Moet een manager toegang hebben tot alles?

Tja, inzage is niet hetzelfde als inzicht. Hoewel volledigheid van informatie altijd cruciaal is, blijft de waarde van informatie afhankelijk van inzicht en begrip. Iets wat veel meer op communicatie neerkomt dan op het vermogen tot inzicht in zijn volledigheid op elk moment.

Hou er rekening mee, dat dit punt van communicatie en bijbehorende afspraken en protocollen cruciaal is. Onafhankelijk van de technische aspecten, of zelfs maar de bestuurlijke aspecten.

Dat gezegd zijnde, ik begrijp niet goed waarom het zo maar toegestaan zou zijn om niet alleen inzage en protocollen voor wijzigingen te hebben, maar simpelweg de volledige toegang - dus inclusief de mogelijkheid tot wijzigingen en volledige inzage op elk moment ongeacht wet- en regelgeving.

Het klinkt misschien bruut, maar zelfs met perfecte communicatie moet je er rekening mee houden dat mensen nu eenmaal mensen zijn. P&O kan daar wel een woordje bij invullen. Ongeacht wie, of welke positie, we blijven mensen met mensenzaken en we hebben allemaal wel op een bepaald moment een fabeltjeskrant.

Ik begrijp het punt van integriteit. Dat is van cruciaal belang, overal. Maar je kunt er niet mee naar de bank, zogezegd. De relaties tussen ons mensen zijn altijd gevoelig op dit soort argumenten, maar als puntje bij paaltje komt is dat verhaal irrelevant. Een goede manager moet weten dat hoewel het om en met mensen gaat, dat er simpelgesteld zaken gedaan worden. Economie, en dus zaken doen, berust op vertrouwen, en dat is iets heel anders als relaties tussen vrienden of familie (en zelfs dan en daar). Je laat dus niets aan het toeval over, al was het maar vanwege de vele types van kosten in consequenties uit die twee zaken te verwarren of niet duidelijk te hebben (en die kosten duiken altijd op).

Dit is iets wat een prioriteit moet zijn in de discussie, begrip en acceptatie hiervan doen niet af aan de kwaliteiten van mensen en teams. Het is gewoon een kwestie van rekening houden met de eventualiteit (van welk scenario dan ook, maar werk samen de mogelijke scenarios uit en herleidt die tot best practices en protocollen - eventueel met verder uitwerken van middelen).

Een punt van aandacht, jullie zullen vast wel een juridische afdeling hebben. Niet alle informatie, of zelfs maar bron van, is zo maar wettelijk open voor iedereen. Ik kan me menige situatie herinneren waar bleek dat contracten moesten aangepast of uitgebreid worden in verband met de wet bescherming persoonsgegevens en meer van dat. Maar ook de nodige NDA's en vertrouwelijkheidsclausules en stipulaties voor overdracht gegevens en zelfs boetebepalingen voor het dragen van data buiten beschermde omgevingen (waar ook in veel gevallen situaties voorkwamen van bijvoorbeeld inzage met fysieke locatie / middelen beperkingen).

Ik begrijp het punt van het belang van overdracht. Dat is ook zeer belangrijk. Echter dit is een kwestie van voorbereiding en aanpassingen van tijd tot tijd van afgesproken toegang, middelen en methodes. Het moet mogelijk zijn om een snelle overdracht te kunnen verzorgen, maar dat is een meer kwestie van in die situatie het benodigde specifieke inzicht te verkrijgen (wat dus meer is dan enkel inzage) en veel minder een kwestie van altijd overal in rond te kunnen kijken. In dat laatste geval, zie je bij te veel bedrijven dat met de tijd mensen veel meer tijd kwijt zijn aan rond te kijken dan samen te werken (op zijn zachtst gezegd) en veel te weinig tijd aan het creëren en overdragen van informatie (en toegang tot) in een overdracht.

Het organogram is leuk, maar veel praktischer is het uitwerken van scenarios, het protocoliseren daarvan, en van tijd tot tijd die te vertalen in interim rapportages ondersteund met afspraken over en middel voor het op elk gewenst (of benodigd) moment uit te kunnen voeren. Simpel gezegd, praktijk > theorie.

[ Voor 18% gewijzigd door Virtuozzo op 23-02-2012 00:29 ]

Een heel kort antwoord: verdiep je eens in zaken als controletechnische functiescheiding. Dan weet je ook waarom die manager niet alles zou moeten zien, of iig niet standaard.
Bovendien: als dit soort zaken op de werkvloer uitkomen, gaan mensen er hun eigen manier van opslaan op nahouden, daar kun je vergif op innemen

Ik weet niet of dit er mee te maken heeft of niet, maar ik heb een goed voorbeeld hiervan. Ik liep stage bij een bedrijf die ik niet nader ga noemen, waarbij een manager niet alle benodigde kennis in huis had over ICT.

Nu gaat het hier niet om een groot bedrijf met een complexe infrastructuur of goede beveiliging, als het maar draaide zat het goed. Het bedrijf werd ook onder handen genomen door een extern ICT bedrijf en deze had administrator rechten gegeven aan de manager. Deze kon op de terminalserver, op de fileserver op de mailserver noem het maar op.

Ik liep stage daar om wat ondersteuning te bieden en wat kleine klusjes bij te houden. Op een gegeven moment kwam deze manager naar mij toe met de melding dat hij geen toegang meer had op de map 'Financieel' en 'Uitgaven' en nog wat andere mappen. Ik heb toen diverse computers geprobeerd op te starten om te kijken of ik dit kon aanpassen. Overigens had ik geen rechten op de server en geen toestemming kreeg om deze überhaupt te benaderen, kon ik alleen maar wat standaard opties proberen die in me opkwamen. Uiteindelijk werden deze gegevens maar weer opnieuw aangemaakt en beschouwd als verloren.

Hij wou niet dat bepaalde groepen zoals de secretaresse en andere werknemers er in konden komen. Vervolgens had hij inclusief zichzelf alle gebruikers en groepen verwijderd van de genoemde map. Met als resultaat niemand die er bij kon.

Inzage zou overigens geen kwaad kunnen, maar dat ze alle rechten krijgen zou misschien wel te ver gaan, zie bovenstaande voorbeeld. Ook al is dit nog gemakkelijk op te lossen is dit toch een akelig iets.

Dat de toekomstige manager ICT inzage wil in de voor hem/haar relevante gegevens lijkt me logisch, allen wat is precies relevant? Jullie zouden eens rond de tafel moeten en, samen met die manager, bepalen wat precies de gegevens zijn die hij/zij wil hebben.

"Ik wil inzage in alle gegevens!" heb ik zelf ook vaak genoeg gehoord, Heel fijn, hij al jullie gegevens jij zijn pincode. Een manager heeft niks aan IT specifieke gegevens... Hoe vol zitten de HDD's, welke procedure volg je voor het labelen van een tape. Allemaal info die voor een IT'er interesant is maar voor de manager niet. Bepaal wat voor een manager belangrijk is en geef hem/haar daar leesrechten toe, de rest is niet van belang. Wil, of eist, hij/zij dat wel overleg dan eens met zijn/haar meerdere.

Nog een klein puntje: waarom heb je een file met wachtwoorden? Jij weet jou wachtwoord, je admin wachtwoord en eventueel het enterprise wachwoord. Andere wachtwoorden hoef je niet te weten.

Een ding dat wel word gedaan is om het wachtwoord van het administrator account in een verzegelde envelop in een kluis te leggen. Mocht er een noodgeval zijn hebben ze altijd toegang tot het systeem.

Als jullie zoiets opzetten zou dat wellicht wat voor zijn zorgen weg kunnen nemen en hoeven jullie niet alle kritieke gegevens open te zetten.

MarchelV schreef op donderdag 23 februari 2012 @ 00:47:
Dat de toekomstige manager ICT inzage wil in de voor hem/haar relevante gegevens lijkt me logisch, allen wat is precies relevant? Jullie zouden eens rond de tafel moeten en, samen met die manager, bepalen wat precies de gegevens zijn die hij/zij wil hebben.

"Ik wil inzage in alle gegevens!" heb ik zelf ook vaak genoeg gehoord, Heel fijn, hij al jullie gegevens jij zijn pincode. Een manager heeft niks aan IT specifieke gegevens... Hoe vol zitten de HDD's, welke procedure volg je voor het labelen van een tape. Allemaal info die voor een IT'er interesant is maar voor de manager niet. Bepaal wat voor een manager belangrijk is en geef hem/haar daar leesrechten toe, de rest is niet van belang. Wil, of eist, hij/zij dat wel overleg dan eens met zijn/haar meerdere.

Nog een klein puntje: waarom heb je een file met wachtwoorden? Jij weet jou wachtwoord, je admin wachtwoord en eventueel het enterprise wachwoord. Andere wachtwoorden hoef je niet te weten.

Grappig. De voorbeelden die jij noemt zijn nou precies dingen waarvan ik vind dat de manager hiervan wel moet weten. Hij zal hierover rapporteren aan zijn management én is verantwoordelijk voor het correct gebruiken van procedures. Hiervoor moet hij ze wel kunnen inzien.

Waarom zou een gebruiker uberhaupt rechten krijgen op alles? Als de manager graag overal rechten wilt, dan zal hij daarvoor een apart account moeten krijgen en de benodigde documenten moeten ondertekenen.

Zelfs een systeembeheerder heeft zelfs geen standaard account met adminrechten. Dat zou te bizar zijn. En hoezo ben je de manager bedrijfsvoering verantwoording verschuldigd? Jij doet de IT en jij bent alleen degene boven jou verantwoording verschuldigd, niet iemand uit een ander hok.

Kernconcept: least privilege

Daar volgt al snel uit dat de manager niet direct toegang hoort te hebben. Wel kan er een proces bestaan om bepaalde situaties af te vangen

[ Voor 10% gewijzigd door Rukapul op 24-02-2012 12:59 ]

Als ik de situatie vanuit de manager bekijk, snap ik zijn vraag op zich wel. Hij wil dat er onder alle omstandigheden een mogelijkheid bestaat om jullie (als systeembeheerders) te vervangen. Laat ik even uitgaan van de positieve kant van het verhaal.

Stel jij loopt onder een bus, de dag nadat je collega net heeft aangekondigd met onmiddellijke ingang ontslag te nemen, of jij gaat op vakantie en de dag nadat je weg bent (natuurlijk een vakantie naar donker Afrika, zonder telefoon en zo) loopt je collega onder een bus. Hoe moet de manager dan zorgen dat e.a. goed blijft draaien?

Geef ik de goede man toegang tot de systemen? Nee, zeker niet. Wat doe ik dan wel? Ik leg uit waarom ik hem geen toegang ga geven en ik leg hem uit hoe we geregeld hebben dat een ander persoon in geval van nood onze taak over kan nemen.

Wat is er nodig voor het overnemen van onze taak:
- Envelop met main wachtwoorden en een (korte) uitleg van waar de belangrijkste bestanden terug te vinden zijn (zoals je wachtwoorden bestand.) (n.b. ik hoop dat je dat wachtwoorden bestand ook encrypted/beveiligd hebt opgeslagen?!?)
- Envelop en uitleg uiteraard in een kluis of op een andere veilige plek opgeslagen.

(n.b. Ik ben zonder meer bereid om de gehele procedure door de manager te laten doorlopen. Dan uiteraard wel onder mijn toezicht en na het doorlopen van de procedure, zodat hij ook weet dat het werkt, veranderen we alle wachtwoorden en gaat er een nieuwe (verzegelde) envelop met hoofdwachtwoorden in de kluis.)

Argumenten die ik heb om de manager geen toegang te gaan verlenen:
-1- Gebrek aan kennis bij de manager. (Onderbouw dit eventueel met een voorbeeld van iets dat jullie op een vreemde manier hebben opgelost, die hij vast niet zou bedenken. Uiteraard moet je dan wel een goede reden hebben om dat punt niet standaard op te lossen.)

-2- Functie scheiding

-3- Tijdsbesparing voor de manager. Als hij op de hoogte is van alles, zal hij ook moeten zorgen dat hij op de hoogte blijft van alle wijzigingen.

-4- Goede procedure om problemen op te vangen (zie boven.)

-5- Manager toegang geven, is geen garantie in geval van scheiding op onverkwikkelijke gronden. Ik kan als ik boos ben, best nog even snel een paar wachtwoorden aanpassen en dingen vernachelen. Sterker nog, als ik iets dergelijks verwacht, kan ik natuurlijk best een batchbestandje hebben staan dat iets dergelijks doet, of wat dacht je van een progje dat controleert of ik wel ben ingelogd en anders de zaak verstierd?

(Uiteraard moet je bovenstaande punten wel even beter verpakken.)

Interessante vraag en discussie. Ik denk niet dat je de manager toegang tot alles wilt geven vanwege de jouw aangegeven redenen; ook de manager kan namelijk schade aanrichten vanwege gebrek aan kennis of inderdaad de hele zaak expres in de war schoppen.

Zijn vraag is wel te begrijpen. Hebben jullie procedures opgesteld, werkinstructies, handleidingen of andere documentatie? Als hij weet waar hij dat in een echt noodgeval kan vinden dan zou dat voldoende moeten zijn. De wachtwoorden etcetera opslaan in een encrypt bestand en in een envelop in een kluis bewaren is een goed idee.

Wat wellicht ook een goed idee is, is te omschrijven en vast te leggen wat een echt noodgeval is. In welk geval mag die manager bij die bestanden en die wachtwoorden die encrypt zijn opgeslagen in een bestand en in de kluis in een envelop liggen? Is dat alleen als er tijdelijk maar 1 beheerder is of kan/mag het in meerdere gevallen?

dit doet me denken aan die IT-er in San Francisco, die zijn meerderen zo incompetent vond dat hij zijn wachtwoorden, en dus zijn systemen, niet aan hen toevertrouwde. het ging om een stadsbreed netwerk dat toegang gaf tot alles wat maar met de besturing van een stad te maken had.

http://www.wired.com/threatlevel/2010/04/admin-guilty/

toen de beste man ontslagen werd, duurde het 6 maanden totdat het bedrijf (of de stad) weer toegang had tot de systemen. In de tussentijd was men banf dat de systeembeheerder onherroepelijke schade kon uitvoeren aan het systeem, en werd hij daarom gevangengezet. Na die 6 maanden heeft hij de admin credentials aan de burgemeester overhandigd, omdat hij inderdaad vond dat die de eindverantwoordelijkheid had op desbetreffende systemen.

Het is mijn persoonlijke mening dat jij, de systeembeheerder, helemaal niks te zeggen hebt over wie wel en niet toegang heeft tot bepaalde systemene en data. Jij behoort tot de utivoerende macht, en je hebt een afdelingschef of manager die jou vertelt wat jij moet doen. Daar zijn enterprise-brede afspraken voor gemaakt (als het goed is), en als jij vindt dat dat niet zo is dan kun je misschien in discussie gaan om ervoor te zorgen dat die er komen. Maar hoe dan ook dienen er duidelijke regels te zijn, en dient iedereen zich daaraan te houden.

Jouw manager, en zijn baas, hebben een bedrijf te runnen. De continuiteit van dat bedrijf is hun verantwoordelijkheid. Ik begrijp best dat jij het gevoel hebt dat zij van alles stuk kunnen maken en dan ben jij degene die de dingen moet fixen, maar je moet er ook op vertrouwen dat zij, in hun verantwoordelijkheid, niet zomaar op alle knoppen gaan duwen alleen maar omdat die mogelijkheid er is.

Het is al eerder aangekaart in een van de voorgaande posts: de controletechnische scheiding van functies. Daar kan een juridische afdeling, tezamen met jullie security officer, heel wat over zeggen. Misschien de architect ook nog wel.

Nee, een manager mag nooit toegang hebben tot alles.

Hier is al veel over gesproken en er zijn ook al modellen ontwikkelt die dit vraagstuk behandelen en in kaart brengen. Je zou bv kunnen kijken naar Role-Based acces control.

Kortweg komt het er op neer dat een manager alleen de rechten krijgt op datgene wat hij nodig heeft bij het uitvoeren van zijn functie en/of rol.

Overigens is het risico dat te weinig personen toegang tot alle systemen hebben kleiner dan teveel mensen die toegang hebben. Het risico dat een medewerker kwaad wil doen bij een arbeidsconflict is altijd aanwezig.
Maar dat risico zal men in goed vertrouwen moeten nemen en mag nooit een reden zijn om non-ictmedewerkers toegang te verschaffen tot kritische systemen.
Daarnaast kan je voor zulk soort geschillen je behoorlijk goed indekken door van te voren zaken op papier te zetten (denk bv aan boete clausules, intentie verklaringen, etc.).

Een backup van belangrijke wachtwoorden is echter wel een must. Je kan kiezen voor de "brief in kluis" methode of een externe digitale/virtuele omgeving. Maar ook hier geldt weer: zo min mogelijk verantwoordelijke/eigenaren aanwijzen die toegang hebben tot de wachtwoorden.

[ Voor 11% gewijzigd door ChojinZ op 28-02-2012 00:47 ]

In principe zou die manager niet *zomaar* toegang moeten hebben tot die gegevens. Dus niet vanaf zijn gewone account. Wat wel moet kunnen is dat alle directeuren een stukje key krijgen wat samen de key is tot het decrypten van een password voor een bepaalde admin user.

Als er iets met beide sysadmins gebeurt kan het management (in samenspraak, en zelfs zonder sharing van de key) besluiten het nood-admin account actief te maken. Deze kan dan door een eventuele opvolger worden gebruikt om weer orde op zaken te stellen. (Zie ook andere methoden van cryptografie.)

Vertel de manager dus dat het mogelijk is om hem in geval van nood toegang te geven tot de gegevens maar dat hij dus niet zomaar met zijn gewone account dergelijke gegevens kan inzien of veranderen.

"de security officer ben ik. de architect ook"

je hebt teveel (en tegenstrijdige) petten op. en hiernaast ben je vast ook nog hoofd ICT?

maar dat levert wel extra inzicht in het probleem wat je nu ondervindt. die brief van je Raad van Bestuur had er al lang moeten zijn, en wel niet in briefvorm maar duidelijk in de overeenkomsten aangaande data van de enterprise.

die had de architect (jij dus blijkbaar) tezamen met een chief information officer (jij vast en zeker, in je rol van security officer) op moeten stellen, en dan moeten voorleggen aan de opdrachtgever (het bestuur dus). Die had dat dan moeten ratificeren, of alternatief naast zich neer kunnen leggen en gewoon niks doen. Echter, als het eenmaal geratificeerd is, dan komen die vervolgens als principes of richtlijnen weer terug de organisatie in, en landen zowel bij de dagelijkse management (jouw incapabele manager) als bij de ICT-dienst (jij weer).

En dan weet iedereen in de organisatie waar hij of zij aan toe is.

Nu echter is er iemand bij de ICT (jij dus) die vanuit zijn uitvoerende rol neit zomaar een werkinstructie kan uitvoeren omdat er blijkbaar nog steeds iemand ( .. jij dus .. ) ad hoc moet beslissen over de capaciteiten van een persoon, zonder te rade te gaan bij een persoon die daar daadwerkelijk dan wat over te zeggen heeft ( .. bijvoorbeeld dus zijn baas, of de raad van bestuur? )

sorry dat ik het zo direct verwoord, maar het probleem zit m echt in de meerdere petten van jou.

WPN schreef op dinsdag 28 februari 2012 @ 00:00:
Natuurlijk begrijp ik dat de manager vanuit organisatie belang denkt, maar wat er ook gezegd is, hij kan ook op kwade voet vertrekken en de boel slopen.... hij kan ook uit onkunde meer slopen zelfs als hij niet weet dat hij dat doet maar wel de rechten daar toe heeft... virussen/malware vragen om admin wachtwoord hij geeft in omdat hij niet weet waarom dat gevraagd wordt maar kan het wel oplossen... en alles is geinfecteerd....

Waarom heb jij het admin account wel? Dit moet afgesloten in in een kluis. jij krijgt een delegated admin account. Dus dit account is altijd beschikbaar voor mensen mocht jij of collega vertrekken.

Wij (ICT) zijn verantwoordlijk voor de integriteit van de data en de infrastructuur. Die integriteit kunnen wij niet meer garanderen als de manager overal bij komt.

Op basis van welke criteria is de integriteit bepaald? Dat bepaald de business en afgesproken classificaties en niet de admin. Of is dit naar jouw inschatting? Dat zie ik hier niet terug komen.

De manager van de chauffeurs bij de RET die geen rijbewijs heeft voor de bus zal toch ook niet zomaar in een bus gaan rijden omdat hij de manager is van de chauffeurs....

Maar de manager wordt wel de mogelijkheid geboden om zijn werknemers te controleren. Desnoods in een bus. Op deze manier kan hij garanderen dat het product goed is en de afspraken nagekomen worden. Afspraken waar hij op afgerekend wordt, en niet de chauffeur.

@DrClaw.... hoewel ik je gedachtengang goed kan begrijpen wat betreft de sysadmin in SF, dit is toch iets anders... Krijg ik opdracht van de raad van bestuur dan geef ik alles af wat ze willen hebben NADAT in mijn personeels dossier een brief is geplaatst ondertekend door RvB en de manager en mijzelf dat IK niet verantwoordelijk ben voor de acties die de manager met de gegevens uitvoert op het domein.

Kan een manager alleen kijken in alle folders door admin rechten? Volgens mij is er prima een aparte rechtengroep aan te maken zodat deze meneer gecontroleerd kan mee kijken. Daar is geen admin account voor nodig. Logging en auditing aan op dit account en altijd zichtbaar wat meneer waar doet.

Het is ICT die er op aangekeken wordt als het fout gaat.
Het is ICT die het op moet lossen nadat het fout is gegaan.
Het is de Raad van Bestuur die aan ICT zal vragen waarom iemand alle rechten van het domein in handen had terwijl hij niet weet wat de gevolgen zijn of omdat hij juist te veel heeft gekregen en moedwillig dingen gesloopt heeft, en hoogstwaarschijnlijk het dienstverband van de verantwoordelijke ICTer beeindigd door grove nalatigheid.

Eens.

Die bedrijfsbrede afspraken zijn er dus niet, er is niets afgesproken. Alle rechten en toegang worden door het logisch denken en opzetten van structuren door ICT gegeven na overleg met RVB ofwel historische erving.
En ik denk dat ik als verantwoordelijke voor de integriteit van de data en infrastructuur wel iets te zeggen heb over de wie welke toegang krijgt. Bij oversteigende opdracht om mijn argumenten voor geen toegang te negeren daar mijn twijfels bij te zetten en dit bekend maken en eventueel zwart op wit te laten zetten.

In mijn ogen heb je niks te zeggen. Je bent ingehuurd om iets te beheren en te adviseren. De klant, directie is eigenaar, jij niet. Dus je adviseert, signaleert en beheerd.

de security officer dat ben ik. de architect ook.

Lijkt me niet wenselijk, je brengt jezelf in gevaar en SPOF. Maar staat wel stoer natuurlijk.

Het is niet mn bedoeling om alles op slot te gooien zodat niemand iets over kan nemen. Zeker niet.

Totdat je in jouw ogen onterecht wordt behandeld, toegesproken, ontslagen of noem maar op. Je zal niet de 1e zijn die de boel uit rancune verziekt

Nog een bijkomend security risk, stel dat die manager toegang krijgt tot alle documenten, dan kan hij dus ook toegang krijgen tot de bestanden van raad van bestuur waar hij dus zelfs vanuit organisatie belang niets te zoeken heeft.

Zie hier de adviserende rol. Niet doen tenzij er door de verantwoordelijke/eigenaar van de data is getekend voor toestemming.

er zijn twee redenen waarom deze discussie bestaat bij mij:
1) de manager heeft 0 kennis van ICT. Hij staat er wel voor open om iets te leren, en daar zijn wij blij mee. Maar dat kwalificeert nog niet om toegang te krijgen tot alles van ICT inclusief enterprise admin rechten.

Nogmaals dienstverlendend, adviseren, ondertekenen (RvB, directie, data eigenaren) en uitvoeren of juist niet.

2) Ik kan bewijzen dat de integriteit niet 100% is. Ik ga er verder niet op in gezien de achterliggende reden onschuldig is, maar dat onschuldige incident is in principe een overtreding geweest van de wet bescherming persoonsgegevens.

Dit is je werk en juist dat doe je niet?

Even kort door de bocht mijn visie. De eigenaar/baas/verantwoordelijke is de directie/raad van bestuur. Door scheefgroei zie jij jezelf als verantwoordelijk, eigenaar terwijl je dit niet bent. Uiteraard ben je belangrijk en gewaardeerd Maar je zit nu in zaken die imho niet jouw zaken zijn. ook niet bij gebrek aan, afwezigheid, niet ingeregeld etc. Jouw taak is dit signaleren en adviseren. Niet overnemen van verantwoordelijkheden op dit niveau. Ook al ben je zo beetje alle IT functies ineen. Hier zou ik ook heel snel van afstappen. Je bent ten allentijde de sjaak als er iets gebeurd.
just my 2 centjes.