Die journalisten van Trouw hadden dikke mazzel dat ze een scoop vonden bij hun computervredebreuk

| AE 11749 | Ondernemingsvrijheid, Security | 24 reacties

Enkele KPN-medewerkers hebben zich intern kritisch uitgelaten over de door KPN ontwikkelde app WeGoEU. Dat las ik bij Tweakers. De kritiek luidt dat de app data van Chinese toeristen verzamelt en naar Chinese servers, en daarmee naar de Chinese overheid zou sturen. Oké, leuk nieuwtje maar het échte nieuws voor mij is dat Trouw dit achterhaalde door te snuffelen op het KPN intranet, waar men toegang toe had via een laptop die een monteur was vergeten bij een klant – en die ook geen wachtwoord had. Eh, wacht, wat. En vooral, mag dat dan, journalistiek snuffelen?

De laptop gaf met enkele muiskliks toegang tot gevoelige ­documenten van het Nederlandse ­telecombedrijf, aldus Trouw. Vooral vanaf het begin val je ICT-securitytechnisch van je stoel: er zat geen wachtwoord op de laptop. Vervolgens kon men zo bij het intranet TeamKPN, waar geen extra login of tweefactorauthenticatie nodig is. En dan lees je bijvoorbeeld dat een KPN manager over de samenwerking met Tencent zegt dat KPN in zijn ogen ‘een hofleverancier van persoons­data voor de Chinese overheid is’. Oeh, schandaal, manager roddelt over eigen bedrijf met collega’s, nog nooit gehoord.

Nou ja, het zal wel nieuws zijn op een of andere manier. En het is inderdaad zo dat je als journalist net even iets meer mag dan gewone mensen wanneer dat nodig is voor het nieuws. Een misstand of schandaal aan het licht brengen is nu eenmaal de taak van de journalist, en soms kun je dat niet anders doen dan door ahem het schemergebied tussen legaal en illegaal te betreden en zo zorgvuldig mogelijk daarbij te werken.

Voor mij staat wel voorop dat áls je tegen het illegale aan gaat schuren, dat je dat pas doet als je weet dat je een mooie scoop gaat ontdekken. En helemaal als je gewoon keihard computervredebreuk gaat plegen. Want ja, dat doe je als je een laptop opentrekt waarvan je weet dat ‘ie niet jouw eigendom is. En oké, die laptop is achtergelaten dus een bijdehante jurist zegt dan res derelicta dus 5:18 BW geen eigenaar dus mag je erin kijken. Oké, wat jij wilt.

Maar dan mag je nog steeds niet het KPN intranet op, want daarvan weet iedereen dat dat een vertrouwelijk netwerk is. En zonder vooraf ook maar iets van een misstand te vermoeden en dat op te willen lossen dan gaan snuffelen, nee dat lijkt mij gewoon strafbaar. Dan blijft alleen nog over “maar ik héb me toch een schandaal gevonden”, het excuus achteraf. Dat vind ik een hele spannende, het zou dus betekenen dat als je zomaar gaat snuffelen je strafbaar bent afhankelijk van wat je uiteindelijk vindt.

Arnoud

Mag mijn werkgever Google Analytics op het intranet zetten?

| AE 7370 | Ondernemingsvrijheid, Privacy | 10 reacties

google-analyticsEen lezer vroeg me:

Onlangs viel me op dat ons intranet cookies van Google Analytics zet. Mijn manager zei dat dat gewoon mag omdat het om werkgerelateerde gegevens gaat en niet om privégerelateerde gegevens. Maar klopt dat wel?

Nou nee, niet helemaal. Met Google Analytics verzamel je gegevens over bezoekers van je website of intranet. Die gegevens zijn te herleiden tot specifieke individuen en dús zijn het persoonsgegevens waarop de Wet bescherming persoonsgegevens van toepassing is.

Hoofdregel is toestemming, maar voor werknemers is het best lastig om toestemming te geven aangezien de wet eist dat dit op vrijwillige basis gebeurt. En in principe kun je als werknemer geen vrijwillige toestemming geven als je werkgever iets vraagt, omdat er op de achtergrond áltijd de vage angst zal heersen “als ik dit niet doe, dan ontslaat hij me/krijg ik geen verhoging/promotie volgend jaar”.

Als werkgever kom je dan al snel uit bij de grond van noodzaak voor de (arbeids-)overeenkomst. Oftewel, ik moet deze gegevens wel verzamelen anders gaat het mis met het werk en/of kun jij je werk niet doen. Een rittenadministratie bijhouden of mensen laten in- en uitklokken valt hieronder. Maar is het echt net zo nodig om te monitoren hoe je intranet wordt gebruikt?

De trend is om social intranets in te zetten voor kennisdelen en contact houden tussen collega’s. Binnen die trend zou ik het verdedigbaar vinden om ook te willen monitoren hoe het intranet wordt gebruikt. Je moet immers kunnen inspelen op gebruikersgedrag.

Is er geen noodzaak voor het werk, dan is de enige redding nog de eigen dringende noodzaak die zwaarder weegt dan de privacy. Je moet dan als werkgever aantonen dat je eigenlijk niet anders kunt. Bij bijvoorbeeld een camera op het werk is dit de rechtvaardiging: ik móet het magazijn filmen want er wordt anders te veel gestolen. Ik móet wel met Analytics werken anders gaat er iets stúk, namelijk.. eh, nee die zie ik ook niet direct.

Beroep je je op zo’n dringende noodzaak dan moet je ook alles hebben gedaan om de privacy zo veel mogelijk beschermen. Er zal dus een privacyreglement moeten zijn dat uitlegt wat je doet en waarom, je moet de IP-adressen zo veel mogelijk verbergen en Google vertellen dat ze écht niets anders mogen doen met jouw Analyticsdata. En rapportages mogen niet op individueel niveau gedaan worden.

Oh ja. Er is een Vrijstelling Intranetten binnen de wet, maar die vrijstelling houdt alleen in dat je niet aan het Cbp hoeft te melden dat je gebruikersgegevens verwerkt via je intranet. Het wil niet zeggen dat als je het zo doet, je legáál handelt. Bovendien dekt die vrijstelling niet het monitoren met Google Analytics (of Piwik of wat dan ook).

Verder is hoe dan ook instemming van de Ondernemingsraad nodig (art. 27 Wet OR). Immers, het gaat om

k. een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen;

dan wel

l. een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen;

En bij al dergelijke regelingen is voorafgaande instemming verplicht. Ik gok zomaar dat de OR van de vraagsteller niet gevraagd is of Google Analytics op het intranet mag worden ingezet. Want dit is Hip en Leuk en gaan we doen. En ik snap dat ook wel, het ís ook gewoon handig en leuk zo’n tool. Maar ja. Die Wbp hè.

Arnoud

Ik wil niet in het smoelenboek!

| AE 2277 | Ondernemingsvrijheid, Privacy | 21 reacties

smoelenboek-frankwatching.pngVrijwel ieder bedrijf krijgt het op zeker moment: een smoelenboek op intranet. Handig om je collega’s te kunnen herkennen. Maar niet iedereen wil graag met naam en vooral met foto in dat smoelenboek. Zo’n publicatie kan voelen als een privacyschending. Maar is het dat ook?

Het College Bescherming Persoonsgegevens is duidelijk: een werkgever mag alleen foto’s in een smoelenboek zetten als daar toestemming van de geportretteerde voor is. Dat is inderdaad de hoofdregel uit de wet (artikel 8 Wet bescherming persoonsgegevens). Maar er is een uitzondering: als de werkgever een aantoonbare noodzaak heeft die zwaarder weegt dan je privacy, dan mag de werkgever zonder je toestemming die foto gebruiken.

Nu lijkt het me wenselijk en belangrijk dat collega’s elkaar leren kennen, en of ze dat nu bij het koffieapparaat doen of via intranet, maakt voor mij niet uit. Maar of dat genoeg is om de privacy opzij te zetten? Ik weet het niet.

Een smoelenboek op intERnet vereist eigenlijk altijd toestemming. Het “zwaarwegend belang” zal hier maar zelden bestaan, behalve misschien bij mensen met een zeer publieke functie heeft waarbij de herkenbaarheid voor het publiek essentieel is voor het bedrijf. Denk aan een management- of een public-relationsfunctie.

Een complicatie bij smoelenboeken dat foto’s als gevoelige persoonsgegevens gezien kunnen worden: je kunt erop zien van welk ras iemand is, en vaak ook of hij een bepaalde ziekte of medische beperking heeft. Dergelijke gegevens mag je als bedrijf helemaal niet verwerken, tenzij “met het oog op de identificatie van de betrokkene” (dus een pasfoto op de toegangspas mag wel), dit geschiedt met uitdrukkelijke toestemming of de betrokkene zelf de gegevens “duidelijk openbaar” heeft gemaakt.

Alles bij elkaar denk ik dat je als bedrijf dus maar beter te allen tijde toestemming kunt vragen van de medewerkers voordat je hun foto op intranet (laat staan internet) kunt zetten.

Hebben jullie een smoelenboek op intra- dan wel internet? En hoe is dat gegaan met toestemming?

Arnoud