Een lezer vroeg me:
Wij doen remote beheer voor diverse bedrijven. Eén van onze klanten blijkt al onze beheersessies op te nemen, hier ben ik toevallig achtergekomen maar zij hebben er nooit wat over gezegd. Mogen zij dit zomaar doen?
Ook op het werk heb je privacy, is een vast mantra in deze rubriek. Je bent niet vogelvrij als werknemer als je je werk doet. Je werkgever mag je dus niet continu volgen of vastleggen wat je allemaal doet.
Hier ligt er een kleine complicatie, en dat is dat het hier niet gaat om de werkgever maar om de klant. Dan gaat er een ander belang ook meespelen, namelijk dat de klant het recht heeft te kijken met welke kwaliteit er wordt geleverd en of er niets misgaat. Dat maakt het iets eerder gerechtvaardigd om de ingeschakelde medewerker te volgen bij het werk.
Ik denk dus dat dit wel mag, maar het moet wel vooraf gemeld zijn zodat je als medewerker weet dat je bij dat deel van het werk wordt gevolgd. Ook belangrijk zal zijn of het hier gaat om het vastleggen van specifieke werk-activiteiten (zoals een medewerker van de klant helpen met het installeren van iets) of dat álles van half negen tot half zes wordt opgenomen dus inclusief je lunchpauze-browsegedrag. Dat laatste zou me wat ver gaan.
Heb je er desondanks moeite mee, dan kun je daar je werkgever op aanspreken. Die moet zorgen voor een prettige werkomgeving, inclusief dus een redelijke privacyverwachting. Hij kan dan weer naar de klant om werkafspraken te maken en wellicht een oplossing waarbij de opnames niet zomaar kunnen worden gebruikt.
Arnoud
De originele vraag klinkt als dat de klant alle acties op zijn eigen computer opneemt als die van afstand word overgenomen voor ICT zaken. En het is niet onwaarschijnlijk dat de klant de opname aanzet speciaal hiervoor en het niet altijd aan heeft staan. Zou het genoeg zijn als de klant in zijn service contract met het ICT bedrijf zegt dat hij dit doet? Of moet de waarschuwing gedaan worden aan de specifieke werknemer van het ICT bedrijf?
Maar als ik Arnouds uitleg goed begrijp, zou een elektricien bijvoorbeeld kunnen vragen of een beveiligingscamera in een pand wordt uitgeschakeld omdat die precies gericht is op de plek waar moet werken?
Zo begrijp ik de originele vraag ook. Als ik het goed begrijp worden de handelingen op de computer van de klant vastgelegd en niet wat de betreffende persoon verder doet. Dat dit melden netjes en gepast is ben ik het mee eens. Een eigen belang voor de klant zie ik ook, namelijk het kunnen controleren of de leverancier niet heeft zitten rondsnuffelen op zijn computer en klantgegevens of geheime gegevens heeft opgezocht die niet relevant zijn voor het werk.
Waarom zou je dat moeten melden? Ik denk dat je als remote beheerder niet kunt hardmaken dat er ook maar een iota aan privacy-gevoelige dingen gebeurt op een remote-beheersessie.
Oh nee? Je naam, het feit dat je bij bedrijf xyz werkt, dat je op dat tijdstip aan het werk bent, het feit dat je raar typt omdat je maar 1 hand hebt….
En wat te denken van privacygevoelige gegevens van anderen (klanten, werknemers) die tijdens een beheerssessie zichtbaar kunnen worden?
Waar geef jij je naam op als je een remote-sessie opbouwt? Je loginnaam misschien, maar die komt sowieso in het systeemlog.
Ik kan me nauwelijks voorstellen dat je een verschil kunt zien tussen langzaamtypers die een hand missen en mensen die langzaam typen.
Mochten privacygevoelige gegevens van derden (de klanten van de klant in dit geval dus) nodig zijn tijdens het remotebeheer, dan is de nood van opnemen juist hoger, denk ik, omdat je dan kunt controleren dat er geen gegevens weggelekt worden door de beheerder. Natuurlijk moet de klant er dan wel voor zorgen dat de opnames net zo goed beveiligd worden als de gegevensbron zelf.
Vragen staat natuurlijk altijd vrij, maar dat wil nog niet zeggen dat een dergelijk verzoek altijd ingewilligd zal moeten worden. Er zal een afweging moeten worden gemaakt tussen het privacybelang van de elektricien en het veiligheidsbelang van het bedrijf, lijkt mij. Wel zal de aanwezigheid van die camera altijd gemeld moeten worden, daar lijkt mij geen voldoende belang voor het bedrijf te zijn om dat te kunnen nalaten.
Dit lijkt me dan weer wat onzinnig. De beveiligingscamera’s zijn altijd van te voren gemeld (met stickers op de ruiten, e.d., anders mogen ze uberhaupt niet), en als elektricien heb je ook – mag ik hopen – niet de verwachting dat je voor privacy-ongevoelige zaken (zoals het werkzaamheden voor een klant in hun gebouw) dat specifiek die werkzaamheden uit de beveiligingscamera-routine word gehouden.
Dat wordt interessanter bij een particuliere klant die een beveiligingscamera heeft, maar ook hier geldt; 1) van te voren gemeld dmv. stickers of dat de klant even waarschuwt (anders mag het niet), 2) wat doe je dan dat privacy-technisch zo gevoelig ligt, ipv. aan de elektra sleutelen?
Voor mij zou een belangrijke zijn of je alleen gefilmd wordt tijdens het uitvoeren van werkzaamheden, of tijdens je gehele werkperiode. In dat laatste zit ook immers je ‘downtime’, niet alleen je koffie- en lunchpauze maar ook dat momentje dat je even uitpuft, nadenkt over de volgende stap, wacht totdat Hans er is met de breekblokjes, een berichtje stuurt dat je later thuiskomt, een WhatsApp-groep met collega’s bekijkt of gewoon even je gedachten verzet met een spelletje. Dit is volstrekt normaal en zelfs goed voor de productiviteit, maar voor de klant komt het over als een kwartier zitten niksen (of erger nog, te telefoneren) terwijl de urenteller doorloopt en/of de elektriciteit er nog niet op staat. Ik vind daarom dat dat laatste niet zomaar vastgelegd mag worden met het argument “we filmen alleen maar het werk”.
Mijn opmerking ging vooral over permanente, 24/7 beveiligingscamera’s die in het gebouw aanwezig zijn voor de veiligheid (waar Andre Engels op doelde, als ik het goed heb). Als je toevallig in het oog van zo’n camera werkzaamheden moet uitvoeren en downtime hebt, is het redelijk om te verwachten dat die beveiligingscamera uit moet?
Mijn idee zou zijn: “Nee, het is onredelijk om te verwachten dat die beveiligingscamera uitgaat. Dat ding blijft aan, ook tijdens je downtime. Maar, we mogen die beelden alleen gebruiken als de veiligheid in het geding is of bleek, niet om jou op je werk te beoordelen. Daar kan je ook van op aan.”
Bij het opnemen van de werkzaamheden omdat je later gecontroleerd wordt; yup, dat mag uit tijdens down-time. Volstrekte gelijk.
Het is absoluut niet ongebruikelijk dat aannemers eisen dat beveilingscamera’s worden uitgezet vanwege de privacy van hun medewerkers.
Ik vind dit een vreemd verhaal. Ik heb jarenlang remote beheer gedaan bij klanten en weet gewoon dat alles wat ik doe/deed terug te vinden is in logfiles. Misschien niet direct maar wel indirect. Een beetje systeembeheerder weet dit ook gewoon.
Wij hebben (mede dankzij de logfiles) iemand ooit een schriftelijke waarschuwing moeten geven. Hij moest buiten kantoortijd een project uitvoeren, uiteraard is dit project uitgevoerd, maar er traden direct na de uitvoering de nodige problemen op die door de standby medewerker zijn opgelost. Tijdens de evaluatie vielen er wat dingen op, waarna de manager had besloten om een derde person de logfiles door te laten spitten. Uiteindelijk bleek de projectmedewerker dus zijn werk maar half gedaan te hebben, 4 uur meer geschreven te hebben dan er daadwerkelijk was gewerkt en hier tijdens de evaluatie glashard over heeft gelogen. De logfiles lieten namelijk keurig zien wat er wanneer door wie werd uitgevoerd, hoe laat de person was ingelogd, hoe laat deze was uitgelogd/de verbinding had verbroken, enzovoorts.
De toegevoegde waarde van alle RDP activiteiten opnemen zie ik dus niet eens direct, behalve dan dat er direct met screenshots of een filmpje bewijs kan worden geleverd, in plaats van logfiles die door iemand goed geinterpreteerd moeten worden. Van de andere kant, ik begrijp het bezwaar van de IT medewerker ook niet helemaal, want als hij een beetje nadenkt, weet hij dat zijn activiteiten toch al worden gelogd. En, om het voorbeeld van de electricien erbij te pakken, niet-werk gerelateerde zaken (dumpert kijken, spelletje spelen, muziekje uitzoeken) voer je toch niet uit op die server, dus de persoonlijke activiteiten van de medewerker blijven nog steeds uit beeld.