Mag een collega je laptop locken en in Word aan je uitleggen waarom?

Een lezer vroeg me:

Een collega van me kreeg gisteren ruzie met een andere collega: hij had diens laptop onbeheerd gespot zonder vergrendeling, dus deze snel op slot gedaan. Hij had in Word een nieuw bestand gemaakt en daarin in grote letters “Je laptop stond onbeheerd open, heel onverstandig, groeten Wim” gezet zodat de collega na unlocken zou snappen wat er was gebeurd. Maar die collega spreekt nu van computervredebreuk en privacyschending, en wil bij HR een klacht indienen. Loopt mijn collega nu enig risico?

Als we het hebben over werkcomputers, dan is er zeer zeker geen sprake van computervredebreuk of ander strafbaar feit wanneer collega’s aan elkaars spullen zitten. Net zo min als wanneer je collega achter jouw bureau gaat zitten. Het is namelijk niet ‘zijn’ bureau of laptop, die is van het werk en jullie hebben beiden als werknemer toestemming de werkmiddelen te gebruiken.

Natuurlijk kan het vervelend zijn als collega’s aan elkaars spullen zitten. Maar dat wordt opgelost met de wettelijke regel dat je je als goed werknemer moet gedragen: wat is fatsoenlijk, wat is normaal in deze situatie.

Ik zou zeggen dat er niets mis is met een collegas PC locken en net daarvoor even een berichtje open zetten “Je laptop zat niet op slot”. Natuurlijk ga je niet eerst rondkijken of er wat te lachen valt in de privémapjes of browsergeschiedenis. Ik zie dus geen reden voor een klacht, laat staan voor een berisping of zelfs maar een stevig gesprek.

Gezien het steeds groeiender belang van security denk ik dat het goed is als werkgevers hier eens expliciet regels over gaan maken. Wat mag je wel doen met een onbeheerde pc en wat niet?

Een in de praktijk goed werkende mogelijkheid is het krokettenprotocol (in het zuiden des lands ook bekend als het vlaaiprotocol): als iemands computer onbeheerd open staat, dan ben je geautoriseerd om de betreffende collegas/groep/afdeling een mail te sturen “Ik neem morgen [kroketten|vlaai] mee”. Daarna de laptop op slot en verder nergens aan komen.

Arnoud

43 reacties

  1. Stel, HR neemt dit wel op als een probleem (en je zou ze de kost moeten geven die om niks gelijk hoog in de boom gaan zitten), dan is de repliek eenvoudig: als de medewerker in kwestie niet zijn/haar laptop op slot doet bij het verlaten van de werkplek, is er risico op datalekken en de algehele intergriteit van de bedrijfsdata komt in gevaar. Zeker als het gaat om bedrijven met een financiële of persoonsgegevensverwerkende inslag, is dat gevaar reeëler dan gedacht.

  2. Als je bij mij op het werk de unlocked werkplek van een ander ziet doet iedereen: Outlook starten en een mailtje typen to “alle collega’s” (zijn er stuk of 15) met de tekst “Ik liet mijn computer onbeheerd achter en trakteer daarom morgen op worstenbrood!”. (En omdat het zo ongeveer de helft van de mensen wel eens gebeurd is, vind niemand het echt erg, hooguit een tikkeltje genant.)

    Edit: Niet helemaal gelezen, zag dat het voorbeeld al genoemd stond, en is hier inderdaad bedrijf in Brabant 🙂

  3. Is het echte probleem niet dat veel (open) werkplekken zo zijn ingericht dat onbevoegden ook fysiek toegang hebben tot de computers. Als mensen kantoortjes hebben en de deur daarvan op slot gaat is een niet gelockte computer geen probleem. Natuurlijk is je computer locken in een open werkplek verstandig, maar als iemand er fysiek bij kan kun je niet verwachten dat je computer hackveilig is. Bovendien zijn de papieren op je bureau dan ook open en bloot en kun je daar weinig aan doen. (En nee, alles opbergen als je even weggaat is niet een goede oplossing, want dan duurt koffie halen of naar de wc gaan opeens een kwartier.)

    1. Als er privacygevoelige gegevens op die papieren staan en iemand die niet bevoegd is kan die zomaar bekijken (schoonmakers bijvoorbeeld) heb je formeel gezien een datalek. Die papieren kun je tussendoor in een locker of rolkoffer opbergen. Privacy gaat in dat soort gevallen boven gemak.

      En daarom is digitaal werken zo’n zegen. Alle bedrijfs- of privacygevoelige informatie wordt digitaal ontsloten en is beschermd door het locken van de PC. Hoe makkelijk en veilig wil je het hebben?

      1. “Als er privacygevoelige gegevens op die papieren staan en iemand die niet bevoegd is kan die zomaar bekijken (schoonmakers bijvoorbeeld) heb je formeel gezien een datalek. “

        Ja, een schoonmaker is in vijf minuten vertrouwd met systemen, waar een geschoold werknemer jaren over doet om ze op een behoorlijk niveau te beheersen.

        1. Uhm, volgens mij schrijf ik duidelijk (in het stukje tekst dat je zelf aanhaalt) dat dit betrekking heeft op papieren die op een bureau liggen, waar privacygevoelige gegevens op staan, niet over gegevens in systemen. Goed lezen!

          1. Inderdaad, u had het over papieren. Maar zelfs al zouden we het doortrekken naar digitale systemen: als een werknemer de PC niet vergrendeld en de schoonmaker ziet op het systeem openstaan “5000 euro als je dit even zwart voor me regelt” (om maar even een stom voorbeeld te noemen) dan heb je helemaal geen kennis nodig van dat soort systemen om te zien dat er iets niet klopt.

  4. Ik heb bij een organisatie gezeten waar een “appelflappenregeling” van kracht was, vergelijkbaar met de worstenbrood/vlaaienregeling (ook deze organisatie zat in Brabant). Dat was de collegiale benadering, we hielden elkaar er scherp op. Want als een medewerker van Informatiebeveiliging het constateerde was het grond voor een formele waarschuwing, mits je werkplek op dat moment buiten je gezichtsbereik was.

    Op een gegeven moment hebben ze de toegangspassen voor het gebouw waarmee ook de tussendeuren in het gebouw ontsloten konden worden ingericht als fysieke inlogtoken voor het netwerk, met een kaartlezer bij de werkplek. Wilde je naar een andere afdeling had je de pas nodig en het verwijderen van de pas uit de lezer lockte ook direct de werkplek. Het probleem was daarmee voor een groot deel opgelost.

    Ik leer iedereen ook om bij weglopen eerst de “Vlaggetje-L” methode te gebruiken. Want een word-document valt nog niet heel erg op, een felle kleur als bureaubladachtergrond valt meer op en dat zien de collega’s om je heen ook. Shaming heeft een corrigerende werking wat dat betreft.

  5. Het echte probleem hier is natuurlijk dat dit een bijdehante en betweterige collega betreft die met een nonchalante collega met een bord voor zijn kop botst. En daar heeft HR waarschijnlijk een broertje dood aan. Dit mondt waarschijnlijk uit in een vete tussen de twee collega’s en nu moet iemand politieagentje over hen gaan spelen. Dus computervredebreuk, nee. Privacyschending, nee. Maar loopt de collega risico? Misschien… Hij kan nu als instigator gezien worden, door iets te doen wat door sommigen als oncollegiaal kan worden beschouwd.

    Wat de kroketten, vlaaien, worstenbroodjes en appelflappen betreft. Is dit pas iets wat computervredebreuk voltooit of andere wetten overtreedt?

    1. Ik zie geen enkele manier waarop dit tot computervredebreuk of vergelijkbaar strafbaar feit kan escaleren. De laptop is van de werkgever, en de werknemers maken daar gebruik van voor het werk. Dat kan nooit strafbaar zijn, net zo min als op het werk aanwezig zijn ooit lokaalvredebreuk kan opleveren. (Ja, als je niet weggaat na op staande voet ontslagen te zijn maar dat terzijde.)

      1. Dat de andere collega zich niet kan beroepen op het eigendomsrecht van een werkcomputer, wil nog niet zeggen dat er geen sprake kan zijn van computervredebreuk. En het gaat verder dan alleen de computer van de andere collega. Goed, het locken van een computer en het achterlaten van een bericht is geloof ik nog geen computervredebreuk. Maar het jezelf voor doen als een ander en toezeggingen mailen? Je zou zomaar eens kunnen voldoen aan 138ab SR, dat wat onder lid 1 onder d wordt bedoeld.

        Natuurlijk, je hebt toestemming van je baas om de Exchange-server te gebruiken. Maar wel onder je eigen naam! Net zoals je van Google toestemming hebt om hun mailservers te gebruiken, onder je eigen Gmail account.

        1. Het artikel vereist een verband tussen het toegang verkrijgen tot de computer enerzijds en aannemen van een valse hoedanigheid anderzijds. Dat verband ontbreekt bij het versturen van een e-mailtje dat er op taart getrakteerd zal worden. Daar hoef je overigens helemaal geen toegang tot de computer voor te hebben.

            1. Nogmaals, ik kan uit naam van mijn collega’s allemaal mails versturen, zonder dat ik daarvoor ooit op hun computer hoef in te loggen. Als ik jouw e-mail heb dan kan ik als jou een mail naar Arnoud sturen. Ik vul gewoon jouw e-mail adres in op het “van” veld, thats all.

                1. Je kunt via SMTP email op de mailserver afleveren en daarbij zelf je mailheaders samenstellen. Ik ken mensen die met telnet naar poort 25 email verstuurden.

                  Ik heb ook gewerkt bij een bedrijf met een vergelijkbare regeling; ik heb daar een PGP-ondertekende “taart” email gezien, geen fake emails, alle berichten werden vanaf de niet-gelockte werk-pc verstuurd.

                  1. Ondertussen een beetje een non-discussie, want de daadwerkelijk omzeilde beveiliging doet er niet toe… Maar Exchange stuurt bepaalde mailheaders mee mbt authenticiteit. Stuur je diezelfde server een mail namens een account die ook op die server meedraait, dan kan Exchange consequenties verbinden aan het ontbreken van die mailheaders. Daarnaast bestaan er ook andere technieken om spoofed mails tegen te gaan, zoals DNS gebaseerde oplossingen.

                    Hoe dan ook, wat je doet is verbinden met een Exchange server (een geautomatiseerd werk) en doe je jezelf voor als een ander (het aannemen van een valse hoedanigheid). Al spoofde je de mail en deed je het vanuit je eigen computer, vanuit je eigen huis, het mag niet.

  6. Is er een policy is die iets zegt over het locken van een scherm bij het bedrijf? Zo nee dan moet die er wellicht komen. Technisch wordt het bij ons afgedwongen na 5 minuten maar instructie is om het altijd te doen bij verlaten werkplek, dus in ons geval zou de klager potentieel een probleem hebben. “Hoezo kon iemand op jouw computer een word openen en een briefje tikken? Jij locked je scherm toch netjes conform clean desk policy” 😉

      1. Ik heb hier ook dubbele gevoelens over. Ik snap ergens wel waarom je het beter wel kunt doen, en vooral niet waarom niet (kleine moeite). Maar de kans dat er kwaadwillenden (collegae dan wel gasten) in het bedrijf rondlopen waar ik werk acht ik nihil. Ik doe het voornamelijk om de practical jokes te voorkomen 🙂

        In grotere bedrijven kan ik het me beter voorstellen. Dan wil je misschien niet dat men de passwords die bijvoorbeeld door je browser onthouden worden ingezien kunnen worden.

        Maar goed, de klagende collega heeft de oplossing dus al aangedragen gekregen. Hij vind het duidelijk niet leuk als er mensen op zijn computer zitten. Op slot zetten dus. De ironie!

    1. Er kunnen collega’s (van andere afdelingen) met andere bevoegdheden rondlopen; laat ik als voorbeeld een gemeentehuis nemen waar je niet wilt dat ambtenaren van de afdeling ruimtelijke ordening inzage krijgen in zorgdossiers.

      Of een ander voorbeeld: een programmeur die een systeembeheerdersaccount gebruikt om iets te patchen op het productiesysteem.

  7. Zolang enkel collega’s fysieke toegang hebben tot het apparaat lijkt mij het locken ook minder zinvol. Jullie gaan er nu vanuit dat het werk wordt gedaan op een computer van de werkgever. Wat als het werk op een systeem van de werknemer wordt gedaan? BYOD wijzigt dan het risico op een strafbare handeling?

    1. Ik heb ooit ergens gewerkt waar vanaf ongelockte computers een e-mail werd verstuurd naar je directe collega’s dat je speciaal voor hen die dag een roze tanga had aan gedaan.

      Maar serieuzer, een oom van mij was nachtwaker bij defensie. Als hij daar een ongelockte computer aantrof, moest hij ogenblikkelijk het wachtwoord veranderen en de computer locken, en daarna een melding maken. En ook op minder serieuze werkplekken wordt zoiets gezien als een security incident.

      1. moest hij ogenblikkelijk het wachtwoord veranderen

        Dat kan niet als je het oorspronkelijke wachtwoord niet weet. Maar direct locken en een security-incident melden is natuurlijk terecht in een dergelijke privacy- en security-gevoelige omgeving. Ik werk nu 20 jaar in de detachering en bij alle klanten waar ik heb gewerkt was het officiële protocol om je werkplek te locken zodra je wegliep.

        1. Eh, ik kan je zo legale instructies geven hoe je een wachtwoord verandert van een Linux-desktop zonder dat je daarvoor het oude wachtwoord nodig hebt. Sterker nog: die instructies staan ook gewoon op internet. Zo moeilijk is het niet, zeker niet als je het al eens gedaan hebt.

    2. Of het nou gaat om Hello Kitty of krokkettenmails, ik vind het echt niet kunnen. Een beroep op computervredebreuk faalt misschien, maar die “maatregelen” hebben een totaal gebrek aan proportionaliteit.

      Als je iemands desktopachtergrond verandert in Hello Kitty, dan moet je al zijn browser gepakt hebben, groot risico dus dat je al vanalles ziet, en iets van een (betrouwbare?!) site downloaden. Ook moet je wellicht nog een e-mailprogramma, of file browser wegklikken. Het sturen van een mail namens iemand anders heeft ook een grote kans dat je andere mails langs ziet komen terwijl je dat doet, en sturen naar alle collega’s heeft een hoog schandpaalgehalte.

      De gewoonte dat het normaal zou zijn dat een willekeurige collega zonder meer in jouw browser gaat zitten pielen en met jouw desktop aan de slag gaat staat in geen verhouding tot het risico. Sprekend over ons eigen kantoor is dat een afgesloten en overzichtelijke ruimte waarvan het gelijk opvalt als daar een vreemd iemand achter mijn computer zit. Van alle risico’s die wij lopen is dat er een onvertrouwd iemand achter mijn laptop gaat zitten en heel snel alles hackt echt één van de allerkleinste.

      Ik laat mijn tas naast mijn bureau staan als ik koffie ga halen. Gaan jullie daar ook Hello Kitty-plaatjes in stoppen omdat ik maar een slot op mijn tas had moeten doen?

      Dat de proportionaliteit daar zoek is lijkt me evident als je kijkt naar welke alternatieven mogelijk zijn. Als je collega zijn scherm niet lockt, spreek je hem er even op aan bij terugkeer. En als hij hardleers is (en je het risico groot genoeg vindt), meld je dit bij leidinggevende of security officer. Dat is toch allemaal evident veel meer in verhouding met de “misstand” dan in iemands spullen gaan rommelen of gelijk een mail naar heel het bedrijf sturen.

      Laat ik tot slot de situatie eens omkeren. Ik was even koffie halen en bij terugkeer zit er iemand achter mijn computer. De persoon zelf beweert “dat hij alleen even mijn desktop-achtergrond wilde aanpassen”. Moet ik dat dan maar geloven? De constatering dat er iemand ongevraagd met jouw computer aan het pielen is lijkt mij veel meer reden om een officiële melding te doen.

      1. Een beveiligingsbeleid houdt rekening met de gegevens waarmee gewerkt wordt en de omgeving waarin gewerkt wordt. Wil je een beleid effectief implementeren dan moet er een straf staan op het overtreden van dat beleid. Af en toe gebak of worstenbroodjes halen voor een man of tien is een risico dat te overzien is.

        Maar de eerste vraag die je je moet stellen is “Past een verplichting om je scherm op slot te zetten in het beveiligingsbeleid van dit bedrijf?” Dan moet je kijken naar de verplichtingen van het bedrijf en de actuele situatie in het bedrijf. Op een backoffice met toegangsbeveiliging, waar alle medewerkers geautoriseerd zijn en geen gasten komen is het nut van deze maatregel minimaal. Als je een kantoortuin hebt waar verschillende teams aan verschillende projecten werken, met vertrouwelijke gegevens van verschillende klanten, dan is een “vergrendel je scherm” regel noodzakelijk.

        In het “papieren tijdperk” golden er ook regels als “clean desk policy” en “kast met vertrouwelijke gegevens op slot als je de werkplek verlaat.” Als jij jouw tas gebruikt om je lunchpakket en paraplu in te vervoeren zie ik geen reden om daar “Hello Kitty” plaatjes in te stoppen. Zitten er ook vertrouwelijke klantdossiers in, dan kan ik het begrijpen als een collega die eens bij jouw manager of de security officer bezorgt en jou laat uitleggen waarom jij ze onbeheerd hebt achtergelaten.

        1. Je gaat niet echt in op de kern van mijn betoog. Dat is niet of scherm locken nuttig is, maar of het terecht is dat de straf daarop is dat iemand op je desktop rondneust, dingen downloadt en mails naar allen vanuit je naam verstuurt. Dat vind ik namelijk nogal wat. En waarom het niet veel proportioneler zou zijn om de straf te laten zijn dat je melding maakt aan bv een leidinggevende of security officer. Volgens mij bereik je namelijk met die laatste middelen hetzelfde doel, zonder de behoorlijk bezwaarlijke kanten van die “ludieke” acties.

          1. Waar ik werkte was de regel dat het minimum deed om een mailtje te versturen en daarna het scherm te locken, het werd ook door het management aangemoedigd. Bij dat bedrijf waren we uit veiligheidsoverwegingen heel voorzichtig met downloads… Het verzenden van een email vanaf jouw werk-account, aan een beperkte groep collega’s, die allemaal het “taartprotocol” kennen; het is geen valsheid in geschrifte als de ontvangers weten dat de mail gefaked is.

            Ja, het rapporteren aan het management kan ook… maar wat moet het management dan als straf opleggen (aan werknemers die zo een goede baan bij een ander bedrijf kunnen krijgen)? Komt zo’n straf de werksfeer ten goede?

          2. Over de bezwaarlijke kanten van de ludieke acties valt te discussiëren natuurlijk, maar over het algemeen worden ludieke acties als prettiger ervaren dan geklik aan de baas. Dat hangt natuurlijk een beetje af van het type bedrijf of de afdeling waar je werkt. Persoonlijk heb ik liever een (ander) Hello Kitty plaatje op mijn desktop.

      2. In die tas van jou zitten (als het goed is) geen persoonlijke gegevens van derden. Hooguit je tablet/telefoon, bluetooth hoofdtelefoon en de bammetjes die je voor de lunch gesmeerd hebt. Een PC van het werk is een ander verhaal. Afhankelijk van je functie, biedt die onder jouw account toegang tot gegevens waar anderen wellicht niet bij mogen komen. Daarbij doet het er niet toe of die anderen toevallig een collega of iemand van buiten is: ik heb in mijn carrïere vaker collega’s zien vertrekken wegens fraude, waarvan ik totaal verrast was dat ze zo’n misstap maakten. Als systeembeheerder ben je bij mij het haasje als ik je PC onbeheerd en open aantref, en ofschoon ik geen mailtjes uit jouw naam ga versturen dat er morgen wat te knagen bij de koffie is, maak ik wel een screenshot van je desktop en krijg je van mij een preek. Bij herhaling komt daar een teamleider, manager of compliance officer bij.

  8. Bij een vorige werkgever had je altijd collega’s die je scherm kantelden wanneer je het scherm niet vergrendelde (Ctrl+Alt+pijltjestoetsen). Dan was het altijd weer bedenken wat ook alweer die code was. Was in ieder geval effectief want daarna liet je het wel na om het te vergeten.

    Een andere is een webpagina openen en daar lockyourscreen.com in te toetsen. Dan krijg je verschillende plaatjes waarbij iemand teleurgesteld is dat je het scherm niet vergrendeld hebt.

    Met ’traktatiemailtjes’ heb ik dan weer meer moeite omdat je je dan voordoet als iemand anders.

    1. Bij de tekst die hier op kantoor gebruikt wordt: “Hoi ik ben vergeten mijn computer te vergrendelen en trakteer daarom morgen op worstenbrood” zal weinig mensen laten denken dat je dat echt zelf hebt getyped.

  9. Bij een eerdere werkgever ging er af en toe een partner de ronde tijdens de lunch pauze en kreeg je post-it op je scherm dat je in overtreding was.

    Nog erger: als je laptop niet aan een kabel vast lag, dan kwam je terug en was je hele laptop weg. Kom je op bezoek bij de partner om uit te leggen waarom dat was voor je deze terug kreeg.

  10. Zaakwaarneming. “Ik heb het vuur onder het pannetje melk uitgezet. Volgende keer beter opletten als u op vakantie gaat!”

    Bij ons op kantoor is het ofwel:

    • installeren van browserextensie die alle plaatjes in Patricia Paay veranderd.
    • Screenshot maken van desktop, desktop bestanden in een ander mapje plaatsen, screenshot als bureaubladachtergrond instellen.
    • Een notepad openen en daarin “rm -rf /” typen,
    • of het lock-scherm wijzigen in het WannaCry betaalscherm.

    Ikzelf was het bokje toen ik koffie ging halen 10 meter verderop en dacht dat niemand snel genoeg was om het 15 seconden lockscherm te vermijden. Ik heb dat snel afgeleerd door een custom lock-scherm programmaatje te schrijven dat “meatspin” aanzet als iemand op het toetsenbord drukt. Ga je koffie halen, hoor je ineens keihard: “you spin me right round, baby, right round” door het kantoor gallen.

    Hebben beiden wat uit te leggen aan HR ;).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.