Mijn werk wordt gelivecaptured en dat wil ik niet!

| AE 6128 | Ondernemingsvrijheid, Privacy, Security | 23 reacties

screen-captureEen lezer vroeg me:

Op ons werk beheren wij servers van klanten, die bij ons in het datacenter gehost staan. Natuurlijk wordt er uitgebreid gelogd wat wij doen op die servers. Maar nu is er een nieuw systeem: zodra ik de server van een klant benader vanaf mijn terminal, wordt mijn gehele sessie via een live-capturing tool opgenomen en ergens opgeslagen. Zo is er precies bewijs van wat ik heb gedaan, is het argument. Dat is beter dan loggen en onze klanten willen die zekerheid dat álles gemonitord wordt. Maar echt álles wordt gemonitord nu, ook wat ik privé tussendoor doe terwijl ik een server open heb staan. Mag dat zo wel?

Dit is een moeilijke. Enerzijds heb je recht op privacy op het werk, anderzijds hebben klanten recht op informatie over wie er aan hun systemen zit. Zeker als daar persoonsgegevens of bedrijfsgeheimen in zitten. Hier moet de werkgever dus een balans in vinden.

Logging lijkt mij een prima middel om de klant tegemoet te komen. Er kan dan worden gewerkt met een geanonimiseerde aanduiding, die bij een vermoeden van fouten of misbruik door een manager kan worden gekoppeld aan een persoon. Dan weet de klant dat persoon 123 iets deed, maar pas na een onderzoek kan dan blijken dat dit de vraagsteller was.

Alleen, dan moet de klant (of de IT-dienstverlener) wel álles weten te loggen. En dan zul je net zien dat je iets vergeten was. Dus vanuit die optiek snap ik het wel om gewoon maar alles te filmen en achteraf te zien wat je nodig hebt. Met een complete screencapture van de gehele sessie zul je niet snel meer iets missen.

Maar ja, dan loop je weer tegen privacygevoelige dingen aan: een werknemer kan tussendoor even z’n privémail checken terwijl de server nieuwe software staat te compileren, of een Skypeberichtje van zijn partner krijgen. En dat komt dan óók mee met zo’n opname. HEt liefst zou die opname dan beperkt moeten zijn tot het window waarmee de verbinding met die server wordt gelegd. Ik heb alleen geen idee of zulke software bestaat.

En hm. Menig datacenter hanteert ook cameratoezicht in de serverruimtes naast logging van activiteiten op hun server. Dan film je ook een neuspeuterende werknemer of een privételefoontje. Is dit wezenlijk anders?

Arnoud

Mag IP-adressen loggen van de privacywet?

| AE 4478 | Security | 63 reacties

Zo, ik ben weer terug van vakantie. Leuk om te zien dat de gastblogs zo populair zijn 🙂 Tijdens mijn vakantie bleven de vragen binnenstromen. Ga zo door!

Een veel voorkomend onderwerp betrof het al dan niet mogen loggen of vastleggen voor allerlei doeleinden van IP-adressen. IP-adressen zijn immers persoonsgegevens, en die mag je toch niet zomaar verwerken zonder toestemming? Bij sommige vraagstellers bespeurde ik een trollerige achtergrond (“ik wil ze terugpakken want ze hebben me geband”) maar het is natuurlijk een serieuze vraag.

Ja, een IP-adres is een persoonsgegeven. Meestal dan; een IP-adres identificeert een computer (ok, netwerkinterface) maar vaak is die computer door één persoon in gebruik, zodat het adres net zo persoonlijk wordt als een telefoonnummer. Het IP-adres van een server is natuurlijk geen persoonsgegeven.

Als je niet zeker weet of een IP-adres een persoon identificeert, maar je weet dat dit váák wel het geval zal zijn, dan kun je het beste op safe spelen als je privacytechnisch correct wilt zijn. Daarom (en omdat niet alleen de auteurswet last heeft van permanente expansie) wordt veelal aangeraden om IP-adressen altijd als persoonsgegeven te behandelen.

En dat betekent inderdaad dat je als hoofdregel alleen mag werken met een IP-adres als je toestemming hebt van de gebruiker daarvan.

Als hoofdregel, want er zijn wel degelijk uitzonderingen op die regel. Zo is er de regel dat je geen toestemming nodig hebt als het gebruik nodig is voor het uitvoeren van een overeenkomst met die gebruiker. Wil men een IP-sessie met jou, dan is het vrij logisch dat je het IP-adres gebruikt om die sessie op te zetten en te onderhouden. Wil men ingelogd blijven, dan mag je het IP-adres opslaan in je database om na te gaan of het nog steeds dezelfde persoon is. (Of dat slim is, is wat anders; het mag.)

Loggen van IP-adressen en met name het hebben van blacklists met IP-adressen vallen natuurlijk niet onder die “uitvoeren van een overeenkomst” uitzondering. Maar er is er nog eentje: als jouw gebruik van persoonsgegevens absoluut noodzakelijk is voor een legitiem doel én toestemming vragen is zinloos én jouw belang weegt op tegen de privacy van de wederpartij, dan mag het ook zonder toestemming.

Dit zijn drie hoge eisen maar het lijkt me dat een blacklist van structureel irritante personen wel voldoet aan deze eis. Het weren van zulke types is een legitiem doel, dat móet eigenlijk wel op basis van IP-adres en toestemming vragen aan trollen is waanzin.

Wel vraag ik me af hoe je dan om moet gaan met dynamische IP-adressen. Het overkwam mij ook laatst dat ik ineens geband was op Wikipedia: de vorige UPC-klant met dat IP-adres had kennelijk nogal huisgehouden. Een goede site heeft een bezwaarprocedure voor blokkades die irrelevant zijn geworden vanwege verlopen IP-adressen. Alleen, hoe ga je dan weer om met trollen die drie dagen niks zeggen en dan roepen dat ze tegen de ban van hun voorganger zijn aangelopen?

Arnoud