Mag ik mijn oude werklaptop geformatteerd inleveren bij einde dienstverband?

Leuke vraag bij Tweakers:

Helaas helaas houdt het bij mijn huidige werkgever op en moet ik eerdaags mijn laptop inleveren. Nu overlappen er altijd wat privédingen op een zakelijk laptop voornamelijk wat internet gerelateerde dingen zoals wachtwoorden etc. hebben jullie goede tips hoe ik mijn laptop het beste kan opschonen en leeg in kan leveren?
Mijn advies zou zijn om persoonlijke dingen te wissen inderdaad, maar niet met superdestructieve acties als een factory reset of format c. Dat richt ook andere schade aan, lang niet ieder bedrijf neemt hardware opnieuw in gebruik door een factory reset. Denk aan reeds aangeschafte en geactiveerde software die de opvolger moet gaan overnemen. En of dat nou verstandig is of niet, de werkgever bepaalt hoe de opvolger moet werken met de oude laptop.

Ik blogde in 2018 over de situatie waarin een werknemer de gehele HD had geformatteerd, wat tot ontslag leidde. Maar de rechter draaide dat terug – hoewel wel met de overweging dat het ging om een privélaptop die ook voor werk gebruik werd.

Als werkgever mag je niet zomaar in oude mailboxen gaan snuffelen, of in persoonlijke mapjes gaan kijken. Mijn advies is dan ook altijd dat je zoekt naar wat je nodig hebt, in plaats van te gaan bladeren. Weet je niet wat je zoekt, dan blijf je van die laptop af.

Kom je bij het zoeken iets tegen dat privé lijkt (je zoekt op een klantnaam en dat is toevallig ook de naam van de partner van de ex-werknemer, bijvoorbeeld) dan blijf je daar natuurlijk af. Heb je pech, dan kom je dat tegen en dan moet je er strikte geheimhouding over betrachten.

Arnoud

25 reacties

  1. Mooie casus dit. Als informatiebeveiligingsexpert zou ik het liefste zien dat dit bedrijf (en alle bedrijven) een lifecyclemanagement proces hebben ingericht, waarbij je borgt dat dit soort apparaten altijd gewist wordt en voorzien van een frisse, schone installatie, voordat deze op de plank gaat, klaar voor uitlevering aan de volgende new recruit. Je ondervangt daarmee verschillende risico’s, waaronder het wissen van mogelijk nog niet gedetecteerde malware, maar ook je verplichtingen als verwerker onder de AVG.

    1. Prima zo’n lifecyclemamagement proces. Maar wel even een image van de HD maken voordat je alles wist en die op de plank leggen voor het geval toch blijkt dat de voormalig werknemer dingen heeft uitgevreten die niet akkoord zijn.

      1. Het risico hierbij is dus dat je zaken bewaart die je van de AVG helemaal niet (meer) mag bewaren. Je hebt allerlei bewaartermijnen, maar je mag informatie ook niet langer bewaren dan het doel rechtvaardigt. En het doel “tot in lengte der dagen terug kunnen kijken of je “iets” uitgevroten hebt” gaat het bij de AP niet halen vrees ik.

        1. Je moet daar inderdaad een bewaartermijn aan hangen en die zal afhankelijk zijn van de positie die iemand heeft bekleed binnen de onderneming. En er zal een autorisatie (procedure) aan vast moeten zitten. Maar dat is niet moeilijk in te regelen en het gerechtvaardigd belang is goed te omschrijven, zeker als je daar waarborgen bij opneemt. Natuurlijk wel de betreffende persoon notificeren bij uit dienstkleding. Ik denk dat het vaker het administratieve stuk is waar het op fout gaat, dan het feit het a priori onrechtmatig zou zijn.

      2. Wacht, zomaar alle gegevens verzamelen, zonder te specificeren wat je verzamelt (“alles. duh”) en zonder aanleiding (er is nog geen misdrijf bekend) en zonder een duidelijk doel (“Je weet maar nooit of het handig is”) ? Is dat niet lijnrecht tegen de AVG in?

  2. Klinkt aardig, maar feitelijk zeg je nu dus dat je de laptop niet mag factory resetten omdat je werkgever zijn ICT niet op orde heeft.

    Al onze licenties zijn centraal geregistreerd, als je de laptop wist gaat er geen software verloren. Een aantal van onze ontwikkelaars heeft prive licenties op tools waarvoor toestemming is die op de zakelijke laptop te gebruiken. Die moeten juist weg als de medewerker vertrekt en de makkelijkste manier is en factory reset.

    Onze software staat in version control, bij wissen van de laptop zouden alleen niet gecommitte wijzigingen verloren gaan, die zouden er niet moeten zijn bij iemand die uit dienst gaat. Overige bestanden mogen alleen tijdelijk lokaal staan, bijvoorbeeld als we ze bij een klant nodig hebben of vanwege de snelheid als we er aan werken. Afgerond werk staat echter op een netwerkshare.

    Zakelijke e-mail staat op de server, niet op de laptop. Die is dus ook niet weg als je de laptop wist. Wachtwoorden voor zakelijke accounts staan in een password vault op een netwerkshare, bij uitdiensttreding de werkgever toegang geven en je kan zonder verlies de laptop wissen.

    Ik zie werkelijk geen enkel bezwaar tegen het factory resetten van een laptop voor je die inlevert als het bedrijf zijn ICT beleid op orde heeft. En zo niet, wiens fout is het dan, toch zeker van de werkgever wegens gebrekkig /nalatig beleid!

    1. Klinkt aardig, maar feitelijk zeg je nu dus dat je de laptop niet mag factory resetten omdat je werkgever zijn ICT niet op orde heeft.

      Zo werkt het bij jouw werkgever, zo werkt het bij de mijne, maar meestal niet bij een kleiner bedrijfje dat misschien 5 laptops heeft ‘rondslingeren’ die misschien niet eens deel uitmaken van de primaire werkzaamheden. Daar hoef je zo’n ICT kerstboom die jij beschrijft niet verwachten, en meestal is er dan alleen iemand die het beheer ‘erbij doet’, en moet je gewoon even overleggen.

      Betreffende de tips voor de vraagsteller: delete dat ene mapje ‘Privé’ waar al je privé zaken in staan (toch?!), delete history, cache en cookies van je browsers, leeg de prullenbak, en dan ben je er wel zo’n beetje. Dan moet je er verder maar op vertrouwen dat je voormalige werkgever niet gaat zoeken of je iets bent vergeten waar ze in de lunchpauze lol om kunnen hebben.

      En eigenlijk draai je de conclusie dan om: als je van mening bent dat je je zakelijke laptop een factory reset moet geven om privé gegevens te laten verdwijnen, dan ben je niet op een goede manier omgegaan met de zakelijke laptop van je werkgever en heb je het zelf qua ICT verkeerd aangepakt.

      1. Ik heb bij bedrijven met in Nederland >3000 man gewerkt en werk nu bij een bedrijf met <20 man; bij beide is het zo geregeld.

        Mijn opening blijft geheel in stand, dat kleine bedrijfje met 5 laptoips en een iemand die beheer erbij doet heeft zijn ICT niet op orde. Grote kans dat dit bedrijf niet aan de privacy wetgeving voldoet en/of een levensgroot continuiteitsrisico heeft door de gebrekige ICT.

        Sorry, maar omvang is geen excuus voor onkunde.

    2. Niet ieder bedrijf heeft zijn zaken zo goed op orde, maar als de laptop gestolen wordt, heb je hetzelfde probleem ( en een datalek). Dat is gewoon een risico dat de werkgever afgedicht hoort te hebben. De Cloud mogelijkheden zijn al een stuk verder dan in 2016 (waar de casus over ging die Arnoud in 2018 over schreef).

      1. Maar in hoeverre gaat de cloud daarin helpen? Want in Arnouds artikel van deze week over smartphone-ontgrendeling staat dat de politie de telefoon op vliegtuigmodus zette om te voorkomen dat deze op afstand kon worden gewist. Kun je bij een laptop niet ook een soortgelijk trucje uithalen om wissen op afstand te voorkomen?

        1. Daarom koop je als bedrijf dus niet de goedkoopste consumenten laptop van de ALDI/Lidl, maar een zakelijk model met functionerende TPM en gebruik je full disk encryption met een fatsoenlijk wachtwoordbeleid en 2FA.

    3. Ligt er maar aan wat je als ‘op orde’ beschouwt. Dat is iets heel anders voor een groot bedrijf, waar veel afhangt van ICT (noem eens wat, een verzekeraar) als voor een klein bedrijf waar de ICT een tooltje is om een paar dingen makkelijker te maken (noem eens wat: een kleine aannemer met 5 man op de baan die af en toe een keer een voorraadstatus of een prijs van een onderdeel moeten raadplegen)

      Is het nalatig beleid als zo’n aannemer gewoon een consumentenlaptop van 500€ koopt bij coolblue en daar alleen MS Office opzet voor zijn werknemers?

      Bij zo iemand lopen de rillingen over rug als je zegt ‘factory reset’ ‘software opnieuw installeren’. Die is al lang blij dat het werkt. en herinnert zich nog als gisteren dat het hem 3 jaar geleden een uur stress gekost heeft om de instellingen zodanig te krijgen dat de taal Nederlands is, maar er een decimale punt in Excel gebruikt wordt zodat hij de csv prijslijsten van zijn leveranciers kan importeren, en hij heeft geen idee meer hoe hij dat voor elkaar gekregen heeft.

      1. Deze ondernemer zou ik in overweging geven z’n IT ondersteuning als dienst af te nemen; dit moet je helemaal niet zelf willen als het niet je expertise is. De hedendaagse cloudproposities van Google (Chromebooks!) en Microsoft zijn echt ideaal voor zo’n scenario. Kies een dienstverlener die dit voor je inricht en beheert.

      2. Even off-topic, maar ik gebruik Libreoffice precies om de reden dat ik niet kon uitvogelen hoe ik op een Nederlandse taal computer wel een Engelse decimale punt in Excel krijg (maar bij Libreoffice wel). En dit heb ik nodig om bestanden te kunnen uploaden naar een systeem waar ik mee moet werken. Nu ben ik best tevreden met Libreoffice, maar na jaren wil ik het toch weten: Hoe doe je dit in Excel?

    4. Ik denk dat je een ding over het hoofd ziet, en dat is dat die laptop een stuk door de werkgever verstrekt gereedschap is. Een factory reset is niet een normale handeling (tenzij daar expliciet iets voor is geregeld, in dit geval blijkbaar niet want anders was deze vraag er niet). Dat doen is dan dus voorbehouden aan de it-afdeling van de werkgever, of vereist toestemming vooraf. Het zal best dat je geen bezwaar ziet, en je hebt gelijk in dat een werkgever z’n shit op orde moet hebben, maar dat gaat wel voorbij aan het principe dat de werkgever een gereedschap heeft verstrekt, en dat dat in werkende toestand moet worden ingeleverd. Ik zou zeggen dat de vraagsteller de it-afdeling even om toestemming moet vragen, maar als het antwoord “nee” is, dan denk ik dat je dat niet zomaar wel kan doen.

      1. Als de werkgever daar niet specifiek beleid in heeft opgesteld kan je ook betogen, dat het van goed werknemerschap getuigt als je het apparaat ‘schoon’ teruggeeft. Als je de mogelijkheid hebt (machtiging) om te syspreppen is dat een mooie oplossing. Je wist dan alleen je eigen persoonlijke data, maar de eventuele corporate apps blijven ongemoeid. Vergelijk het met het inleveren van je lease-wagen, waaruit je al je persoonlijke spullen hebt gehaald en nog even netjes een stofzuigertje doorheen gehaald hebt en met volle tank (of accu) omdat je de rotste niet bent. 😉

        1. Sterker nog, als de werkgever daar geen beleid in heeft, wat is dan het verschil met een werknemer die in dienst blijft en die zijn PC opschoont om ruimte te creëren en verloren snelheid terug te winnen? En wat maakt het dan verschillend van iemand die dat vlak voor uitdiensttreding doet?

          Als je geen beleid hebt laat je het aan de inzichten van de werknemer over. Als je een beleid hebt dat het niet gewist mag worden dan heeft de werkgever een punt (en waarschijnlijk een heel slecht opgezet ICT beleid dat dit uberhaupt nodig is)

  3. a) privé spullen eraf en dan eraser laten lopen lijkt me ook al wat. b) Of privé spullen er af, defrag laten lopen, schijf vrijwel vol zetten met dummy -legale- zakelijke videobestanden, terug defrag en dan de dummy zakelijke viedeobestanden eraf.

    Nu ja gewoon beter om een scheiding werk-privé aan te houden.

  4. Ik zie het probleem echt niet. Bij inleveren word een factory reset gedaan, of als een medewerker problemen heeft met zijn laptop doet hij dat zelf. Data hoort niet op een laptop (tuurlijk, offline cache gesynchroniseerd, tpm, disk encryptie etc.) maar verder, inleveren is endpoint manager reset laptop, ff corona reinigen en weer inzetten.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.