Moet je je wachtwoord afgeven als de IT-afdeling dat wil?

| AE 7530 | Security | 41 reacties

Een lezer wees me op deze Tweakersdiscussie over het moeten afgeven van wachtwoorden aan de IT-afdeling:

Mijn vriendin (werkzaam als arts) kreeg onlangs te horen dat zij, omdat ze op veel verschillende locaties werkzaam is, een mobiele telefoon zou krijgen. Ze kon contact opnemen met de IT-afdeling om een afspraak te maken om de telefoon op te halen. Bij dat telefoongesprek werd haar gevraagd om haar gebruikersnaam en wachtwoord af te geven. Dit was zogezegd nodig om “De telefoon te koppelen aan haar account”.

Nu is de vraag natuurlijk: mag dat zomaar, even wachtwoorden vragen om de configuratie van een telefoon te doen? De IT-er in kwestie leek te denken van wel, sterker nog hij werd boos toen de vriendin weigerde dit af te geven en “dan moet je het maar zelf doen”.

Er zijn geen harde wettelijke regels over hoe om te gaan met wachtwoorden. Natuurlijk is het strafbaar om met andermans wachtwoord in te loggen op iemands account, maar dat geldt alleen als het ‘wederrechtelijk’ gebeurt. Een IT-er die in opdracht van de accounteigenaar inlogt, heeft een recht en is dus niet wederrechtelijk bezig. De vraag zou dan dus zijn: hééft hij die opdracht gekregen als hij op die manier het wachtwoord opeist?

Ik ben geneigd te zeggen van wel. Natuurlijk is het raar dat hij dat wachtwoord opeist, je kunt net zo makkelijk zeggen “typ nu even je wachtwoord in, dan kan ik weer verder” immers. Maar om nu te zeggen dat het strafbaar is om dat wachtwoord op te eisen, gaat me iets te ver. En sowieso, als beide partijen bij dezelfde organisatie werken dan lijkt het me al helemaal niet snel strafbaar als medewerker A op het account van medewerker B inlogt als dat een werkgerelateerde reden heeft.

Tegelijk is het wel behoorlijk incompetent handelen, zeker als ik dan ook het verhaal over de reactie van meneer lees:

Bij het ophalen werd haar wederom gevraagd om haar wachtwoord ‘even op te schrijven’ na weer dezelfde discussie gevoerd te hebben (dit was een andere persoon dan ze de voorgaande dag telefonisch had gesproken) gaf deze man uiteindelijk zelf zeer gepikeerd aan dat ze het dan zelf maar in moest voeren en dat hij ‘helemaal niet hield van dit soort praktijken’. Ook werd haar verteld dat ze de rest van het menu (op de telefoon) dan maar zelf moest doorlopen.

Daar word ik niet vrolijk van maar hier een juridisch verhaal van maken, zal niet meevallen. Dit is vooral een kwestie van je werk slecht doen, en dat is iets waar de IT-manager en/of de manager van de gebruiker iets van moeten vinden.

In de discussie vragen diverse mensen zich nog af of een IT-er een beroepsgeheim heeft. Dat heeft hij niet, alleen enkele specifieke beroepsgroepen (waaronder artsen en advocaten) hebben dat. Maar het is wél zo dat als een IT-er toegang krijgt tot vertrouwelijke informatie, hij strafbaar is als hij deze onthult (art. 273 en voor telecom-IT-ers 273d Strafrecht. Dat zou je een “beroepsgeheim” kunnen noemen, maar het is in feite “houd je mond over de bedrijfsgeheimen die je tegenkomt”.

Arnoud

Valt een configuratiebestand onder intellectueel eigendom?

| AE 7418 | Intellectuele rechten | 14 reacties

Via Twitter een tip naar deze al wat oudere discussie over intellectueel eigendom ten aanzien van een configuratiebestand:

Een relatie van mij heeft een probleem met een ICT leverancier. Deze weigert het password van de bedrijfs firewall van de klant (dus niet die van een eventuele kabelprovider) te overhandigen. Het argument van de leverancier is dat de configuratie (of de kennis die hij daarvoor gebruikt heeft) onder het intelectueel eigendom valt.

Dit soort spraakverwarring krijg je als je juridische termen buiten hun scope gaat gebruiken. “Intellectueel eigendom” is de naam voor een vakgebied binnen het recht, waaronder we auteursrecht, merken, octrooien en nog een paar dingen rekenen die niet tastbaar zijn maar waar je wel een soort van eigendom op kunt laten gelden. Niemand mag in je tuin, en niemand mag in je auteursrecht.

Die term is op zeker moment de betekenis gaan krijgen van “iets creatiefs dat ik heb bedacht” en is daarmee los gaan staan van dat vakgebied en de rechten die daaronder vallen. En dat klopt gewoon niet. Je hebt wel eigendom op je dingen maar intellectueel eigendom op je ideeën of creatieve zaken heb je niet. Het is zoiets als zeggen dat iemand een dossier is. Nee, je hébt een dossier over een persoon.

Maar ik ben dan weer jurist genoeg om te erkennen dat als de monteur had gezegd “dat is ons bedrijfsgeheim” hij een juridisch punt(je) had gehad. Informatie die waarde heeft doordat hij als strikt geheim wordt behandeld, is namelijk beschermd als een vorm van intellectueel eigendom. De formule van Coca-Cola is het bekendste voorbeeld. Het aftroggelen of stelen van bedrijfsgeheimen (trade secrets) is onrechtmatig en strafbaar.

Of dat ook voor configuratiebestanden geldt, vraag ik me echter zeer af. Hoe je de beste configuratie maakt, is zeker waardevol en als iedereen dat weet dan wordt die waarde verminderd. Dus dat is wel als bedrijfsgeheim te beschouwen. Maar om dan elk bestánd ook meteen maar afgeleid geheim te noemen, daar heb ik moeite mee.

Een ander punt is dat normaliter zo’n ICT-apparaat verkocht wordt. Als je dat doet, dan moet je de volledige eigendom overdragen zonder rare verplichtingen erbij (art. 7:15 BW), tenzij je die uitdrukkelijk hebt afgesproken. Dan zou er dus in dit geval in het contract moeten staan “u koopt de router maar we spreken af dat u het wachtwoord niet krijgt”. Het lijkt me sterk dat veel klanten dat accepteren.

Misschien gaat het om een full service leasecontract of iets dergelijks? Als de leverancier alle onderhoudsplichten op zich heeft genomen, dan is het niet handig als de klant zelf gaat rommelen in configuratiebestanden. Maar dan zou het argument zijn “dan vervalt de garantie” of “dan stoppen wij met onderhoud” lijkt me, en niet “intellectueel eigendom!!1!”

Jullie enig idee wat hierachter kan ziten?

Arnoud