Ziet mijn baas wat ik doe?

In theorie: alles wat 't netwerk op gaat, en wat niet via je VPN loopt (als 't dat wel loopt: alleen dat je een VPN gebruikt).

Praktisch gezien waarchijnlijk niks; dit soort dingen moet je specifiek opzetten en dat doen kleine bedrijven eigenlijk vrij zelden.

Eigen laptop, eigen software ?
Dan ziet men alleen wat je uitgaande netwerk aanvragen zijn.
Dus in jouw geval de inlog, en de verbinding naar ExpressVPN

Wat er over die verbinding me de VPN gaat is versleuteld, en zal alleen als een datastream gezien worden.

Sommige bedrijven houden er niet van dat je een VPN gebruikt, omdat het natuurlijk ook een beveiligingsprobleem kan zijn ( je kan bedrijfsdata verzenden )
Dat maakt je dan al 'verdacht' als je de enige zou zijn, die dit doet.

Ik kom bij ITafdelingen, en zie/hoor daar dat men het gebruik wel monitored, maar niet op daadwerkelijke inhoud, maar op "normaal" gebruik
Dus een privé laptop op dat netwerk maakt verbindingen met Onedrive, Dropbox, Facebook of een aantal wisselende internetpagina's.
Dat valt onder "regulier" gebruik, de inhoud boeit ze niet verder.

Maar als er een device online is, die langer en vaker online komt, en maar één verbinding opzet ( VPN ), mag de eigenaar dit wel 'uitleggen'

Op je werk porno kijken? Ik zou het niet doen... serieus... als er ergens gezeik over kan komen qua online gedrag op de werkvloer is dat het wel...

DeDooieVent schreef op dinsdag 10 april 2018 @ 05:38:
Op je werk porno kijken? Ik zou het niet doen... serieus... als er ergens gezeik over kan komen qua online gedrag op de werkvloer is dat het wel...

Ik vermoed dat @Anoniem: 1061447 bedoeld dat hij net zoals zoveel anderen porno kijken 'gewoon' vind.
Niet zozeer dat hij het op de werkvloer doet.
Maar goed, zou het wel zo zijn, is het een eigen keuze

Ik heb er ook geen moeite mee om voor uit te komen, ook onder de collega's alhier delen we regelmatig links & tips, zelfs via de email.
Wat de ontvanger er op zijn beurt mee doet, is zijn verantwoording

Gezien de manier van "beveiligen" van het netwerk: ze hebben geen idee van wat er gebeurd waarschijnlijk.

En je VPN verkeer is hoe dan ook niet in te zien.

De verbinding zelf is misschien wel afgeschermd maar systeembeheerders hebben op afstand wel de volledige toegang tot de laptop. Ze kunnen dus prima de geschiedenis van de browser inlezen als ze willen.

Officieel mag dat niet, maar juist kleine bedrijven houden zich niet altijd aan die regels.

DutchKel schreef op dinsdag 10 april 2018 @ 07:24:
De verbinding zelf is misschien wel afgeschermd maar systeembeheerders hebben op afstand wel de volledige toegang tot de laptop. Ze kunnen dus prima de geschiedenis van de browser inlezen als ze willen.

Officieel mag dat niet, maar juist kleine bedrijven houden zich niet altijd aan die regels.

Hoe wil de systeembeheerder dan de prive-laptop van TS uitlezen? Waarom zou die volledige toegang hebben zodra die laptop verbonden wordt met het "verborgen" (wat in de praktijk een heel ander effect heeft dan je zou verwachten) hobbienetwerk?

Verwijderd schreef op dinsdag 10 april 2018 @ 07:27:
[...]

Hoe wil de systeembeheerder dan de prive-laptop van TS uitlezen? Waarom zou die volledige toegang hebben zodra die laptop verbonden wordt met het "verborgen" (wat in de praktijk een heel ander effect heeft dan je zou verwachten) hobbienetwerk?

Ik had niet begrepen dat het om een privé laptop ging. Ik dacht een zakelijke laptop.

Algemeen gezien ken ik geen enkele werkgever die actief gaat kijken wat er op het nerwerk gebeurt.
Tenzij natuurlijk het netwerk in de problemen geraakt doordat iedereen aan het netflixen gaat bv.

Maar echt... wat wil je doen en bereiken?
Een keertje facebook, je mails en een paar nieuwssites, daar zal niemand een probleem mee hebben.

Maar als je regelmatig porno zit te bekijken, dan kan je er donder op zeggen dat dit naar boven komt op het moment dat ze je bv willen ontslaan.

Anderzijds, ik zou als werkgever pas echt bezorgd worden als er mensen met een VPN privé beginnen te surfen. Dan maak je je verdacht.

Als de DNS server in het lokale netwerk hangt / niet via de VPN wordt benaderd, kan nog wel worden gezien met welke domeinnamen wordt gecommuniceerd. (Afhankelijk van hoe een en ander is ingericht, maar zo te zien is dat technisch te hoog gegrepen).

Dan nog heeft men in de regel echt geen tijd over om te zien of iemand naar sesamstraat.nl of tweakers.net gaat. Eerder zal er gekeken worden wie er zoveel bandbreedte verstookt.

Edit: het monitoren van werknemers mag ueberhaupt niet (zomaar, bv virsuscan mag 'natuurlijk' wel maar dat is bij VPN vast niet aan de orde). Lees (en volg) het internetreglement als dat er is.

[ Voor 18% gewijzigd door F_J_K op 10-04-2018 08:52 ]

DutchKel schreef op dinsdag 10 april 2018 @ 07:24:
De verbinding zelf is misschien wel afgeschermd maar systeembeheerders hebben op afstand wel de volledige toegang tot de laptop. Ze kunnen dus prima de geschiedenis van de browser inlezen als ze willen.

Ook dat is een schending van je privacy trouwens als er niet iets van een getekend reglement is van een werknemer.

[ Voor 8% gewijzigd door RodeStabilo op 10-04-2018 09:48 ]

Even uit de illusie halen of er gemonitord wordt op netwerken. Soms wel en soms heel erg. Het is wel vaak zo dat er meer gemonitord wordt bij grote bedrijven vaak niet bij kleine omdat ze de tijd/kennis niet hebben.

De laatste 3 opdrachtgevers wordt enorm veel gechecked en geblocked en bijgehouden wat je deed.



Het is redelijk gangbaar bij banken lijkt het (mijn eigen ervaring) Veel ingericht om om de kantoor medewerker in check te houden niet rekening houden met developers die ook gewoon willen normaal werken wat dus niet kan met deze irritante meuk.

Maar als je een VPN heb je geen problemen pas alleen op met SSL soms zit er dus een box tussen (proxy) die gewoon netjes alles wel mee leest en een eigen cert er tussen zet. Dit cert wordt natuurlijk netjes via het netwerk mee geïnstalleerd op je werk computer. Dus zie jij mooie groene iconen en moet je die open klikken om te kijken of het niet een company cert is ipv de site cert.

Maar er zijn wel wettelijke regels zoals brief geheim waar een werkgever niet aan ontkomt ook niet met contracten. Maar goed zolang niemand klaagt en de werkgever niet over email in gmail begint kun je hier weinig tegen beginnen. Maar het mag niet van wat ik weet. Maar dit is lastige materie het en het lijkt er op dat ze er voor nu mee weg kunnen komen.

[ Voor 9% gewijzigd door MeZZiN op 10-04-2018 10:03 ]

Zeg @Anoniem: 1061447, ik zie dat je weer met van alles bezig bent behalve je werk. Hup, aan de slag.

Groeten,
Je baas.

DeDooieVent schreef op dinsdag 10 april 2018 @ 05:38:
Op je werk porno kijken? Ik zou het niet doen... serieus... als er ergens gezeik over kan komen qua online gedrag op de werkvloer is dat het wel...

Wel een goede manier om er achter te komen of je gecontroleerd wordt.

RodeStabilo schreef op dinsdag 10 april 2018 @ 09:48:
[...]

Ook dat is een schending van je privacy trouwens als er niet iets van een getekend reglement is van een werknemer.

Ik ken helaas al 2 kleine bedrijven die zich daar niks van aantrekken en zich daar ook niet mee bezig houden.

1 bedrijf daar keek de baas mee op het scherm via een vnc achtige tool en een ander bedrijf daar kon de baas alle e-mails van de medewerkers van inlezen en dat doet ze ook regelmatig heb ik begrepen.

Ik werk niet (meer) bij die bedrijven en die laatste was nog van vorig jaar. Dus ik kan en ga er nu ook niks tegen doen, misschien zijn ze toch verstandig geworden en is het niet meer van toepassing.

Mag niet, gebeurd toch. Net als hard rijden, niet hands free bellen etc.

DutchKel schreef op dinsdag 10 april 2018 @ 10:18:
[...]

Ik ken helaas al 2 kleine bedrijven die zich daar niks van aantrekken en zich daar ook niet mee bezig houden.

De wet op de privacy is helder. Je hoeft maar één (ontslagen) werknemer hebben die daar werk van maakt en ze zijn de spreekwoordelijke sigaar.

DeDooieVent schreef op dinsdag 10 april 2018 @ 05:38:
Op je werk porno kijken? Ik zou het niet doen... serieus... als er ergens gezeik over kan komen qua online gedrag op de werkvloer is dat het wel...

Klopt wel. Maar tegelijkertijd lopen er studies (ééntje ervan door onze eigen Belgische sexuologe Goedele Liekens als ik me niet vergis) die beweren dat porno kijken op het werk net positief kan zijn voor concentratie etc... uiteraard tijdens pauze en zeker niet in het openbaar,... en ook niet constant de hele dag door he...

Maar idd. ik zou ook het risico niet nemen...

DutchKel schreef op dinsdag 10 april 2018 @ 10:18:
[...]

Ik ken helaas al 2 kleine bedrijven die zich daar niks van aantrekken en zich daar ook niet mee bezig houden.

1 bedrijf daar keek de baas mee op het scherm via een vnc achtige tool en een ander bedrijf daar kon de baas alle e-mails van de medewerkers van inlezen en dat doet ze ook regelmatig heb ik begrepen.

Bizar! Hier is ooit een collega op staande voet ontslagen (reden niet relevant), op zijn afdeling was er behoefte aan het inzien van zijn mailbox omdat daar voor de bedrijfsvoering belangrijke informatie in stond. Technisch konden we dat natuurlijk faciliteren, maar het antwoord van de bedrijfsjurist was: niet aan beginnen! Sterker nog, daar mag je (bij wijze van spreken) niet eens over nadenken. Inderdaad één medewerker die daar een zaak van maakt en je bent echt de sjaak als werkgever.

Beste Joop,

Ik zie dat je nu alweer vanaf ons netwerk op Tweakers zit. Dit is niet de bedoeling, kom maar even langs.

De baas.

Had ik ook bij mijn laatste werkgever in de laatste week had ik mijn hele mailbox leeg gehaald en gecontroleerd of er nog iets was van nuttig was. En toen alles netjes verwijderd. Ik wist ook dat mijn baas mijn rechten zou weghalen op de dag van vertrek dus had al eerder dat netjes geregeld. Wat ook moet voor overdracht natuurlijk. Netjes een out of office reply gezet.

Dag na mijn vertrek belt mijn baas boos op mij je mailbox is leeg en je heb bedrijf eigendommen weggegooid. Ik ten eerste hoe weet je dat en tevens het is niet bedoeling dat jij door mijn mailbox gaat. Maar maar en toen gelijk maar aangegeven dat ik alles netjes in dropbox had gezet voor hem wat nodig was en eigenlijk geen nuttige info meer staat in de mailbox anyways. Hij nam er genoeg mee maar happy was hij niet. Plus ik had beloofd en gedaan alle document + zooi verwijderd van mijn computer (we hadden een BYOD regel) wat hij mij expliciet vermeld heeft en ik keurig gedaan heb. 2 jaar laten belt hij op heb jij dit en dit document nog. Nee natuurlijk moest alles verwijderen inclusief alle backups etc hij niet blij maar goed niet veel dingen maakt hem blij.

MeZZiN schreef op dinsdag 10 april 2018 @ 09:59:
[...]

BlueCoat bedoel je waarschijnlijk. Leuk spul. Heb ik bij mijn vorige werkgever mee gespeeld tot ze overstapten op PaloAlto (ook mooi) en geen proxy meer nodig hadden.

Jep dat was hem (ben een developer geen infra) maar geloof gerust mooi spul.

Ik zou zeggen, wil je al het gezeik niet hebben, gebruik dan je eigen 4G verbinding. En uiteraard je eiggen telefoon / tablet etc....

geen logging, geen gezeik, geen problemen.

Verwijderd schreef op dinsdag 10 april 2018 @ 12:32:
Ik zou zeggen, wil je al het gezeik niet hebben, gebruik dan je eigen 4G verbinding. En uiteraard je eiggen telefoon / tablet etc....

geen logging, geen gezeik, geen problemen.

Tenzij iemand over je schouder meekijkt terwijl je iets doet waar raar naar gekeken wordt, het blijft immers in de baas zijn tijd.

Tja, ik dacht dat de TS zei, dat "als het rustig is", mogen zij xxx / yyy doen.

Verwijderd schreef op dinsdag 10 april 2018 @ 13:12:
Tja, ik dacht dat de TS zei, dat "als het rustig is", mogen zij xxx / yyy doen.

Vooral veel XXX als ik de TS mag geloven!

Anoniem: 1061447 schreef op dinsdag 10 april 2018 @ 01:28:
Wij zijn geoorloofd in de rustige uren op het werk onze eigen laptop smartphone etc te gebruiken.
Wij hebben een verborgen wifi verbinding welke met een een wpa2 sleutel gecodeerd is.
De ''gebruikersnaam'' zie je bv niet in je lijst van wifi staan, je moet deze zelf toevoegen.

Uiteraard maken wij hier gebruik van met onze eigen laptop smartphone tablet etc.
Zelf heb ik ook express vpn draaien op mijn computer. Wat kan mijn werkgever of systeembeheerder/netwerkbeheerder zien wat ik doe op mijn eigen laptop wanneer ik vpn draai.
Ben niet heel IT onderlegd.

btw ons werk laat het toe om prive dingen in de baas zijn tijd te doen, dit word ook gedoogd zolang het werk er niet onder lijdt.

Gr
...

Relevante software en hardware die ik gebruik
...

Wat ik al gevonden of geprobeerd heb
...

De technische onderdelen van discussie of omstandigheden zijn eigenlijk totaal niet relevant. Een eventueel gedogen ook niet. Zolang er geen bepalingen vastgelegd zijn in contracten dan wel overeenkomsten of beleidslijnen arbeidsomstandigheden moet je wel heel goed in het achterhoofd houden dan het zo wel heel makkelijk is voor een werkgever om een dossier op te bouwen van verstoorde arbeidsrelatie. Ik zeg niet dat het zover komt of dat je werkgever het zelfs maar in zijn hoofd heeft om daar over na te denken, maar het is absoluut niet zonder precedenten, dit soort situatie.

Mijn advies is dat je deze situatie voorlegt aan de Autoriteit Persoonsgegevens. Er staat immers best wel wat op het spel, en zelfs al ben je de beste vrienden, je weet nooit wat er in de toekomst kan gebeuren. Ik ben met teveel gevallen bekend van voormalig werknemers die met dit soort onderwerpen in de problemen gekomen zijn.

Als je je wat meer in wil lezen over wat kan en mag, dan is deze link een goed startpunt.

Dwarlorf schreef op dinsdag 10 april 2018 @ 10:53:
Beste Joop,

Ik zie dat je nu alweer vanaf ons netwerk op Tweakers zit. Dit is niet de bedoeling, kom maar even langs.

De baas.

Die grap was al gemaakt.

SpamLame schreef op dinsdag 10 april 2018 @ 13:05:
Tenzij iemand over je schouder meekijkt terwijl je iets doet waar raar naar gekeken wordt, het blijft immers in de baas zijn tijd.

Dan ga je even op de WC zitten of buiten ofzo

RodeStabilo schreef op dinsdag 10 april 2018 @ 13:25:
[...]

Die grap was al gemaakt.

Overheen gelezen. The joke's on me.

In hoeverre mag een werkgever dan alle zakelijke e-mail accounts van zijn werknemers ook in zijn e-mail client hebben?

Accounts op naam: NIET.

Ik begrijp dat het niet stiekem mag, maar waarom zou dat niet mogen als duidelijk gecommuniceerd wordt dat het zo gedaan wordt?

Alles leuk en wel, maar het hangt af van het bedrijfsbeleid. Als er ergens staat dat misbruik niet is toegestaan en er staat letterlijk wat er verstaan wordt onder misbruik, kan de werkgever stappen ondernemen. En dan alleen bedrijfsmatig enforcen van het bedrijfsbeleid, wat soms tot ontslag leid of zelfs inhoudingen op salaris.

Komt het in de praktijk voor? Niet vaak en meestal alleen bij grotere bedrijven die hele duidelijke regels hebben en er iets op kunnen verliezen als hun werkgevers zich "misdragen" via hun internet verbinding.

Als zijn bedrijf daar geen regels voor heeft en/of het hun niet uitmaakt dan is er niets aan de hand, ik zie het vaker bij bedrijven die de verbinding naar internet niet nodig hebben voor hun core bedrijfsproces. Zolang er geen strafbare feiten worden gepleegd maakt het ook niet uit (denk aan kinderporno of iets dergelijks)

Als een bedrijf begint met BYOD zijn er ook duidelijke regels en procedures nodig.

Mijn telefoon en tablet werkt onder BYOD (omdat ik anders met 2 telefoons moet rondlopen), en in de procedures staat dat het mogelijk is dat het akkoord voor BYOD onmiddelijk kan ingetrokken worden, maar dat apparaten kunnen in beslag genomen worden door instanties in geval van onderzoek (denk dan ook maar aan kinderporno, fraude etc).
In de praktijk gebeurt het amper, maar als in een bedrjif alle computers meegenomen worden, dan kan je er van uit gaan dat jouw toestellen simpelweg mee gaan.

Ik ken genoeg mensen op onze IT afdeling om te weten dat ze geen monitoring doen van wie naar welke site gaat, en er zijn ook geen sites geblokkeerd (soms blokkeren bedrijven spotify, radiostreaming en Netflix om overbelasting te vermijden).

Maar Porno kijken op het werk....
Jij hoeft hier alvast niet te solliciteren.
Bij vrij gebruik van internet denk ik eerder aan een forum of nieuwssite, of je privé mail.

Dwarlorf schreef op dinsdag 10 april 2018 @ 10:53:
Beste Joop,

Ik zie dat je nu alweer vanaf ons netwerk op Tweakers zit. Dit is niet de bedoeling, kom maar even langs.

De baas.

epic

TheShadowfly schreef op dinsdag 10 april 2018 @ 16:20:
Alles leuk en wel, maar het hangt af van het bedrijfsbeleid. Als er ergens staat dat misbruik niet is toegestaan en er staat letterlijk wat er verstaan wordt onder misbruik, kan de werkgever stappen ondernemen. En dan alleen bedrijfsmatig enforcen van het bedrijfsbeleid, wat soms tot ontslag leid of zelfs inhoudingen op salaris.

Komt het in de praktijk voor? Niet vaak en meestal alleen bij grotere bedrijven die hele duidelijke regels hebben en er iets op kunnen verliezen als hun werkgevers zich "misdragen" via hun internet verbinding.

Als zijn bedrijf daar geen regels voor heeft en/of het hun niet uitmaakt dan is er niets aan de hand, ik zie het vaker bij bedrijven die de verbinding naar internet niet nodig hebben voor hun core bedrijfsproces. Zolang er geen strafbare feiten worden gepleegd maakt het ook niet uit (denk aan kinderporno of iets dergelijks)

Bedrijfsbeleid gaat niet boven de wet en de wet is hier duidelijk in. Het mag niet.

Virtuozzo schreef op dinsdag 10 april 2018 @ 13:24:
De technische onderdelen van discussie of omstandigheden zijn eigenlijk totaal niet relevant. Een eventueel gedogen ook niet. Zolang er geen bepalingen vastgelegd zijn in contracten dan wel overeenkomsten of beleidslijnen arbeidsomstandigheden moet je wel heel goed in het achterhoofd houden dan het zo wel heel makkelijk is voor een werkgever om een dossier op te bouwen van verstoorde arbeidsrelatie. Ik zeg niet dat het zover komt of dat je werkgever het zelfs maar in zijn hoofd heeft om daar over na te denken, maar het is absoluut niet zonder precedenten, dit soort situatie.

Beetje overdreven. Zoveel wordt er doorgaans niet gekeken naar het verkeer op gasten wifi of een wifi netwerk zoals de TS beschrijft. Hooguit dat via de proxy of gateway gelet wordt op een standaard set regels. Bijvoorbeeld het blokkeren torrents, streaming, porno, malware etc. etc.. Je moet dan wel uitzonderlijk gedrag vertonen wil je opvallen. Open gasten wifi netwerken zijn sowieso een puinhoop met al die devices die er zo op kunnen.

Genoeg gasten wifi netwerken hebben ook een gebruikersovereenkomst die je moet wegklikken voordat je pas connectie krijgt. Bedrijven hebben vaak ook een IT reglement voor de gebruikers waarmee je akkoord gaat als je in dienst komt of door simpelweg het gebruik van een computer van het bedrijf.

Gebruik gewoon je gezond verstand met wat je gaat bezoeken. Sommige dingen kan je beter voor thuis bewaren.

Anoniem: 1061447 schreef op dinsdag 10 april 2018 @ 04:57:
Ik ben van mening dat we al teveel gecontroleerd en gevolgd worden in deze wereld, dus wat ik kan probeer ik zoveel mogelijk privé te houden. En ja, ook ik kijk gewoon porno

dat wordt dan opera met privevenster en VPN aan.

Op mijn werk is er ook al zo'n verschrikkelijk webfilter actief. Alsof ik dat nodig heb om mijn werk beter uit te voeren. Het is voor privézaken inderdaad mega irritant. Bijvoorbeeld omdat er een vrij uitgebreide blocklist bij zit. Inderdaad zit ik ook met zo'n ramp-firewall, die een intermediate SSL certificaat draait. Voor mijn werk heb ik localadminrechten nodig, maar zo'n firewall kom je echt niet omheen.

Wat volgens mij vrij goed werkt is een RDP tunnel naar thuis. Deze kan dan weldegelijk gedetecteerd worden, echter worden via het RD-protocol enkel je muisbewegingen en beeldschermafbeeldingen overgezet. Aangezien de inhoud van requests door de meeste firewalls niet gelogd wordt, is het voor je baas doorgaans niet te zien wat je doet.

In mijn geval is zelfs FTP geblokkeerd op poortniveau. Toen ik laatst eens wat van een FTP-map moest achterhalen, heb ik mijn manager maar gevraagd om het te doen, die kon het ook niet. Kansloze zaak wat mij betreft. Die RDP-verbinding draai ik noodgedwongen over een wel toegestane poort.

.

[ Voor 99% gewijzigd door Engineer op 13-10-2018 10:17 ]

Bij ons draaien ze ook Bluecoat. Krijg toch best veel alerts, maar kan ik gewoon doorklikken. Zelden dat iets echt geblokt wordt. Ik ga er ook maar vanuit dat ze alles kunnen zien, dus verder dan wat nieuws sites, forums en beetje research als ik iets moet kopen oid kom ik niet. Wat exact bedrijfsbeleid is weet ik overigens niet, wel eens goeie om eens in te duiken.

Sowieso zijn alle uploads geblokt.

DeDooieVent schreef op dinsdag 10 april 2018 @ 05:38:
Op je werk porno kijken? Ik zou het niet doen... serieus... als er ergens gezeik over kan komen qua online gedrag op de werkvloer is dat het wel...

Waarom zou daar gezeik over komen? Als ik op werk porno kijk draai ik altijd een van mijn schermen zo dat moeilijk zichtbaar is. En dan kijk ik in een klein window en blokkeer zicht op dat deel van het scherm met mijn lichaam. Dus de andere werknemers weten het eigenlijk niet eens. Of ze moeten echt moeite doen om het te zien en er dan over gaan klagen bij de baas. (IK HEB HET OVER JOUW MARIEKE!)

Ik reageer nu wel op een oud topic maar toch wel een vraag die bij mij ook speelt.
Ik heb sinds kort een nieuwe baan en ook een werk-laptop gekregen.
Hoe kom ik erachter of hun kunnen monitoren wat ik doe? Mag dat uberhaubt wel? Ik heb niets te verbergen voor de rest maar ik ben wel is benieuwd hoe ver een werkgever hierin kan gaan en of ik daar achter kan komen of het ook daadwerkelijk gebeurd.

Mikee007 schreef op zondag 17 februari 2019 @ 17:27:
Ik reageer nu wel op een oud topic maar toch wel een vraag die bij mij ook speelt.
Ik heb sinds kort een nieuwe baan en ook een werk-laptop gekregen.
Hoe kom ik erachter of hun kunnen monitoren wat ik doe? Mag dat uberhaubt wel? Ik heb niets te verbergen voor de rest maar ik ben wel is benieuwd hoe ver een werkgever hierin kan gaan en of ik daar achter kan komen of het ook daadwerkelijk gebeurd.

Beste methode om er achter te komen óf ze monitoren is het te vragen.

Het kan zijn dat het gewoon mag, als het staat in het huishoudelijk reglement waarmee je accoord bent gegaan terwijl je in dienst trad.

Hoe dan ook moet je er vanuit gaan dat een werkgever je verkeer kán monitoren en waar nodig monitort. Als jij door acties hun systemen in gevaar brengt, hebben ze allen reden te achterhalen wie dat doet en je daar op aan te spreken. Ga dus niet zitten torrenten of 18+ sites bezoeken met een netwerk van hen, vanaf een netwerk dat zij beheren. Dat soort dingen moet je op je eigen PC doen.

Zolang je werkgerelateerde dingen doet, of een beetje op legitieme websites hangt zoals Tweakers oF Facebook heb je in de regel niets te vrezen. (Tenzij in de huisregels staat dat dat niet mag.)

Als mijn collega's aan mij vragen of ik hun verkeer *kan* zien of bij hun data kan, is het antwoord "ja". Alleen zeg ik er ook bij dat we in principe niet actief monitoren op persoonsniveau, maar als het nodig is of we toevallig verkeer zien dat potentieel gevaar oplevert, we wél ingrijpen. (Heb ik ook een keer gedaan. We zagen per toeval "proxy evasion software" voorbij komen. Die persoon hebben we aangesproken op het feit dat dat niet de bedoeling is. Ook al was de reden somewhat begrijpelijk, het mag niet.)

Mikee007 schreef op zondag 17 februari 2019 @ 17:27:
Ik reageer nu wel op een oud topic maar toch wel een vraag die bij mij ook speelt.
Ik heb sinds kort een nieuwe baan en ook een werk-laptop gekregen.
Hoe kom ik erachter of hun kunnen monitoren wat ik doe? Mag dat uberhaubt wel? Ik heb niets te verbergen voor de rest maar ik ben wel is benieuwd hoe ver een werkgever hierin kan gaan en of ik daar achter kan komen of het ook daadwerkelijk gebeurd.

Het zijn opvallend vaak mensen die niks te verbergen hebben, die deze vraag stellen

EvaluationCopy schreef op maandag 18 februari 2019 @ 08:48:
[...]
Het zijn opvallend vaak mensen die niks te verbergen hebben, die deze vraag stellen

Hahaha, ja.

"Niets te verbergen", maar ondertussen worden ze wel wat nerveus bij de gedachte dat een werkgever mee kan kijken.

Moet zeggen dat ik het persoonlijk ook niet prettig zou vinden, maar ik stel de vraag niet. Ik ga d'r vanuit dat als ik op een plek zit waar ik niet zelf het beheer doe, ze mee kunnen kijken met een belangrijk deel van wat ik doe. (Hooguit inhoudelijk niet want https en zelfs dán.)

Wel vind ik dat ze niet zomaar mee mogen kijken. Bedrijfsbelang gaat voor maar er moeten dwingende redenen zijn om verkeer te herleiden naar een persoon. Of meer, om daadwerkelijk in te zoomen tot persoonsniveau en daar iets mee te doen.

Het mag niet zo zijn dat ze op een dag naar je toe komen met "ja, we zagen dat je op $legitieme_website zat voor $periode". Sowieso heb je een uur per dag pauze, maar zolang je werk er niet onder leid lijkt het me ook totaal irrelevant. Al zit je 8 uur per dag op social media, als je werk er niet onder te leiden heeft lijkt het mij geen probleem. (Plus dat er best redenen zijn om work-wise dingen met social media te doen *en* niet zelden buiten kantoor, buiten zicht van logs, mensen ook nog wel eens actief bezig zijn met hun werk of dingen die dusdanig gerelateerd zijn, dat het best te verantwoorden is dat je op andere momenten wat meer werktijd aan privé zaken besteed.)

unezra schreef op zondag 17 februari 2019 @ 18:33:
[...]
Beste methode om er achter te komen óf ze monitoren is het te vragen.

Dat sowieso ja. Al kan ik me voorstellen dat de TS dat wat 'eng' vindt. Het zet meteen de toon Vraag is ook wie dan te vragen: de manager, IT, HR, etc.

Het kan zijn dat het gewoon mag, als het staat in het huishoudelijk reglement waarmee je accoord bent gegaan terwijl je in dienst trad.

Inderdaad het reglement / privacy statement / arbeidsovereenkomst / werknemershandboek / etc checken. Of vraag het de OR.

Hoofdregel: het mag alleen als het en van te voren helder is gecommuniceerd dat het gebeurt, en de OR akkoord is (of eigenlijk andersom).

https://www.autoriteitper...ntrole-van-personeel-4621

Maar ja, als in het kader van beveiliging toevallig een keer een faudte actie van de collega wordt gezien, bijvoorbeeld omdat geitenpr0n.exe wordt geblokkeerd door de virusscanner, dan is dat geen volgsysteem en hoeft de OR etc er niets van te vinden. Al zal het in de beheerder van de vscanner een worst zijn of ik nu op geiten- of dwergpr0n geil. Dat je er op aan wordt gesproken als het een risico wordt is een ander verhaal.

Overigens mag die IT'er het dan weer niet met je manager of OR HR delen (zonder vooraf bekendmaken dat het kan gebeuren, en akkoord van de OR), aangezien efficiëntie en effectiviteit van de werknemer geen doel van de vscanner of firewall zijn. Maar dat dus:

Als mijn collega's aan mij vragen of ik hun verkeer *kan* zien of bij hun data kan, is het antwoord "ja". Alleen zeg ik er ook bij dat we in principe niet actief monitoren op persoonsniveau, maar als het nodig is of we toevallig verkeer zien dat potentieel gevaar oplevert, we wél ingrijpen. (Heb ik ook een keer gedaan. We zagen per toeval "proxy evasion software" voorbij komen. Die persoon hebben we aangesproken op het feit dat dat niet de bedoeling is. Ook al was de reden somewhat begrijpelijk, het mag niet.)

Top @F_J_K dat je een alias hebt gemaakt.

Ik vind het een interessant topic maar we zijn inmiddels een aardig eind van de concrete vraag van TS af. Was even bang dat het gesloten zou worden wegens offtopic, ben blij dat het juist een algemeen vervolg mag krijgen.

F_J_K schreef op maandag 18 februari 2019 @ 10:24:
[...]
Dat sowieso ja. Al kan ik me voorstellen dat de TS dat wat 'eng' vindt. Het zet meteen de toon Vraag is ook wie dan te vragen: de manager, IT, HR, etc.

Jup.
De vraag is of een manager of HR dit uberhaupt helemaal weten. Het zal eerder richting privacy en compliance gaan gok ik. Afhankelijk van de organisatie zal het puzzelen zijn wie deze vraag het best en meest waarheidsgetrouw kan beantwoorden.

(Bij ons is het simpel, we zijn met zijn 2en qua ICT. Wij weten beter dan wie dan ook wat we wel en niet zien, kunnen zien en hoe we daar mee om moeten gaan. Mensen zijn wel eens geschrokken als het antwoord op de vraag wat wij kunnen zien een nuchter "bijna alles wat je doet, maar we doen er alleen iets mee als er bedrijfskritische redenen zijn" is.)

[...]
Inderdaad het reglement / privacy statement / arbeidsovereenkomst / werknemershandboek / etc checken. Of vraag het de OR.

Hoofdregel: het mag alleen als het en van te voren helder is gecommuniceerd dat het gebeurt, en de OR akkoord is (of eigenlijk andersom).

https://www.autoriteitper...ntrole-van-personeel-4621

Wij hebben geen OR, dus ook geen orgaan die het hier wel of niet mee eens kan zijn.

Maar ja, als in het kader van beveiliging toevallig een keer een faudte actie van de collega wordt gezien, bijvoorbeeld omdat geitenpr0n.exe wordt geblokkeerd door de virusscanner, dan is dat geen volgsysteem en hoeft de OR etc er niets van te vinden. Al zal het in de beheerder van de vscanner een worst zijn of ik nu op geiten- of dwergpr0n geil. Dat je er op aan wordt gesproken als het een risico wordt is een ander verhaal.

Overigens mag die IT'er het dan weer niet met je manager of OR delen (zonder vooraf bekendmaken dat het kan gebeuren, en akkoord van de OR), aangezien efficiëntie en effectiviteit van de werknemer geen doel van de vscanner of firewall zijn. Maar dat dus:

Juist.

Wij *kunnen* in onze firewall behoorlijk gedetailleerd bepaalde informatie zien. Ik weet niet wat we allemaal kunnen zien en eigenlijk wil ik dat ook niet. Het is soms best fijn om te weten dat je niet weet wat je te weten kunt komen.

Hoe dan ook hebben we wel eens per ongeluk zaken gezien waarvan we vinden dat we er niets mee moeten en mogen doen. Dat komt in dat geval werkelijk niet verder dan overleg met elkaar over wat we er mee moeten, als we daaraan twijfelen. Trekken we de conclusie dat we er niets mee moeten of mogen, melden we het niet eens bij onze leidinggevende. In dat soort gevallen blijft het 100% bij ons.

Aan de andere kant loop je soms per toeval aan tegen zaken waar je wel iets mee moet, zoals dat geval van proxy-evasion software. Ik was er niet specifiek naar op zoek, was gewoon wat door de firewall heen aan het klikken en het ding aan het leren kennen. Dat hebben we volgens mij enkel opgelost door diegene te verwittigen maar het is alweer jaren geleden dus het kán zijn dat we toch hebben besloten diens manager in te lichten. Ik dacht van niet.

In andere gevallen kan het zijn dat we niet anders kunnen dan iemands manager inlichten, zoals in geval van een cryptolocker. Daar moesten we achterhalen wat de bron was en hebben dat ook gemeld bij diens manager. Die vroeg daar om, snap ik. We konden het bedrijf volledig stil leggen. (Gelukkig heeft het verder geen gevolgen gehad anders dan een flinke tik op de vingers van de betreffende medewerkers. Ik had me er niet prettig bij gevoeld als het grotere gevolgen had gehad, juist omdat het geen opzet was.)

Iets waar wij overigens extreem streng in zijn:
Anderen krijgen NOOIT toegang tot iemands homedir of mail, zonder diens toestemming of zonder een heel dwingende reden. Ook managers niet. Gaat iemand uit dienst, verwijderen we alle persoonlijke data waaronder mail en homedir.

Er zijn 3 uitzonderingen:
- Iemand geeft zélf toestemming voor inzicht/overdracht
- Er zijn dwingende bedrijfsinterne redenen, in dat geval proberen we de hoeveelheid ontsloten data te beperken tot een absoluut minimum (dus bijvoorbeeld één email of bestand van een klant, we melden dan ook aan die persoon exact wat we heben gedaan en waarom)
- De politie staat op de stoep (needless to say dat je dan beperkt de mogelijkheid hebt "nee" te zeggen)

[...]

offtopic:
Ik ben zo vrij een alias te maken in Privacy & Beveiliging aangezien het meer over de regels gaat dan wat er concreet mogelijk is, los van regels is "alles" te monitoren als de machine door een ander is ingericht en beheerd.

Fijn!

CyBeR schreef op dinsdag 10 april 2018 @ 02:10:
In theorie: alles wat 't netwerk op gaat, en wat niet via je VPN loopt (als 't dat wel loopt: alleen dat je een VPN gebruikt).

Praktisch gezien waarchijnlijk niks; dit soort dingen moet je specifiek opzetten en dat doen kleine bedrijven eigenlijk vrij zelden.

Daarnaast mag je er vanuit gaan dat je werkgever zich aan de wet houdt en aangeeft wat er precies bijgehouden wordt (in het geval er wel iets bijgehouden wordt).
Zie:
https://www.autoriteitper...ng/controle-van-personeel
https://ictrecht.nl/2011/...mers-hoe-ver-mag-je-gaan/

Zie nu pas dat deze thread meer dan 1 pagina heeft en bovenstaande al genoemd is

[ Voor 6% gewijzigd door Hatsjoe op 18-02-2019 16:57 ]

Hatsjoe schreef op maandag 18 februari 2019 @ 16:56:
[...]


Daarnaast mag je er vanuit gaan dat je werkgever zich aan de wet houdt en aangeeft wat er precies bijgehouden wordt (in het geval er wel iets bijgehouden wordt).
Zie:
https://www.autoriteitper...ng/controle-van-personeel
https://ictrecht.nl/2011/...mers-hoe-ver-mag-je-gaan/

Zie nu pas dat deze thread meer dan 1 pagina heeft en bovenstaande al genoemd is

Had je ook naar de datum van de openingspost gekeken?

Je zou hiervoor in privacy moeten kijken. Maar verder is het heel erg simpel hij mag alles monitoren tracken tracen wat hij wil, zolang hij jouw ervan op de hoogte brengt en duidelijk inlicht. Kortom lees nou alle papieren die je bij je aanstelling kreeg. Anders gezegd stiekem mag hij niets, of er moet een zwaarwegende verdenking zijn en het onderzoek aangemeld hebben bij de voorzitter van de OR.

Frogmen schreef op maandag 18 februari 2019 @ 19:08:
Je zou hiervoor in privacy moeten kijken. Maar verder is het heel erg simpel hij mag alles monitoren tracken tracen wat hij wil, zolang hij jouw ervan op de hoogte brengt en duidelijk inlicht. Kortom lees nou alle papieren die je bij je aanstelling kreeg. Anders gezegd stiekem mag hij niets, of er moet een zwaarwegende verdenking zijn en het onderzoek aangemeld hebben bij de voorzitter van de OR.

Volgens mij mag een beheerder wel, ook zonder toestemming, zijn of haar netwerk en systemen beschermen. Dat mag met technische maatregelen maar ook handmatig.

Ofwel, als ik zie (al dan niet omdat ik er naar op zoek was), dat iemand discutabele websites bezoek die onze systemen in gevaar brengen, mag ik daar wat mee. Als ik zie dat iemand de hele dag op legitieme websites zit, mag ik daar niets mee.

Vind het, los van wetgeving, vooral ook een kwestie van ethiek en belangen. Privé belang gaat voor als iemand de hele dag op zeg Tweakers of FB zit. Da's aan diegene en diens manager. (Of niet. Bij mij staan ze ook letterlijk de hele dag open.) Duikt iemand het darkweb op of probeert iemand iets te doen als proxy evasion software te gebruiken, dan gaat het bedrijfsbelang voor en doe ik er iets mee.

Twijfel ik, overleg ik met mijn directe collega en als we het dan nóg niet weten, met onze manager.

Ik heb eens een baas gehad die kon zien wanneer je inlogde op het systeem (dat controleerde) en dat gebruikte om te kijken of je aanwezig was of niet. Hij viel door de mand omdat hij vroeg of ik op een bepaalde ochtend wél of niet aanwezig was. Die bewuste ochtend had ik mijn computer niet aangezet en niet ingelogd omdat ik wat andere werkzaamheden nodig moest doen.

Vond dat geen leuke constatering, gewoon het idee al, het wantrouwen en heb het lopende dienstverband altijd de computer aan laten staan en gezorgd dat ik altijd ingelogd bleef. Nooit meer een vraag gehad, ik denk wel dat hij door had dat ik zijn werkwijze doorhad.

Heb er overigens niet heel lang gewerkt maar dat even terzijde.

unezra schreef op maandag 18 februari 2019 @ 20:25:
[...]


Volgens mij mag een beheerder wel, ook zonder toestemming, zijn of haar netwerk en systemen beschermen. Dat mag met technische maatregelen maar ook handmatig.

Ofwel, als ik zie (al dan niet omdat ik er naar op zoek was), dat iemand discutabele websites bezoek die onze systemen in gevaar brengen, mag ik daar wat mee. Als ik zie dat iemand de hele dag op legitieme websites zit, mag ik daar niets mee.

Vind het, los van wetgeving, vooral ook een kwestie van ethiek en belangen. Privé belang gaat voor als iemand de hele dag op zeg Tweakers of FB zit. Da's aan diegene en diens manager. (Of niet. Bij mij staan ze ook letterlijk de hele dag open.) Duikt iemand het darkweb op of probeert iemand iets te doen als proxy evasion software te gebruiken, dan gaat het bedrijfsbelang voor en doe ik er iets mee.

Twijfel ik, overleg ik met mijn directe collega en als we het dan nóg niet weten, met onze manager.

Bedenk wel dat of het feit dat je het mag zien al niet toegestaan is. Maar er is geen enkel meer die geen fatsoenlijk internet beleid heeft die dit dekt. Maar mocht er niets op papier staan is je eigen handelen al tegen de wet, ongeacht je intentie. Daarom is het dom om het niet te regelen, maar helaas vooral bij kleinere bedrijven gebeurt het nog wel eens. Als internet gebruik rechtstreeks gelogd wordt op usernaam dan is dat al iets wat gemeld moet worden. Ook op het werk heb je recht op privacy, je telefoon mag ook niet zomaar afgeluisterd worden zonder dat je het weet.

Frogmen schreef op dinsdag 19 februari 2019 @ 09:49:
[...]
Bedenk wel dat of het feit dat je het mag zien al niet toegestaan is. Maar er is geen enkel meer die geen fatsoenlijk internet beleid heeft die dit dekt. Maar mocht er niets op papier staan is je eigen handelen al tegen de wet, ongeacht je intentie. Daarom is het dom om het niet te regelen, maar helaas vooral bij kleinere bedrijven gebeurt het nog wel eens. Als internet gebruik rechtstreeks gelogd wordt op usernaam dan is dat al iets wat gemeld moet worden. Ook op het werk heb je recht op privacy, je telefoon mag ook niet zomaar afgeluisterd worden zonder dat je het weet.

Wij melden het als ICT afdeling niet, maar volgens mij staat het wel in het personeelshandboek.
Uiteraard hebben we aangegeven dat het daar MOET staan, staat het daar niet, is het niet onze verantwoordelijkheid.

En inderdaad, dat recht op privacy is een groot goed, daarom gaan we er ongelooflijk zorgvuldig mee om. Ik zal NOOIT doelbewust gaan grasduinen in iemands persoonlijke data. Dat het gelogd word en ik er bij kan, betekend niet dat ik d'r ook werkelijk doorheen ga zitten graven.

Alleen, zie ik het toevallig, of ben ik op zoek naar security issues, kan het zijn dat ik informatie zie en als het ernstig is, zoom ik wel in tot op gebruikersniveau. Los van regels, is dat iets waar ik denk ik zelf heel goed en zorgvuldig mee om kan gaan, maar ook moet handelen in het bedrijfsbelang.

Bedrijfsbelang en privacy zijn altijd een afweging die je moet maken en de vraag is in hoeverre dat (in een kleine organisatie) goed in regels samen te vatten is. In the end helpen een stel beheerders met voldoende ethisch besef, meer dan 100.000 regels over wat wel en niet kan en mag.

Ik lees mee en uit de reacties begrijp ik dat een systeembeheerder vrij veel kan inzien van apparaten op het netwerk. Maar is dit nou omdat het apparaat op dat moment op het netwerk is aangesloten? M.a.w. kan een beheerder ook inzien van een werknemer thuis met zijn werklaptop uitvoert?

Bijvoorbeeld dat iemand de hele nacht heeft liggen netflixen? Of ook diverse games heeft geinstalleerd en speelt op het zakelijk apparaat.

Ze zien wat je doet. Stel je doet zaken die niet mogen, ook VPN laat sporen achter. Al die data kan IT waarschijnlijk zien maar ze mogen er geen individueel dossier van maken zonder dat er iets is dat echt onacceptabel is.

Anoniem: 1140043 schreef op dinsdag 19 februari 2019 @ 22:23:
Ik lees mee en uit de reacties begrijp ik dat een systeembeheerder vrij veel kan inzien van apparaten op het netwerk. Maar is dit nou omdat het apparaat op dat moment op het netwerk is aangesloten? M.a.w. kan een beheerder ook inzien van een werknemer thuis met zijn werklaptop uitvoert?

Bijvoorbeeld dat iemand de hele nacht heeft liggen netflixen? Of ook diverse games heeft geinstalleerd en speelt op het zakelijk apparaat.

Ligt eraan, ik doe nu toevallig een project over logging-software en de data die je kunt zien is best gedetailleerd ("er is geklikt op knop x/y" bij wijze van). Als er vanuit het bedrijf een forwarder geïnstalleerd staat heb je grote kans dat deze ook gewoon alles forward naar de centrale logging-server op het bedrijf/cloud.

Is overigens niet iets waar de gemiddelde beheerder zich druk om kan maken, die logs zijn meer om automatisch meldingen te krijgen van zaken die buiten bepaalde parameters vallen (systeem down etc.).

Kuusj schreef op dinsdag 19 februari 2019 @ 22:34:
[...]

Ligt eraan, ik doe nu toevallig een project over logging-software en de data die je kunt zien is best gedetailleerd ("er is geklikt op knop x/y" bij wijze van). Als er vanuit het bedrijf een forwarder geïnstalleerd staat heb je grote kans dat deze ook gewoon alles forward naar de centrale logging-server op het bedrijf/cloud.

Is overigens niet iets waar de gemiddelde beheerder zich druk om kan maken, die logs zijn meer om automatisch meldingen te krijgen van zaken die buiten bepaalde parameters vallen (systeem down etc.).

Thuis netflixen zullen ze niet direct registreren. Je zit thuis op ander netwerk en logt niet in via VPN bij je werkgever toch?

Mijn laptop van werkgever sneuvelde op een virus en IT zag direct dat ik die van streaming website had gekregen. Is dat erg dan? Zat weken in buitenland en mag best filmpje kijken vind ik,

Anoniem: 1140043 schreef op dinsdag 19 februari 2019 @ 22:23:
Ik lees mee en uit de reacties begrijp ik dat een systeembeheerder vrij veel kan inzien van apparaten op het netwerk. Maar is dit nou omdat het apparaat op dat moment op het netwerk is aangesloten? M.a.w. kan een beheerder ook inzien van een werknemer thuis met zijn werklaptop uitvoert?

Bijvoorbeeld dat iemand de hele nacht heeft liggen netflixen? Of ook diverse games heeft geinstalleerd en speelt op het zakelijk apparaat.

Hangt er vanaf.
Het kan, maar alleen als ze daarvoor maatregelen hebben getroffen.

Aan de andere kant, games installeren op een werklaptop zou ik niet snel doen. Het is je werklaptop. Zou zoiets altijd met ICT overleggen voordat je het doet maar het idealiter volkomen scheiden. (Al is het natuurlijk wel lastig als je regelmatig buiten de deur moet overnachten voor je werk. Om dan 2 laptops mee te sjouwen. Maar dan nóg, ik denk dat ik in zo'n geval privé een kleine laptop zou aanschaffen voor mijn privé zaken.)

Mijn werklaptop doe ik werkelijk niet meer mee dan werken en wat op Facebook, Tweakers of andere legitieme websites mee zitten. (Op kantoor is het mijn enige werkstation.)

Anoniem: 1140043 schreef op dinsdag 19 februari 2019 @ 22:23:
Ik lees mee en uit de reacties begrijp ik dat een systeembeheerder vrij veel kan inzien van apparaten op het netwerk. Maar is dit nou omdat het apparaat op dat moment op het netwerk is aangesloten? M.a.w. kan een beheerder ook inzien van een werknemer thuis met zijn werklaptop uitvoert?

Bijvoorbeeld dat iemand de hele nacht heeft liggen netflixen? Of ook diverse games heeft geinstalleerd en speelt op het zakelijk apparaat.

Als ze het een beetje handig hebben aangepakt dan zou het antwoord ja moeten zijn. Als je op kantoor een goede reden hebt om te loggen dan zou dit ook buiten kantoor ook zo moeten zijn, helemaal in de wereld van de cloud is de afhankelijk van een vpn steeds minder

De data inzien is bij ons iig niet zomaar mogelijk, no way dat ict daar bij ons iets in te zoeken heeft zonder goedkeuring vooraf van privacy

laurens0619 schreef op woensdag 20 februari 2019 @ 01:05:
[...]
Als ze het een beetje handig hebben aangepakt dan zou het antwoord ja moeten zijn. Als je op kantoor een goede reden hebt om te loggen dan zou dit ook buiten kantoor ook zo moeten zijn, helemaal in de wereld van de cloud is de afhankelijk van een vpn steeds minder

Hangt er een beetje vanaf.

Cloud heeft as-such weinig te maken met het wel of niet gebruik maken van een VPN. Er zijn prima oplossingen te bedenken die worden beschouwd als cloud, waarbij je gewoon een VPN client op je werkstation hebt die verbinding maakt met het grote geheel.

Cloud is meer dan SaaS alleen.

De data inzien is bij ons iig niet zomaar mogelijk, no way dat ict daar bij ons iets in te zoeken heeft zonder goedkeuring vooraf van privacy

Jij werkt waarschijnlijk bij een wat grotere organisatie, maar ook dáár zullen er functionarissen zijn die zonder pardon bij data mogen vanwege bedrijfsbelang. Idealiter zijn dat soort zaken zo veel mogelijk geautomatiseerd, het is ondoenlijk om met de hand firewall logs door te spitten, maar het kan prima zijn dat een beheerder op een dag op zoek is naar probleem A, toevallig ziet dat jij iets doet dat potentieel gevaarlijk is voor het bedrijf en/of de ICT infra en je alsnog op je vingers word getikt.

Dus ja, privacy vind daar waarschijnlijk iets van, maar waarschijnlijk ligt het ook ergens in de huisregels vast dat ICT hun infra en het bedrijf mag beschermen en dus daarmee bij jouw data mag.

Alleen, mogen ze d'r niet zomaar iets mee doen.

Hetzelfde als activiteit monitoren. Technisch kunnen wij ook zien of iemand is ingelogd of niet en hoe laat. Wij mogen d'r alleen niets mee doen omdat zonder toestemming, dat niet gebruikt mag worden als werktijdencontrole tenzij er zware verdenkingen zijn.

Ik heb zelf ook eens de overweging meoten maken of ik wel of niet inzicht zou geven in iemands inlogtijden. Voor zover ik weet heb ik dat toen zo ethisch mogelijk opgelost, door niet de tijden te geven maar heel expliciet "ja" en "nee" te antwoorden op een aantal specifieke vragen wat betreft tijden van een manager. Dit ging, slag om de arm, om een externe waarbij twijfels waren of diegene zijn uren wel naar waarheid had ingevuld. In dat geval snap ik dat er een manager een paar steekproeven wil doen, maar die manager had er ook alle begrip voor dat wij geen inlogtijden vrij konden geven, enkel antwoord konden geven op de steekproeven.

Zoiets is maatwerk omdat het niet of nauwelijks in regels samen te vatten is.

In een kleinere organisatie als die van ons, zouden formele regels die alle situaties proberen af te dekken alleen maar nutteloze ballast zijn. Die werken in een grotere organisatie. Wij zouden 100 pagina's proza hebben die we uit ons hoofd moeten zouden kennen, terwijl dat niets meer is dan een formalisering van wat er in ons hoofd zit.

unezra schreef op dinsdag 19 februari 2019 @ 23:37:
[...]
Hangt er vanaf.
Het kan, maar alleen als ze daarvoor maatregelen hebben getroffen.

Kun je nog ergens terugvinden of dat zo is? (Overigens verwacht ik bij mijn huidige als vorige werkgevers geen extra logging anders dan wat microsoft/windows standaard aan bedrijven biedt)

Nu het steeds duidelijker voor me wordt dat veel is in te zien, zou ik graag willen weten wat wel en niet is in te zien. Moet ik me ook zorgen maken over mijn prive wachtwoorden?

Op dit moment heb ik geen enkele geschil en zou ik me nergens druk om hoeven te maken. Maar zoals elke privacy issue kunnen we niet weten hoe dat in de toekomst zal zijn en probeer ik zoveel mogelijk geinformeerd te zijn. Mijn dank voor al uw reacties.

Anoniem: 1140043 schreef op woensdag 20 februari 2019 @ 07:25:
[...]
Kun je nog ergens terugvinden of dat zo is? (Overigens verwacht ik bij mijn huidige als vorige werkgevers geen extra logging anders dan wat microsoft/windows standaard aan bedrijven biedt)

Beste manier is dit gewoon na te vragen bij de desbetreffende afdeling en je arbeidsovereenkomst danwel huisreglement er op na te slaan.

De juiste persoon kan je prima vertellen wat er wel en niet gelogd word en hoe die informatie al dan niet gebruikt word en gebruikt mag worden binnen jouw organisatie.

Nu het steeds duidelijker voor me wordt dat veel is in te zien, zou ik graag willen weten wat wel en niet is in te zien. Moet ik me ook zorgen maken over mijn prive wachtwoorden?

Dat hangt volledig van de situatie af.

Als jij je privé wachtwoorden onbeschermd op slaat (bijvoorbeeld in een tekstbestand in de homedirectory van je werk), ja, dan kunnen ze die in zien, samen met álle andere data die daar in staat.

Zelfde voor email. Je werkmail, ook je privé mailbox, kunnen ze inzien.

Van al die data worden in de regel ook backups gemaakt en die worden meestal meerdere jaren bewaard. Volledig wissen, is niet mogelijk.


Moet je je daar zorgen om maken? Nee. Want ze mogen er én niet naar kijken én niets mee doen.
Mocht jij merken dat ze iets met dergelijke gegevens hebben gedaan, heb je en verdomd sterke case in de rechtzaal.

Uitzondering is wel, dat ze bepaalde data mogen gebruiken in uitzonderlijke situaties. Ofwel, wanneer jij de wet of specifieke bedrijfsregels overtreed en er is een redelijk vermoeden dat er bewijsmateriaal in jouw homedirectory staat, mogen ze daar naar op zoek en die data gebruiken.

Zolang jij niets doet dat tegen de wet, het huisregelement of je contract in gaat, hoef je je in de regel nergens zorgen om te maken. (Tenzij je een werkgever hebt die niet maalt om ethiek, wet- en regelgeving maar dan is er wel een rechter die d'r gehakt van maakt.)

Op dit moment heb ik geen enkele geschil en zou ik me nergens druk om hoeven te maken. Maar zoals elke privacy issue kunnen we niet weten hoe dat in de toekomst zal zijn en probeer ik zoveel mogelijk geinformeerd te zijn. Mijn dank voor al uw reacties.

Je moet er rekening mee houden dat privacy op je werk enerzijds een groot goed is, anderzijds beperkt.

Lang verhaal kort: ik zou geen 18+ materiaal gaan bekijken op bedrijfsmiddelen, geen gegevens uitwisselen die niet uitgewisseld mogen worden, etc, etc.

Helemaal eens @unezra wat allemaal kan, moet je zien als wat de politie ook kan. Er kan heel veel maar de hoeveelheid tijd en resources die het kost zijn ook groot. En het mag niet zomaar. Vergeet niet dat een systeembeheerder die gaat snuffelen ook op zijn vingers getikt kan worden. Het hoort niet en je mag je rechten niet misbruiken.
Vroeger werd er in veel organisaties nog een catch-all email adres gebruikt om foutjes op te vangen. Tegenwoordig wil niemand zich eraan branden, als beheerder wil je sommige dingen niet weten en is ook beter.

Frogmen schreef op woensdag 20 februari 2019 @ 11:41:
Helemaal eens @unezra wat allemaal kan, moet je zien als wat de politie ook kan. Er kan heel veel maar de hoeveelheid tijd en resources die het kost zijn ook groot. En het mag niet zomaar. Vergeet niet dat een systeembeheerder die gaat snuffelen ook op zijn vingers getikt kan worden. Het hoort niet en je mag je rechten niet misbruiken.

Yep. Helemaal mee eens.

Snuffelen en je rechten misbruiken is reden voor ontslag en potentiële rechtsvervolging.

Maar, je moet je werk kunnen doen en dat betekend dat je te maken hebt met data waar je niets mee mag, maar wel moet behandelen of zelfs door moet zoeken.

Voor digitaal rechercheurs gaat dat nog veel verder natuurlijk. Ik weet dat ze in gevallen daar zo ver gaan dat bepaalde data alleen met tenminste 2 man ingezien mag worden en er verder nog allerlei beperkende maatregelen zijn. Je kunt je voorstellen dat er dan gekeken word naar data die écht gevoelig is, maar ook heel heftig om te zien.

Vroeger werd er in veel organisaties nog een catch-all email adres gebruikt om foutjes op te vangen. Tegenwoordig wil niemand zich eraan branden, als beheerder wil je sommige dingen niet weten en is ook beter.

Klopt.

Dat zeker in kleinere organisaties, de beheerders overal bij kunnen, betekend niet dat ze er ook iets mee moeten en dat ze alles willen weten. Hoe minder ik weet, hoe beter het is. Maar soms moet je en soms kom je dingen per ongeluk tegen. Als je er dan niets mee doet, is dát mogelijk weer reden voor disciplinaire maatregelen.

unezra schreef op woensdag 20 februari 2019 @ 12:28:
[...]
Dat zeker in kleinere organisaties, de beheerders overal bij kunnen, betekend niet dat ze er ook iets mee moeten en dat ze alles willen weten. Hoe minder ik weet, hoe beter het is. Maar soms moet je en soms kom je dingen per ongeluk tegen. Als je er dan niets mee doet, is dát mogelijk weer reden voor disciplinaire maatregelen.

Komt nog bij dat je geeneens tijd hebt om random in ieders data te gaan grasduinen.

Ik kan al het verkeer volgen van een bepaalde gebruiker, zeer gedetailleerde logging aanzetten(staat standaard uit) die in de paketten gaat kijken, zodat ik precies weet welke applicatie je gebruikt, hoeveel dataverkeer en hoelang. Met Citrix kan ik kijken wat je allemaal hebt draaien binnen je sessie.

Ik kan ook zien welke iPhone van jou is, omdat de namen vaak verwerkt zijn in de naam van de iPhone. Altijd wel grappig als iemand meld dat die een wifi probleem heeft, en ik vraag hoe het werkt op zijn iPhone

Maar het boeit mij helemaal niks wat je doet. De ICT'er heeft als doel te zorgen dat de systemen blijven werken. Wij zijn vooral geïnteresseerd in globale statistieken, bepaalde gebruikers volgen interesseert ons niet. Ik denk altijd maar, hoe zou ik het vinden als mensen dit bij mij zouden doen? Daarnaast kost het ontzettend veel tijd.

Als ik een gebruiker zie die bijvoorbeeld vaak Facebook bezoekt zal dat mij een worst wezen, zolang het de infrastructuur of beveiliging niet in geding komt mogen ze van mij de hele dag kijken wat ze willen. Voor de beveiliging gebruiken wij bijvoorbeeld wel Appguard, dus bij ons mag je alleen maar programma's installeren of starten die op onze whitelist staan (dus geen VPN). Gebruikers hebben standaard ook alleen maar HTTP/HTTPS verkeer naar buiten meer hebben ze ook niet nodig.

Gelukkig gaat het meeste verkeer richting Office365, dus blijkbaar wordt er wel gewerkt.

Zenix schreef op donderdag 21 februari 2019 @ 11:52:
Als ik een gebruiker zie die bijvoorbeeld vaak Facebook bezoekt zal dat mij een worst wezen, zolang het de infrastructuur of beveiliging niet in geding komt mogen ze van mij de hele dag kijken wat ze willen.

Leuk verhaal van wat jij allemaal kan, maar in principe mag jij dit helemaal niet monitoren. Zeker niet als een werknemer er niet van op de hoogte is d.m.v het tekenen van een gedragsprotocol.

Trouwens wel apart dat je jezelf tegenspreekt. Eerst zeg je dat je het niet doet want het kost teveel tijd, maar nu zeg je dat je het wel doet?

Dit is gewoon fout. Zie de stukjes van @unezra

[ Voor 15% gewijzigd door Gunner op 21-02-2019 12:12 ]

Gunner schreef op donderdag 21 februari 2019 @ 12:04:
[...]

Leuk verhaal van wat jij allemaal kan, maar in principe mag jij dit helemaal niet monitoren. Zeker niet als een werknemer er niet van op de hoogte is d.m.v het tekenen van een gedragsprotocol.

Trouwens wel apart dat je jezelf tegenspreekt. Eerst zeg je dat je het niet doet want het kost teveel tijd, maar nu zeg je dat je het wel doet?

Dit is gewoon fout. Zie de stukjes van @unezra

Ik denk dat je mij verkeerd hebt begrepen. Met het ''voorbeeld'' (wat niet de realiteit is) wil ik aangeven dat het mij niks uitmaakt wat je doet. Ik denk dat veel andere beheerders daar hetzelfde over denken, gebruikers in de gaten houden is niet het doel.

En er is ook een verschil tussen ''monitoren / loggen'' en gebruiker in de gaten houden/volgen. Met de huidige NGFW maak je een policy voornamelijk op basis van applicaties, doe daarbij Identity awareness bij en je weet dan precies welke applicaties door welke groepen gebruikt worden in een organisatie. Met dezelfde NGFW kan je nog uitgebreider gaan loggen. Maar alleen moet je dat echt niet willen, omdat het gewoon fout is.

Ik kreeg laast ook nog demo van https://www.lakesidesoftware.com/solutions
Daarmee kon ik zien wat een gebruiker op zijn scherm open had staan op elk moment van de dag (dus applicatie, titel etc) Toen vroeg ik, maar wat als je niet al deze gevoelige informatie wilt zien? Gelukkig hadden ze daarvoor een functie, zodat je kon zien welke applicatie openstond, maar verder geen gevoelige gegevens die direct gecorreleerd kunnen worden aan een gebruiker.

Technisch gezien worden de mogelijkheden steeds groter. Alleen wil je het gewoon niet correleren aan een gebruiker, omdat dat gewoon fout is en ik dat zelf ook niet zou willen als gebruiker. Dat moet je altijd in de gaten houden.

[ Voor 90% gewijzigd door Zenix op 21-02-2019 13:21 ]

Zwartoog schreef op donderdag 21 februari 2019 @ 08:46:
[...]
Komt nog bij dat je geeneens tijd hebt om random in ieders data te gaan grasduinen.

Ach, er zijn best momenten waarop ik die tijd zou hebben (don't ask), maar het mág niet, het is niet ethisch, etc.

Als een bedrijf zijn zaakjes op orde heeft, dan heeft iedere werknemer die begint "huisregels" ontvangen en bijna altijd is het gebruik van apparatuur van de baas voor privegebruik en website bezoeken, daarin meegenomen.
Bij Hoffmann Bedrijfsrecherche is het een dagelijkse bezigheid, om werknemers in opdracht van de baas op afstand in de gaten te houden op ongeoorloofd gebruik.

[ Voor 3% gewijzigd door Dixie op 02-03-2019 11:06 ]

Dixie schreef op zaterdag 2 maart 2019 @ 11:05:
Bij Hoffmann Bedrijfsrecherche is het een dagelijkse bezigheid, om werknemers in opdracht van de baas op afstand in de gaten te houden op ongeoorloofd gebruik.

Dan moet er wel een goed vermoeden van misbruik zijn, want bij voorbaat werknemers spioneren is ook wel een beetje twijfelachtig, reglement of niet. Zoals de waard is.....

Je hebt ook recht op privacy.

Gunner schreef op zaterdag 2 maart 2019 @ 12:21:
[...]

Dan moet er wel een goed vermoeden van misbruik zijn, want bij voorbaat werknemers spioneren is ook wel een beetje twijfelachtig, reglement of niet. Zoals de waard is.....

Je hebt ook recht op privacy.

Als je de kosten kent, dan weet je dat er geen bedrijf is die het voor de lol doen. Meestal gaat het dan om het wegsluizen van geld en of middelen.

Gunner schreef op zaterdag 2 maart 2019 @ 12:21:
[...]

Dan moet er wel een goed vermoeden van misbruik zijn, want bij voorbaat werknemers spioneren is ook wel een beetje twijfelachtig, reglement of niet. Zoals de waard is.....

Je hebt ook recht op privacy.

Klopt inderdaad. en daarom vermelde ik ook "ongeoorloofd gebruik". Er moet natuurlijk wel een reden zijn om die gasten in te schakelen.
En natuurlijk heb je recht op privacy. Maar die is als werknemer mager en de rechter geeft daar in de praktijk niet zo veel om.
Gezond verstand, is als werknemer wel het beste advies. Je weet meestal als werknemer zelf wel, wat goed en fout is. En dat geld ook voor de werkgever. Maar dat kan wel eens in een grijs gebied liggen.

[ Voor 18% gewijzigd door Dixie op 03-03-2019 15:28 ]

Dixie schreef op zondag 3 maart 2019 @ 15:22:
[...]
die is als werknemer mager en de rechter geeft daar in de praktijk niet zo veel om.

Ik denk van niet. Waar baseer je dat op?

Gunner schreef op zondag 3 maart 2019 @ 15:45:
[...]

Ik denk van niet. Waar baseer je dat op?

Voorbeelden uit de praktijk. Anders zou de baas het niet zo ver laten komen. Als werknemer ben je dan kennelijk over een grens gegaan....
Je moet niet vergeten (om bij dit topic starter te beginnen). Je maakt gebruik van het netwerk van de baas. Ook als is het met je eigen spullen.
Als baas zijnde mag je best sceptisch/kritisch zijn, wat er over zijn lijn gaat.

[ Voor 28% gewijzigd door Dixie op 05-03-2019 16:09 ]

Dixie schreef op dinsdag 5 maart 2019 @ 16:00:
[...]
Voorbeelden uit de praktijk. Anders zou de baas het niet zo ver laten komen. Als werknemer ben je dan kennelijk over een grens gegaan....
Je moet niet vergeten (om bij dit topic starter te beginnen). Je maakt gebruik van het netwerk van de baas. Ook als is het met je eigen spullen.
Als baas zijnde mag je best sceptisch/kritisch zijn, wat er over zijn lijn gaat.

Dat gaat om systeemintegriteit, datalekken en serieuze verdenkingen van bijvoorbeeld diefstal of fraude. Niet een medewerker die een gedeelte van zijn tijd op social media door brengt.

Bij ons is het ook echt heel duidelijk, wij zien meer dan de baas kan zien, maar geven ook de baas geen inzicht in en toegang tot de informatie waar wij technisch gezien wel toegang toe hebben tenzij daar héél goede redenen voor zijn.

Kort samengevat: wij hebben meer bevoegdheden dan de baas.

unezra schreef op dinsdag 19 februari 2019 @ 11:20:
[...]


Alleen, zie ik het toevallig, of ben ik op zoek naar security issues, kan het zijn dat ik informatie zie en als het ernstig is, zoom ik wel in tot op gebruikersniveau. Los van regels, is dat iets waar ik denk ik zelf heel goed en zorgvuldig mee om kan gaan, maar ook moet handelen in het bedrijfsbelang.

daar ga je in de fout, zoek eens wat regels op omtrent dit.
je mag pas gaan zoeken als er aanleiding tot is met een opdracht van een leidinggevende*
en ook daar zijn weer regels voor, niet iedere leiding gevende kan zomaar bij iedere ICT aankloppen: heey kijk jij eens even of je wat kan vinden wat Pietje op internet doet.

vertrouwens personen, leiding gevende, security officers, vastleggen in een SLA, langs de OR etc.

jij als ICTer beheerd het systeem van de baas, dat de baas daar geen verstand van heeft komt omdat de ICT het niet goed duidelijk heeft gemaakt.
de baas moet weten wat er speelt, kan hij dat niet neemt hij een manager in dienst die dat voor hem doet.
managers zijn 1 op 1 uitwisselbaar over afdelingen, het is leuk dat er een ICT manager is die wat meer verstand heeft van ICT maar in praktijk hoeft dat helemaal niet, daar zijn zijn ICT mensen voor, daar word de ICT afdeling mensen voor betaald.
managers moeten de regels kennen en niet het vak.
ook op een ICT is een verdeling van taken, iemand moet de pet ophebben van security officer, die kan omgaan met deze gevallen, die kent de regels daarvoor.
als de rollen goed verdeeld zijn ( elk persoon kan meerdere rollen hebben ) dan kent iedereen zijn verantwoordelijkheden en kan het niet zo zijn dat: oh ik wil wat weten over dit systeem, laat ik er eens in de live omgeving wat rond gaan klikken, potver wat zie ik nou Jantje zit porno te kijken op zijn laptop! dat ga ik melden!
dat is aan de rol van de security officer om daar filters op te zetten en actie op te ondernemen.
dit geld voor alle organisaties, hoe klein of groot.
je kan moeilijk een ICT afdeling hebben die wel een netwerkbeheerder heeft maar geen systeembeheerder ( of ze hebben het uitbesteed maar dan nog is de rol er wel maar dan extern )

een goede regel is: als iemand iets fout kan doen dan heeft de ICT een fout gemaakt omdat ze het mogelijk hebben gemaakt.

talin schreef op woensdag 6 maart 2019 @ 09:39:
[...]
daar ga je in de fout, zoek eens wat regels op omtrent dit.
je mag pas gaan zoeken als er aanleiding tot is met een opdracht van een leidinggevende*
en ook daar zijn weer regels voor, niet iedere leiding gevende kan zomaar bij iedere ICT aankloppen: heey kijk jij eens even of je wat kan vinden wat Pietje op internet doet.

vertrouwens personen, leiding gevende, security officers, vastleggen in een SLA, langs de OR etc.

Ik _ben_ de security officer.

Als de directie of een manager hier aan komt met "kun jij het internet gedrag van Pietje bekijken" is het antwoord "ja, dat kan ik, nee, je krijgt die gegevens niet". (Tenzij er een zwaarwegende reden voor is, maar ik maak de inschatting.)

jij als ICTer beheerd het systeem van de baas, dat de baas daar geen verstand van heeft komt omdat de ICT het niet goed duidelijk heeft gemaakt.
de baas moet weten wat er speelt, kan hij dat niet neemt hij een manager in dienst die dat voor hem doet.
managers zijn 1 op 1 uitwisselbaar over afdelingen, het is leuk dat er een ICT manager is die wat meer verstand heeft van ICT maar in praktijk hoeft dat helemaal niet, daar zijn zijn ICT mensen voor, daar word de ICT afdeling mensen voor betaald.
managers moeten de regels kennen en niet het vak.
ook op een ICT is een verdeling van taken, iemand moet de pet ophebben van security officer, die kan omgaan met deze gevallen, die kent de regels daarvoor.

Exact.
Zie boven.

Ik heb alleen de directie boven me.
Toevallig ben ik óók de sysadmin die er fysiek bij kan.

als de rollen goed verdeeld zijn ( elk persoon kan meerdere rollen hebben ) dan kent iedereen zijn verantwoordelijkheden en kan het niet zo zijn dat: oh ik wil wat weten over dit systeem, laat ik er eens in de live omgeving wat rond gaan klikken, potver wat zie ik nou Jantje zit porno te kijken op zijn laptop! dat ga ik melden!
dat is aan de rol van de security officer om daar filters op te zetten en actie op te ondernemen.
dit geld voor alle organisaties, hoe klein of groot.
je kan moeilijk een ICT afdeling hebben die wel een netwerkbeheerder heeft maar geen systeembeheerder ( of ze hebben het uitbesteed maar dan nog is de rol er wel maar dan extern )

Daarom. We zijn een organisatie met 2 man ICT.
Zodra het ook maar ruikt naar iets dat met ICT te maken heeft, ligt de verantwoordelijkheid in principe hier.

een goede regel is: als iemand iets fout kan doen dan heeft de ICT een fout gemaakt omdat ze het mogelijk hebben gemaakt.

Nope.
Want én je kunt niet alles technisch beperken én dat iets kan, wil niet zeggen dat het mag.
Je kunt in Nederland op de snelweg rustig 200 rijden, het mag alleen nergens. Doe je dat, is niet de wegbeheerder of autofabrikant fout, maar jij.

unezra schreef op woensdag 6 maart 2019 @ 16:13:
[...]


Ik _ben_ de security officer.

Als de directie of een manager hier aan komt met "kun jij het internet gedrag van Pietje bekijken" is het antwoord "ja, dat kan ik, nee, je krijgt die gegevens niet". (Tenzij er een zwaarwegende reden voor is, maar ik maak de inschatting.)


[...]


Exact.
Zie boven.

Ik heb alleen de directie boven me.
Toevallig ben ik óók de sysadmin die er fysiek bij kan.


[...]


Daarom. We zijn een organisatie met 2 man ICT.
Zodra het ook maar ruikt naar iets dat met ICT te maken heeft, ligt de verantwoordelijkheid in principe hier.


[...]


Nope.
Want én je kunt niet alles technisch beperken én dat iets kan, wil niet zeggen dat het mag.
Je kunt in Nederland op de snelweg rustig 200 rijden, het mag alleen nergens. Doe je dat, is niet de wegbeheerder of autofabrikant fout, maar jij.

volgens de regels mag jij die afweging niet maken ( maar praktijk is vaak anders ) die opdracht zou je van HR of via een officiële weg moeten krijgen.

ik heb ook bij een multinational gewerkt toen het nog net geen multinational was, doordat er zoveel verloop in personeel was maakte ik per week 10 nieuwe users aan. ( tv wereld dus veel ZZPers die ze inhuren voor een klus ) en dan moest die weer toegang krijgen tot agenda van die en die tot mailbox van die.
oplossing was een werkstation in server ruimte met RDP waar ik alle mailboxen op aanmaakte zodat ik de mailboxen en agenda kon beheren.
daar las je per ongeluk ook dingen die niet voor jou ogen waren bedoeld, je mag en kan er niks mee want het hoort bij je werk.

daarna bij een ander groot bedrijf gewerkt en de eerste beste kans die ik had waren dit soort dingen via de juiste regels laten verlopen, verantwoordelijkheid leggen bij de verantwoordelijke.
daarom ook een cursus gedaan hierin en komt er eigenlijk op neer dat ICT ICT is en die moeten eigenlijk zelf niet nadenken, alles moet binnen kaders passen en alles moet worden vastgelegd.
privacy 100% voor de user.
er moet een heel dossier zijn voordat iemand echt bij ICT aan kan kloppen en de vraag stellen: ik wil weten wat Kees op internet uitspookt in werktijd.
word daar niet aan voldaan zal een rechter de hele bende niet eens in behandeling nemen en kan je er niks mee.

talin schreef op woensdag 6 maart 2019 @ 16:46:
[...]
volgens de regels mag jij die afweging niet maken ( maar praktijk is vaak anders ) die opdracht zou je van HR of via een officiële weg moeten krijgen.

Zeg je niet zelf dat het de taak is van de security officer om die afweging te maken?

ik heb ook bij een multinational gewerkt toen het nog net geen multinational was, doordat er zoveel verloop in personeel was maakte ik per week 10 nieuwe users aan. ( tv wereld dus veel ZZPers die ze inhuren voor een klus ) en dan moest die weer toegang krijgen tot agenda van die en die tot mailbox van die.
oplossing was een werkstation in server ruimte met RDP waar ik alle mailboxen op aanmaakte zodat ik de mailboxen en agenda kon beheren.
daar las je per ongeluk ook dingen die niet voor jou ogen waren bedoeld, je mag en kan er niks mee want het hoort bij je werk.

Huh?

Je plaatste een werkstation in een serverruimte met RDP waarop je alle mailboxen aanmaakte?
Wat is er mis met RDP vanaf je werkplek naar je Exchange omgeving om daar accounts aan te maken?

daarna bij een ander groot bedrijf gewerkt en de eerste beste kans die ik had waren dit soort dingen via de juiste regels laten verlopen, verantwoordelijkheid leggen bij de verantwoordelijke.
daarom ook een cursus gedaan hierin en komt er eigenlijk op neer dat ICT ICT is en die moeten eigenlijk zelf niet nadenken, alles moet binnen kaders passen en alles moet worden vastgelegd.

Het is het leger niet.

Als ik als ICTer niet na denk en enkel uit voer wat anderen zeggen, is dat niet héél goed voor de organisatie. Sterker nog, als ik dat zou doen, zou ik mijn werk niet goed kunnen doen. Het is mijn taak om op momenten "nee" te zeggen. Ook als de directie om iets vraagt.

Het is letterlijk mijn werk om kritisch te zijn op vragen die de business stelt en niet blind "ja" te zeggen.

privacy 100% voor de user.

Zeker niet.
Hét moment dat er gevaar ontstaat voor het bedrijf, mag je ingrijpen.

er moet een heel dossier zijn voordat iemand echt bij ICT aan kan kloppen en de vraag stellen: ik wil weten wat Kees op internet uitspookt in werktijd.
word daar niet aan voldaan zal een rechter de hele bende niet eens in behandeling nemen en kan je er niks mee.

In grotere organisaties zijn taken gescheiden, waardoor diegene die toegang verleent, niet diegene is die de toegang aan vraagt. In kleinere organisaties is dat logischerwijs niet altijd zo. Hier stappen gewoon managers naar ons toe met de vraag of iets wel of niet mag, of met het verzoek om bepaalde informatie en kunnen (en *moeten*) wij "nee" zeggen.

DutchKel schreef op dinsdag 10 april 2018 @ 10:18:
[...]

Ik ken helaas al 2 kleine bedrijven die zich daar niks van aantrekken en zich daar ook niet mee bezig houden.

1 bedrijf daar keek de baas mee op het scherm via een vnc achtige tool en een ander bedrijf daar kon de baas alle e-mails van de medewerkers van inlezen en dat doet ze ook regelmatig heb ik begrepen.

Ik werk niet (meer) bij die bedrijven en die laatste was nog van vorig jaar. Dus ik kan en ga er nu ook niks tegen doen, misschien zijn ze toch verstandig geworden en is het niet meer van toepassing.

Mag niet, gebeurd toch. Net als hard rijden, niet hands free bellen etc.

Stuur mij even naam van die bedrijven, want dan ga ik daar solliciteren, wil snel rijk worden. En dit is uitgelezen kans.

Wim-Bart schreef op woensdag 6 maart 2019 @ 23:02:
[...]
Stuur mij even naam van die bedrijven, want dan ga ik daar solliciteren, wil snel rijk worden. En dit is uitgelezen kans.

Als dit naar buiten komt, sta je vooral snel op straat. Met de rest van het personeel.
Want de club is dan failliet.

Als je dát als bedrijf doet heb je het compleet niet begrepen.

unezra schreef op woensdag 6 maart 2019 @ 23:07:
[...]


Als dit naar buiten komt, sta je vooral snel op straat. Met de rest van het personeel.
Want de club is dan failliet.

Als je dát als bedrijf doet heb je het compleet niet begrepen.

Yep, heerlijk even cashen met een civiel rechtzaakje of ze laten afkopen

Vandaar dat bedrijven dit liever uitbesteden aan een andere (onafhankelijke) partij, die de ICT van het bedrijf de opdracht geeft, om het e.e.a. in te stellen om mee te kijken en dat gaat dan in opdracht van de CEO.
Doe je dat niet, dan exit.

Het zal waarschijnlijk gewoon in je arbeidsvoorwaarden of je personeelshandboek staan dat er op inhoud gecontroleerd word. Dan is het juridisch vastgelegd en mag het.

degroot schreef op dinsdag 26 maart 2019 @ 10:56:
Het zal waarschijnlijk gewoon in je arbeidsvoorwaarden of je personeelshandboek staan dat er op inhoud gecontroleerd word. Dan is het juridisch vastgelegd en mag het.

Heeft zo'n personeelshandboek juridische waarde dan? Ik betwijfel het. Krijgt een ieder voor het tekenen van een arbeidscontract inzage in dat document dan? Je moet er wel specifiek mee instemmen immers.

Bij mijn nieuwe job heb ik inderdaad inzage gekregen voordat ik het contract tekende.
Echter, daarvoor werkte ik al heel lang bij een andere baas. Daar was nog geen personeelshandboek en is er pas later gekomen toen ik er al lang werkte. Daar stond overigens wel in dat e.e.a. gemonitord kan worden. En ook toen is er getekend voor ontvangst en kennisgeving van het persooneelshandboek.