Mag je iemand zijn ontslag laten nemen als je zijn laptop onbeheerd aantreft?

Een lezer vroeg me:

Bij ons (redelijk groot) bedrijf gelden harde securityregels, waaronder de simpele eis je laptop te locken als je er van wegloopt. Als security officer zeg ik dan altijd, als ik een open laptop zie dan stuur ik vanuit jouw mailadres een ontslagmail naar je manager. Maar nu vroeg ik me af hoe bindend dat zou zijn op die persoon?
Een eis dat mensen hun laptop locken is een prima idee, en het is goed om met concrete voorbeelden te illustreren waarom. Het spreekt zeer tot de verbeelding dat iemand dan vanaf jouw mailadres iets raars naar je manager stuurt, dat geeft gedoe waar je géén zin in hebt.

Ik adviseer zelf om krokettenbeleid te voeren (in het Zuiden des lands ook wel vlaaienbeleid): je mailt alle collega’s “Mijn laptop stond open dus ik regel morgen kroketten”. En dat is dan soort van sociaal verplicht dat je dat doet.

Juridisch kun je een werknemer natuurlijk niet verplichten om kroketten (of vlaaien) te gaan kopen. En ik heb al een OR-lid in de mail gehad die dit potentieel pesten/bullying vond van de zwakkere werknemer, die zo legaal te grazen genomen kan worden door collega’s. Je daartegen wapenen vind ik wel een serieuze randvoorwaarde voor je bedrijf.

Deze constructie (je baas mailen “ik neem ontslag”) gaat voor mij nog een stapje verder. Afhankelijk van de werkrelatie, die je niet kent als langslopende security officer, kan het zijn dat deze persoon geloofd wordt (“Ha, eindelijk!”) en dan komen er processen op gang waar het héél lastig weer uit te komen is. Ik zou dit dus dringend afraden.

Formeel-juridisch is het niet bindend want die persoon heeft het niet gezegd, en daar is bewijs van want als goed werknemer ga jij natuurlijk een getuigenverklaring afleggen dat jij die mail hebt gestuurd. Maar je komt er pas achter als het ontslagproces al op gang is, en misschien is er dan al een arbeidsconflict ontstaan waardoor het hoe dan ook doorgezet wordt.

Dus misschien moeten we maar gewoon zeggen, de SO stuurt alleen mails naar de persoon zelf “Volgende keer je laptop afsluiten” of de laptop meenemen en een geel briefje achterlaten. Geen ontslagbrieven sturen, en geen kroketten aankondigen. Dan laat je iemand lopen in plaats van vettigheid eten, is nog beter voor de gezondheid ook.

Arnoud

58 reacties

  1. Ik vervang altijd de desktopachtergrond met een plaatje van een lief diertje. Geen pesterij, maar wel een duidelijk signaal dat er iemand anders achter je laptop heeft gezeten. Sommige mensen hebben werkelijkwaar de hele dierentuin voorbij zien komen, dus of het echt zin heeft?

    1. Ik vind een wisselend lief diertje als achtergrond wel fijn. En ik ben zo’n digibeet dat ik niet weet hoe ik mijn achtergrond moet wijzigen. Dus; nu laat ik mijn laptop weer eens open staan als ik weer eens een ander dier wil. Probleem opgelost ;-).

    2. Los van de incentive en zachte stimulans om toch vooral veilig te werken (ga niet een heilige uithangen; in vroeger tijden stuurden we dan BBQ uitnodigingen of moorkoppenmails), kan ik me het OR lid ook indenken. Immers, niet iedereen is gewapend tegen dit soort “kantoorhumor”. In de huidige wereld van diversiteit en inclusiviteit dienen we rekening te houden met iedereen.

      1. Mijn ervaring is dat zo iets snel veranderd van ‘collegiale geheugensteun’, in treiterijen op de werkvloer. Wat mij betreft moet je dit dus inderdaad niet doen met kroketten, achtergrondfoto’s en dergelijke, maar gewoon door iemand professioneel aan te spreken. Het laatste wat je wilt is dat er een cultuur van argwaan en wantrouwen tussen collega’s ontstaat en dan kun je beter gewoon op de man afstappen en zeggen dat het in strijd is met de beveiligingsvoorschriften.

        Daarnaast, dit is in feite een ‘Evil maid’-attack, en hardware keyloggers kunnen dat net zo goed. Natuurlijk is het goed om collega’s te wijzen op veilige procedures… maar als het onvergrendeld achterlaten van een desktop problemen geeft, dan is het onbeheerd achter laten van toetsenborden net zo’n groot probleem. Beter dus adviseren aan collega’s om helemaal niet te werken op onveilige locaties, zoals de openbare bibliotheek of de koffie-zaak.

        Ironisch genoeg, bij ons op de veiligheidsafdeling is zo’n beleid niet echt belangrijk. We hebben allemaal de ssh-sleutels tot de kritieke systemen dus blind vertrouwen is nodig. Er is niets op mijn desktop wat belangrijk is, wat mijn collega’s nog niet hebben.

    3. Je moet natuurlijk zorgen dat je niet iets doet wat NSFW is inderdaad. Wat wij voorheen deden was “beschamende” achtergronden instellen. Bijvoorbeeld een achtergrond van K3, Sesamstraat of The Village People, of zoiets fouts. Foto’s van bekende personen deden het ook goed. Wij deden destijds dan bijvoorbeeld J.P. Balkenende, maar tegenwoordig zou je goed kunnen kiezen voor Trump of misschien Boris Johnson of zo. Natuurlijk wel kiezen voor gekozen staatshoofden van bevriende landen, je wilt geen dictators of zo tenzij je echt overduidelijk de draak steekt, bijvoorbeeld Kim Jong-un of die foto van Putin met ontbloot bovenlichaam op z’n paard.

    4. Of een screenprint van het scherm maken en dat dan in de modus ‘volledig scherm’ zetten. De reactie van deze ‘officer’ is er een van ‘ik doe zelf nooit wat fout’. Die komt zichzelf nog eens een keer keihard tegen. Het menselijk brein werkt nu eenmaal niet perfect.

  2. Bij ons op de opleiding was het meestal de grap om het scherm binnen Windows te draaien. Was vooral in het begin grappig omdat veel mensen niet wisten dat dit kon, laat staan hoe het terug te zetten. Deze acties waren alleen vooral als grap bedoeld en niet vanuit een security oogpunt. Volgens mij kon je deze grap namelijk ook uithalen op het lock screen van Windows.

  3. Mijn ervaring is dat zo iets snel veranderd van ‘collegiale geheugensteun’, in treiterijen op de werkvloer. Wat mij betreft moet je dit dus inderdaad niet doen met kroketten, achtergrondfoto’s en dergelijke, maar gewoon door iemand professioneel aan te spreken. Het laatste wat je wilt is dat er een cultuur van argwaan en wantrouwen tussen collega’s ontstaat en dan kun je beter gewoon op de man afstappen en zeggen dat het in strijd is met de beveiligingsvoorschriften.

    Daarnaast, dit is in feite een ‘Evil maid’-attack, en hardware keyloggers kunnen dat net zo goed. Natuurlijk is het goed om collega’s te wijzen op veilige procedures… maar als het onvergrendeld achterlaten van een desktop problemen geeft, dan is het onbeheerd achter laten van toetsenborden net zo’n groot probleem. Beter dus adviseren aan collega’s om helemaal niet te werken op onveilige locaties, zoals de openbare bibliotheek of de koffie-zaak.

    Ironisch genoeg, bij ons op de veiligheidsafdeling is zo’n beleid niet echt belangrijk. We hebben allemaal de ssh-sleutels tot de kritieke systemen dus blind vertrouwen is nodig. Er is niets op mijn desktop wat belangrijk is, wat mijn collega’s nog niet hebben.

      1. Ik bedoelde dit soort dingen: https://www.amazon.com/s?k=keygrabber+usb+keylogger

        Te plaatsen binnen een minuut, en niet te zien tenzij de medewerker neurotisch achter zijn pc-bakbeest kijkt en alle stekkertjes contorleert. Je hebt ze ook als losse printplaat… In vijf minuten zou je zo’n ding kunnen monteren onder het toetsenbord van een argeloze medewerker. Als het niet veilig is om jouw scherm onvergrendeld te laten… dan is het zeker niet veilig om uberhaupt op zo’n locatie de laptop/computer uit het ook te verliezen.

        Dit soort middelen worden door onder andere de Recherche en gleufhoeden ingezet om zo full-disk encryptie onschadelijk te maken.

  4. Mag je iemand zijn ontslag laten nemen als je zijn laptop onbeheerd aantreft?

    Mag natuurlijk altijd, mits volgens de richtlijnen van de wet.

    Rabobank bv heeft zo’n beleid, en voert dat uit zonder aanzien des persoons, naar drie schriftelijke waarschuwingen word je door de beveiliging, die ook de einge is die daar werk van mogen maken, naar buiten begeleid.

    -edit Arnoud: ik heb je gebruikersnaam ‘iusmentis’ veranderd in ‘anoniem’ om te voorkomen dat mensen denken dat jij namens mijn bedrijf Ius Mentis spreekt-

    1. Volgens mij gaat dit niet over de situatie van de vraagsteller. En meer algemeen zou ik arbeidsrechtelijk héle grote vraagtekens stellen bij “na drie schriftelijke waarschuwingen ben je op staande voet ontslagen” zoals jij suggereert. Dat kan gewoon niet, security-overtredingen zijn geen reden voor staande voet. Voor non-actief en onderzoek ja, maar direct ontslag zonder zelfs maar de medewerker te horen? Nee.

      1. Na drie schriftelijk waarschuwingen is niet op staande voet… En is gewoon praktijk.

        En de kop van dit stuk verhaal is duidelijk. Als je het anders bedoeld moet je het, de kop misschien, anders schrijven. Want daar kijkt men naar. Iets met redactioneel.

        -edit Arnoud: heb je naam weer aangepast, zou je daarop willen letten? –

          1. De kop is Mag je iemand zijn ontslag laten nemen als je zijn laptop onbeheerd aantreft?, en is iets anders als mag je een mail sturen uit iemands naam. Dat laatste mag gewoon, mist je die rechten hebt ontvagen van het bedrijf, kan je zelf ook instellen in Outlook. Betwijfel of dat hier het geval is, maar zou zomaar een bedrijfsregel kunnen zijn. op zijn engels ‘send on behalf, en zelfs bedrijfsbreed per bv polycies in AD of gewoon in de MTA zelf

            Persoonlijk vind ik dat wel veel te ver gaan en niet kunnen. maar het gebeurd bij o.a. banken en is het zelfs verplicht beleid opgelegd door de Nederlandse Bank.

    2. Goh, daar is toch wel iets over te zeggen.

      Als je mensen een gereedschap geeft, en verwacht dat ze dat universeel gebruiken en meeslepen van werkplek naar vergadering naar huis en naar klant, en dat gereedschap toch zelf zo kritisch vindt dat drie keer onbeheerd achterlaten grond is voor ontslag, zelfs al is het intern in een niet voor externen toegankelijke ruimte, dan moet je jezelf toch ook wat vragen stellen.

      En met name: verwacht ik niet te veel van de gemiddelde werknemer? Moet ik dat gereedschap wel zo breed beschikbaar stellen?

      1. “Verwacht ik niet te veel van de gemiddelde werknemer. ” Hmm ikzelf juist wel, je moest eens weten wat mensen kunnen als je ze de kans geeft en daarin stimuleerd. Ik ben nergens meer door verrast jij blijkbaar wel. Want geen hoge pet van de gemiddelde werknemer. Er zijn bedrijven die dat wel zien, gelukkig, want die halen het beste uit mensen en heel vaak zijn die mensen heel erg tevreden bij zo’n werkgever. Nu weer even naar de praktijk want ook in NL is zo’n bedrijf bezig stataaan de zuidas, werknemers krijgen een latpop ter beschikking en zijn daar verantwoordelijk voor. Paswoord verplicht elke 4 maanden veranderen harddisk encrypted en nog een stap verder er zit ook op de harddisk een paswoord, verplicht dagelijks een backup maken. Want bij verlies van het hd paswoord kan je nergens meer bij. bij verlies of diefstal bij jij degene die aangifte moet doen bij de betreffende autoriteiten en een kopie bij je manager in te leveren. Om moedwillig verlies tegen te gaan, mislukte contract besprekingen verdoezelen bv, valt het budget van de hardware onder de afdelings manager. Vandaar ook bij hem het kopie aangifte. Die bedrijf werkt wereldwijd en ze hebben dan ook altijd een ongelimiteerde dataverbinding. Dus werken aan het water of boot geen probleem. mits de accu het volhoud. In andere delen van de wereld, zeg maar buiten europa gaan ze nog een stap verder en krijg je gewoon geld voor je “werkplek” kan je je werk niet doen dan is dat dan meteen jouw probleem, en reden voor ontslag, officileële bedrijfspolitiek, hoe de diverse afdelingen er mee omgaan is voor hun verantwoording. En ga er maar vanuit dat het beleid wederkerig is en dat ze hun werknemers goed beschermen.

        Voor de insiders, ze gebruiken geen Active Directory.

    3. Als een agent meerdere keren zijn dienstvuurwapen laat rondslingeren, dan lijkt het mij niet meer dan normaal dat dat wapen van hem afgenomen wordt. Dat hij vervolgens naar een veel lagere (niet wapen dragende) functie wordt overgeplaatst, is dan niet meer dan logisch. Als die lagere positie niet beschikbaar is, zal de persoon dan dus ontslagen worden omdat hij overbodig is op die lagere functie.

      Waarom zou een bankmedewerker die een gevaar vormt voor het bedrijf anders behandeld moeten worden dan een agent die een gevaar vormt? Omdat het ene om mensenlevens gaat en het andere over een groot deel van de economie van het land? Als er door die openstaande laptop een crytolocker op het netwerk komt, dan zal de schade enorm zijn.

      1. Met een dienstpistool kun je direct en acuut iemand doodschieten, dat is nogal heftig. Ik ken weinig security-situaties waarin dát het directe gevolg is van laks handelen. Daar komt bij dat je aanvullende securitymaatregelen kunt nemen om de impact van iemands laksheid in te perken. Van logging tot vier-ogen tot backups tot fysieke beperking van toegang tot de informatie.

        Het gaat hier niet om AIVD-medewerkers die topgeheime informatie laten slingeren in de trein, maar om gewone kantoormedewerkers die hun laptop niet locken.

        1. Genoeg relvante voorbeelden, een paar eenvoudige. Bankmedewerker met info over de geldautomaten, direct gevolg, alle automaten werken niet meer de komende maanden.(eigenlijk een bankrun). Ik weet zeker dat er meer dan 1 persoon overlijd als gevolg daarvan. Ziekenhuismedewerker met info over inkoop hartchirurgie materialen. en kan niets meer bestellen. Dus de volgende op de operatietafel gaat dood. Want de noodoplossingenm zijn ineens op.

          Zomaar even twee uit de duim, je ziet het niet onmiddlijk, maar is eigenlijk heftiger alsdie ene persoon. in mijn beleving dan.

          1. Goede voorbeelden inderdaad – die organisaties mogen inderdaad strafrechtelijk vervolgd worden voor zó veel nalatigheid. En wie dan de werknemer ontslaat wegens nalatigheid, kan wat mij betreft de maximale ontslagvergoeding moeten betalen. Wat een prutswerk, dat je zulke vitale functies beschermt met alléén een Windows wachtwoord en dan een cultuur hebt gekweekt waarin het normaal is dat mensen niet altijd locken als ze weglopen. Brr.

          2. Dat zijn organisatorische fouten.

            JE moet het verschil maken tussen een gevaarlijke situatie (dat eerder genoemde dienstpistool, of een ziekenhuisapotheker die een voorraadje morfine laat rondslingeren) en een potentieel gevaarlijke situatie (als er een (echte of digitale) inbreker rondloopt die door nog drie securitylagen is heengegaan, en dan die info op die laptop heeft, en dan nog door twee securitylagen kan gaan). Die potentieel gevaarlijke situatie vereist opzet en vasthoudendheid van een crimineel, en die kun je ontmoedigen door security. Maar tegenhouden kun je hem niet, als hij maar hard genoeg wil komt hij er toch wel aan.

            Het is dat absoluut oneerlijk om dat op die ene werknemer die vergeet zijn laptop te locken, af te schuiven.

      2. Een mijnwerker vroeger, die zijn penning niet inlevert, als die bovengronds is, vind ik ook nog wel een voorbeeld, waarbij ontslag mag volgen, omdat er anders een reddingsoperatie op touw moet worden gezet. Van de werkgever kun je niet verwachten, dat hij het dienstverband ook maar één dag voortzet, omdat het morgen weer kan gebeuren. In zaken van leven of dood, is zo’n beleid akkoord, maar niet in zaken, waarbij vooral de manager van de betreffende afdeling apenrotsgedrag vertoont, maar waar het risico (kans keer ernst gebeurtenis) klein is.

  5. Als je iemands laptop gebruikt terwijl je je bewust bent van het feit dat je geen recht hebt om die laptop te gebruiken is dat dan geen computervredebreuk. Is het geen schending van de privacy als je iemand email op die computer gebruikt want ook al is het een zakelijke email daar kan best veel privé informatie op staan (bv mailwisseling tussen collega’s).

    Het lijkt me beter de persoon te ontslaan die iemands computer misbruikt voor dit soort acties dan degene die zijn computer per ongeluk niet heeft afgesloten. Dat laatste is een fout die iedereen kan maken. De niet gelockte computer misbruiken is een bewuste foute actie en kan iemand raken in diens privacy en daarmee veiligheid op de werkplek.

    Een security officer die een niet gelockte computer betreedt is helemaal uit den boze. Direct eruit gooien zo iemand. Een security officer moet de computer (als de persoon langer weg is dan een WC bezoekje) veilig stellen door deze uit te zetten of in slaapstand te brengen en eventueel een briefje achter laten met bijvoorbeeld een waarschuwing en tips.

    1. Ik ben vrij stellig in dat ik geen computervredebreuk zie wanneer werknemer A binnendringt in een werklaptop in gebruik bij werknemer B. Dat is kennelijk nodig voor het werk, ook al is dat hier “naleven van een security policy” en niet “waarnemen tijdens ziekte” of zo. Daarmee is er een recht om dit te doen.

      Snuffelen in het mapje “Persoonlijke bestanden” of in een laptop binnendringen waar je werkgerelateerd niets te zoeken (hey, mijn manager heeft z’n laptop open, even kijken wat er in Salarisverhogingen_2021.xls staat) hebt zou wel computervredebreuk kunnen zijn.

      1. Ik denk niet dat het binnendringen van iemands laptop valt binnen ‘naleven van een security policy’. Het is namelijk erg onprofessioneel en er zitten dus allerlei privacy issues aan zeker als je aan iemand mailaccount begint te rommelen. Dit zijn voorbeelden van typisch persoonlijke initiatieven of een hele foute bedrijfscultuur.

      2. Hi Arnoud, ik kan wel volgen dat een SO die controleert of een laptop gelocked is geen computervredebreuk pleegt, maar op het moment dat hij lollige mails gaat sturen vraag ik me dat af. En al helemaal als willekeurige collega’s mails over kroketten (ik heb zelf liever een frikandel) gaan sturen.

        Ik vind het net zoiets als iemands portemonnee meenemen als hij die per ongeluk op zijn bureau laat liggen. Dat is nog steeds jatten.

        1. Als de security officer die portemonnee in een afgesloten la in zijn bureau bewaart én de eigenaar van die kamer met een briefje informeert, dan is dat geen diefstal. Dat is dan gewoon veilig omgaan met waardevolle privéspullen – je zou het wellicht zelfs zaakwaarneming kunnen noemen, oppassen op spullen van personeel. Diefstal is het pas als hij ’t mee naar huis neemt en niemand wat vertelt over waar de portemonnee gebleven is.

          Ik denk dat de grens bij computervredebreuk ligt of het enigszins met het werk te maken heeft. Als jij ziek bent en hij kraakt je wachtwoord omdat dat de enige manier is om met het werk verder te kunnen, dan zou ik dat geen inbreken noemen maar gewoon hoe het werk verder moet. Net als wanneer het enige exemplaar van een getekend contract in jouw afgesloten kast ligt en jij in Bali zit met de sleutel nog aan je riem. Dan gaan ze die kast openbreken.

          1. Krokettenmails liggen voor mij buiten de grens van wat met werk te maken heeft.

            Achter iemand anders niet afgesloten computer gaan zitten vind ik net zoiets als bij iemand naar binnen lopen die per ongeluk zijn huissleutel in de voordeur heeft laten zitten. Laat staan dat je dan ook nog wijsneuzerige mails gaat versturen.

            Misschien is dat een betere vergelijking.

  6. Bij een van mijn vroegere werkgevers was het een kwestie van een rondje doen langs websites waar diegene helemaal niets mee had, zodat er een paar weken lang ge(mis)targete advertenties langskwamen die flink wat ergernis opleverden (denk aan incontinentiemateriaal etc). Erg subtiel maar duidelijk genoeg.

    1. Hmm, wil zo’n werkgever dan niet wat minder onnodig netwerkverkeer? Inzet van de adblocker Pi-hole of sinds kort ook Opnsense

      Hij kan het ook omdraaien whitlisten. Vraag maar aan welke sites je wil bezoeken en maak het bekend op intranet.

      1. Euh, het ging toch over hoe je je collega op een grappige manier duidelijk maakt dat hij zijn PC moet locken?

        Denk je serieus dat de kosten van “onnodig netwerkverkeer” opwegen tegen het installeren van centrale adblockers of whitelisten inclusief het hele proces (en frustratie) eromheen? Het is 2020 man.

        1. Jij begint over (denk aan incontinentiemateriaal etc). En ja ik weet het zelfs zeker. En als jij dat in mijn organisatie zou doen, had je een probleem. Een pi-hole compleet kost maar een paar tientjes een paar mederwekers die ineens ongevraagde reclame krijgen en van hun werk afgehouden worden kost veel meer.

          En nee het moet gaan, volgens Arnout over email sturen naar een manager met je ontslag, op iemands computer met zijn credentials. Kreeg net nog een tik op mijn vingers P-)

          En pc’s locken kan je ook doen via goepspolecies. Zet je het lockbeleid op een minuut, erg rigoreus, maar werkt wel, je zal wel mandaat moeten hebben om dat te doen. Anders heb je zelf een uitdaging. Maar dat is maar één van de technische eventuelele oplossingen. Als goed beveiliger en ICT security specialist. weet je dat het begint bij de receptie.

          1. Een pi-hole compleet kost maar een paar tientjes een paar mederwekers die ineens ongevraagde reclame krijgen en van hun werk afgehouden worden kost veel meer.

            Ga jij een stukje geknutseld consumentenelectronica in een corporate netwerk hangen? Denk je dat dat een paar tientjes kost? Denk je serieus dat dit over de kosten van de hardware gaat?

            Ik verheug me er al op dat je dat moet gaan uitleggen bij de eerstvolgende ISO 27001 audit. Waar zijn de beheersprocedures? Wie houdt het up to date? Wie kan ueberhaupt zijn hand in het vuur steken dat dit ding niet veel meer andere dingen doet? Wie zegt me dat dit ding niet per ongeluk bepaalde CRL requests tegenhoudt met alle gevolgen van dien? En als dat ding het half begeeft dan ligt je internetverkeer eruit?

            Als jíj dat in míjn organisatie zou doen, dàn had je pas een probleem.

            (Die group policy is natuurlijk wel een prima oplossing al is die minuut wat overdreven)

            1. Dat is mede de reden dat ik ook opnsens noemde. Hoezo geknutseled? En ja het zijn allen de kosten van hadware de software is gratis, cq opensource. En wat het intern kost hangt van de organisatie af, en dat jij CRL request noemt gelt ook voor andere netwerksoftware en of hardware en is gewoon op voorhand te testen. Blijkbaar heb je er niet naar gekekenn want als die pi-hole ermee stopt, of geen dns request kan doen val je automatisch terug naar je eigen netwerk. Ben alleen voorstander van ad blocking en pi-hole en Opnsens zijn momenteel de beste, en bijna de einge die dat doen waar ik enig vertrouwen in heb. Bij Opnsens is adblocking maar een extra/standaard plugin, in de firewall/router en ook in de basis gratis

              1. Blijkbaar heb je er niet naar gekekenn want als die pi-hole ermee stopt, of geen dns request kan doen val je automatisch terug naar je eigen netwerk

                Ik zei niet voor niets “half begeeft”.

                Volgens mij dwalen we af. Ik heb geen behoefte aan een adblocker en dit topic ging er ook niet over.

              2. Mag ik het misverstand “de software is gratis, cq opensource” even rechtzetten? Bij software is sprake van auteursrecht en mensen die daar rekening mee houden zetten dat alleen in als aan de licentievoorwaarden is voldaan, bijvoorbeeld door het betalen van een licentievergoeding. Welke bij Free Software en veelal ook bij Open Source Software niet bestaat uit een te betalen factuur maar het teruggeven aan de gemeenschap van gebruikers van aanpassingen en/of correcties en/of documentatie van die software. Deze activiteiten kosten manuren, net als het beheer ervan. En daarom is de term gratis in dit verband enigszins misplaatst. Nadere informatie hierover is te vinden op de website https://www.fsf.org/

                1. Dank Fred, je haalt me de woorden uit de mond. Dit wordt dan in het algemeen gebagatelliseerd met opmerkingen als “En wat het intern kost hangt van de organisatie af”. Een groot manco van de opensource gemeenschap is dat ze voor een groot deel uit wereldvreemden bestaat (waarmee ik niet wil afdoen aan de rest). Maar nogmaals: we dwalen af geloof ik.

                2. Dat mag je, maar mijn opmerking is, gewoon als in de volksmond. Ga je er verder op in dan word het meteen lastig en moet je eerst een definitie van software gaan definiëren. Want dan is een MS Word Document of zelfs een regel script al software. komt nog ‘iets’ bij, en dat is een wereld aan beweegredenen zijn waarom iemand cq een programmeur iets maakt aan ‘software’.

                  Ben het met je eens dat gewoon ‘gratis’ niet bestaat. Klinkt in mijn oren altijd als duur.

    1. Wat dacht je van gewoon de laptop locken en een sticky note met de mededeling dat je dat gedaan hebt? Het doel is toch dat de laptop in onbeheerde staat gelocked moet zijn. De SO heeft dan dus maar 1 taak: zorgen dat aan dat doel voldaan wordt. Daarnaast kan zhij nog allerlei andere maatregelen treffen om herhaling te voorkomen maar uiteindelijk zijn we allemaal mensen, en iedereen loopt wel eens weg zonder de computer te locken.

      Kan je iemand daarom ontslaan? Ik denk het niet, althans, niet zonder meer. Als het belangrijk genoeg is om in je arbeidsvoorwaarden op te nemen dan zal er uiteindelijk wel een ontslag mogelijk zijn, maar je moet je dan wel echt afvragen of iets wat belangrijk genoeg is om in de arbeidsvoorwaarden te worden opgenomen niet ook belangrijk genoeg is om beter passende security maatregelen voor te implementeren.

      Je zou dan bijvoorbeeld kunnen denken aan een polsbandje met een RFID gekoppeld aan de gebruiker, en een lezer van voldoende capaciteit om dit polsbandje op afstand met regelmatige tussenposen uit te lezen. Lukt het uitlezen dan gebeurt er niets, lukt het niet meer, dan locken. Als beveiliging zo ver moet gaan dat je dit implementeert dan zijn ‘uitzonderingen’ ook niet meer relevant. Teams meeting? Dan maar dicht genoeg bij de sensor blijven ipv achteroverhangen, etc. Soort van dodemansknop dus…

      1. Ik blijf er een voorstander van dat de medewerker maar eerst bij de SO langs moet voor zijn nieuwe wachtwoord. Want dan kun je hem meteen de les lezen en even bijhouden voor de volgende keer. Want er zou geen volgende keer moeten zijn! Probleem is namelijk dat mensen lui worden en het best handig vinden als iemand anders de laptop voor hen lockt. Maar de wandeling naar de SO om een nieuw wachtwoord op te vragen is extra vervelend en maakt ook duidelijk dat de overtreding best ernstig is…

        1. ‘De les lezen’. Toe maar, fijne collega ben jij.

          ‘even bijhouden voor de volgende keer’ Wat bedoel je? Buiten personeelszaken om een parallel dosssier aanleggen over een collega? Heb je al aan AVG consequenties en arbeidsrechtelijke problemen gedacht?

  7. Wat dacht je van gewoon de laptop locken en een sticky note met de mededeling dat je dat gedaan hebt?

    Dat is dus wat ik ook altijd doe als ik een niet-bemande en niet-gelockte werkplek aantref. Windows-L is een kleine moeite, en als de collega terugkomt van toilet of koffieapparaat even erop aanspreken. En vriendelijk en geduldig volhouden: sommigen zijn hardleers.

    1. Als collega vind ik dat geen probleem. Maar als ik de beveiliging van alle systemen moet controleren dan zou ik de extra stap nemen om het wachtwoord te resetten zodat de medewerker later bij mij een nieuw wachtwoord kan ophalen. Dan heb ik meteen de kans om hem even aan te spreken want ik ga niet bij zijn PC staan te wachten tot hij terug is.

  8. Je kunt je ook afvragen waar het IT beleid hierin een rol speelt. Bij ons wordt geadviseerd om bluetooth koppeling met je telefoon te maken. (die verder geen data uitwisseling accepteert) Loop je vervolgens weg van je laptop (vrijwel iedereen neemt z’n telefoon mee) dan locked de laptop. Probleem opgelost. Dit is een standaard feature op elke Windows 10 computer. Daarnaast neem je dit gewoon op in je beleidsregels. Van persoonlijke bedrijfsmiddelen blijf je af. Je wijst er hooguit iemand op dat hij de bedrijfsrichtlijnen niet goed naleeft. Bij niet naleven van de richtlijnen volgt simpelweg een sanctie. De casus zoals hier beschreven vind ik een zeer ernstig vergrijp in elk geval. Onzinnige grappen zoals desktop achtergronden zijn bij ons ook gewoon afgedicht want alle bedrijfslaptops hebben een fixed background.

    1. ‘De casus zoals hier beschreven vind ik een zeer ernstig vergrijp in elk geval’.

      Niet mee eens. De casus kan in bijzondere omstandigheden een zeer ernstig vergrijp zijn. Maar de vraag is dan of er organisatorisch wel voldoende gedaan is om de kans te minimaliseren dat een dergelijk vergrijp zeer ernstige consequenties heeft.

      Puur het feit dat er een interne regel overtreden is maakt nog lang geen zeer ernstig vergrijp.

  9. Bij ons is het gebruikelijk om een mail naar je team te sturen met de vraag: “Hoe laat is het?” waarop alle teamleden een reply all doen met “Tijd voor taart!”. Formeel is dat vastgelegd als datalekbeding dat iedereen getekend heeft met als sanctie trakteren 🙂

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.