Opvragen inlogtijden van werknemers

Je kunt toch ook zelf contact opnemen met personeelszaken?

Dit behoort in een protocol vastgelegd te zijn en goedgekeurd door een OR. Daarnaast moet er een sterk vermoeden zijn van verzuim.

Bij mijn organisatie gebeurt dit in opdracht van de directie en de handeling zelf wordt uitgevoerd in aanwezigheid van de HR-manager en één MT-lid die geen leidinggevende is van de persoon in kwestie. Zelfde geldt ook voor het inzien van mail etc.

Wil je ook nog even terug posten als je het uitgevonden hebt?
Ik ben hier eingelijk ook wel nieuwsgierig naar

Ik zie het probleem niet?
Het lijkt me sowieso niet meer dan logisch om te checken of werknemers hun uren wel correct schrijven. Indien het gewoon klopt is er niets aan de hand en toont het aan de werknemer eerlijk is, als er niets van klopt dan is het maar goed dat de gegevens van zo'n fraudeur worden nagetrokken en kunnen er maatregelen worden genomen.

Ik zie het probleem ook niet? Je chef en die zijn chef hebben toch 'getekend'? Dan hoef je alleen uit te voeren en je verder nergens druk over te maken denk ik zo.

Stel iets of iemand gaat over de zeik omdat die gegevens zo zijn opgevraagd kun je altijd wijzen naar hen, toch?

OR en consorten hoef je volgens mij pas te betrekken op het moment dat je stelselmatig dit soort gegevens van alle medewerkers moet doorgeven aan een afdeling die dat vervolgens controleert En dan alsnog vraag ik me af of ze hierin wel een instemmingsrecht hebben. Eem bedrijf heeft volgens mij het 'recht' om dergelijke gegevens in te mogen zien, het is immers hun infrastructuur, en iets als in- en uitlogtijden zijn nu niet bepaald echt privacyschending imho.

ebia schreef op woensdag 27 februari 2013 @ 22:55:
Je chef en die zijn chef hebben toch 'getekend'? Dan hoef je alleen uit te voeren en je verder nergens druk over te maken denk ik zo.

Befehl is befehl lijkt me in onze rechtsstaat geen argument. Als je weet / kunt weten dat iets niet mag, mag het ook niet als je een order krijgt. Of anders zou je zonder rijbewijsverlies 200 mogen rijden zodra de chef zegt dat je over 5 minuten op je plek moet zitten?

Is de medewerkers wel eens verteld dat inloggen/uitloggen wordt gelogt en dat het kan worden gebruikt voor dit doel?

ebia schreef op woensdag 27 februari 2013 @ 22:55:
OR en consorten hoef je volgens mij pas te betrekken op het moment dat je stelselmatig dit soort gegevens van alle medewerkers moet doorgeven aan een afdeling die dat vervolgens controleert En dan alsnog vraag ik me af of ze hierin wel een instemmingsrecht hebben. Eem bedrijf heeft volgens mij het 'recht' om dergelijke gegevens in te mogen zien, het is immers hun infrastructuur, en iets als in- en uitlogtijden zijn nu niet bepaald echt privacyschending imho.

OR is (mede)verantwoordelijk voor de privacy.
http://www.cbpweb.nl/downloads_brochures/bro_orchecklist.pdf

Of misschien kan je het CBP 'gewoon even' bellen. Desgewenst vast ook anoniem.

[ Voor 28% gewijzigd door F_J_K op 27-02-2013 23:19 ]

Heel eenvoudig. Ik doe wat mijn directe chef me opdraagt. Klaar. (wel graag e-mailgewijs opdracht hiertoe graag)

Komen er problemen of vragen van dan verwijs ik de probleemmakers naar mijn direct chef.

[ Voor 16% gewijzigd door demichel op 28-02-2013 09:50 ]

Ik heb een soortgelijke situatie gehad met de ceo die een mailbox in wilde zien van een andere collega en automatisch mails wilde onderscheppen als het van een specifiek domein zou afkomen. Ik heb hierin tot drie keer toe geweigerd waarna ik er niets meer over hoorde.

Maar moet je ook zeggen dat ik geweigerd heb met het idee als ik ontslagen wordt so be it, ik heb mijn integriteit dan nog en backups waar ik op terug kan vallen. Het heeft de werkrelatie niet verbeterd maar op dit moment hoor ik er verder ook niets meer over.

Bevel is bevel gaat overigens niet op, het is makkelijk schermen met 'het moest van mn baas/chef/etc' maar uiteindelijk ben je gewoon verantwoordelijk voor je eigen acties.

Daarnaast vraag ik mij af in hoeverre in/uitlog gegevens als een kloksysteem gezien mogen worden, zeker als dit niet van te voren is aangegeven.

demichel schreef op donderdag 28 februari 2013 @ 09:47:
Heel eenvoudig. Ik doe wat mijn directe chef me opdraagt. Klaar. (wel graag e-mailgewijs opdracht hiertoe graag)

Komen er problemen of vragen van dan verwijs ik de probleemmakers naar mijn direct chef.

Het Fantoom schreef op woensdag 27 februari 2013 @ 22:46:
Ik zie het probleem niet?
Het lijkt me sowieso niet meer dan logisch om te checken of werknemers hun uren wel correct schrijven. Indien het gewoon klopt is er niets aan de hand en toont het aan de werknemer eerlijk is, als er niets van klopt dan is het maar goed dat de gegevens van zo'n fraudeur worden nagetrokken en kunnen er maatregelen worden genomen.

Ik denk dat er wat verwarring ontstaat door de topictitel en de openingspost van de TS. In de topictitel gaat het om inloggegevens (username / wachtwoord) waarmee je anderen toegang verschaft tot een account, in de openingspost lijkt het te gaan om in- en uitlogtijden.

Het eerste is natuurlijk een vele grotere inbreuk op de privacy als het tweede. Het verschaffen van inloggegevens is echt niet iets dat je als systeembeheerder zomaar moet (of mag) doen "als je chef het je opdraagt", hier heb je ook zelf een stukje verantwoording in (ergens zwerft een video op youtube rond van Arnoud Engelfriet die daarop inspeelt). Het verstrekken van in- en uitlogtijden lijkt me een veel minder groot bezwaar.

F_J_K schreef op donderdag 28 februari 2013 @ 10:57:
[...]

offtopic:
Zie mijn eerdere voorbeeld van 200 "moeten" rijden van de baas, dan ben je toch echt je rijbewijs kwijt.

De kans dat je je rijbewijs kwijtraakt met 200 rijden is doorgaans minimaal. Moet je maar net politie tegenkomen en jezelf ook even laten achtervolgen want anders kunnen ze geen meting doen.

[ Voor 14% gewijzigd door Het Fantoom op 28-02-2013 11:22 ]

F_J_K schreef op woensdag 27 februari 2013 @ 23:18:
[...]

Befehl is befehl lijkt me in onze rechtsstaat geen argument. Als je weet / kunt weten dat iets niet mag, mag het ook niet als je een order krijgt. Of anders zou je zonder rijbewijsverlies 200 mogen rijden zodra de chef zegt dat je over 5 minuten op je plek moet zitten?

Is de medewerkers wel eens verteld dat inloggen/uitloggen wordt gelogt en dat het kan worden gebruikt voor dit doel?

Sorry maar er zit een heel groot verschil tussen simpele duidelijke wetten bewust overtreden om de eenvoudige reden dat je baas dat zegt en deze specifieke situatie.

Het is lovenswaardig dat de TS zich drukmaakt over het volgen van de juiste procedures en de achterliggende regelgeving, dat zouden meer beheerders moeten doen. Maar in deze situatie, waar de regelgeving onduidelijk is, er geen beleid is en de leidinggevende veel druk uitoefent om het maar gewoon te doen is de kans dat je er als medewerker problemen mee krijgt als je deze opdracht gewoon uitvoert te verwaarlozen. Al was het maar omdat je als eenvoudig beheerder niet altijd in de positie zit dat je "nee" kan zeggen tegen hoger management.

[ Voor 5% gewijzigd door timag op 28-02-2013 11:23 ]

Is er een protocol voor dergelijke verzoeken? Ik heb een keer inzage in de Inbox van een werknemer gehad via de ICT (zwanger, urgent, geen reactie op telefoon/email van werknemer), en ik kon op een ICT-computer eenmalig inzage krijgen in de email headers na aangeven wat ik zocht. Login + wachtwoord zullen ze niet snel geven, en terecht.

Hoe kun jij uberhaupt de inloggegevens van iemand achterhalen? Dat lijkt me geen veilig systeem...op de TU/e heeft elk account gewoon een wachtwoord als het wordt aangemaakt met de optie dat het wachtwoord veranderd moet worden op éérste gebruik.

De enige manier voor iemand om zich zonder wachtwoord toegang te verschaffen is door een wachtwoord reset, iets dat gelijk opvalt en soms vervelende gevolgen kan hebben (alle remote toegang moet opnieuw worden ingesteld, scripts zorgen voor een lock-out etc.)


Als je protest staan gemeld dan is dat voldoende lijkt me

pillenboer schreef op donderdag 28 februari 2013 @ 11:38:
Om in te haken op de post van timag, uiteindelijk heb ik het verzoek onder protest uitgevoerd maar om heel eerlijk te zijn niet enorm veel protest aangezien ik werk in een tijdelijk dienstverband en niet teboek wil staan als die zeikerd. Hiermee bevestig ik dus onmiddelijk wat je zei, dat niet iedereen in de positie is om te weigeren.

Als een tijdelijke medewerker van me dit zou weigeren zou ik hem direct aannemen!
Beheerders met verantwoordelijkheidsgevoel zijn helaas dun gezaaid.
Maar goed, ik snap dat niet alle werkgevers zo verstandig zijn...

Sibylle schreef op donderdag 28 februari 2013 @ 14:19:
Hoe kun jij uberhaupt de inloggegevens van iemand achterhalen? Dat lijkt me geen veilig systeem...op de TU/e heeft elk account gewoon een wachtwoord als het wordt aangemaakt met de optie dat het wachtwoord veranderd moet worden op éérste gebruik.

Er staat toch nergens dat het om wachtwoorden gaat? Voor hetzelfde geld wil men de inlogtijden (en eventueel werkstations waarvan ingelogged werd) weten. En die worden in Active Directory gewoon netjes bewaard.

Uit de TS, waar staat "in/uitloggegevens" haal ik ook dat 't om de tijden gaat en niet om de credentials. Die inderdaad vaak niet te achterhalen zijn (afgezien van username natuurlijk.)

Hier zou ik ook niet zo'n probleem van maken inderdaad.

[ Voor 13% gewijzigd door CyBeR op 28-02-2013 16:45 ]

Volgens mij mag iedere "baas" in en uit klok tijden bekijken dus ik neem aan dat dit dan ook gewoon voor inloggen geldt. Zie inloggen als digitaal inklokken

[ Voor 14% gewijzigd door GrooV op 28-02-2013 17:02 ]

BCC schreef op donderdag 28 februari 2013 @ 14:25:
Als een tijdelijke medewerker van me dit zou weigeren zou ik hem direct aannemen!

Elke werknemer is bezig met zijn eigen werk en eigen communicatie (meestal e-mail) naar klanten en leveranciers toe. Deze communicatie kan vanalles zijn zoals oplevertermijnen en financiële afspraken.
Zoals bekend in het bedrijfsleven is niemand van elkaar op de hoogte van de laatste ontwikkelingen.

Stel dat een werknemer door bijvoorbeeld ziekte niet op zijn werk kan komen. Je kunt dan twee kanten op:

1: Gesloten organisatie. Niemand neemt het werk over en alle afspraken blijven liggen en moet de klant of leverancier maar wachten totdat die werknemer weer terug is. Belangrijke e-mails worden niet gelezen en zo zou je dus potentiële klanten kunnen verliezen.

2. Open organisatie. Mensen weten van elkaar wat ze doen en welke afspraken ze hebben met klanten en leveranciers. E-mails zijn in te zien door andere mensen met een vergelijkbare functie. Privé e-mail stuur je natuurlijk niet via je zakelijke e-mailadres.

Wat wil je dan graag?

Ik werk als systeembeheerder bij een open organisatie. Ik heb van iedereen hun inloggegevens genoteerd, en op verzoek kan ik dat voor andere mensen intypen. Rechtenproblemen e.d. zal ik altijd onder diezelfde gebruiker moeten testen en natuurlijk niet via de lokale admin-of gast-accounts. Periodiek controleer ik e-mails in het spam-filter, inlogtijden van pc's en gebruikers, virusscanners, en lokale updates zoals Adobe flash, Java en andere software. Ik zie dus regelmatig informatie dat niet voor mij is bestemd, maar dat is dus ook een stukje geheimhouding.
Ik zal bijvoorbeeld niets zeggen indien een werknemer de uren onjuist invult. Als iemand maar 36 uur werkt terwijl de leidinggevende verwacht dat er 40 uur gewerkt wordt, is dat dan erg? Ik vind van niet. De leidinggevende gaat vanzelf wel een gesprek aan met die werknemer indien die veel minder werk levert dan een gelijkwaardige collega. Als de leidinggevende geen gesprek aan gaat, dan accepteert die het dus gewoon dat die werknemer in 40 uur tijd maar 36 uur aan werk levert.

BCC schreef op donderdag 28 februari 2013 @ 14:25:
Beheerders met verantwoordelijkheidsgevoel zijn helaas dun gezaaid.
Maar goed, ik snap dat niet alle werkgevers zo verstandig zijn...

Ik ben verantwoordelijk voor de correcte werking en betrouwbaarheid van al onze computer-en netwerkapparatuur. Dit kan ik alleen maar goed doen, indien ik van elke werknemer de inloggegevens heb. En verder: wij werknemers vertrouwen elkaar, maar we vertrouwen de buitenwereld niet. Dus het patchen van software is belangrijker dan de geheimhouding van inloggegevens van werknemers.

Onbekend schreef op donderdag 28 februari 2013 @ 17:45:
[...]

Ik werk als systeembeheerder bij een open organisatie. Ik heb van iedereen hun inloggegevens genoteerd, en op verzoek kan ik dat voor andere mensen intypen. Rechtenproblemen e.d. zal ik altijd onder diezelfde gebruiker moeten testen en natuurlijk niet via de lokale admin-of gast-accounts. Periodiek controleer ik e-mails in het spam-filter, inlogtijden van pc's en gebruikers, virusscanners, en lokale updates zoals Adobe flash, Java en andere software. Ik zie dus regelmatig informatie dat niet voor mij is bestemd, maar dat is dus ook een stukje geheimhouding.
[...]

Ik ben verantwoordelijk voor de correcte werking en betrouwbaarheid van al onze computer-en netwerkapparatuur. Dit kan ik alleen maar goed doen, indien ik van elke werknemer de inloggegevens heb. En verder: wij werknemers vertrouwen elkaar, maar we vertrouwen de buitenwereld niet. Dus het patchen van software is belangrijker dan de geheimhouding van inloggegevens van werknemers.

Je weet dat je strafbaar bent als je daadwerkelijk op deze manier te werk gaat?
Als systeembeheerder kun je bij veel informatie en tot op zekere hoogte mag je daarbij als het noodzakelijk is om je werk goed te doen of te garanderen dat de systemen het goed (blijven) doen maar jij gaat zo te zien veel verder dan de bedoeling.
Worst case praat je over anderhalf jaar brommen.
http://www.wetboek-online...an%20Strafrecht/273d.html

1
Met gevangenisstraf van ten hoogste een jaar en zes maanden of geldboete van de vierde categorie wordt gestraft de persoon werkzaam bij een aanbieder van een openbaar telecommunicatienetwerk of een openbare telecommunicatiedienst:
a
die opzettelijk en wederrechtelijk van gegevens kennisneemt die door tussenkomst van zodanig netwerk of zodanige dienst zijn opgeslagen, worden verwerkt of overgedragen en die niet voor hem zijn bestemd, zodanige gegevens voor zichzelf of een ander overneemt, aftapt of opneemt;
b
die de beschikking heeft over een voorwerp waaraan, naar hij weet of redelijkerwijs moet vermoeden, een gegeven kan worden ontleend, dat door wederrechtelijk overnemen, aftappen of opnemen van zodanige gegevens is verkregen;
c
die opzettelijk en wederrechtelijk de inhoud van zodanige gegevens aan een ander bekendmaakt;
d
die opzettelijk en wederrechtelijk een voorwerp waaraan een gegeven omtrent de inhoud van zodanige gegevens kan worden ontleend, ter beschikking stelt van een ander.
2
Het eerste lid is van overeenkomstige toepassing op de persoon werkzaam bij een aanbieder van een niet-openbaar telecommunicatienetwerk of een niet-openbare telecommunicatiedienst.

Imho begeef je je op heel glad ijs en besef je dat zelf niet.

ninjazx9r98 schreef op donderdag 28 februari 2013 @ 18:16:
[...]

Je weet dat je strafbaar bent als je daadwerkelijk op deze manier te werk gaat?
Als systeembeheerder kun je bij veel informatie en tot op zekere hoogte mag je daarbij als het noodzakelijk is om je werk goed te doen of te garanderen dat de systemen het goed (blijven) doen maar jij gaat zo te zien veel verder dan de bedoeling.

Als systeembeheerder dien je redelijkerwijs altijd toegang te hebben tot alle informatie tenzij expliciet anders vermeld. En ja, soms is het gebruikelijk dat de systeembeheerder ook de passwords kent. Daarom bestaat Omkeerbare Encryptie in Active Directory. Hoe wil je anders backups maken, controleren en testen als je niet bij de gegevens kan komen?

Ik zie in de verste verte niet in hoe het betreffende wetsartikel bijdraagt aan een eventuele strafbaarheid van het voorbeeld van Onbekend.

Even een kleine aanpassing qua topictitel:

opvragen inloggegevens van werknemer -> Opvragen inlogtijden van werknemer

ninjazx9r98 schreef op donderdag 28 februari 2013 @ 18:16:
Je weet dat je strafbaar bent als je daadwerkelijk op deze manier te werk gaat?

Deze manier van werken is voor iedereen in onze organisatie bekend. Ik heb nog nooit negatieve reacties hierover gehad, terwijl we allemaal open staan voor kritiek en verbeterpunten.

Het is natuurlijk wat anders als ik actief in privé e-mails ga kijken als iemand per ongeluk een webmail nog open heeft staan....

F_J_K schreef op woensdag 27 februari 2013 @ 23:18:
[...]
Befehl is befehl lijkt me in onze rechtsstaat geen argument. Als je weet / kunt weten dat iets niet mag, mag het ook niet als je een order krijgt. Of anders zou je zonder rijbewijsverlies 200 mogen rijden zodra de chef zegt dat je over 5 minuten op je plek moet zitten?

In mijn ogen gaat het dan niet zozeer om het feit dat de baas zegt dat dat moet, maar wel om de gevolgen (los van het feit dat in dit geval de gevolgen voor jouzelf ook zijn in de vorm van het moeten missen van je rijbewijs en het streepje achter je naam). Moet je 200 rijden van je baas, mag je veronderstellen en/of afgetikt hebben dat de eventuele (financiële) gevolgen waar mogelijk voor hem zijn.

Zo ook in het punt van TS. Hij krijgt de opdracht van een leidinggevende om die registratie uit te draaien en voert deze opdracht om die reden uit. Zitten er gevolgen aan, zou het logisch zijn dat de leidinggevende daarop wordt aangesproken.

Edit: bovenstaande tot op redelijke hoogte. Iemand omleggen in opdracht van je baas valt daar dus niet onder

[ Voor 5% gewijzigd door Bastiaan op 28-02-2013 21:53 ]

Trommelrem schreef op donderdag 28 februari 2013 @ 18:30:
[...]

Als systeembeheerder dien je redelijkerwijs altijd toegang te hebben tot alle informatie tenzij expliciet anders vermeld. En ja, soms is het gebruikelijk dat de systeembeheerder ook de passwords kent. Daarom bestaat Omkeerbare Encryptie in Active Directory. Hoe wil je anders backups maken, controleren en testen als je niet bij de gegevens kan komen?

Ik zie in de verste verte niet in hoe het betreffende wetsartikel bijdraagt aan een eventuele strafbaarheid van het voorbeeld van Onbekend.

Bij gegevens (kunnen) komen is iets heel anders dan actief inloggen op verzoek op andermans account in geval van afwezigheid/ziekte (zie de omschrijving van de open organisatie en ook al is het misschien niet handig je mag zakelijke mail ook prive gebruiken en hebt ook recht op privacy)
Dat kun je prima oplossen met een geshared mailaccount voor meerdere medewerkers of je laat de gebruiker zelf bepalen wie toegang mag hebben tot de mailbox bij afwezigheid.
Het is natuurlijk ook onzin dat je als systeembeheerder alle wachtwoorden van gebruikers moet weten/hebben om bij informatie te kunnen, daar heb je gewoon administrator/root en soortgelijke users met bijbehorende rechten voor.
Zelfde met de email in het spamfilter, waarom moet je die bekijken als beheerder?
Die kun je gewoon doorzetten naar de geadresseerde en navraag doen of het daadwerkelijk spam is.

Kun je overigens eens toelichten waarom je wachtwoorden nodig hebt om backups te maken, controleren en testen?
Ik heb al heel wat backups gemaakt, gecontroleerd en gerestored zonder wachtwoorden van gebruikers te kennen.

Wat ik daar zie is een imho gemakzuchtige oplossing die het werk een stuk makkelijker maakt maar het is er wel een met weinig respect voor de privacy van medewerkers.

Voor wat meer info: http://www.pvib.nl/download/?id=13614542...1

YouTube: Lezing 'ICT & Recht' door Arnoud Engelfriet - deel 9 van 11

Hier spreekt Arnoud erover (rest van de videos zijn ook wel interessant overigen).

Wachtwoorden etc van alle werknemers noteren zoals Onbekend doet vind ik overigens echt absurd, ik zou dat als werknemer ook absoluut niet fijn vinden.

[ Voor 23% gewijzigd door IceM op 28-02-2013 22:14 ]

ninjazx9r98 schreef op donderdag 28 februari 2013 @ 22:07:
[...]
Ik heb al heel wat backups gemaakt, gecontroleerd en gerestored zonder wachtwoorden van gebruikers te kennen.

Dit. Ik heb dit ook afgevangen door met 5 accounts te werken. Mijn dagelijkse 'hoofd'-account (Domain Admin), een (test-) user-account in de GPO van alle andere users, een (test-) productie-account in de GPO van de productiemensen, en nog een eigen- en (test-) useraccount in het ERP-pakket. Hiermee kan ik met alles testen en uit de voeten, waarbij dat overigens niet eens tweewekelijkse kost is. Mijn andere accounts zijn geblokkeerd tot ik ze een keer nodig heb; op dat moment schakel ik ze vrij voor eigen gebruik.

[ Voor 15% gewijzigd door Bastiaan op 28-02-2013 22:13 ]

ninjazx9r98 schreef op donderdag 28 februari 2013 @ 22:07:
[...]

Bij gegevens (kunnen) komen is iets heel anders dan actief inloggen op verzoek op andermans account in geval van afwezigheid/ziekte (zie de omschrijving van de open organisatie en ook al is het misschien niet handig je mag zakelijke mail ook prive gebruiken en hebt ook recht op privacy)

Als dat binnen een bepaalde organisatie de normale gang van zaken is, dan is het helemaal niet zo gek dat medewerkers op elkaar's account inloggen. Immers, zou jij ook niet met vakantie willen gaan zonder je werk te hoeven meenemen? Ik zou het wel prettig vinden wetende dat iemand anders mijn zakelijke mailbox kan openen. Als je dat niet wilt, dan moet je dat duidelijk maken en dan moet je je laptop meenemen met vakantie.

Het is natuurlijk ook onzin dat je als systeembeheerder alle wachtwoorden van gebruikers moet weten/hebben om bij informatie te kunnen, daar heb je gewoon administrator/root en soortgelijke users met bijbehorende rechten voor.

Onzin? Nee. Er zijn genoeg redenen te bedenken dat systeembeheer wel over die wachtwoorden beschikt. Ikzelf houd overigens geen wachtwoordenlijsten bij, want ik vind het persoonlijk onzin, maar ik begrijp de keuze om het wel bij te houden heel goed. Het heeft wel degelijk voordelen (en het kan kosten besparen).

Kun je overigens eens toelichten waarom je wachtwoorden nodig hebt om backups te maken, controleren en testen?
Ik heb al heel wat backups gemaakt, gecontroleerd en gerestored zonder wachtwoorden van gebruikers te kennen.

Ik heb niet gezegd dat je wachtwoorden nodig hebt van users om te kunnen backuppen, ik heb gezegd dat je als systeembeheerder altijd toegang moet kunnen hebben tot alle data, anders kun je je werk niet goed doen.

Wat ik daar zie is een imho gemakzuchtige oplossing die het werk een stuk makkelijker maakt maar het is er wel een met weinig respect voor de privacy van medewerkers.

Voor wat meer info: http://www.pvib.nl/download/?id=13614542...1

Privacy van medewerkers heeft niets, en ook echt niets te maken met het bekend zijn van wachtwoorden. Privacy heeft te maken met het feit dat je de bitjes en bytes van medewerkers alleen gebruikt omdat het voor je werk nodig is.

.

[ Voor 128% gewijzigd door Cocytus op 12-09-2022 16:09 ]

Onbekend schreef op donderdag 28 februari 2013 @ 17:45:
[...]
Stel dat een werknemer door bijvoorbeeld ziekte niet op zijn werk kan komen. Je kunt dan twee kanten op:

1: Gesloten organisatie. Niemand neemt het werk over en alle afspraken blijven liggen en moet de klant of leverancier maar wachten totdat die werknemer weer terug is. Belangrijke e-mails worden niet gelezen en zo zou je dus potentiële klanten kunnen verliezen.

2. Open organisatie. Mensen weten van elkaar wat ze doen en welke afspraken ze hebben met klanten en leveranciers. E-mails zijn in te zien door andere mensen met een vergelijkbare functie. Privé e-mail stuur je natuurlijk niet via je zakelijke e-mailadres.

Wat wil je dan graag?

Mensen moeten nooit toegang hebben tot elkaars account. Dat kan tot potentieel misbruik leiden onder een ander zijn naam.

Jouw voorbeeld van ziekte is wat wankel. Als iemand een of twee dagen ziek is dan lijkt het me geen ramp. Als een afdeling goed geïnformeerd is weten ze voldoende waar iemand aan werkt ook als ze het over moeten nemen. Sowieso is het ook beter om klanten altijd naar een gemeenschappelijke mailbox te laten mailen. Zo kan er altijd een medewerker bij zonder als een ander te moeten inloggen. Dan is ook langdurige ziekte geen probleem.

En waarom moet een systeembeheerder wachtwoorden van anderen bijhouden? Je kan ze ook indien nodig resetten.... Maar iemands account openmaken is iets wat je niet zomaar moet doen.

pillenboer schreef op donderdag 28 februari 2013 @ 11:38:
Ondertussen is de vraag uitgezet bij OR, zodra er antwoord is zal ik het hier laten weten.

Om in te haken op de post van timag, uiteindelijk heb ik het verzoek onder protest uitgevoerd maar om heel eerlijk te zijn niet enorm veel protest aangezien ik werk in een tijdelijk dienstverband en niet teboek wil staan als die zeikerd. Hiermee bevestig ik dus onmiddelijk wat je zei, dat niet iedereen in de positie is om te weigeren.

Op zich heel goed dat je niet zomaar dit soort verzoeken uitvoert.

Wel jammer dat je je dan weer redelijk snel gewonnen geeft...

Trommelrem schreef op donderdag 28 februari 2013 @ 22:32:
[...]

......

Privacy van medewerkers heeft niets, en ook echt niets te maken met het bekend zijn van wachtwoorden. Privacy heeft te maken met het feit dat je de bitjes en bytes van medewerkers alleen gebruikt omdat het voor je werk nodig is.

Ik zou niet in een organisatie willen werken waar iedereen elkaars inloggegevens heeft. Waarom heb je dan uberhaupt nog inloggegevens nodig

Nu ben ik geen systeembeheerder maar ik heb er nog nooit van gehoord dat systeembeheerders gebruikerswachtwoorden nodig hebben om bij data te komen. Ik kan eigenlijk maar nul legitieme redenen verzinnen waarom een systeembeheerder gebruikerswachtwoorden nodig heeft om zijn werk goed te doen.

En wat je hier over privacy zegt is imho echt klinkklare onzin. Begin wel heel benieuwd te worden waar jij werkt.

[ Voor 28% gewijzigd door Help!!!! op 28-02-2013 23:26 ]

F_J_K schreef op woensdag 27 februari 2013 @ 23:18:
[...]

Befehl is befehl lijkt me in onze rechtsstaat geen argument. Als je weet / kunt weten dat iets niet mag, mag het ook niet als je een order krijgt. Of anders zou je zonder rijbewijsverlies 200 mogen rijden zodra de chef zegt dat je over 5 minuten op je plek moet zitten?

Sorry, maar 200 rijden is de wet overtreden. Een EIGENAAR inzicht geven in zijn EIGEN systeem is absoluut niet strafbaar. Het 'vervelende' is wel dat je als systeembeheer altijd betrokken raakt op één of andere manier, omdat de EIGENAAR dat zelf niet kan en dus hulp vraagt van iemand die wel die kennis heeft.

Voor sommigen voelt dat misschien beroert omdat je dan meewerkt met een mogelijk ontslag van een naaste collega. Maar juridisch is er absoluut geen stok tussen te krijgen.

Is de medewerkers wel eens verteld dat inloggen/uitloggen wordt gelogt en dat het kan worden gebruikt voor dit doel?

Is helemaal niet relevant. Ja, als je het netjes wilt doen zet je een (privacy) policy op waarin je dit soort dingen beschrijft. Maar als je niks op papier hebt, en er zijn dringende redenen, zijn dit soort zaken altijd mogelijk.

[...]

OR is (mede)verantwoordelijk voor de privacy.
http://www.cbpweb.nl/downloads_brochures/bro_orchecklist.pdf

Of misschien kan je het CBP 'gewoon even' bellen. Desgewenst vast ook anoniem.

Omdat de OR hier een plasje overheen mag doen, wil niet zeggen dat de OR altijd maar de werknemer het meest 'in bescherming' neemt. Als het bedrijf bijvoorbeeld een goede reden heeft om zijn personeel aan stevige monitoring te onderwerpen in verband met staatsveiligheid (denk aan kerncentrales, defensie, intelligentiediensten, whatever) dan heeft iedereen daar begrip voor incl OR.

Daarnaast, en dat is denk ik nog behoorlijk te betwisten, kan je met een gegeven als 'inlogtijd' vrij weinig aantonen. Wat 'bewijs' maar eens dat het daadwerkelijk die persoon is die inlogt en niet een ander, of als het systeem aangeeft dat er uitgelogd is dat dat ook daadwerkelijk zo is (audit trail, accountability).

Wat dat betreft is het allemaal een gevecht tussen de onderneming en die medewerker, en ik zou daar verder lekker buiten blijven, dat soort dingen gebeuren nu eenmaal en wordt je zo nu en dan als beheerder van systemen mee geconfronteerd.

Help!!!! schreef op donderdag 28 februari 2013 @ 23:24:
[...]

Op zich heel goed dat je niet zomaar dit soort verzoeken uitvoert.

Wel jammer dat je je dan weer redelijk snel gewonnen geeft...


[...]

Ik zou niet in een organisatie willen werken waar iedereen elkaars inloggegevens heeft. Waarom heb je dan uberhaupt nog inloggegevens nodig

Nu ben ik geen systeembeheerder maar ik heb er nog nooit van gehoord dat systeembeheerders gebruikerswachtwoorden nodig hebben om bij data te komen. Ik kan eigenlijk maar nul legitieme redenen verzinnen waarom een systeembeheerder gebruikerswachtwoorden nodig heeft om zijn werk goed te doen.

En wat je hier over privacy zegt is imho echt klinkklare onzin. Begin wel heel benieuwd te worden waar jij werkt.

Ik werk niet voor een organisatie. Overigens zijn er zat organisaties waar men geen idee heeft hoe men moet delegeren in Outlook. Waar bovendien de behoefte niet is om dat te weten en waar het erg veel geld zou kosten om het delegeren te outsourcen. Veel goedkoper om een wachtwoord binnen de organisatie aan een collega te geven.

En ja, systeembeheerders hebben soms de wachtwoorden van users nodig. Immers, wat als er iets mis is met je userprofile? Ik ben zelf ook niet zo'n voorstander van het kennen van de wachtwoorden van users, maar ik ken genoeg organisaties die de wachtwoorden van users wel kennen en hun redenen daarvoor zijn goede redenen. Redenen die overigens vaak op die specifieke klanten van toepassing zijn.

De essentie is dat je geen misbruik maakt van je bevoegdheden en dat je je bevoegdheden alleen gebruikt voor de taak waar je mee bezig bent. Als je dus bewijs vindt van iemand die diverse overtredingen begaat, maar je was op dat moment bezig om z'n Spotify te installeren, dan lees je daar overheen. Of passwords nou bekend zijn of niet, dat doet er helemaal niet toe.

[ Voor 12% gewijzigd door Trommelrem op 28-02-2013 23:49 ]

Een EIGENAAR inzicht geven in zijn EIGEN systeem is absoluut niet strafbaar. Het 'vervelende' is wel dat je als systeembeheer altijd betrokken raakt op één of andere manier, omdat de EIGENAAR dat zelf niet kan en dus hulp vraagt van iemand die wel die kennis heeft.

Eigenaar in een bedrijf... zolang je het over een eenmanszaak hebt klopt dat, maar volgens mij hebben aandeelhouders vrij weinig te maken met de dagelijkse bedrijfsvoering en is de directeur van een organisatie ook niet de eigenaar over het algemeen.

ebia schreef op donderdag 28 februari 2013 @ 23:37:
[...]

Een EIGENAAR inzicht geven in zijn EIGEN systeem is absoluut niet strafbaar.

Dat is absoluut niet waar.

De eigenaar van een bedrijf inzicht geven in privacygevoelige informatie is net zo hard strafbaar als 't aan een buitenstaander geven.

Cocytus schreef op donderdag 28 februari 2013 @ 23:16:
[...]


Man, wat een quatsch. Dat artikel ziet helemaal niet op gewone sysops die dergelijke handelingen uitvoeren, maar op mensen die bij KPN / Vodafone / etc werken en berichten van klanten gaan opzoeken.

Over quatsch gesproken...
Ik zou zeggen informeer je eens beter, ook voor de gewone sysop gaat dit artikel op en dat is dankzij lid 2.

pillenboer schreef op woensdag 27 februari 2013 @ 17:08:

Na wat gesputter van mijn kant is er dan goedkeuring van mijn teamlead en de manager ICT gekomen maar ik heb sterk het vermoeden dat dit enkel opgevraagd mag worden in samenwerking met HR&O (a.k.a. personeelszaken) maar ik kan dit niet terugvinden op bijvoorbeeld het internet. Ook op de vakbondssite kan ik hier niet zo snel iets over vinden. Hetgene dat het dichtst in de buurt is gekomen is het volgende:
https://ictrecht.nl/priva...mers-hoe-ver-mag-je-gaan/

Uit die link lees ik dat het loggen van activiteit zo veel mogelijk anoniem moet gebeuren. Pas als daar wangedrag uit blijkt mag je verder gaan.
Dus als je al zomaar in/uitloggegevens van werknemers hebt (als in: dat loggen we altijd), dan is het bedrijf mogelijk al in overtreding van privacywetten.

Verder: als je op internet of ergens anders de exacte regels hiervoor niet terug kan vinden dan lijkt het me meer dan normaal om de regels te volgen die je door je baas en/of HR worden voorgehouden (of een andere partij: win advies in bij een advocaat als je echt twijfelt aan de rechtmatigheid). De parallel met de baas die je opdraagt om 200 te rijden gaat niet op omdat je weet dat dat niet toegestaan is.

IANAL maar er zijn zeker mogelijkheden om inzage te krijgen in mailboxen van werknemers. Een van de manieren is om toegang te krijgen is bijvoorbeeld om via de OR een inzagebeleid te accepteren.

Een ander beleid is expliciete toestemming van de desbetreffende medewerker om email in te zien, dit in een geval waarin een medewerker met een miljoenenorder bezig is, ziek wordt, en zijn collega vraagt zijn/haar mailbox te openen.

Ik ben hier 3 jaar geleden begonnen als systeembeheerder en het was gewoon praktijk dat ICT alle wachtwoorden van alle gebruikers kent. Alle medewerkers zijn hier ook van op de hoogte.

Het zou niet mijn keuze zijn geweest, maar ik pas me gewoon aan. Roepen dat ik in deze situatie strafbaar ben is wat kort door de bocht, ik weet welke verantwoordelijkheid ik heb en ga daar hopelijk goed mee om.

Ook zonder de bewuste wachtwoorden kan ik bij alle bestanden komen en zou ik alle mails in kunnen zien, het gaat nu alleen wat sneller.

Trommelrem schreef op donderdag 28 februari 2013 @ 22:32:
[...]


Als dat binnen een bepaalde organisatie de normale gang van zaken is, dan is het helemaal niet zo gek dat medewerkers op elkaar's account inloggen. Immers, zou jij ook niet met vakantie willen gaan zonder je werk te hoeven meenemen? Ik zou het wel prettig vinden wetende dat iemand anders mijn zakelijke mailbox kan openen. Als je dat niet wilt, dan moet je dat duidelijk maken en dan moet je je laptop meenemen met vakantie.

Niemand van m'n collega's kan inloggen op mijn acount, ik neem m'n werk niet mee op vakantie, m'n laptop ook niet en de boel draait gewoon door als ik op vakantie ben.
Kwestie van fatsoenlijke overdracht naar collega's die zaken waarnemen en een out of office op de mailbox.

[...]

Onzin? Nee. Er zijn genoeg redenen te bedenken dat systeembeheer wel over die wachtwoorden beschikt. Ikzelf houd overigens geen wachtwoordenlijsten bij, want ik vind het persoonlijk onzin, maar ik begrijp de keuze om het wel bij te houden heel goed. Het heeft wel degelijk voordelen (en het kan kosten besparen).

Ik begrijp de keuze helemaal niet en wat mij betreft is er geen enkele rede zowel technisch als organisatorisch om dat wel te doen.
Een systeembeheerder heeft zowieso toegang tot data en kan een wachtwoord resetten waardoor de noodzaak om het wachtwoord te weten er helemaal niet is.
En om nog even terug te komen op de omkeerbare encryptie van de AD, die staat standaard uit, moet je als beheerder bewust activeren, is gelijk aan het opslaan van wachtwoorden in plaintext en is bedoelt voor specifieke applicaties en niet om het de beheerder lekker makkelijk te maken om wachtwoorden te achterhalen.

Een beheerder die alle wachtwoorden moet weten van de gebruikers om z'n werk goed te doen heeft iets niet helemaal goed of beter gezegd helemaal niet goed begrepen.

Maasluip schreef op vrijdag 01 maart 2013 @ 08:03:
De parallel met de baas die je opdraagt om 200 te rijden gaat niet op omdat je weet dat dat niet toegestaan is.

Niet helemaal relevant, maar 160/180 rijden gebeurt ook wanneer een patiënt in levensbedreigende situatie snel van A naar B moet. Het is allemaal een kwestie van belangen wanneer je boven de wet moet gaan staan.

Maasluip schreef op vrijdag 01 maart 2013 @ 08:03:
[...]


Verder: als je op internet of ergens anders de exacte regels hiervoor niet terug kan vinden dan lijkt het me meer dan normaal om de regels te volgen die je door je baas en/of HR worden voorgehouden (of een andere partij: win advies in bij een advocaat als je echt twijfelt aan de rechtmatigheid). De parallel met de baas die je opdraagt om 200 te rijden gaat niet op omdat je weet dat dat niet toegestaan is.

Iedere Nederlander wordt geacht de wet te kennen dus het niet kunnen terug vinden van de exacte regels lijkt me ook niet iets waar je je achter kunt verschuilen als het er op aankomt.

Trommelrem schreef op donderdag 28 februari 2013 @ 18:30:
[...]

Als systeembeheerder dien je redelijkerwijs altijd toegang te hebben tot alle informatie tenzij expliciet anders vermeld.

Pardon? Dit slaat echt nergens op. Een systeembeheerder die me dit met droge ogen vertelt neem ik nooit meer serieus.

Dat je jezelf door specifieke acties of procedures (die worden vastgelegd om later de rechtvaardiging te kunnen controleren) toegang kunt verschaffen is logisch maar dat je gewoon standaard overal bij kan getuigt van enorme luiheid en gebrek aan respect voor privacy en basale securityprincipes.

Trommelrem schreef op donderdag 28 februari 2013 @ 23:43:
[...]

En ja, systeembeheerders hebben soms de wachtwoorden van users nodig. Immers, wat als er iets mis is met je userprofile?

Er ooit aan gedacht dat als je persé in een useraccount moet zijn je het wachtwoord kunt resetten (of desnoods tijdelijk door de medewerker kan laten aanpassen). Gebruikers vragen om wachtwoorden is ze opleiden tot gewillig slachtoffer van social engineering.

[ Voor 27% gewijzigd door timag op 01-03-2013 09:22 ]

merauder schreef op vrijdag 01 maart 2013 @ 09:08:
[...]

Niet helemaal relevant, maar 160/180 rijden gebeurt ook wanneer een patiënt in levensbedreigende situatie snel van A naar B moet. Het is allemaal een kwestie van belangen wanneer je boven de wet moet gaan staan.

Een ambulance mag harder rijden. Als je het privé doet sta je niet boven de wet en zul je eventuele consequenties toch wel moeten dragen.

ninjazx9r98 schreef op vrijdag 01 maart 2013 @ 09:13:
[...]

Iedere Nederlander wordt geacht de wet te kennen dus het niet kunnen terug vinden van de exacte regels lijkt me ook niet iets waar je je achter kunt verschuilen als het er op aankomt.

En daarmee wil je zeggen dat wat ik zeg onzin is of zo? Wat verandert dit eraan dat je informatie moet inwinnen wat de regels zijn of op het advies van je meerderen moet afgaan?

Trommelrem schreef op donderdag 28 februari 2013 @ 23:43:
[...]


Ik werk niet voor een organisatie.

Je voert jouw werkzaamheden ergens uit.

Overigens zijn er zat organisaties waar men geen idee heeft hoe men moet delegeren in Outlook. Waar bovendien de behoefte niet is om dat te weten en waar het erg veel geld zou kosten om het delegeren te outsourcen. Veel goedkoper om een wachtwoord binnen de organisatie aan een collega te geven.

Dus nogmaals: wat is het nut van specifieke inlog als iedereen elkaars wachtwoord weet.

En ja, systeembeheerders hebben soms de wachtwoorden van users nodig. Immers, wat als er iets mis is met je userprofile? Ik ben zelf ook niet zo'n voorstander van het kennen van de wachtwoorden van users, maar ik ken genoeg organisaties die de wachtwoorden van users wel kennen en hun redenen daarvoor zijn goede redenen. Redenen die overigens vaak op die specifieke klanten van toepassing zijn.

Die hebben ze niet nodig. Er zijn immers alternatieven om toch bij de data te komen.

De essentie is dat je geen misbruik maakt van je bevoegdheden en dat je je bevoegdheden alleen gebruikt voor de taak waar je mee bezig bent. Als je dus bewijs vindt van iemand die diverse overtredingen begaat, maar je was op dat moment bezig om z'n Spotify te installeren, dan lees je daar overheen. Of passwords nou bekend zijn of niet, dat doet er helemaal niet toe.

De essentie is, dat je niet kunt weten of die bevoegdheden misbruikt worden. Maar de systeembeheerder / collega's zijn natuurlijk de uitzonderingen die je altijd kunt vertrouwen

Heb je ooit ergens gehoord dat het gepropageerd wordt om wachtwoorden/pincodes whatever te delen.

Jij zit imho echt op een heel dood spoor.

Help!!!! schreef op vrijdag 01 maart 2013 @ 09:56:

Dus nogmaals: wat is het nut van specifieke inlog als iedereen elkaars wachtwoord weet.

Veel snellere support op user niveau. Scheelt nogal wat tijd en geld.

Die hebben ze niet nodig. Er zijn immers alternatieven om toch bij de data te komen.

Ik heb het niet over de userdata.

De essentie is, dat je niet kunt weten of die bevoegdheden misbruikt worden. Maar de systeembeheerder / collega's zijn natuurlijk de uitzonderingen die je altijd kunt vertrouwen

Heb je ooit ergens gehoord dat het gepropageerd wordt om wachtwoorden/pincodes whatever te delen.

Jazeker. ABN Amro weet mijn pincode. Als zij mij een nieuwe pas toesturen dan staat daar mijn vorige pincode op.

ninjazx9r98 schreef op vrijdag 01 maart 2013 @ 09:02:
[...]

Niemand van m'n collega's kan inloggen op mijn acount, ik neem m'n werk niet mee op vakantie, m'n laptop ook niet en de boel draait gewoon door als ik op vakantie ben.
Kwestie van fatsoenlijke overdracht naar collega's die zaken waarnemen en een out of office op de mailbox.

[...]

Ik begrijp de keuze helemaal niet en wat mij betreft is er geen enkele rede zowel technisch als organisatorisch om dat wel te doen.

Je begrijpt de keuze niet omdat je een tweaker bent. Tweakers weten hoe je je ICT-werk achterlaat voor collega's. Maar er zijn zat organisaties waar men niet weet hoe men de ICT achterlaat voor collega's. Bij die organisaties is er ook geen behoefte om dat te weten.

timag schreef op vrijdag 01 maart 2013 @ 09:17:
[...]


Pardon? Dit slaat echt nergens op. Een systeembeheerder die me dit met droge ogen vertelt neem ik nooit meer serieus.

Oke, dus je geeft niets om je backups? Lekker handig. Ik test graag mijn backups, maar om te backuppen en om te testen heb je toegang nodig tot alle data. Zonder toegang kun je immers niet backuppen

[ Voor 43% gewijzigd door Trommelrem op 01-03-2013 10:10 ]

Trommelrem schreef op vrijdag 01 maart 2013 @ 10:04:
Jazeker. ABN Amro weet mijn pincode. Als zij mij een nieuwe pas toesturen dan staat daar mijn vorige pincode op.

Ik ben geen beveiligingsexpert, maar ik hoef jouw pin niet te weten om jou een pas te kunnen geven die werkt met dezelfde pin als je oude pas.

Let wel, je PIN staat niet eens op je pas. Dat hoeft ook niet, want jij tikt hem in.

Maasluip schreef op vrijdag 01 maart 2013 @ 09:25:
[...]

Een ambulance mag harder rijden. Als je het privé doet sta je niet boven de wet en zul je eventuele consequenties toch wel moeten dragen.

Dat is correct.

In het bedrijfsleven wordt echter vaak de afweging gemaakt tussen een boete, of het keurig houden aan de regels.

Ik heb in de industrie vaak meegemaakt dat de baas verkeersboetes betaalde. Productiestilstand kostte namelijk ook €400 euro per minuut.

Dido schreef op vrijdag 01 maart 2013 @ 10:17:
[...]

Ik ben geen beveiligingsexpert, maar ik hoef jouw pin niet te weten om jou een pas te kunnen geven die werkt met dezelfde pin als je oude pas.

Let wel, je PIN staat niet eens op je pas. Dat hoeft ook niet, want jij tikt hem in.

PIN staat gehashed in de chip, maar staat dus wel degelijk op de pas. Vroeger, toen de magneetstrip nog werd gebruikt stond de PIN code inderdaad niet op de pas.

Maar als jij een probleem hebt met het pinnen, dan moet een medewerker toch mee kijken naar de PIN automaat? Zo ook in het bedrijfsleven: Gebruiker heeft een probleem met z'n gebruikersprofiel. Systeembeheer moet dus meekijken met de gebruiker terwijl de gebruiker uit z'n neus vreet. Maar er zijn gevallen waarin dit onwenselijk is, bijvoorbeeld omdat de gebruiker op dat moment echt geen tijd heeft of niet op kantoor is wanneer systeembeheer er wel is. Dan wil je als systeembeheerder wel gewoon kunnen inloggen.

Ik werk als systeembeheerder bij een open organisatie. Ik heb van iedereen hun inloggegevens genoteerd, en op verzoek kan ik dat voor andere mensen intypen. Rechtenproblemen e.d. zal ik altijd onder diezelfde gebruiker moeten testen en natuurlijk niet via de lokale admin-of gast-accounts. Periodiek controleer ik e-mails in het spam-filter, inlogtijden van pc's en gebruikers, virusscanners, en lokale updates zoals Adobe flash, Java en andere software. Ik zie dus regelmatig informatie dat niet voor mij is bestemd, maar dat is dus ook een stukje geheimhouding.

Sorry, maar je hebt noooooit de login gegevens van iemand nodig (ook niet om rechten issues op te lossen hier zijn tests accounts voor) je hebt helemaal niets te zoeken in e-mail. En dat je inlogtijden bijhoud is een directe schending van privacy. Er is mij ooit gevraagd dit soort dingen te doen, heb het gelijk via HR laten lopen omdat ik hier niet verantwoordelijk voor wou zijn, na uitleg over HOE FOUT dit soort acties zijn wouden mijn managers het ook niet meer.

Trommelrem schreef op vrijdag 01 maart 2013 @ 10:44:
[...]


Maar als jij een probleem hebt met het pinnen, dan moet een medewerker toch mee kijken naar de PIN automaat?

Vaak veel geld opgenomen waarbij ik wou dat een medewerker het bedrag controleerde op juistheid.
Elke keer draaide de werknemer zich om op het moment dat ik mijn PIN moest invoeren.

CyBeR schreef op vrijdag 01 maart 2013 @ 03:15:
[...]

Dat is absoluut niet waar.

De eigenaar van een bedrijf inzicht geven in privacygevoelige informatie is net zo hard strafbaar als 't aan een buitenstaander geven.

Dit even gewoon ter interesse, maar dat speelt vast enkel voor zeer grote bedrijven?
Mijn vorige werkgever (eigenaar van zijn bedrijf, ook al een BV) heeft mijn sollicitatie afgenomen.
Heeft mijn persoonsgegevens en zelfs kopie ID gemaakt.
En ik weet zeker dat hij ook mijn tijden opvroeg/aan liet passen.
Dat zou dus volgens jou strafbaar zijn?

Trommelrem schreef op vrijdag 01 maart 2013 @ 10:44:
[...]


PIN staat gehashed in de chip, maar staat dus wel degelijk op de pas. Vroeger, toen de magneetstrip nog werd gebruikt stond de PIN code inderdaad niet op de pas.

Maar als jij een probleem hebt met het pinnen, dan moet een medewerker toch mee kijken naar de PIN automaat? Zo ook in het bedrijfsleven: Gebruiker heeft een probleem met z'n gebruikersprofiel. Systeembeheer moet dus meekijken met de gebruiker terwijl de gebruiker uit z'n neus vreet. Maar er zijn gevallen waarin dit onwenselijk is, bijvoorbeeld omdat de gebruiker op dat moment echt geen tijd heeft of niet op kantoor is wanneer systeembeheer er wel is. Dan wil je als systeembeheerder wel gewoon kunnen inloggen.

ALS dit nou echt zo moet, dan wijzig je zijn wachtwoord, doe je wat je moet doen, en stell je het zo in dat hij zijn WW moet aanpassen bij 1st logon.
Heb jij je ding kunnen doen en kan hij weer gewoon verderwerken als hij terugkomt

themac1983 schreef op vrijdag 01 maart 2013 @ 10:58:
[...]


Sorry, maar je hebt noooooit de login gegevens van iemand nodig (ook niet om rechten issues op te lossen hier zijn tests accounts voor) je hebt helemaal niets te zoeken in e-mail. En dat je inlogtijden bijhoud is een directe schending van privacy. Er is mij ooit gevraagd dit soort dingen te doen, heb het gelijk via HR laten lopen omdat ik hier niet verantwoordelijk voor wou zijn, na uitleg over HOE FOUT dit soort acties zijn wouden mijn managers het ook niet meer.

Hoe kun je in vredesnaam met een testaccount in iemand's userprofile inloggen van een user die z'n profiel heeft kapotgemaakt? Een testaccount zou nooit rechten mogen hebben buiten dat testaccount. Lekkere security risk.

En als het bijhouden van inlogtijden een directe schending van privacy is, dan ga ik maar eens lekker half Nederland aanklagen. Active Directory houdt standaard logintijden bij.

themac1983 schreef op vrijdag 01 maart 2013 @ 11:02:
[...]


ALS dit nou echt zo moet, dan wijzig je zijn wachtwoord, doe je wat je moet doen, en stell je het zo in dat hij zijn WW moet aanpassen bij 1st logon.
Heb jij je ding kunnen doen en kan hij weer gewoon verderwerken als hij terugkomt

En dat kost weer tijd. Zoals ik zei, zijn er organisaties waar deze kennis bij users niet aanwezig is, en waar men die kennis ook niet wilt hebben. Er zijn echt zat computergebruikers (die niet ICT-werk doen) die het concept "change password at first logon" niet kennen en ook nooit zullen kennen. Die computergebruikers kunnen niet verder werken als ze terug komen en moeten dus weer bellen met de helpdesk. Kost tijd en geld.

Wij Tweakers begrijpen "change password at first logon," vele anderen begrijpen dat niet. Als het nou om een kleine groep gaat, laat de helpdesk calls dan maar komen, maar het is nou eenmaal geen kleine groep users die niet zo veel computerkennis heeft.

Ik beheer zelf niet dergelijke organisaties, vandaar dat ik niet de behoefte heb om wachtwoordenlijsten bij te houden, maar ik heb bij andere organisaties gezien dat het voor de klant enorm veel geld bespaart.

[ Voor 38% gewijzigd door Trommelrem op 01-03-2013 11:07 ]

Trommelrem schreef op vrijdag 01 maart 2013 @ 11:02:
[...]
En als het bijhouden van inlogtijden een directe schending van privacy is, dan ga ik maar eens lekker half Nederland aanklagen. Active Directory houdt standaard logintijden bij.

Elk authorisatie systeem doet dat, audit- en accounting gegevens worden juist voor dat doel bijgehouden.

Inlogtijden bijhouden en nakijken mag volgens mij alleen als dit expliciet is aangegeven in het beleid en de werknemer hier voor getekend heeft.

Mbt. de mail heb heb ik ooit wat uitgezocht en wat ik er van kan vinden mag je niet zomaar in anderen hun mail kijken, ook niet op het verzoek van de baas. Een rechter gaat er vanuit dat iedereen wel wat prive zaken regelt vanuit zijn werk. Op het moment dat je de mail opent en hierbij mogelijk (of per ongeluk) ook prive mails kan lezen, schend je de privacy van de werknemer.

Ik doe al tijden geen beheer meer maar toendertijd heb ik voor mezelf besloten dat ik mijn vingers er niet aan zou branden (ik ben geen jurist dus ik wist het allemaal niet zeker) en heb ik ook ieder verzoek geweigerd zonder explicitiete toestemming van de persoon waar het over ging. Sommige collega's vonden het niet zo'n probleem en hebben gewoon meegewerkt.

[ Voor 3% gewijzigd door m3gA op 01-03-2013 11:14 ]

Om terug te komen op de daadwerkelijke vraag:

Het verzamelen, opvragen en gebruiken van in -en uitlog tijden door werknemers op de door de werkgever gefaciliteerde systemen behoeft geen verdere toestemming en kan vrij worden gebruikt en opgevraagt. Dit is te vergelijken met het analoog/digitaal in -en uitklokken of het opvragen en gebruiken van rittenregistraties.

In -en uitlogtijden hebben niks met privacy te maken, het bevat geen persoonsgegevens, slecht tijden van in -en uitloggen. Deze gegevens zijn overigens in de strekking van het verhaal van de topicstarter geen sluitend bewijs. Immers, je kan ook aan het werk zijn zonder te zijn ingelogt. Het kan wel vermoedens bevestigen of ontkrachten en als aanvullend bewijs dienen.

Inlogtijden bijhouden en nakijken mag volgens mij alleen als dit expliciet is aangegeven in het beleid en de werknemer hier voor getekend heeft.

Waar staat dat beschreven? Dit zou namelijk ook betekenen dat bedrijven de rittenadministratie van hun eigen voertuigenpark niet in zouden mogen zien. Waarom zou hier toestemming voor gegeven moeten worden? Krachtens welke wet?

Het in -en uitloggen op de bedrijfssystemen heeft geen enkele relatie met eventueel privé-gebruik of privé-gegevens. Werkgevers mogen niet zomaar bijhouden wat werknemers doen, maar dat richt zich voornamelijk op privé-gebruik van internet, e-mail of telefoon op het werk. De regels over wat wel en niet mag, en wat de werkgever kan controleren, moet doorgaans in een reglement worden vastgelegd, maar daar valt het loggen of opvragen/gebruiken van in -en uitlogtijden niet onder.

[ Voor 37% gewijzigd door Han op 01-03-2013 11:21 ]

Trommelrem schreef op vrijdag 01 maart 2013 @ 10:04:
[...]

Je begrijpt de keuze niet omdat je een tweaker bent. Tweakers weten hoe je je ICT-werk achterlaat voor collega's. Maar er zijn zat organisaties waar men niet weet hoe men de ICT achterlaat voor collega's. Bij die organisaties is er ook geen behoefte om dat te weten.

Overdracht van lopende zaken heeft niets maar dan ook helemaal niets te maken met het wel of niet Tweaker zijn en het wel of niet snappen van ICT.
De invulling van je dagelijkse werkzaamheden is bepalend voor voor de inhoud van die overdracht en daar hoeft ICT helemaal geen rol te spelen.
Stel dat je een sales functie hebt , je kunt lopende offertes en dergelijke prima overdragen aan een collega sales zonder 'ingewikkeld' ICT gedoe.
Je slaat wat mij betreft de plank volledig mis en alles wat ik voorbij zie komen aan redenen zijn eerder excuses om het werk makkelijk te maken dan dat het valide redenen zijn.

Ik ben op het werk dus ik heb geen tijd om te lezen maar ik vond het volgende via Google en volgens mij staan er veel interessante zaken mbt. de voorgaande vraagstukken

Waar ligt de grens tussen de bescherming van de privacy van de werknemer en het controlerecht van de werkgever in het kader van het bedrijfsbelang?

m3gA schreef op vrijdag 01 maart 2013 @ 11:24:
Ik ben op het werk dus ik heb geen tijd om te lezen maar ik vond het volgende via Google en volgens mij staan er veel interessante zaken mbt. de voorgaande vraagstukken

Waar ligt de grens tussen de bescherming van de privacy van de werknemer en het controlerecht van de werkgever in het kader van het bedrijfsbelang?

Ik heb Arnoud Engelfriet (ICT-jurist) gewezen op dit topic, in de hoop dat hij hier een gefundeerd antwoord op kan geven. Als iemand dat kan dat is hij dat wel

Han schreef op vrijdag 01 maart 2013 @ 11:14:
[...]
Waar staat dat beschreven? Dit zou namelijk ook betekenen dat bedrijven de rittenadministratie van hun eigen voertuigenpark niet in zouden mogen zien. Waarom zou hier toestemming voor gegeven moeten worden? Krachtens welke wet?

Het in -en uitloggen op de bedrijfssystemen heeft geen enkele relatie met eventueel privé-gebruik of privé-gegevens. Werkgevers mogen niet zomaar bijhouden wat werknemers doen, maar dat richt zich voornamelijk op privé-gebruik van internet, e-mail of telefoon op het werk. De regels over wat wel en niet mag, en wat de werkgever kan controleren, moet doorgaans in een reglement worden vastgelegd, maar daar valt het loggen of opvragen/gebruiken van in -en uitlogtijden niet onder.

Het loggen van inlogtijden gebeurt meestal automatisch maar of je er daadwerkelijk iets mee gaat doen. bv. mensen op aanspreken of specifiek nakijken voor bepaalde doeleinden dienen zover ik weet ook in een regelement meegenomen te worden.

Het voertuigpark en rittenregistratie zijn zaken die puur zakelijk zijn dus lijkt me dit ook geen probleem.
En zoals ik al zei, ik ben geen jurist en dan speel ik liever op zeker dus ik zou er persoonlijk niet aan meewerken.

Ik heb Arnoud Engelfriet (ICT-jurist) gewezen op dit topic, in de hoop dat hij hier een gefundeerd antwoord op kan geven. Als iemand dat kan dat is hij dat wel

Ik ken veel van zijn artikelen. Ik ben benieuwd wat hij hier op te zeggen heeft
Het CBP heeft nog spreekuur tot 12u30 dus als iemand zich verveelt?

[ Voor 11% gewijzigd door m3gA op 01-03-2013 11:33 ]

Cool! Ik ben benieuwd wat hij over dit verhaal te zeggen heeft.

Wauw, bestaan er echt systeembeheerders die wachtwoorden noteren/administreren? Met als drogreden snellere support??

Ik heb omgevingen beheerd van 10 werkplekken en 2 servers tot 4500 werkplekken en 600 servers (die laatste uiteraard in een team ;- ) ). Maar in geen enkel geval heb ik ooit de wachtwoorden van gebruikers gekend anders dan bij een reset of eerste aanmaak. Is ook nergens voor nodig.. Trommelrem en Onbekend komen bij mij (no offense) een beetje over als niet-professionele systeembeheerders.. Beetje amateuristisch zelfs..

FreakNL schreef op vrijdag 01 maart 2013 @ 13:13:
Wauw, bestaan er echt systeembeheerders die wachtwoorden noteren/administreren?

Ja, die bestaan.

Met als drogreden snellere support??

Geen idee of dat (ook?) wordt aangedragen, bij ons (toen nog externe partij bij MKB) was het meestal "de klant wil dat zo". Tja, wij leveren een omgeving op, als 'de baas' vervolgens van al zijn werknemers de wachtwoorden wil (blijven) onthouden dan kan hij de initiële wachtwoorden van ons krijgen hoor (die zullen we bij oplevering toch echt aan iemand over moeten dragen ).

Op mij kwam het altijd over als een wantrouwende werkgever waar het absoluut niet fijn werken was, maar ze zijn er wel degelijk.

Zelf heb ik ze zelden tot nooit nodig gehad, als er echt iets binnen het account van die user moet gebeuren dan wandelde ik er heen of nam ik de boel over met Teamviewer. Ik heb van precies één gebruiker regelmatig in moeten loggen onder diens account, en dat was omdat ze zelf haar Out Of Office niet in wilde (of kon..) stellen, en dat kon (bij mijn weten) enkel en alleen door in te loggen met haar account.

Dat staat overigens helemaal los van het bijhouden van de login-registratie, die heb ik wel bij een aantal klanten ingeregeld, meestal met een login-scriptje dat iets in SQL-Server zet. Dat is niks anders dan een prikklok of een rittenregistratie, niks privacy-gevoeligs aan...

[ Voor 10% gewijzigd door Paul op 01-03-2013 13:22 ]

^
Als bij ons IT moet meekijken om iets op te lossen dan zit je er of zelf naast of als ze van afstand meekijken dan vragen ze of ze het scherm mogen overnemen (via telefoon). En dan zie je op je scherm gebeuren wat ze aan het doen zijn.

NeutraleTeun schreef op vrijdag 01 maart 2013 @ 10:58:
[...]
Dit even gewoon ter interesse, maar dat speelt vast enkel voor zeer grote bedrijven?
Mijn vorige werkgever (eigenaar van zijn bedrijf, ook al een BV) heeft mijn sollicitatie afgenomen.
Heeft mijn persoonsgegevens en zelfs kopie ID gemaakt.
En ik weet zeker dat hij ook mijn tijden opvroeg/aan liet passen.
Dat zou dus volgens jou strafbaar zijn?

De grootte van de organisatie maakt geen donder uit. Als jij een werknemer hebt dien je diens privacy te respecteren. Als je een eenmanszaak bent en daadwerkelijk in je eentje werkt moet je lekker doen wat je wilt natuurlijk.

Even een zijstraatje inslaan

Ik heb jaren in een fabriek gewerkt waar ze gewoon een tikklok hadden.
Dus je moest jezelf als het ware aan en afmelden als je ging werken.
Dat kon de baas en alles daarboven gewoon zien

Eigenlijk zie ik geen echt verschil tussen dit en inlogtijden bijhouden.

heuveltje schreef op vrijdag 01 maart 2013 @ 13:31:
Even een zijstraatje inslaan

Ik heb jaren in een fabriek gewerkt waar ze gewoon een tikklok hadden.
Dus je moest jezelf als het ware aan en afmelden als je ging werken.
Dat kon de baas en alles daarboven gewoon zien

Eigenlijk zie ik geen echt verschil tussen dit en inlogtijden bijhouden.

Hier is het middel duidelijk voor de gebruiker. In en uitloggen op een pc is toch wat anders. Als jij bijv. 's morgen eerst een vergadering hebt en niet je laptop nodig hebt. Dan zie je het dus met dit systeem als, die persoon heeft niet gewerkt.

Steefph schreef op vrijdag 01 maart 2013 @ 13:33:
[...]


Hier is het middel duidelijk voor de gebruiker. In en uitloggen op een pc is toch wat anders. Als jij bijv. 's morgen eerst een vergadering hebt en niet je laptop nodig hebt. Dan zie je het dus met dit systeem als, die persoon heeft niet gewerkt.

Dat beweer ik ook niet. je kunt er geen 1op1 conclusies aan trekken, dat is logisch.

Maar het gaat ermij om dat dat niet als inbreuk op privacy word gezien, en opvragen van inlogtijden toch ongeveer hetzelfde is.

heuveltje schreef op vrijdag 01 maart 2013 @ 13:55:
[...]


Dat beweer ik ook niet. je kunt er geen 1op1 conclusies aan trekken, dat is logisch.

Maar het gaat ermij om dat dat niet als inbreuk op privacy word gezien, en opvragen van inlogtijden toch ongeveer hetzelfde is.

En andersom geldt ook: ik kan iedere dag van 8u - 17u ingelogd zijn en geen bal uitvoeren als ik hele tijd met telefoon speel, loop te ouwehoeren bij koffieautomaat of mijnenveger zit te spelen.

Misschien helpt het opvragen van die inlogtijden maar dat alleen kan niet de basis zijn om te bepalen of iemand daadwerkelijk niks doet..

FreakNL schreef op vrijdag 01 maart 2013 @ 13:13:
Wauw, bestaan er echt systeembeheerders die wachtwoorden noteren/administreren? Met als drogreden snellere support??

Ik heb omgevingen beheerd van 10 werkplekken en 2 servers tot 4500 werkplekken en 600 servers (die laatste uiteraard in een team ;- ) ). Maar in geen enkel geval heb ik ooit de wachtwoorden van gebruikers gekend anders dan bij een reset of eerste aanmaak. Is ook nergens voor nodig.. Trommelrem en Onbekend komen bij mij (no offense) een beetje over als niet-professionele systeembeheerders.. Beetje amateuristisch zelfs..

Ik zou het eerder flexibel en klantgericht noemen, in plaats van amateuristisch. Dus jij zou geen wachtwoordenlijst bijhouden van omgevingen waar dat nou juist wel voordelen heeft?

Ik heb tientallen klanten waarvan ik inderdaad geen wachtwoordenlijst bijhoud van de eindgebruikers, omdat dat niet nodig is. Daarnaast beheer ik ook twee omgevingen waarvan ik wel de wachtwoorden van users heb, simpelweg omdat is gebleken dat zij daardoor veel efficienter kunnen werken. Oke, het zijn vrij aparte werkomgevingen waardoor het zo moet, maar de klant wordt er beter van en het personeel voelt zich er beter bij. Er is dus niets amateuristisch aan als ik mij flexibel opstel tegenover de klant door af te wijken van de standaardprocedure. Het is ook de keuze van de klant om bijvoorbeeld niet met Outlook delegeren te werken (te ingewikkeld). Dus ja, er zijn gevallen waarbij het nodig is om userwachtwoorden bij te houden. Het komt niet vaak voor, maar het komt voor. Niets amateuristisch aan.

Trommelrem schreef op vrijdag 01 maart 2013 @ 14:24:
[...]


Ik zou het eerder flexibel en klantgericht noemen, in plaats van amateuristisch. Dus jij zou geen wachtwoordenlijst bijhouden van omgevingen waar dat nou juist wel voordelen heeft?

..

Nee. Ik zou het proces dermate aanpassen dat het niet meer nodig is/geen voordelen meer biedt om die wachtworden bij te houden...

FreakNL schreef op vrijdag 01 maart 2013 @ 14:28:
[...]


Nee. Ik zou het proces dermate aanpassen dat het niet meer nodig is/geen voordelen meer biedt om die wachtworden bij te houden...

Waarom? Ik ben de systeembeheerder. Bedrijfsprocessen zijn niet mijn taak. Ik ben er om advies te geven maar de beslissing ligt bij de klant.

Zou nogal klantonvriendelijk zijn om stug bij je eigen standaardprocedure te blijven.

.

[ Voor 112% gewijzigd door Cocytus op 12-09-2022 16:09 ]

Cocytus schreef op zaterdag 02 maart 2013 @ 11:41:
[...]


Ik zou zeggen lees de eerste volzin op p. 38 van de tweede nota van wijziging van computercriminaliteit II, als je die kunt vinden.

Als je het zo goed weet zou ik zeggen kom met een link naar die nota of laat die prachtige volzin hier zien.
Vooralsnog kom ik niets anders tegen dan bronnen die aangeven dat 273d ook voor de reguliere sysop van kracht is.
http://www.surfnet.nl/Doc...oneel_handelen_in_ICT.pdf
arno.uvt.nl/show.cgi?fid=113542

Mogelijk dat Arnoud Engelsfriets nog langs komt in dit topic aangezien een ander hem op dit topic gewezen heeft, ook hij geeft aan dat het voor de gewone sysop opgaat.
http://www.iusmentis.com/internetten/prive-ophetwerk/

Controle door systeembeheer
De systeembeheerder of IT-afdeling kan technisch heel veel. Alle e-mail lezen, alle bestanden op netwerkschijven openen en met een beetje moeite zelfs meelezen met elke chatconversatie via bijvoorbeeld MSN. Dat mogen zij echter niet zomaar. Artikel 273d van het Wetboek van Strafrecht verbiedt beheerders van een netwerk om opzettelijk en wederrechtelijk kennis te nemen van vertrouwelijke communicatie van gebruikers.

duidelijkheid. Lijkt me de beste uitkomst.