Mag mijn werkgever privébestanden in de zakelijke OneDrive bekijken?

archief-opslag-bestanden-filesEen lezer vroeg me:

Mag en kan mijn werkgever mijn OneDrive van Office 365 lezen? We hebben tegenwoordig office365, met daarbij meer dan een terabyte aan opslagruimte. Dat is zakelijk veel meer dan wat ik nodig heb, en privé kom ik opslagruimte te kort. Dus ik dacht, niemand heeft er last van als ik daar mijn privézaken backup (ongeveer 150 gigabyte). Niets illegaals, gewoon een archief van een familieleven. Mag dat?

Vaste lezers van mijn blog kennen mogelijk het antwoord al: ook op het werk heb je privacy. Niet zo veel als thuis, maar meer dan nul. Een werkgever heeft zich daaraan te houden en mag dus niet zomaar gaan snuffelen in opgeslagen gegevens of daar wellicht iets privés tussen zit.

De werkgever mag niet gaan spitten, maar gezien de aard van deze gegevens is de kans aanwezig dat hij er toevallig tegenaan loopt. En dan mag hij er zeker wat van zeggen. Het is immers niet de bedoeling dat je privézaken doet via de werkmail of -opslag. Af en toe een mailtje, bestandje of printje zou geen punt moeten zijn, maar structureel je werk gebruiken als backup gaat mij ergens toch te ver.

Ook wanneer je deze bestanden in een submap stopt die “Privé” heet, zou dit een probleem blijven. De werkgever mag dan op zich die map niet zomaar aanklikken, maar hij kan en mag wél opvragen hoe groot deze is. En als dat dan zo’n vijftien procent is van de totale opslag, dan zou ik daar toch wat van vinden als werkgever.

Dus nee, ik zou dit écht niet doen en een berisping zou ik zomaar logisch vinden als de werkgever dit per toeval aantreft. Dan liever een paar euro voor extra opslag bij Microsoft (of elders).

Arnoud

39 reacties

  1. Buiten dat het onwenselijke gedrag is:

    Er is ook gratis cloud/on-line opslag te vinden, zelfs specifiek in Nederland gehost. ( 1 Terabyte) Nou is gratis een begrip met dubbele bodem (als het om het Internet gaat), maar het beveiligen van wat je in de cloud opslaat maakt inzien al lastiger. Kortom waarom opslaan in de zakelijke cloud van je werkgever.

    1. Nou is gratis een begrip met dubbele bodem (als het om het Internet gaat)

      Tenzij je bedoelt dat om gebruik te kunnen maken van de online opslag, je daar een apparaat voor moet aanschaffen en een internet verbinding nodig hebt? Anders is de 1TB die je aanhaalde (Stack van TransIP) wel degelijk 100% gratis. En als je je bestanden daar versleutelt (voordat je ze er naar toe kopieert 😉 ) kan Transip ook geen profilering op de bestanden toepassen. Dus nogmaals, ik zie je voorbehoud niet zo.

      Ik gebruik Stack bijvoorbeeld om de backup van mijn VPS te parkeren. (Naast de snapshot die bij de VPS provider dagelijks gemaakt wordt)

  2. En als dat dan zo’n vijftien procent is van de totale opslag, dan zou ik daar toch wat van vinden als werkgever.

    Vroeger stond deze data op de zeer dure eigen dubbel uitgevoerde netwerkschijf en kwam ook nog eens alles op de backup terecht waardoor deze 4 uur langer duurde en het niet meer op één tape paste. Nu betaalt de werkgever waarschijnlijk een bedrag X per werknemer en de werknemer krijgt hiervoor een bepaalde ruimte bij Microsoft. Deze ruimte is nog niet vol. De gepaste reactie van de werkgever is dus: BOEIE!

    TENZIJ de voorwaarden van Microsoft dit verbieden of de prijs voor de werkgever toch omhoog gaat, hetgeen niet aannemelijk is.

    EDIT: (Toch nog een) MITS het bedrijf geen hinder heeft van de upload via de waarschijnlijk flat-fee internetpijp.

  3. Het idee alleen al dat je de opslag van je werkgever zonder te vragen gebruikt en dan ook nog op privacy zou willen beroepen, is ‘preposterous’ (weet er even geen passend Nederlands woord voor). Stel je dit eens voor in de fysieke wereld: even zonder te vragen wat privé dozen in het magazijn zetten en dan vinden dat je werkegever er niet in mag kijken. Tijd voor een normoverdragend gesprek.

    1. Wat mij betreft eerder: In je ladenkastje onder je bureau wat prive dingen neerleggen. Ikzelf heb in mijn persoonlijke map op mijn werk ook enkele prive bestanden staan, zoals een scan van mijn paspoort.

      En voor de vragensteller: Als je toch weet dat je werkgever er geen last van heeft (qua ruimte, internetverbinding en whatever) is het heel snel om een mailtje te tikken “Ik zie dat ik van de 1000GB maar 100MB gebruik. Is het akkoord als ik hier wat prive bestanden a 100 GB bij plaats?”. Het antwoord op zo’n mailtje gewoon bij het prive mapje erbij kopieren en klaar.

  4. Ook wanneer je deze bestanden in een submap stopt die “Privé” heet, zou dit een probleem blijven.

    Ik bedenk me ineens dat meer en meer bestanden automatisch geïndexeerd worden. Ik kan me voorstellen dat dat voor werk ook over verschillende gebruikers heen gaat. Dan wordt het oneens el heel lastig om je privé spullen goed af te schermen.

    1. Een geëncrypteerde ZIP doet wonderen. Maar eigenlijk is het een beetje een onnozele discussie. Als je storage van je werkgever gebruikt moet je niet bang zijn dat hij er in gaat neuzen. Ben je daar wel bang voor (omdat het je P***O verzameling betreft bijvoorbeeld, dan moet je gewoon andere storage zoeken. Mogelijkheden zat.

      Ik lees elders het argument dat een werkgever niet in een mapje met de naam privé mag kijken. Ik vind het echter een plicht van de werkgever om er op toe te zien dat zijn storage niet misbruikt wordt voor bijvoorbeeld porno of racisme of terrorisme. Een werkgever heeft hoe dan ook het recht om klakkeloos te verwijderen waarvan hij denkt dat dat nodig is. Tot zover dus een betrouwbare backup…

      1. Ik vind het echter een plicht van de werkgever om er op toe te zien dat zijn storage niet misbruikt wordt voor bijvoorbeeld porno of racisme of terrorisme.

        Daar ben ik het helemaal niet mee eens. Privacy is privacy; pas bij concrete verdenking wordt het misschien anders. Het is wat mij betreft dus omgekeerd: bij afwezigheid van concrete verdenking heeft de werkgever de plicht om de privacy van de werknemer te beschermen, en dus ook de plicht om niet de opgeslagen gegevens te analyseren!

        1. Je krijgt die faciliteiten van je werkgever voor het werk. Bij ons staat expliciet in het reglement dat ze niet voor privegebruik zijn, en dat zal elders niet anders zijn. Dan mag je dus controleren of dat reglement wordt nageleefd.

          Als er op je werk een grote hal leegstaat, zet je daar dan ook je huisraad, kinderspeelgoed, fotoboeken enzovoorts in als je thuis geen ruimte hebt, en ga je dan ook roepen dat iedereen daar met zijn poten van af moet blijven en er zelfs niet in mag kijken omdat het prive is? Waarom ineens wel als de ruimte en de spullen digitaal zijn? Ik zie niet wat dat voor verschil maakt.

          1. Het punt is dus dat zo’n reglement dat niet mag zeggen. Een reglement mag ook niet bepalen dat ik op de wc gefilmd wordt in verband met drugsbestrijding, om eens wat te noemen. Je hebt privacy, dat is een grondrecht en ook op het werk moet dat worden gerespecteerd. Het reglement moet dus kunnen rechtvaardigen dat de privacy wordt geschonden. Dat kán wel maar het is niet een kwestie van “we mogen te allen tijde alles”.

            Een collega van me kwam altijd fietsend naar het werk (30km, ligfiets), en ging dan altijd even douchen eerst. Hij had dus een toilettas met privéspullen zoals douchegel en extra ondergoed op het werk staan. Het zou toch héél raar zijn als de Beveiliging zomaar in die tas ging snuffelen “want het reglement zegt, geen privézaken op het werk”?

            1. Oké, normaal gesproken houd ik me buiten dit soort discussies omdat ze eigenlijk voor zich spreken, maar deze opmerking van Arnoud geeft me toch wel een beetje vreemd smaakje… Ik mag dan wel geen werkgever zijn, maar iets snap ik hier niet aan.

              “Bij ons staat expliciet in het reglement dat ze niet voor privegebruik zijn, en dat zal elders niet anders zijn.”
              “Het punt is dus dat zo’n reglement dat niet mag zeggen.”

              Pardon? Mijn werkgever stelt mij iets ter beschikking waar zij voor betalen of in geïnvesteerd hebben. Het doel hiervan is dat het gebruikt wordt voor zakelijk nut, daarom krijg ik hier als werknemer (niet als iedere willekeurige particulier die toevallig net voorbij loopt) toegang tot. Waarom zou mijn werkgever hier dan niet van mogen zeggen: “Maarten, wij stellen je dit ter beschikking zodat jij je werk goed kan doen. Veel plezier ermee. Vriendelijk verzoek om je privé zaken hier niet mee te regelen, want daar is het niet voor.”

              Sterker nog, ik zou het vreemd vinden als het NIET gebeurt! Want als dat er niet in staat, dan mag je er als werkgever dus ook geen opmerking over maken. Dus in het geval van een cloud storage met een totale opslaglimiet (dus niet user-gebonden, maar ‘zo groot is de harde schijf en niet meer’) waarbij de vraagsteller zijn volledige persoonlijke fotoalbum upload waardoor collega’s hun zakelijke bestanden niet meer kwijt kunnen, ontstaat de volgende situatie:

              “Hey werknemer, luister. Onze bedrijfs-cloud zit op 99% van z’n schijfruimte. Ik zie een mapje ‘prive’ in jouw account staan met 15% schijfgebruik erin. Kan je dat even weghalen? Want daar is het niet voor.” “Nou luister werkgever, dan had je dat van tevoren even moeten zeggen. Want het staat nergens.” “Nee klopt, we wilden het in het reglement opnemen, maar dat mag schijnbaar niet.”

              Ik ga er van uit dat ik gewoon iets verkeerd begrijp. Want als dit inderdaad de situatie is, klopt er structureel iets niet in de wetgeving denk ik zo. En nu wordt het zelfs heel verwarrend, want in je eigen artikel zeg je dit:

              “Dus nee, ik zou dit écht niet doen en een berisping zou ik zomaar logisch vinden als de werkgever dit per toeval aantreft. “

              Maar hoe kan hij dan een berisping geven, als hij niet mag vertellen dat je je privé zaken er niet op mag hosten?

              1. Een goed werkgever moet beperkt prive-gebruik van de beschikbaar gestelde hulpmiddelen gedogen; net zoals een goed werknemer toestaat dat in de werksituatie een beperkt gebruik van zijn zaken (bijvoorbeeld de prive-telefoon, auto) gemaakt wordt.

            2. Een dergelijke reglement mag bepalen “beperkte opslag” en daar zelfs een hoeveelheid mee combineren. Bij diverse klanten gezien waarbij overigens ook de overtreder over het algemeen lid was van de directie 😉 welk een genoegen om die op de vingers te tikken.

          2. Omdat er nogal een groot logistiek verschil in zit.

            Met een klik is de digitale wereld verdwenen, terwijl zo’n magazijn tijd, werk (voor het verplaatsen ervan) en opslag in beslag neemt.

            En jij bent denk ik een van de weinige die nooit even snel een boodschap doet in de pauze, of iets persoonlijks in je tas hebt zitten?

            1. Digitale opslag kost net zo goed wat. En “grote” of “kleine” logistiek; wat maakt het uit? Het gaat om het principe. En uiteraard, even snel een privé-bestandje daar plaatsen en later weer weghalen, omdat je je USB-stick vergeten bent (vergelijk: even snel een boodschap doen), dat is geen probleem. Het punt is het structurele gebruik. Dan mag jij als werknemer misschien wel denken: wat kost dat nou helemaal? Maar dat is niet aan jou om te beslissen, maar aan je werkgever.

              1. Ligt een beetje aan de definitie van privé, privé is niet werk gerelateerd, dat waar je werkgever, ik heb geen baas, iets over te zeggen heeft.

                Mijn werkgever heeft echter niets te zeggen over OR gerelateerde documenten, bestanden die ik gebruik voor het kwartaal blad etc., zaken die ik bespreek met human resources etc., kopieën van mijn paspoort, diploma’s etc.

                Zoals wel veel meer mensen zijn er slechts weinig die enig idee hebben wat er allemaal onder ‘privé’ kan vallen.

                En sommige bedrijven laten nu eenmaal niet toe dat je vanaf je werkplek toegang hebt tot je privé email box en/of een privé cloud.

        2. Analyseren is één ding, verwijderen is een ander. Wat is een concrete verdenking? Ik vind het voldoende als de concrete verdenking is dat het om privé gegevens gaat. Die horen niet thuis op een door de werkgever beschikbaar gestelde storage. Althans niet zonder overleg vooraf. Ik vind het volkomen normaal dat de werkgever ten alle tijde data mag verwijderen.

          1. Hmm, OK, maar dat is wat anders dan “porno of racisme of terrorisme”. Mee eens dat de werkgever privé-data van werk-opslag moet kunnen verwijderen als dat het werk in de weg zit. Ik vind wel dat dat in overleg moet gebeuren; als in “we hebben een tekort aan schijfruimte, en ik zie dat jij vrij veel ruimte inneemt. Waar heb je die ruimte voor nodig? Is dat privé-data? zou je er voor willen zorgen dat die over een paar dagen verwijderd is? Zo niet, dan vraag ik de sysadmin om het te verwijderen.”

            Ik vind ook dat het wel netjes is als werknemer om significant gebruik voor privé-doeleinden alleen in overleg te doen. Wat wel/niet significant is moet je zelf maar inschatten; ik denk dat dit meer iets van goede manieren is dan van regeltjes.

  5. Afgezien van wat jij en je werkgever allemaal mogen en kunnen, moet je er ook rekening mee houden dat Microsoft alles kan inlezen wat je op OneDrive opslaat. Als je aan je privacy hecht (en dat doe je, want anders zou je deze vraag niet hebben gehad), dan doe je er goed aan om je privé-gegevens encrypted op te slaan. Als dit puur voor back-ups is, kan dat vrij makkelijk met bijv. 7-zip.

    Aan de andere kant: misschien kan Microsoft sowieso wel bij je gegevens als je windows gebruikt. Als je je privacy echt wilt beschermen, moet je misschien ook over stappen op een open source systeem met een goede reputatie, zoals Linux(*).

    (*) Doe maar geen Ubuntu; zelf gebruik ik Debian.

      1. Interessant. Heeft BSD ook een vergelijkbare set drivers als Linux voor, bijv, GPUs en wireless? Werkt Wine (Office, games) net zo goed? Hoe vergelijkt package management gemak, de beschikbaarheid van software als packages en de snelheid van security updates met bijv. Debian of Ubuntu?

        1. Qua grafische drivers is NVidia het beste ondersteund, al heb ik van horen zeggen dat AMD en Intel nu ook goede ondersteuning hebben. WiFi heb ik op de meeste apparaten waar op ik FreeBSD gedraaid heb wel werkend gekregen, gegeven dat de hardware ook een driver heeft op Linux.

          Wine draait als een zonnetje, sommigen zeggen zelfs beter dan op Linux. Er zijn genoeg guides hoe je Steam werkend krijgt met FreeBSD en Wine. Er zijn zelfs installatiescripts. Recente packages van het meeste zijn wel beschikbaar, security patches komen doorgaans ook heel snel.

          Als je nieuw bent en je kunt de weg niet 1-2-3 vinden kun je TrueOS proberen. Dat is een FreeBSD-distro die tot FreeBSD staat zoals Ubuntu tot Debian staat. De meeste drivers zitten daar al in en je krijgt meteen een grafische interface ipv dat je zelf X11 nog aan de praat moet krijgen. De gebruikelijke Linux WindowManagers werken er wel op.

          Voor maximale privacy ga je natuurlijk voor OpenBSD, but minimal configuration and tweaking required.

  6. De oplossing is toch gewoon even aftoetsen bij je werkgever neen? Als het ooit tot problemen komt en je moet je (al dan niet terecht bereopen op je recht op privacy), ben je als werknemer toch al een verliezer want daar gaat je goede relatie met je werkgever.

    Zomaar zonder te vragen er vanalles gaan oppleuren vind ik toch maar een bizarre actie. Als je al zoiets doet, dan enkel als je alles encrypt.

  7. Wat ik eerlijk gezegd niet begrijp: Waarom Backup op een Cloud of op een vreemde Server? Voor een paar tientjes heb je 2 TB externe Disk, helemaal van jou, kan je makkelijk in je tas stoppen en mee nemen (als je dat al zou willen). Bij een Cloud of een vreemde server ben je altijd afhankelijk van internetverbindingen en die zijn ten eerste niet altijd en overal beschikbaar en ten tweede niet altijd zo veilig als je graag zou willen. Als werkgever zou ik duidelijk zijn in mijn regels: Geen structureel gebruik van werk-net en/of servers voor privé. Een Backup is structureel, dus…

    1. Het nadeel van een ‘fysieke’ externe disk is dat je alsnog je gegevens kwijt bent in bv. het geval van brand en m.i. is het ook gevoeliger voor diefstal, zeker als je er ook nog eens mee gaat slepen. Auto kwijt, harde schijf kwijt. Om maar een zijstraat te noemen.

      On topic: persoonlijk vind ik het niet echt getuigen van goede manieren om zonder enige vorm van overleg zomaar je familiearchief in de digitale archiefkast van je werkgever te zetten, ook al heeft hij wel 10 planken ongebruikt. Ik neem aan dat je zo ook niet omgaat met de ‘fysieke’ archiefkast, dus ik zou niet weten waarom je dan wel met digitale ruimte zo zou omgaan. Iets met fatsoen en omgangsvormen.

      1. Plus dat sommige bedrijven en scholen de USB-poorten hebben uitgeschakeld in het BIOS (waar je zelf niet bij kan). Kun je wel lekker een externe disk meenemen, maar hoe sluit je hem dan aan? Met de cloud heb je dat probleem niet (tenzij je werkgever een internetfilter heeft die dat blokkeert, maar dat lijkt me stug en dan nog kun je dat weer omzeilen middels een proxy, bijv. Hide My Ass).

    2. Ik heb OneDrive, Google Drive, Dropbox en Stack (van TransIP) op mijn computer geïnstalleerd staan en het nut hiervan kon ik onlangs mergen toen mijn PC de geest gaf met een lichte brandlucht en een stevige knal. Wel netjes binnen de garantietijd, dus dat valt weer mee… Een moederbord en twee nieuwe harde schijven later had ik weer een prima systeem met 4 TB aan schijfruimte! En de 3 TB aan data kreeg ik weer terug vanuit deze vier cloud-oplossingen. Ik vind het dan ook erg belangrijk om mijn eigen data in mijn eigen cloud-omgevingen op te slaan en zal dus niet de omgeving van mijn werkgever hiervoor gebruiken.

      Waarom niet een externe disk? Wel, ik heb ook twee NAS schijven maar die gebruik ik vooral voor mijn muziek-collectie en voor installatiebestanden. Die zijn bij elkaar ook al snel 2 TB. Maar het nadeel is dat deze niet vanaf iedere locatie te bereiken zijn, terwijl deze cloud-oplossingen dat wel zijn. Dus ben ik onderweg met mijn laptop en heb ik een bepaald bestand nodig, dan kan dat vrij eenvoudig via de Cloud. Heb ik met mijn mobieltje een paar foto’s of een filmpje gemaakt dan gaan ook die vrijwel automatisch naar de Cloud. Het is enorm gemakkelijk om zo bestanden via de Cloud op te slaan en te delen met al mijn apparaten.

      Maar waarom dan niet mijn NAS via de router rechtstreeks aan het Internet hangen? Simpel. Ik heb namelijk ook een web server thuis in gebruik en die is al druk genoeg bezig. Dit is mijn test-omgeving voor de web applicaties die ik ontwikkel en heeft dus voorrang op mijn NAS schijven. Bovendien kun je maar 1 NAS aan je internet-verbinding hangen. Nou ja, via mijn web server zou ik al die schijven beschikbaar kunnen krijgen met de juiste software maar daar is’ie nu enmaal niet voor bedoeld.

      Kortom, ik ben best tevreden met die cloud-opslag, hoewel het wel ruim drie dagen duurde voordat alle data weer op mijn PC stond. 🙂 Maar ja, we praten dan ook over 3 TB aan data, die dus niet op een 2 TB NAS past.

      Maarre…

      De echte reden waarom ik geen NAS gebruik voor mijn belangrijke data? In het verleden heb ik meegemaakt dat mijn PC op mijn werk ieder weekend een volledige back-up uitvoerde op een centrale server in het netwerk. Alleen, op 1 dag crashte de harde schijf van die PC tijdens de back-up procedure en dit resulteerde in een crash van de backup-software en een compleet gecrashte backup-schijf. Het gebruik van een voorgaande backup bleek ook niet te werken omdat de PC al wekenlang crashte tijdens de backup, maar iedere keer opnieuw wist te herstellen tot het fatale weekend. Ofwel, al wekenlang was de backup stilletjes gefaald met als gevolg dat alle bedrijfsdata op mijn PC verloren was gegaan. Niet alleen was ik vervolgens een paar dagen bezig om alle software op mijn PC opnieuw te installeren en in te stellen maar veel test-data en code aanpassingen waren gewoon foetsie.

      Als je je eigen NAS gebruikt dan moet je zorgen dat de data erop ook veilig blijft. Als b.v. je huis de fik in gaat kun je moeilijk even snel je huis in rennen om je NAS te redden zodat je data veilig is. Veel bedrijven bewaren altijd een backup van belangrijke data buiten de deur zodat het pand plat gebombardeerd kan worden maar men de data nog steeds ergens veilig heeft. Ik neem aan dat ook Arnoud hier gebruik van maakt met al zijn klantgegevens. Je moet geen risico’s nemen met dit soort belangrijke data…

       

      (Oh, broncode van mijn software projecten worden ook nog eens in een TFS en GIT server opgeslagen, ergens in de Cloud.)

  8. de omgekeerde is dan De werkgever gebruikt 15% van jouw opslagruimte om zijn zakelijke dingen op te slaan. Jij betaald die ruimte en de werkgever gebruikt 15%. kun je dan ook niets van zeggen

    even en heel ander punt het is onverstandig om zaken die van werkzijn prive te gebruiken om meerdere redenen de inhoud kan tegen je gebruikt worden als er beslag wordt gelegd vlt jouw prive daar ook onder en probeer dat maar terug te krijgen als iemand de zaak hacked ligt jouw prive leven op straat.

    als laaste office 365 heeft ook een abonnement voor je familie en daar heb je ook ‘1TB gratis’ bij.

    Persoonlijk advies voor iedereen hou prive en zakelijk gescheiden, je wordt uiteindelijk betaald om gedurende werk tijd werk te verrichten en buiten werktijd behoor je niet op de plek te zijn in verband met rust. en de vakbonden hebben jaren gestreden dat je een pauze hebt om de werkplek te kunen verlaten.

  9. Ik bedenk mij opeens iets! Stel dat de werkgever door de OneDrive folders gaat bladeren en dan toevallig deze privé-folder tegenkomt. Mag de werkgever deze dan direct wissen omdat het niet werkgerelateerd is en alleen maar ruimte kost? Immers, de werkgever heeft er geen belang bij maar de werknemer is zijn privé-data wel opeens kwijt…

    1. Als het goed is heeft een werkgever niet de rechten om in een persoonlijk deel van een shared drive te kijken.

      Als je echter zo ‘slim’ bent om je privé data op een shared drive te zetten, zou ik echter niet verbaasd zijn als dit wel zou gebeuren. Ik zet het nog liever op een persoonlijke server

    2. Het lijkt me slecht werkgeverschap om privédata van een werknemer te wissen zonder overleg, net zoals het slecht werkgeverschap is om een stapel privépost op iemands bureau gelijk in de versnipperaar te duwen (“je belastingaangifte doe je thuis maar”). Normaal lijkt me dat je zegt, hela dit is niet de bedoeling, haal je dat er als de sodemieter af en maandag is die map leeg.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.