Het lijkt mij dat deze toevoeging nogal veel uitmaakt. Als je het vooraf aankondigt en het doel van het onderzoek duidelijk maakt, heb je iedereen de kans gegeven om zelf eventueel een fout te herstellen, om te zorgen dat er geen overlap is met iemands privégegevens, én het geeft je de mogelijkheid om van de gelegenheid gebruik te maken om te verbieden dat een zakelijk wachtwoord privé wordt gebruikt en andersom.
Overigens verdient het alternatief, namelijk een goed wachtwoordbeleid en technische afdwinging daarvan de voorkeur.
Precies de reden waarom ik denk dat als je onaangekondigd wachtwoorden gaat kraken, je niet goed kunt verantwoorden wat de voordelen daarvan zijn boven het mogelijk inbreken in iemands privégegevens. Het doel is niet om achter de wachtwoorden te komen, het doel is om te zorgen dat er geen eenvoudige wachtwoorden worden gebruikt. Ik denk dat menig jurist het ermee eens zal zijn dat het afdwingen van een bepaalde policy iets totaal anders is dan het kraken van wachtwoorden die gebruikers zelf mogen instellen.
Het is prima toegestaan voor deze legitieme doeleinden bedrijfsinformatie met een mogelijk privebelang te verwerken. Er dienen echter wel maatregelen genomen te worden om het privebelang te borgen. Een voor de hand liggende maatregel is om de cleartext wachtwoorden direct na verwerking automatisch te vernietigen. Op die wijze is op minimale wijze het legitieme doel van het identificeren van accounts met zwakke wachtwoorden bereikt. Geheel conform WBP en arbeidsrecht.
Het wordt een stuk gemakkelijker als je in het personeelsregelement opneemt wat je als werkgever wel of niet mag, want als je dat
niet vastlegt kun je als bedrijf wel degelijk voor nare verrassingen komen te staan. Of als er een gegronde reden is om onderzoek te doen naar het gedrag van een bepaalde persoon omdat er reden is om aan te nemen dat die ene persoon niet zorgvuldig omgaat met bedrijfsgegevens (wat dat wachtwoord
niet is, maar hetgeen dat wachtwoord toegang toe geeft
wel. Kortom, het is gewoon veel netter om als werkgever duidelijk te zijn en dit officieel vast te leggen.
Als simpel voorbeeld: zelfs als is vastgelegd dat een werknemer zijn zakelijke laptop niet voor privédoeleinden mag gebruiken, geeft dat de werkgever niet zomaar het recht alles vast te leggen wat ermee gedaan wordt, zéker niet als het niet wordt aangekondigd. Zelfs als een werknemer in overtreding is, kun je niet zomaar bijvoorbeeld screenshots nemen van het feit dat de werknemer internetbankiert. Daarop staan namelijk wel degelijk privégegevens die de werkgever niets aangaan. Of een keylogger installeren waarmee je zijn wachtwoorden kan opvangen en kan zien wat iemand allemaal op Facebook leest.
Nee, dan is de niet-technische oplossing, namelijk een policy instellen en enforcen, toch meestal een stuk eleganter.
:strip_icc():strip_exif()/u/2646/shine.jpg?f=community)
