Mag het systeembeheer zomaar zelf regels maken?

| AE 7988 | Ondernemingsvrijheid, Security | 19 reacties

bofh-systeembeheerEen lezer vroeg me:

Bij ons bedrijf heerst een erg open cultuur, behalve bij onze systeembeheerders. Die zijn erg tegen gebruikers die zelf dingen installeren of eigen apparatuur aansluiten. Zo verbieden ze gebruik van Dropbox en het mailen van gegevens naar je privéadres, en dat wordt steeksproefgewijs gecontroleerd door een beheerder. Kan dat zomaar, mogen zij de regels maken?

Binnen een bedrijf maakt de directie de regels. Zij hebben daar grote vrijheid in. Als zij iedereen op Windows willen laten werken, heb je als Mac-fan toch echt pech. Vinden zij Dropbox stom, dan mag je geen Dropbox gebruiken hoe handig het ook is en hoe ongefundeerd hun reden om Dropbox te weigeren ook is.

De directie mag die regelmakende bevoegdheid delegeren, bijvoorbeeld naar de IT-afdeling. Dat hoeft niet heel expliciet te gebeuren, maar vaak zie je dat de directie überhaupt geen mening heeft over ICT en erop vertrouwt dat het systeembeheer in staat is de goede regels te maken.

Als het beheer dan weinig feeling heeft met de cultuur in het bedrijf, dan krijg je dus situaties als van deze vraagsteller. Streng beleid is begrijpelijk vanuit een beheer-achtergrond, en als je in de positie bent dat te mogen invoeren dan krijg je dat ook.

De handhaving van zulk beleid middels steekproeven is iets gevoeliger. Er mag niet zonder reden worden gesteekproefd in accounts of apparatuur van werknemers, ook niet als het werkgerelateerde bestanden of dingen betreft. Je loopt al heel snel tegen de privacy van de werknemer aan, zeker in een bedrijf waar een open cultuur heerst en het dus toegestaan is om privédingen te doen op je werkcomputer of met je werkaccount.

Op zijn minst moet er expliciet beleid zijn dat regelt wanneer accounts of apparatuur mogen worden doorzocht en welke waarborgen omtrent privacy er zijn. Dat beleid mag de directie aan de IT-afdeling laten, maar het moet er wel zijn. En als een bedrijf een open cultuur heeft, dan verwacht ik niet dat de directie snel zulk beleid wíl gaan maken. Het botst immers nogal met elkaar.

Een echte oplossing heb ik niet, behalve “ga eens met z’n allen op de hei zitten en verzin iets dat voor iedereen werkt”. Je verschuilen achter beleid en security is natuurlijk dé manier om een bedrijfscultuur om zeep te helpen.

Arnoud

Wanneer mag je de mailbox van een werknemer nu doorzoeken?

| AE 6712 | Ondernemingsvrijheid, Privacy | 18 reacties

outlook-webmailEen lezer vroeg me:

Arnoud, je hebt er al vaker over geschreven maar wanneer mag je nu de mail van een werknemer onderzoeken?

Veel mensen denken nog steeds dat je een werkmailbox mag doorzoeken op potentieel rare dingen omdat het een wérkmailbox is. Of omdat je een IT-reglement hebt opgehangen waarin staat “Wij mogen te allen tijde alles”. Maar zo werkt het niet. Dat reglement is wel belangrijk want de redenen voor doorzoeking moeten vooraf bekend zijn gemaakt. Maar je moet wel echt een reden hebben, en een stevige ook. Privacy geldt ook op het werk.

Een dringende reden was er bijvoorbeeld in deze zaak: er waren whatsappberichten ter kennis van de werkgever gekomen waaruit bleek dat de werknemer zich behoorlijk negatief over het bedrijf uitliet jegens derden. En daarmee was er een grond de laptop te doorzoeken.

Dat deze regels ook gelden na vertrek van een werknemer, blijkt uit een recent arrest van het Gerechtshof in Arnhem-Leeuwarden. Hier werd e-mail doorzocht na vertrek. Het Hof zegt dan:

Het feit dat de e-mailberichten niet tijdens, maar aan het eind van en/of na het dienstverband bij een standaardcontrole van de ingeleverde laptop zijn gevonden, brengt niet mee dat de beperkingen van het recht op privacy niet gelden.

Dat gold zeker nu de werknemer de laptop had gewist, waardoor hij er geen rekening mee hoefde te houden dat de werkgever zijn privédata zou gaan recoveren.

Mijn broek zakte af van dit vonnis waarin de werkgever had ingebroken in de privé-Gmail van de werknemer. Dit kon omdat inloggegevens bewaard waren op de werkcomputer. Ook werden privéchats via WhatsApp gelezen vanaf de zakelijke telefoon. Eh ja, precies. Wát.

De kantonrechter verklaart dit onrechtmatig, met name omdat er geen concrete aanleiding was en omdat de werkgever de werknemer misleidde (“updates doorvoeren” op pc en telefoon) over de reden voor het snuffelen. Zoals wel vaker bij deze zaken is er geen internetreglement. Dit ook wordt de werkgever verweten. De werkgever moet € 7500 schadevergoeding betalen voor het onrechtmatig zoeken.

Het ontslag blijft echter wel in stand omdat de werknemer de verboden heeft overtreden. Bewijs is bewijs in het Nederlands recht, óók als het onrechtmatig verkregen is. De rechter vindt dit ook logisch, de straf voor het schenden van iemands privacy is een boete of schadevergoeding:

Op deze wijze ontstaat er geen vrijbrief voor de werkgever om op onrechtmatige wijze gegevens te verkrijgen over een bepaalde handelwijze van een werknemer en blijft het tegelijkertijd mogelijk het gedrag van de werknemer te beoordelen met alle gegevens die boven tafel zijn gekomen.

Slechts in zeer uitzonderlijke gevallen zal de rechter weigeren naar het bewijs te kijken omdat het onrechtmatig verkregen is. Dat voelt gek: men schendt de wet maar mag er wél van profiteren. Maar ik vind het minder gek dan bewijs negeren terwijl er eh gewoon bewíjs is. Dan liever de bewijsverkrijger straffen voor het onjuist handelen en daarna toch gewoon naar het bewijs kijken.

Arnoud

Mogen Google en Microsoft bij hen gehoste mailboxen doorzoeken?

| AE 6519 | Privacy, Security | 18 reacties

zoeken-harde-schijf.jpgEen lezer vroeg me:

Enige dagen geleden bleek Microsoft de hotmailaccount van een medewerker te hebben doorzocht omdat vermoed werd dat deze persoon betrokken was bij het lekken van bedrijfsgeheimen. Microsoft verdedigt zich met het argument dat zij deze mail van betrokken persoon wel mocht doorzoeken, omdat er geen gerechtelijke bevel voor nodig was. Apple en Google claimen nu het zelfde omdat de gebruiker de gebruiksvoorwaarden heeft geaccepteerd. Maar mag dit zomaar? Is dit niet in strijd met het briefgeheim?

Strijdig met het briefgeheim is dit niet, want het briefgeheim geldt helaas nog steeds niet voor elektronische communicatie. Al sinds 2000 zijn er plannen dit te veranderen, maar kunnen datagraaien is voor opsporingsdiensten zo’n zware wens dat het elke keer op stevige bezwaren uit die hoek stuit. Plus, de Grondwet zou moeten worden aangepast en dat is een hele procedure.

Microsoft beroept zich vooral op het feit dat de servers bij haar staan. En als eigenaar van een server mag je nu eenmaal in serieuze gevallen kijken welke data erop staat. Bij wijze van analogie: de verhuurder van een garagebox mag deze ook openmaken als hij een brandlucht ruikt, of klachten krijgt dat er xtc wordt gedeald vanuit die box.

Daarbij komt dat in de voorwaarden van Hotmail staat dat Microsoft in een mailbox mag kijken “[to] protect the rights or property of Microsoft or our customers, including the enforcement of our agreements or policies governing your use of the Service;”. Ik las dat zelf altijd als “als je mailbox overlast veroorzaakt dan mogen we daarin kijken”, bv. bij mailbommen of virussen, maar Microsoft leest het nu als “als onze rechten als bedrijf in gevaar komen dan mogen we kijken”. Er staat immers “including” oftewel “onder meer als”. (De voorwaarden van Apple en Google bevatten vergelijkbare clausules.)

Nu is het natuurlijk makkelijk zulke dingen op te schrijven, maar of het dan meteen rechtsgeldig is, blijft een goede vraag. Algemene voorwaarden mogen niet onredelijk bezwarend zijn, en dat betekent onder meer dat er een belangenafweging moet plaatsvinden tussen het belang van de provider om in de mailbox te mogen en het belang van de gebruiker bij zijn digitale privacy. Want hoewel je geen briefgeheim hebt online, heb je wél recht op privacy.

Het belang “uw mailbox is gecorrumpeerd waardoor onze systemen niet meer werken” lijkt me bijvoorbeeld wel goed genoeg om even iemands privacy te mogen schenden en zijn mailbox te repareren. Zeker als de systeembeheerder dan vertrouwelijkheid bewaart over wat hij ziet in die mailbox. Het belang “uw gezicht staat ons niet aan” is bij lange na niet groot genoeg.

Het bedrijfsbelang van Microsoft om haar geheimen te beschermen tegen een potentiële dief? Da’s een lastiger. Ik zeg niet meteen nee maar het riekt wel erg naar eigenrichting. Aan de andere kant, dat mag die garagebox-eigenaar ook als hij zelf een reële inschatting maakt dat er iets illegaals gebeurt in zijn box. En waarom hij wel maar de mailserver-eigenaar niet?

Arnoud

Mag ik ons netwerk opschonen van illegale zaken?

| AE 2527 | Privacy, Security | 66 reacties

Een lezer vroeg me: Ik ben systeembeheerder bij een school. Wij geven iedereen een netwerkaccount zodat ze bestanden kunnen opslaan en kunnen mailen. Nu weet ik dat leerlingen (maar ook docenten) regelmatig illegale zaken opslaan op hun account (plaatjes, filmpjes, muziek, keyloggers, hacktools, niet school gerelateerd materiaal, etcetera). Vorige week heb ik een grote schoonmaak… Lees verder

Doorzoeken van een privélaptop mag ook niet zomaar

| AE 2308 | Privacy, Security | 17 reacties

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens… Lees verder

Doorzoeken van computers in andermans huis, mag dat?

| AE 1737 | Privacy | 12 reacties

Een computer van de wederpartij in een civiele procedure doorzoeken mag niet zomaar. Tot die conclusie komt het Gerechtshof Leeuwarden in een arrest (via Boek9.nl) tussen twee bedrijven die een geschil hadden over een exclusieve distributieovereenkomst. Er zou namelijk informatie zijn ‘gelekt’ die gebruikt was bij de beëindiging daarvan. De eiser liet conservatoir beslag leggen… Lees verder