Moet de IT-afdeling toestemming vragen om een pc over te nemen?

| AE 8758 | Ondernemingsvrijheid | 20 reacties

yes-toestemming-ja-permission.pngEen lezer vroeg me:

Ik werk op de IT-afdeling van een bedrijf (~120 medewerkers). Wij hebben op alle pc’s UltraVNC geïnstalleerd, zodat we op afstand beheer kunnen uitvoeren. Dat doen we uiteraard alleen als mensen ons daar toestemming voor geven. Alleen die toestemming vragen we gewoon aan de telefoon of in de chat als we iemand spreken. De VNC applicatie toont geen aparte popup daarvoor. Nu zegt een medewerker dat dat laatste verplicht is onder de privacywet. Klopt dat?

De privacywet (Wet bescherming persoonsgegevens) bevat geen regels op dat niveau. Of je mensen op een knop “Nu toegang tot mijn pc” laat drukken of ze mondeling dan wel op schrift dat laat verklaren, maakt voor de wet niets uit. Waar het om gaat, is dat er toestemming is.

Of nou ja, zelfs dat niet. Als het nodig is voor het werk, dan mág een collega (zoals de IT-er) zich toegang verschaffen tot de computer. Net zoals een collega mag binnenlopen in je kantoor. Kloppen is netjes, maar juridisch niet verplicht. En natuurlijk blijf je buiten als er “Niet storen” opgehangen is. Dus in principe zou voor support hetzelfde moeten gelden. Even melden is netjes, toestemming vragen hoeft niet (maar is wel héél netjes natuurlijk).

Of je moet zeggen: een goed werkgever doet niets dat nodeloos de privacygevoelens van werknemers schendt. En als mensen het gevóel hebben dat hun pc ineens wordt overgenomen, dan schend je toch de privacy. Dus vraag het dan toch nog maar via een popupje.

(Als IT-er heb je natuurlijk wel strikte geheimhouding te respecteren rondom eventuele privézaken die je aantreft bij zo’n remote access sessie.)

Arnoud

Moet je je wachtwoord afgeven als de IT-afdeling dat wil?

| AE 7530 | Security | 41 reacties

Een lezer wees me op deze Tweakersdiscussie over het moeten afgeven van wachtwoorden aan de IT-afdeling:

Mijn vriendin (werkzaam als arts) kreeg onlangs te horen dat zij, omdat ze op veel verschillende locaties werkzaam is, een mobiele telefoon zou krijgen. Ze kon contact opnemen met de IT-afdeling om een afspraak te maken om de telefoon op te halen. Bij dat telefoongesprek werd haar gevraagd om haar gebruikersnaam en wachtwoord af te geven. Dit was zogezegd nodig om “De telefoon te koppelen aan haar account”.

Nu is de vraag natuurlijk: mag dat zomaar, even wachtwoorden vragen om de configuratie van een telefoon te doen? De IT-er in kwestie leek te denken van wel, sterker nog hij werd boos toen de vriendin weigerde dit af te geven en “dan moet je het maar zelf doen”.

Er zijn geen harde wettelijke regels over hoe om te gaan met wachtwoorden. Natuurlijk is het strafbaar om met andermans wachtwoord in te loggen op iemands account, maar dat geldt alleen als het ‘wederrechtelijk’ gebeurt. Een IT-er die in opdracht van de accounteigenaar inlogt, heeft een recht en is dus niet wederrechtelijk bezig. De vraag zou dan dus zijn: hééft hij die opdracht gekregen als hij op die manier het wachtwoord opeist?

Ik ben geneigd te zeggen van wel. Natuurlijk is het raar dat hij dat wachtwoord opeist, je kunt net zo makkelijk zeggen “typ nu even je wachtwoord in, dan kan ik weer verder” immers. Maar om nu te zeggen dat het strafbaar is om dat wachtwoord op te eisen, gaat me iets te ver. En sowieso, als beide partijen bij dezelfde organisatie werken dan lijkt het me al helemaal niet snel strafbaar als medewerker A op het account van medewerker B inlogt als dat een werkgerelateerde reden heeft.

Tegelijk is het wel behoorlijk incompetent handelen, zeker als ik dan ook het verhaal over de reactie van meneer lees:

Bij het ophalen werd haar wederom gevraagd om haar wachtwoord ‘even op te schrijven’ na weer dezelfde discussie gevoerd te hebben (dit was een andere persoon dan ze de voorgaande dag telefonisch had gesproken) gaf deze man uiteindelijk zelf zeer gepikeerd aan dat ze het dan zelf maar in moest voeren en dat hij ‘helemaal niet hield van dit soort praktijken’. Ook werd haar verteld dat ze de rest van het menu (op de telefoon) dan maar zelf moest doorlopen.

Daar word ik niet vrolijk van maar hier een juridisch verhaal van maken, zal niet meevallen. Dit is vooral een kwestie van je werk slecht doen, en dat is iets waar de IT-manager en/of de manager van de gebruiker iets van moeten vinden.

In de discussie vragen diverse mensen zich nog af of een IT-er een beroepsgeheim heeft. Dat heeft hij niet, alleen enkele specifieke beroepsgroepen (waaronder artsen en advocaten) hebben dat. Maar het is wél zo dat als een IT-er toegang krijgt tot vertrouwelijke informatie, hij strafbaar is als hij deze onthult (art. 273 en voor telecom-IT-ers 273d Strafrecht. Dat zou je een “beroepsgeheim” kunnen noemen, maar het is in feite “houd je mond over de bedrijfsgeheimen die je tegenkomt”.

Arnoud