Moet je je wachtwoord afgeven als de IT-afdeling dat wil?

[Gast RSS-bot]

Een lezer wees me op deze Tweakersdiscussie over het moeten afgeven van wachtwoorden aan de IT-afdeling:

Mijn vriendin (werkzaam als arts) kreeg onlangs te horen dat zij, omdat ze op veel verschillende locaties werkzaam is, een mobiele telefoon zou krijgen. Ze kon contact opnemen met de IT-afdeling om een afspraak te maken om de telefoon op te halen. Bij dat telefoongesprek werd haar gevraagd om haar gebruikersnaam en wachtwoord af te geven. Dit was zogezegd nodig om “De telefoon te koppelen aan haar account”.

Nu is de vraag natuurlijk: mag dat zomaar, even wachtwoorden vragen om de configuratie van een telefoon te doen? De IT-er in kwestie leek te denken van wel, sterker nog hij werd boos toen de vriendin weigerde dit af te geven en “dan moet je het maar zelf doen”.

Er zijn geen harde wettelijke regels over hoe om te gaan met wachtwoorden. Natuurlijk is het strafbaar om met andermans wachtwoord in te loggen op iemands account, maar dat geldt alleen als het ‘wederrechtelijk’ gebeurt. Een IT-er die in opdracht van de accounteigenaar inlogt, heeft een recht en is dus niet wederrechtelijk bezig. De vraag zou dan dus zijn: hééft hij die opdracht gekregen als hij op die manier het wachtwoord opeist?

Ik ben geneigd te zeggen van wel. Natuurlijk is het raar dat hij dat wachtwoord opeist, je kunt net zo makkelijk zeggen “typ nu even je wachtwoord in, dan kan ik weer verder” immers. Maar om nu te zeggen dat het strafbaar is om dat wachtwoord op te eisen, gaat me iets te ver. En sowieso, als beide partijen bij dezelfde organisatie werken dan lijkt het me al helemaal niet snel strafbaar als medewerker A op het account van medewerker B inlogt als dat een werkgerelateerde reden heeft.

Tegelijk is het wel behoorlijk incompetent handelen, zeker als ik dan ook het verhaal over de reactie van meneer lees:

Bij het ophalen werd haar wederom gevraagd om haar wachtwoord ‘even op te schrijven’ na weer dezelfde discussie gevoerd te hebben (dit was een andere persoon dan ze de voorgaande dag telefonisch had gesproken) gaf deze man uiteindelijk zelf zeer gepikeerd aan dat ze het dan zelf maar in moest voeren en dat hij ‘helemaal niet hield van dit soort praktijken’. Ook werd haar verteld dat ze de rest van het menu (op de telefoon) dan maar zelf moest doorlopen.

Daar word ik niet vrolijk van maar hier een juridisch verhaal van maken, zal niet meevallen. Dit is vooral een kwestie van je werk slecht doen, en dat is iets waar de IT-manager en/of de manager van de gebruiker iets van moeten vinden.

In de discussie vragen diverse mensen zich nog af of een IT-er een beroepsgeheim heeft. Dat heeft hij niet, alleen enkele specifieke beroepsgroepen (waaronder artsen en advocaten) hebben dat. Maar het is wél zo dat als een IT-er toegang krijgt tot vertrouwelijke informatie, hij strafbaar is als hij deze onthult (art. 273 en voor telecom-IT-ers 273d Strafrecht. Dat zou je een “beroepsgeheim” kunnen noemen, maar het is in feite “houd je mond over de bedrijfsgeheimen die je tegenkomt”.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Bron/Auteur: Arnoud Engelfriet

[theparasol]

Geen wachtwoord overhandingen: stel dan je devices ook zelf maar in.

En niet bellen en janken dat het allemaal niet werkt en je er niets van snapt dan volg je maar eerst een cursus.

 

Ik kan ook niet maar zo zonder opleiding een dokterspraktijk opzetten en als ik er ff niet uitkom de dokters helpdesk lijn bellen

[Mojo]

Dat was dus geen echte IT-er. Een echte had geweten dat hij haar wachtwoord kan resetten in de active directory, de telefoon installeren, vinkje zetten in de AD dat het paswoord gewijzigd moet worden bij eerste aanmelding en telefoon overhandigen.

[theparasol]

hoe doe je dat als je een bestaand extern email account moet inregelen?

[Mojo]

Bedoel je met een extern email account een privé emailadres?

[theparasol]

Nee een of ander gratis gmail account door iemand aangemaakt om zakelijke post te ontvangen/versturen in een poging prive en werk te scheiden.

 

Daarnaast, soms wordt je ingeschakeld om bv email migratie te regelen. Nieuwe email is office365 beheert door weer een andere partij.

Iedereen heeft paar maanden terug initieel wachtwoord gehad met verzoek dit aan te passen naar iets persoonlijks.

 

Lekker is dat dan: je hebt niet de beschikking over de nieuwe email wachtwoorden en ook niet over de emailwachtwoorden van de oude mailbox(en).

Als je dat voor 30 personen moet doen sjouw je dus hele dag rond en maar hopen dat ze aanwezig zijn en tijd voor je hebben.

Daarbij wil ik ze niet de kost geven die roepen: ik weet niet meer welk wachtwoord dat ik gebruikt heb.... probeer eens.... ja en die oude.... eens denken. Nee, ik weet het niet meer.

 

Maar goed, dat is email. Als ik volledig beheer heb over een netwerk ga ik ook niet zeuren over passwords. Gebruiker toetst het maar in en bij afwezigheid reset ik hem en doe mijn kunstje

Dat soort inlog credentials opschrijven voor toekomstig gebruik: never nooit niet. Maar voor email weet ik het nog niet zo net. Dat zijn nu net van die inlog dingen die gebruikers altijd weten te vergeten en niet overal heb je beheerrechten om het maar even snel te resetten.

[Mojo]

De zakelijke telefoons die wij instellen gebruiken onze exchange server. Die kunnen en mogen dan ook alleen voor zakelijke email gebruikt worden.

[theparasol]

Yes... veel beter maar sommige organisaties zijn nu pas bezig om de boel te professionaliseren

 

En dan laten ze partij A beheer doen, partij B de migratie en partij C de training.

En partij D: de gebruikers, die weten helemaal niets en willen soms niet eens wat anders want het werkte voor hun toch goed genoeg....

[Mojo]

Partij D is ongeveer bij windows 3.11 afgehaakt.