Mijn werk wordt gelivecaptured en dat wil ik niet!

| AE 6128 | Ondernemingsvrijheid, Privacy, Security | 23 reacties

screen-captureEen lezer vroeg me:

Op ons werk beheren wij servers van klanten, die bij ons in het datacenter gehost staan. Natuurlijk wordt er uitgebreid gelogd wat wij doen op die servers. Maar nu is er een nieuw systeem: zodra ik de server van een klant benader vanaf mijn terminal, wordt mijn gehele sessie via een live-capturing tool opgenomen en ergens opgeslagen. Zo is er precies bewijs van wat ik heb gedaan, is het argument. Dat is beter dan loggen en onze klanten willen die zekerheid dat álles gemonitord wordt. Maar echt álles wordt gemonitord nu, ook wat ik privé tussendoor doe terwijl ik een server open heb staan. Mag dat zo wel?

Dit is een moeilijke. Enerzijds heb je recht op privacy op het werk, anderzijds hebben klanten recht op informatie over wie er aan hun systemen zit. Zeker als daar persoonsgegevens of bedrijfsgeheimen in zitten. Hier moet de werkgever dus een balans in vinden.

Logging lijkt mij een prima middel om de klant tegemoet te komen. Er kan dan worden gewerkt met een geanonimiseerde aanduiding, die bij een vermoeden van fouten of misbruik door een manager kan worden gekoppeld aan een persoon. Dan weet de klant dat persoon 123 iets deed, maar pas na een onderzoek kan dan blijken dat dit de vraagsteller was.

Alleen, dan moet de klant (of de IT-dienstverlener) wel álles weten te loggen. En dan zul je net zien dat je iets vergeten was. Dus vanuit die optiek snap ik het wel om gewoon maar alles te filmen en achteraf te zien wat je nodig hebt. Met een complete screencapture van de gehele sessie zul je niet snel meer iets missen.

Maar ja, dan loop je weer tegen privacygevoelige dingen aan: een werknemer kan tussendoor even z’n privémail checken terwijl de server nieuwe software staat te compileren, of een Skypeberichtje van zijn partner krijgen. En dat komt dan óók mee met zo’n opname. HEt liefst zou die opname dan beperkt moeten zijn tot het window waarmee de verbinding met die server wordt gelegd. Ik heb alleen geen idee of zulke software bestaat.

En hm. Menig datacenter hanteert ook cameratoezicht in de serverruimtes naast logging van activiteiten op hun server. Dan film je ook een neuspeuterende werknemer of een privételefoontje. Is dit wezenlijk anders?

Arnoud

Aansprakelijkheid en netwerkneutraliteit versus deep packet inspection

| AE 315 | Ondernemingsvrijheid | 2 reacties

Als een provider alles van zijn klanten kan controleren, moet hij dat dan ook gaan doen? Uitgebreid artikel op Ars Technica over Deep packet inspection en de implicaties voor netwerkneutraliteit.

The “deep” in deep packet inspection refers to the fact that these boxes don’t simply look at the header information as packets pass through them. Rather, they move beyond the IP and TCP header information to look at the payload of the packet. The goal is to identify the applications being used on the network, but some of these devices can go much further; those from a company like Narus, for instance, can look inside all traffic from a specific IP address, pick out the HTTP traffic, then drill even further down to capture only traffic headed to and from Gmail, and can even reassemble e-mails as they are typed out by the user.

Met Deep Packet Inspection of DPI wordt het dus mogelijk om op elk niveau te zien wat welke gebruiker uitspookt op internet. Een zorgelijke ontwikkeling, want de belangrijkste reden om Internetproviders niet aansprakelijk te houden voor wat gebruikers doen, was nou juist dat ze dat onmogelijk konden monitoren.

Als providers dat wel kunnen, betekent dat dan dat ze het ook moeten? In dat licht is dat Belgische vonnis over filteren van P2P-verkeer slechts de eerste stap.

Arnoud