info@pleit.nl
088 002 84 99
Nieuws & blogs
Mag ik inbreken bij collega’s voor ons security-event?
Een lezer vroeg me: Mijn werkgever wil een security awareness event organiseren. Hiervoor ben ik gevraagd om bij diverse mensen in te breken op de werkcomputer en/of mail, gebruikmakend van simpele beveiligingsfouten of social engineering. Zo wil men concreet laten zien wat er mis kan gaan. Mijn manager zegt dat hij alle verantwoordelijkheid draagt en ik nergens voor op aan te spreken ben. Maar is dat ook zo? Als hij zegt dat ik iemand moet doodschieten dan blijf ik toch gewoon aansprakelijk?
In principe ben je als werknemer niet aansprakelijk wanneer je een werkinstructie opvolgt. De werkgever bepaalt hoe het werk moet worden uitgevoerd, en als werknemer heb je het op die manier te doen.
Natuurlijk zijn hier grenzen aan, en de privacy van je collega’s is zo’n grens. Ook op het werk heb je privacy, ook wanneer het gaat om de werkmailbox of werkcomputer. Deze mogen niet zomaar worden doorzocht. Daar moet een goede reden voor zijn, zoals een concreet vermoeden van misbruik van de faciliteiten of overtreding van de regels.
Het verhogen van het securitybewustzijn binnen de organisatie is op zich een best goede reden maar de vraag is dan meteen hoe ver je moet gaan om die awareness-sessie goed te kunnen geven.
Je zou bijvoorbeeld best via social engineering kunnen kijken of Jan van de postkamer zijn wachtwoord afgeeft, en dan melden hoe veel wachtwoorden je zo kon krijgen. Daarna ook in Jans mailbox kijken als ‘bewijs’ en dat op het grote scherm projecteren gaat me te ver. Dat komt wel heel dicht in de buurt bij Jan voor gek zetten.
Je zou het gesprek op kunnen nemen en achteraf Jan kunnen vragen of hij mee wil werken aan een film. Zegt hij ja (en hij moet vrijelijk nee kunnen zeggen) dan mag je de opname gebruiken. Zegt hij nee, dan gaat de opname onherroepelijk de bittenbak in. Een acteur inschakelen kan ook, maar komt minder echt over dan een collega.
En wat dat aansprakelijk betreft: de werknemer is aansprakelijk als er sprake is van opzet of bewuste roekeloosheid. Je moet je bewust zijn van het gevaar, van de schade die op kan treden. Bij een opdracht iemand doden zal dat bewustzijn er wel zijn. Bij een hackopdracht is dat discutabel hoewel je er al snel aan zult zitten wanneer duidelijk is dat er geen dringende werkgerelateerde reden is om dit te doen.
Ik zou dus eisen dat vooraf duidelijk is hoe je de privacy van de collega’s gaat beschermen, en hoe mensen worden ingelicht voordat ze op de beamer ten overstaan van het hele kantoor getoond worden als securityfaalhazen.
De auteur
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht en is eigenaar van de site Ius mentis met uitgebreide informatie over internetrecht, techniek en intellectueel eigendom.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht en is eigenaar van de site Ius mentis met uitgebreide informatie over internetrecht, techniek en intellectueel eigendom.
"Al bloggend op weg naar PLEIT2014"
Op de site van De Advocatenwijzer is al menig artikel verschenen over ICT en recht. In de aanloop naar PLEIT2014 zullen wij wekelijks een blog plaatsen over dit onderwerp. De artikelen dienen ter kennisneming en inspiratie voor deelnemers, (potentiële) cliënten en andere geïnteresseerden. Ben je jurist op het gebied van ICT recht (in de breedste zin des woords) en wil je een interessant en prikkelend artikel delen over dit thema? Stuur je blog naar: pleit@deadvocatenwijzer.nl. Zo gaan wij samen al bloggend op weg naar PLEIT2014!
