Mag een bedrijf met DPI ons netwerkverkeer inspecteren?

Een lezer vroeg me:

Vraag: Ons bedrijf beheert voor klanten grote hoeveelheden gevoelige data, waaronder persoonsgegevens. Nu is recent een nieuwe firewall geïnstalleerd met DPI, die ook ssl-verkeer kan decrypten en inspecteren. Dit zou zijn om datalekken te voorkomen. Maar nu wordt al mijn beveiligde internetverkeer bekeken! Mag dat zomaar?

Vanwege de Wet meldplicht datalekken van januari vorig jaar, en de aankomende Algemene Verordening Gegevensbescherming in mei 2018 zie je steeds meer bedrijven hard aan de weg timmeren ten aanzien van datalekken en informatiebeveiliging.

Inspectie van in- en vooral uitgaand netwerkverkeer is daarbij een relevant aandachtspunt. Immers, een hoop datalekken of security breaches gebeuren per ongeluk: een bestand naar de verkeerde persoon gemaild, een stukje malware dat iets naar buiten wil smokkelen of een gevolg van social engineering. (Om niet te spreken van mensen die willens en wetens data stelen.)

Diverse moderne firewalls zijn in staat om uitgaand SSL-verkeer open te breken. Logisch vanuit een security-gedachte: het is wel erg eenvoudig om de beveiliging te omzeilen anders. Je moet eigenlijk wel even kijken in die beveiligde verbindingen.

Maar het raakt ook allerlei legitiem verkeer van de werknemer in kwestie, zoals privemailtjes (een SSL-verbinding met Gmail of een privé Outlook adres), bankzaken of communicatie met een verzekeraar. En dan wordt het juridisch ingewikkeld, want je moet óók rekening houden met de privacy van je werknemer.

Hier moet de werkgever dus een balans in vinden. Een belangrijke voor mij is daarbij hoe geautomatiseerd dit proces gaat. Wordt er door een automatisch proces gecheckt op een serie keywords of fingerprints van de te beschermen data, dan is dat privacytechnisch héél wat minder ernstig dan een steekproefsgewijze controle door een persoon.

Ook zou belangrijk zijn dat de data niet wordt gelogd (tenzij de automatische scan natuurlijk aangeeft dat er iets mis is) en dat inspectie bij afgaande alarmbellen onder strikte geheimhouding gebeurt. Dergelijke waarborgen moeten in een reglement zijn uitgeschreven, zodat je als werknemer weet waar je aan toe bent. Maar als het zorgvuldig wordt uitgewerkt en ingevoerd, dan denk ik dat het wel kan.

Arnoud

Mag een bedrijf me weigeren omdat ik een Tor exit node draai?

tor-on.pngEen lezer vroeg me:

Als ik de supportpagina’s van Apple (support.apple.com en discussions.apple.com) probeer te benaderen, krijg ik een “Access Denied” foutmelding. Ik vermoed dat dit is omdat ik een Tor exit node draai (zie https://trac.torproject.org/projects/tor/wiki/org/doc/ListOfServicesBlockingTor). Maar mag Apple me nu zomaar support ontzeggen? Ik heb toch een dure iPhone bij ze gekocht!

Ik kan me goed voorstellen dat organisaties de toegang vanaf het Tor-netwerk blokkeren, omdat daar de kans groter is dat er malafide verkeer langs komt.

De vraagsteller is natuurlijk niet malafide en komt bovendien niet eens via het Tor netwerk: hij heeft hetzelfde IP-adres als iemand die via net Tor netwerk zou komen. Dat zou hem dan niet aangerekend moeten worden zou je zeggen, alleen in dit geval heeft hij er zelf voor gekozen om die Tor exit node te draaien.

De discussie wordt dan: mag je tegen meneer zeggen, wij kunnen niet zien of u het bent dan wel een potentiële malafide persoon via uw IP-adres, dus wij weigeren het IP-adres?

Juridisch is hier geen eenduidig antwoord op. Natuurlijk heeft meneer recht op service, maar dat is geen absoluut recht waar men ongeacht omstandigheden altijd aan mee moet werken. Als hij bijvoorbeeld naakt de Apple-winkel binnengaat mogen ze hem echt weigeren service te geven tot hij zich fatsoenlijk aankleedt. Hetzelfde geldt als iemand zich zeer onbeleefd opstelt.

Is het draaien van een Tor exit node hetzelfde als onbeleefd naaktlopen? Dat denk ik niet, maar de redenering gaat wel via dezelfde lijn. Het juridische criterium is of je je redelijk opstelt, omdat je alleen dan mag verwachten dat je wederpartij met je meewerkt.

Hoewel ik weet dat Tor zeer zeker nuttige toepassingen heeft, is het een feit dat er óók misbruik van wordt gemaakt. De keuze voor een bedrijf om dan Tor te weren, is dan ook een begrijpelijke. De consequentie voor de vraagsteller is dan vervelend maar onvermijdelijk. Hij mag geweigerd worden.

Hoewel ik weet dat er misbruik van Tor wordt gemaakt, heeft Tor óók zeker nuttige toepassingen. De keuze voor een bedrijf om Tor dan te weren, is dan ook onbegrijpelijk. De vraagsteller mag dan ook niet geweigerd worden.

(Leuk hè, juridische vragen?)

Arnoud

Mijn werkgever verbiedt me te Twitteren, mag dat?

access-blocked.pngEen lezer vroeg me:

Op mijn werk blijkt de toegang tot Twitter te zijn geblokkeerd. Navraag leerde dat de directie bang was voor imagoschade als werknemers gingen twitteren. Daarom had men Twitteren categorisch verboden in het arbeidsreglement. Ik mag dus niet op het werk Twitteren maar óók niet thuis op mijn eigen computer! Kan dat zomaar?

Dat kan, maar niet zomaar. Een internetprotocol wordt meestal ingevoerd om oneigenlijk of ongewenst gebruik van de bedrijfsmiddelen te reguleren, maar men kan langs deze weg ook regels stellen over het gebruik van sociale media, zoals Twitter, Facebook of Google+.

Wel moet er dan een redelijk belang zijn voor de werkgever om iets te mogen zeggen over wat werknemers twitteren of Facebooken. Dit belang moet te herleiden zijn tot het werk: werknemers kunnen bedrijfsgeheimen onthullen door bijvoorbeeld een voorgenomen fusie op Facebook te melden, of arbeidsconflicten veroorzaken door te twitteren dat een collega onfris ruikt. Maar ook het vragen beantwoorden over producten of diensten kan het bedrijfsbelang raken: dergelijke communicatie wordt toegerekend aan het bedrijf, en kan het bedrijf dus binden aan bijvoorbeeld een toegezegde schadevergoeding of vervangend product.

Voor sommige bedrijven zijn de negatieve consequenties zó zorgelijk dat ze keihard beleid hanteren: verboden de bedrijfsnaam te noemen op je Linkedinpagina, alle tweets schriftelijk voorleggen aan de afdeling Communicatie en op de Hyves- of Facebookpagina mag niets over het werk vermeld worden. Dergelijke regels zijn echter volstrekt onhaalbaar: mensen zijn zó gewend om over zichzelf te hyven, facebooken, twitteren of googleplussen dat ze deze regels niet serieus kunnen nemen.

De meeste medewerkers begrijpen echter prima de belangen van de werkgever, mits deze zich maar redelijk opstelt (wat overigens ook een wettelijke eis is voor werkgevers). De werkgever hééft soms gewoon redelijke bedrijfsbelangen. En het in acht nemen van het bedrijfsbelang kan soms betekenen dat de werkgever zich anders moet uitdrukken of even niet moet reageren of ingaan op een discussie.

Natuurlijk, dergelijke regels leveren een beperking van de vrije meningsuiting van de werknemer op, maar dat is legaal. De werknemer kiest er zelf voor wanneer hij in dienst treedt bij dat bedrijf. Maar de werkgever mag niet verder gaan dan het bedrijfsbelang vergt. Zo kan een werkgever een werknemer niet verbieden zijn mening over zijn favoriete voetbalclub te uiten, behalve wellicht wanneer hij bij een concurrerende club werkt. Een werknemer bij een bank mag niet zomaar zeer negatieve artikelen over het bankwezen publiceren. Ook niet als hij dat doet op persoonlijke titel maar wel met de bedrijfsnaam erbij.

Arnoud

Mag een bedrijf nog wel pakketten diep inspecteren?

dpi-deep-packet-inspectionRecent is netneutraliteit expliciet wettelijk vastgelegd. De Eerste Kamer moet er nog over stemmen, maar dat lijkt slechts een hamerstuk te gaan worden. De reden voor deze unieke wetgeving is vooral de heisa rond de bekentenis van KPN dat ze hun netwerkverkeer via DPI inspecteerden.

Regelmatig krijg ik mails van bedrijven die zich afvragen of dit betekent dat zij ook het internetverkeer van en naar hun bedrijven neutraal moeten behandelen. In principe niet. Netneutraliteit is geformuleerd als een eis aan aanbieders van “openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd”. Een bedrijf is, net als een vereniging, geen provider zolang ze niet het algemene publiek het internet laat opgaan.

Een bedrijf is dus niet gehouden om zich netneutraal op te stellen, en mag internettoegang filteren op elk criterium dat haar goeddunkt. Ook mag ze internetgebruik monitoren en filteren, hoewel ze dan rekening moet houden met de privacy van medewerkers.

Eén opmerkelijk punt is het “openbreken” van beveiligde verbindingen. Het is technisch mogelijk voor een bedrijf om een geavanceerde firewall te installeren die ook SSL-beveiligd verkeer kan onderscheppen. De firewall doet zich naar bedrijfscomputers voor als bijvoorbeeld Gmail of Facebook (inclusief certificaat dat de bedrijfscomputer als veilig accepteert), en naar Gmail toe als de computer van de eindgebruiker. Technisch gezien gaat het dan om vervalste certificaten (ik hoor diverse lezers nu “Diginotar” mompelen, inderdaad), maar binnen een bedrijf is dat minder een probleem.

Al het netwerkverkeer naar Gmail of Facebook komt nu op de firewall binnen en kan daar onversleuteld worden bekeken voordat het wordt doorgestuurd – of wordt weggegooid omdat het niet aan het bedrijfsbeleid voldoet. Ook kan er precies worden gelogd welke gebruiker hoe lang op welke dienst zit, welke bijlagen hij verzond via Gmail, of hij de bedrijfsnaam noemde in een statusupdate of Facebookchatbericht, en ga zo maar door.

Ik denk dat dit wel mag, mits je maar als bedrijf in je reglement (internetprotocol) duidelijk hebt aangegeven dat je dit doet en voor welke redenen. Plus, je mag natuurlijk niet verder gaan dan nodig is voor die redenen. Ben je bang dat er bedrijfsgeheimen lekken, dan is een dagelijks rapportje over wie hoe lang farmvillet natuurlijk nergens voor nodig. Mails waarin het omzetcijfer van het eerste kwartaal genoemd wordt, zouden daarentegen gerede vragen mogen oproepen bij het management.

Wel zou ik vooraf een duidelijke belangenafweging willen zien. Is het nu écht nodig om iedereen digitaal te fouilleren bij elk bezoekje aan een socialemediasite? Doe je dat aan de poort ook, als mensen naar huis gaan? Het lijkt me dat je alleen digitaal mag fouilleren onder dezelfde omstandigheden dat je dat ook aan de poort zou doen. De diamantslijper of de accountant die je jaarcijfers aan het opmaken is, mag verwachten dat zijn tas (en jaszak) extra goed gecontroleerd wordt, net als de researchmedewerker die aan een nieuw prototype werkt. Maar de receptioniste fouilleren lijkt me héél moeilijk uit te leggen. Digitaal én bij de poort.

Arnoud