Een lezer vroeg me:
Ik werk als systeembeheerder bij een middelgroot bedrijf. Na klachten over volgelopen netwerkschijven ben ik eens gaan onderzoeken waar dat door kwam, en ik trof grote verzamelingen illegaal gedownloade films, muziek en software aan. (Plus de nodige porno die ik bepaald niet hoefde te zien.) Dat mag natuurlijk niet, dus dat heb ik direct gewist. Maar nu krijg ik boze gebruikers in de mail die mij verwijten de wet te schenden. Dat is toch de wereld op zijn kop?!
Eh, nou, niet helemaal. Dit gaat vast niet goed vallen bij systeembeheerders, maar: een netwerkaccount met eigen opslag is een privéruimte net als de locker bij de ingang of de bureaulades op kantoor. Daar mag je als BOFH dus niet zomaar in gaan snuffelen en al zéker niet zomaar dingen uit weggooien, ook niet als jij denkt dat ze illegaal zijn.
En nee, het is niet illegaal om op je werk muziek of films, of zelfs porno te hebben staan die je hebt gedownload uit illegale bron. Dat staat daar voor je eigen, ahem, gebruik, en daar heeft de werkgever dus in principe niets mee te maken. Pas als collega’s er last van krijgen zou je daarop aangesproken kunnen worden. Maar wie met koptelefoon op een muziekje wil luisteren, mag dat met een mp3-verzameling uit illegale bron.
Verder mag monitoren in principe alleen op anonieme basis, en moet dit gericht zijn op werkgeversbelangen als overlast, schade of storingen. Als ik 20MB aan MP3-tjes in mijn account heb, heeft niemand daar last van. Daar moet het beheer afblijven. Wordt het 20GB, dan lopen er schijven vol en dat kan wellicht een onderzoekje rechtvaardigen. Of als je heel veel inlogs op mijn account ziet vanaf IP’s over de hele wereld. Dat is een aanwijzing dat ik aan filesharing doe (of dat mijn account gecompromitteerd is) en dan mag je ingrijpen.
Zo’n onderzoek zou in eerste instantie anoniem moeten gebeuren. Waarom is die schijf vol, en bij wie kunnen we de vraag neerleggen “ruim eens wat bestanden op”? Persoonsgericht monitoren (wat spookt die Engelfriet uit op ons systeem) mag alleen bij concrete aanwijzingen dat die persoon iets fout doet, en het hoe en wat wordt dan gedocumenteerd in het IT-reglement. Bijvoorbeeld: als uit het maandelijks dataverkeer-rapport blijkt dat er zeer overmatig wordt gedownload, dan mogen we gaan kijken wie daarvoor verantwoordelijk is en die persoon daarop aanspreken. Wel zou ik dan een waarschuwing verwachten naar alle medewerkers toe.
Het verbaast me soms hoe makkelijk sommige systeembeheerders omgaan met data van medewerkers. Maar in dit geval verbaast het me nóg meer dat mensen gaan klagen dat hun porno is gewist.
Arnoud