Veel Nederlanders sturen werkbestanden naar privémailadres, mag dat?

| AE 10898 | Informatiemaatschappij | 16 reacties

Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, las ik bij Security.nl. Dat baseert zich op het recent verschenen Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit “altijd of meestal” wel doen. 29 procent zegt soms wel, soms niet of meestal niet. Het onderzoek werd uitgevoerd door Motivaction in opdracht van Omnicom Public Relations Group (OPRG), dat de NCTV-campagne Alert Online organiseert. Ik kreeg van diverse mensen de vraag, kun je dit niet beter gewoon verbieden als werkgever?

Het kan natuurlijk een risico zijn om werkbestanden naar jezelf te mailen. Ik vermoed dat in de enquête vooral werd gedacht aan risico’s rondom de slechter beveiligde thuiscomputer, waardoor virussen er met de data vandoor kunnen gaan of deze door een foutje gemaild of geupload wordt naar een plek waar hij niet hoort. Idem voor privémailboxen die minder goed beveiligd zijn. Daarnaast zit je als bedrijf nog met AVG issues, een bestand met persoonsgegevens dat op deze manier mee naar huis gaat, kan best een datalek opleveren.

Vanwege deze risico’s kan ik me goed voorstellen dat een bedrijf haar medewerkers verbiedt om bestanden naar privéadressen te mailen en/of op sticks en dergelijke mee naar huis te nemen. Wel moet je als bedrijf dan goed hebben nagedacht hoe je het wil doen met thuiswerken, iets dat vaak de facto zeer zeker verwacht wordt van medewerkers. (Ze nemen die informatie immers niet voor niets mee naar huis.) Je kunt als goed werkgever niet enerzijds thuiswerken verlangen en anderzijds geen middel bieden om de benodigde data thuis te hebben.

In de comments zag ik nog de suggestie om werknemers aansprakelijk te stellen als ze zo’n verbod overtreden of een datalek veroorzaken door slechte beveiliging thuis. Dat gaat ‘m niet worden: juridisch gezien kun je werknemers gewoon niet privé aansprakelijk houden voor fouten die ze op het werk maken. En data meenemen naar huis om daar onveilig te werken, is gewoon een werkgerelateerde fout. Ook als het expliciet verboden is. Het arbeidsrecht is hier zeer op de hand van het personeel.

Ik ken werkgevers die om deze reden USB-poorten fysiek onbruikbaar maken en Gmail en consorten blokkeren. Dat is wat radicaal maar voorkomt een hoop ongewenste datatransporten. Je maakt het mensen dan weer wel moeilijker om hun werk te doen, dus daar moet je dan wat anders op verzinnen.

Arnoud

Tijd voor wettelijke productveiligheidsaansprakelijkheid?

| AE 5895 | Ondernemingsvrijheid, Security | 24 reacties

Een brakke ICT-beveiliging is niet strafbaar, maar wordt dat niet eens tijd? Vandaag de dag is ICT-veiligheid net zo essentieel als hardwareveiligheid. Apparatuur mag niet ontploffen en mag niet hackbaar zijn, punt. En misschien is dat laatste nog wel erger: dat je laptop ontploft is heel naar voor jou, maar dat 100.000 patiëntdossiers op straat liggen is toch 100.000 keer erger. Maar gek genoeg is de leverancier van de apparatuur waardoor die dossiers lekten, niet aansprakelijk en die ontploftelaptopfabrikant wel.

Kun je zoiets regelen? In theorie wel. Dat van dat niet ontploffen is namelijk al wettelijk geregeld. Een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW. Uiteraard in alle redelijkheid en met de presentatie en te verwachten gebruik van het product in het achterhoofd, plus kijkend naar de stand der techniek van toen het product uitkwam. Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur.

Even heel simpel copypasten van het wetsartikel en je krijgt “Een ICT-product is gebrekkig indien het niet de beveiliging van gegevens biedt die men daarvan mag verwachten, gezien het beoogde gebruik, de stand der techniek ten tijde van verkoop en het te verwachten kennisniveau van de doelgroep”. Natuurlijk hou je nog steeds het probleem van hoe je de schade meet van een gelekt persoonsgegeven, maar dat is een andere discussie.

Met zo’n regel zou je dus kunnen zeggen dat het lekken van bedrijfsdossiers door een lekke consumentenrouter geen gebrek is: het beoogde gebruik was een toevallig voorbijfietsende wifizoekende buiten te houden, dit soort industriële spionage valt daarbuiten. Net zoals je geen fietsslot gebruikt om nucleaire wapens te beveiligen (ahem). En met die “stand der techniek”-opmerking voorkom je aansprakelijkheid voor later ontdekte hacks die je niet had kunnen weten bij het bouwen – maar hacks die je hád moeten weten, maken je product wel gebrekkig.

Dat van dat kennisniveau had ik bedacht omdat je bij ICT-producten vaak toch wel enig meedenken mag verwachten. Maar hoe veel, dat hangt dan af van de doelgroep. Die consument wil draadloos internet in z’n huis, en niet hoeven nadenken over wat nu een veilige WPA2 key is en of je nou wel of niet TKIP moest gebruiken en hoe je het serienummer van je Apple-laptop achterhaalt voor op de MAC-whitelist. Die router moet dus gewoon zo veilig mogelijk zijn ingesteld en een lang willekeurig wachtwoord met een sticker op de achterkant hebben.

Nadeel: dit leidt wel tot beperkte functionaliteit, want als die consument dan met een handige forumpost in de hand zijn netwerk gaat tweaken, krijgt hij allemaal disclaimers om z’n oren. (Net zoals ik laatst met mijn nieuwe mp3speler: wil je harder dan standje 15 dan moet je eerst bevestigen dat je dat op eigen gehoorsrisico doet. Want ik zou ze eens productaansprakelijk kunnen houden voor gehoorschade omdat ik het geluid op maximaal zet.)

Zou dit kunnen werken? Een verschil waar ik mee zit is dat een product meestal precies dat is: één product. Je kunt die batterij testen en anti-ontplofmaatregelen nemen, en dat gaat dan gewoon goed in die laptop. De batterij wordt niet ineens deel van een complex systeem met drie verschillende protocollen over elkaar heen en interactie met vijftien apparaten van verschillende leveranciers die allemaal nét even anders werken. En dat heb je wel bij computerapparatuur.

Arnoud