Kan een werkgever zomaar beslissen om alle ssh en remote desktop sessies op te nemen en er zelfs videos van te maken, door iedereen verplicht te laten inloggen via een proprietary proxy die alles opneemt - en alle andere klassieke toegangswegen tot de servers (bvb de klassieker, een jumphost) af te zetten? Ik weet dat dit in Duitsland verboden is, maar in België?
https://www.google.com/search?q=keylogg ... refox-b-ab
Bedrijf werkt wel met gevoelige data en wil alle admin access tot op de keystroke dus loggen om diefstal te vermijden van data, maar gaat dit niet een beetje te ver? Dus niet alleen de logins worden gelogd, maar ook elke actie die een admin doet, zodat ze nadien perfect kunnen replayen wat er gebeurde.
Dat klinkt een beetje als slimme camera's op elke straathoek en bijhouden van fingerprints op je EID, iedereen is in principe nu plots een verdachte en we vertrouwen niemand meer .... wat is dan nog de waarde van een IT carriere?
Keylogging en recording van sessies
-
- Elite Poster
- Berichten: 5295
- Lid geworden op: 12 jan 2006, 14:25
- Uitgedeelde bedankjes: 65 keer
- Bedankt: 387 keer
- Sinna
- Elite Poster
- Berichten: 2966
- Lid geworden op: 14 nov 2008, 08:22
- Twitter: KrSi78
- Locatie: Brugge
- Uitgedeelde bedankjes: 286 keer
- Bedankt: 202 keer
- Recent bedankt: 6 keer
- Contacteer:
De CNIL, de Franse gegevensbeschermingsautoriteit (GBA), heeft hieromtrent in 2013 uitspraak gedaan, zie French Data Protection Authority Rules on Keylogger Software.
In Duitsland heeft de federale arbeidsrechtbank vorig jaar geoordeeld dat het gebruik van keyloggers een te grote inbreuk vormt op de privacy, zie Germany: Employee monitoring by keylogger software unlawful except in case of severe suspicions.
Zoals ik beide bronnen lees, gaat het hier over keyloggers die niet gemeld waren aan het personeel en dus eigenlijk als spyware fungeerden.
Aangezien in het geval van TS het volgen op voorhand duidelijk gecommuniceerd is, en in een beperkte omgeving (dus niet alle bedrijfs-PC's), zal het bedrijf er heel waarschijnlijk mee wegkomen. Ik zou wel een onderscheid maken tussen opnemen of live meevolgen. Live meevolgen lijkt mij juridisch niet haalbaar. Enkel in geval van vermoeden van misbruik zouden die sessies teruggekeken mogen kunnen worden.
De GDPR verwacht dat je de belangen van het individu en het bedrijf goed balanceert, en als zij dat kunnen aantonen, dan zal m.i. de GBA geen bezwaar maken.
In Duitsland heeft de federale arbeidsrechtbank vorig jaar geoordeeld dat het gebruik van keyloggers een te grote inbreuk vormt op de privacy, zie Germany: Employee monitoring by keylogger software unlawful except in case of severe suspicions.
Zoals ik beide bronnen lees, gaat het hier over keyloggers die niet gemeld waren aan het personeel en dus eigenlijk als spyware fungeerden.
Aangezien in het geval van TS het volgen op voorhand duidelijk gecommuniceerd is, en in een beperkte omgeving (dus niet alle bedrijfs-PC's), zal het bedrijf er heel waarschijnlijk mee wegkomen. Ik zou wel een onderscheid maken tussen opnemen of live meevolgen. Live meevolgen lijkt mij juridisch niet haalbaar. Enkel in geval van vermoeden van misbruik zouden die sessies teruggekeken mogen kunnen worden.
De GDPR verwacht dat je de belangen van het individu en het bedrijf goed balanceert, en als zij dat kunnen aantonen, dan zal m.i. de GBA geen bezwaar maken.
Computer(k)nul
- heist_175
- Moderator
- Berichten: 14885
- Lid geworden op: 07 okt 2010, 09:35
- Locatie: Kempen
- Uitgedeelde bedankjes: 484 keer
- Bedankt: 1054 keer
- Recent bedankt: 15 keer
Volgens mij mag het wel, als het op voorhand gemeld is aan het personeel.
En dus ook dat het personeel er via de ondernemingsraad etc mee akkoord is gegaan.
En dus ook dat het personeel er via de ondernemingsraad etc mee akkoord is gegaan.
- MClaeys
- Elite Poster
- Berichten: 6044
- Lid geworden op: 16 feb 2011, 22:43
- Uitgedeelde bedankjes: 376 keer
- Bedankt: 346 keer
Dan lijkt het mij beter een pakket als Varonis te installeren, dan zi je ook wie aan gevoelige data zit en hoe lang zonder alles te moeten opnemen Gevoelige data beschermen snap ik, maar de maatregel is wat zwaar in mijn ogen.
-
- Deel van't meubilair
- Berichten: 29849
- Lid geworden op: 28 okt 2003, 09:17
- Uitgedeelde bedankjes: 434 keer
- Bedankt: 1972 keer
Dat is al jaar en dag de standaard auditing bij de verschillende banken waarvoor ik werk... niets speciaals aan.ub4b schreef:Dus niet alleen de logins worden gelogd, maar ook elke actie die een admin doet, zodat ze nadien perfect kunnen replayen wat er gebeurde.
Het maakt hier trouwens niet uit op welke manier je naar het systeem gaat want het is basis auditing van het systeem zelf (en dus niet van één of andere proxy ertussen... want dat zou meteen de zwakke schakel zijn).
Je kan er trouwens geen diefstal mee "vermijden"... je zal nadien alleen kunnen "vaststellen" dat het gebeurd is.