggen heeft.

                Mijn werkgever heeft echter niets te zeggen over OR gerelateerde documenten, bestanden die ik gebruik voor het kwartaal blad etc., zaken die ik bespreek met human resources etc., kopieën van mijn paspoort, diploma’s etc.

                Zoals wel veel meer mensen zijn er slechts weinig die enig idee hebben wat er allemaal onder ‘privé’ kan vallen.

                En sommige bedrijven laten nu eenmaal niet toe dat je vanaf je werkplek toegang hebt tot je privé email box en/of een privé cloud.

        • Analyseren is één ding, verwijderen is een ander. Wat is een concrete verdenking? Ik vind het voldoende als de concrete verdenking is dat het om privé gegevens gaat. Die horen niet thuis op een door de werkgever beschikbaar gestelde storage. Althans niet zonder overleg vooraf. Ik vind het volkomen normaal dat de werkgever ten alle tijde data mag verwijderen.

          • Hmm, OK, maar dat is wat anders dan “porno of racisme of terrorisme”. Mee eens dat de werkgever privé-data van werk-opslag moet kunnen verwijderen als dat het werk in de weg zit. Ik vind wel dat dat in overleg moet gebeuren; als in “we hebben een tekort aan schijfruimte, en ik zie dat jij vrij veel ruimte inneemt. Waar heb je die ruimte voor nodig? Is dat privé-data? zou je er voor willen zorgen dat die over een paar dagen verwijderd is? Zo niet, dan vraag ik de sysadmin om het te verwijderen.”

            Ik vind ook dat het wel netjes is als werknemer om significant gebruik voor privé-doeleinden alleen in overleg te doen. Wat wel/niet significant is moet je zelf maar inschatten; ik denk dat dit meer iets van goede manieren is dan van regeltjes.

  5. Afgezien van wat jij en je werkgever allemaal mogen en kunnen, moet je er ook rekening mee houden dat Microsoft alles kan inlezen wat je op OneDrive opslaat. Als je aan je privacy hecht (en dat doe je, want anders zou je deze vraag niet hebben gehad), dan doe je er goed aan om je privé-gegevens encrypted op te slaan. Als dit puur voor back-ups is, kan dat vrij makkelijk met bijv. 7-zip.

    Aan de andere kant: misschien kan Microsoft sowieso wel bij je gegevens als je windows gebruikt. Als je je privacy echt wilt beschermen, moet je misschien ook over stappen op een open source systeem met een goede reputatie, zoals Linux(*).

    (*) Doe maar geen Ubuntu; zelf gebruik ik Debian.

  6. De oplossing is toch gewoon even aftoetsen bij je werkgever neen? Als het ooit tot problemen komt en je moet je (al dan niet terecht bereopen op je recht op privacy), ben je als werknemer toch al een verliezer want daar gaat je goede relatie met je werkgever.

    Zomaar zonder te vragen er vanalles gaan oppleuren vind ik toch maar een bizarre actie. Als je al zoiets doet, dan enkel als je alles encrypt.

  7. Wat ik eerlijk gezegd niet begrijp: Waarom Backup op een Cloud of op een vreemde Server? Voor een paar tientjes heb je 2 TB externe Disk, helemaal van jou, kan je makkelijk in je tas stoppen en mee nemen (als je dat al zou willen). Bij een Cloud of een vreemde server ben je altijd afhankelijk van internetverbindingen en die zijn ten eerste niet altijd en overal beschikbaar en ten tweede niet altijd zo veilig als je graag zou willen. Als werkgever zou ik duidelijk zijn in mijn regels: Geen structureel gebruik van werk-net en/of servers voor privé. Een Backup is structureel, dus…

    • Het nadeel van een ‘fysieke’ externe disk is dat je alsnog je gegevens kwijt bent in bv. het geval van brand en m.i. is het ook gevoeliger voor diefstal, zeker als je er ook nog eens mee gaat slepen. Auto kwijt, harde schijf kwijt. Om maar een zijstraat te noemen.

      On topic: persoonlijk vind ik het niet echt getuigen van goede manieren om zonder enige vorm van overleg zomaar je familiearchief in de digitale archiefkast van je werkgever te zetten, ook al heeft hij wel 10 planken ongebruikt. Ik neem aan dat je zo ook niet omgaat met de ‘fysieke’ archiefkast, dus ik zou niet weten waarom je dan wel met digitale ruimte zo zou omgaan. Iets met fatsoen en omgangsvormen.

    • Ik heb OneDrive, Google Drive, Dropbox en Stack (van TransIP) op mijn computer geïnstalleerd staan en het nut hiervan kon ik onlangs mergen toen mijn PC de geest gaf met een lichte brandlucht en een stevige knal. Wel netjes binnen de garantietijd, dus dat valt weer mee… Een moederbord en twee nieuwe harde schijven later had ik weer een prima systeem met 4 TB aan schijfruimte! En de 3 TB aan data kreeg ik weer terug vanuit deze vier cloud-oplossingen. Ik vind het dan ook erg belangrijk om mijn eigen data in mijn eigen cloud-omgevingen op te slaan en zal dus niet de omgeving van mijn werkgever hiervoor gebruiken.

      Waarom niet een externe disk? Wel, ik heb ook twee NAS schijven maar die gebruik ik vooral voor mijn muziek-collectie en voor installatiebestanden. Die zijn bij elkaar ook al snel 2 TB. Maar het nadeel is dat deze niet vanaf iedere locatie te bereiken zijn, terwijl deze cloud-oplossingen dat wel zijn. Dus ben ik onderweg met mijn laptop en heb ik een bepaald bestand nodig, dan kan dat vrij eenvoudig via de Cloud. Heb ik met mijn mobieltje een paar foto’s of een filmpje gemaakt dan gaan ook die vrijwel automatisch naar de Cloud. Het is enorm gemakkelijk om zo bestanden via de Cloud op te slaan en te delen met al mijn apparaten.

      Maar waarom dan niet mijn NAS via de router rechtstreeks aan het Internet hangen? Simpel. Ik heb namelijk ook een web server thuis in gebruik en die is al druk genoeg bezig. Dit is mijn test-omgeving voor de web applicaties die ik ontwikkel en heeft dus voorrang op mijn NAS schijven. Bovendien kun je maar 1 NAS aan je internet-verbinding hangen. Nou ja, via mijn web server zou ik al die schijven beschikbaar kunnen krijgen met de juiste software maar daar is’ie nu enmaal niet voor bedoeld.

      Kortom, ik ben best tevreden met die cloud-opslag, hoewel het wel ruim drie dagen duurde voordat alle data weer op mijn PC stond. 🙂 Maar ja, we praten dan ook over 3 TB aan data, die dus niet op een 2 TB NAS past.

      Maarre…

      De echte reden waarom ik geen NAS gebruik voor mijn belangrijke data? In het verleden heb ik meegemaakt dat mijn PC op mijn werk ieder weekend een volledige back-up uitvoerde op een centrale server in het netwerk. Alleen, op 1 dag crashte de harde schijf van die PC tijdens de back-up procedure en dit resulteerde in een crash van de backup-software en een compleet gecrashte backup-schijf. Het gebruik van een voorgaande backup bleek ook niet te werken omdat de PC al wekenlang crashte tijdens de backup, maar iedere keer opnieuw wist te herstellen tot het fatale weekend. Ofwel, al wekenlang was de backup stilletjes gefaald met als gevolg dat alle bedrijfsdata op mijn PC verloren was gegaan. Niet alleen was ik vervolgens een paar dagen bezig om alle software op mijn PC opnieuw te installeren en in te stellen maar veel test-data en code aanpassingen waren gewoon foetsie.

      Als je je eigen NAS gebruikt dan moet je zorgen dat de data erop ook veilig blijft. Als b.v. je huis de fik in gaat kun je moeilijk even snel je huis in rennen om je NAS te redden zodat je data veilig is. Veel bedrijven bewaren altijd een backup van belangrijke data buiten de deur zodat het pand plat gebombardeerd kan worden maar men de data nog steeds ergens veilig heeft. Ik neem aan dat ook Arnoud hier gebruik van maakt met al zijn klantgegevens. Je moet geen risico’s nemen met dit soort belangrijke data…

       

      (Oh, broncode van mijn software projecten worden ook nog eens in een TFS en GIT server opgeslagen, ergens in de Cloud.)

  8. de omgekeerde is dan De werkgever gebruikt 15% van jouw opslagruimte om zijn zakelijke dingen op te slaan. Jij betaald die ruimte en de werkgever gebruikt 15%. kun je dan ook niets van zeggen

    even en heel ander punt het is onverstandig om zaken die van werkzijn prive te gebruiken om meerdere redenen de inhoud kan tegen je gebruikt worden als er beslag wordt gelegd vlt jouw prive daar ook onder en probeer dat maar terug te krijgen als iemand de zaak hacked ligt jouw prive leven op straat.

    als laaste office 365 heeft ook een abonnement voor je familie en daar heb je ook ‘1TB gratis’ bij.

    Persoonlijk advies voor iedereen hou prive en zakelijk gescheiden, je wordt uiteindelijk betaald om gedurende werk tijd werk te verrichten en buiten werktijd behoor je niet op de plek te zijn in verband met rust. en de vakbonden hebben jaren gestreden dat je een pauze hebt om de werkplek te kunen verlaten.

  9. Ik bedenk mij opeens iets! Stel dat de werkgever door de OneDrive folders gaat bladeren en dan toevallig deze privé-folder tegenkomt. Mag de werkgever deze dan direct wissen omdat het niet werkgerelateerd is en alleen maar ruimte kost? Immers, de werkgever heeft er geen belang bij maar de werknemer is zijn privé-data wel opeens kwijt…

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS