Slack lijkt procedure voor inzien van privéchats minder transparant te maken

Communicatiedienst Slack voert een wijziging door van de procedure waarmee betalende eigenaren van workspaces gegevens uit privékanalen en dm's kunnen exporteren. Hierdoor wordt dit eenvoudiger en lijkt ook de waarschuwing voor gebruikers achterwege te blijven.

De wijziging van de procedure werd onder meer opgemerkt door Gizmodo. Slack meldt op een speciale pagina, die onlangs is gewijzigd, dat eigenaren met een Plus- of Enterprise Grid-abonnement gebruik kunnen maken van een self service-tool om privédata te exporteren. Voor chats uit publieke kanalen geldt dat eigenaren met alle soorten abonnementen gegevens kunnen exporteren. De nieuwe procedure verschilt van de oude situatie, waarbij het exporteren van gegevens uit privékanalen en dm's alleen mogelijk was als gebruik werd gemaakt van zogenaamde Compliance Exports. Die verdwijnen met ingang van 20 april.

Onder het oude systeem, dat wordt beschreven op een gearchiveerde pagina, konden eigenaren deze functie aanvragen bij Slack. Alle gebruikers kregen hiervan een notificatie, die ze nog eens ontvingen als de functie uiteindelijk werd ingeschakeld. Eigenaren konden vanaf het moment van het inschakelen ook gegevens uit privékanalen exporteren in de vorm van een zipbestand.

Het nieuwe systeem werkt anders. Zo moet de exportfunctie nog steeds aangevraagd worden, maar er wordt niet vermeld dat gebruikers daarvan een notificatie ontvangen, zoals onder het oude systeem. Daarnaast kunnen exports ingepland worden en is het mogelijk om chats terug te lezen die voor het inschakelen van de functie al bestonden, zo zegt een Slack-woordvoerder tegen Gizmodo. Die gegevens moeten dan wel opgeslagen zijn, wat afhankelijk is van de instellingen. De wijziging lijkt het daarom voor gebruikers minder transparant te maken wanneer privéchats geëxporteerd kunnen worden.

De nieuwe functie is ook beschikbaar voor gratis- en standaardabonnementen, maar dan moet de eigenaar beschikken over een 'geldig gerechtelijk bevel', oftewel valid legal process, of toestemming van gebruikers. Een derde mogelijkheid is dat het een wettelijke vereiste of recht is onder geldende regels.

In zijn reactie aan Gizmodo laat Slack verder weten dat de wijziging te maken heeft met de inwerkingtreding van de Algemene verordening gegevensbescherming, oftewel gdpr, in mei van dit jaar. Het legt niet uit waarom deze wijziging nodig was. De woordvoerder zegt dat gebruikers de instellingen van hun Slack-omgeving kunnen inzien in het Workspace Settings Center.

IT-banen

Reacties (29)

Chrotenise 22 maart 2018 11:10

De doelstelling van de 'gdpr' zoals het in het aritkel wordt genoemd is dat bedrijven in kaart brengen welke data ze opslaan van hun klanten, waarom ze dit opslaan en waar ze dit opslaan, zodat ze op hun beurt weer een beter pva kunnen opstellen over het omgaan met datalekken.

Het is dus totale onzin dat Slack deze feature minder transparant heeft moeten maken vanwege het 'gdpr'

Bron: ik heb een 3u durende presentatie over deze wetgeving bijgewoond die verzorgd werd door een gerenommeerd accountantskantoor.

[Reactie gewijzigd door Chrotenise op 22 juli 2024 17:29]

Mit-46 @Chrotenise • 22 maart 2018 11:24

Dat klinkt inderdaad tegenstrijdig want voor zover ik het begrepen heb is inderdaad het juist de bedoeling dat bedrijven de boel duidelijk, overzichtelijk en goed op orde hebben wat betreft data van personen zodat men "beter beschermd" is (ik heb zelf wel het idee dat deze wet ten goede is van de "persoon" en niet van de bedrijven).

Onnodige data opslaan mag niet meer en mensen dienen geïnformeerd te worden welke en waarom bepaalde data is opgeslagen. Dit kan dus niet minder transparant (oftewel: duidelijk) worden, want het moet juist allemaal duidelijker worden voor de "persoon" vanwege deze wetgeving.

Althans, dit is in een notendop hoe het ons is uitgelegd.

[Reactie gewijzigd door Mit-46 op 22 juli 2024 17:29]

Verwijderd @Chrotenise • 22 maart 2018 12:33

Onder de GDPR worden ook de volgende zaken afgedwongen: recht om vergeten te worden en recht op data portabiliteit.

Dat downloaden schaar ik onder portabiliteit, en het schijnt ook dat je nu/straks je profiel kan wipen.

Minder transparant is wat mij betreft nooit goed en dat is het laatste wat de GDPR beoogd te bereiken.

supersnathan94 @Chrotenise • 22 maart 2018 15:46

Maar onder de GDPR moet het wel de mogelijkheid bieden om alles te kunnen exporteren (want portabiliteit) dat er dus ook berichten worden geexporteerd van voor het aanzetten van de functionaliteit is dan ook wel logisch. Alles wat in beheer is moet teruggegeven kunnen worden. Daarmee is het dus logisch dat de “owner” van de workspace de hele boel kan exporteren. Aan de andere kant ligt de verantwoordelijkheid in dergelijke gevallen dan ook duidelijk bij de exporteur, want vanaf dat moment is hij degene die de data in beheer heeft. Hij zal dan dus aan zijn werknemers cq collegas moeten kunnen verantwoorden wat er met die data gebeurt en ook een manier verzinnen om een “vergeet mij” mogelijkheid te faciliteren voor bijvoorbeeld prive gesprekken. Voor public channels is dat een ander verhaal maar ook daar zijn richtlijnen voor toch?

Chrotenise @supersnathan94 • 25 maart 2018 21:38

Sorry, maar het grootste deel van wat je er allemaal bijhaalt sluit niet aan bij mijn opmerking.

Ik stel dat deze aanpassing van specifiek de waarschuwing voor gebruikers NIKS met de GDPR te maken heeft, want die waarschuwing had prima in effect kunnen blijven (en is zelfs meer in lijn met de gedachtegang van het GDPR dan de nieuwe situatie). De argumentatie voor de aanpassing van Slack is dus (deels) incorrect.

Ten tweede stelt de dataportabiliteit wet helemaal geen eisen over de hoe en wat, behalve dat het jouw data in een gangbaar datatype wordt aangeleverd. Een email moeten sturen naar een speciaal emailadres waarna je een SQL dump krijgt, kan dus volstaan. Zie https://autoriteitpersoon...dataportabiliteit-in-6345

[Reactie gewijzigd door Chrotenise op 22 juli 2024 17:29]

RvdDungen @Chrotenise • 22 maart 2018 16:27

Dat ze het minder transparant moeten maken is inderdaad niet zo, maar vergeet niet dat de transparantieplicht bij de verantwoordelijke licht en Slack hier alleen verwerker is. Ik neem aan dat ze dat ook gezegd hebben tijdens die drie uur durende presentatie.

Slack heeft geen enkele verplichting om gebruikers op de hoogte te brengen wanneer de verantwoordelijke de gegevens exporteert, die verplichting heeft de verantwoordelijke zelf.

Slack moet het mogelijk maken om de data van verantwoordelijken te onttrekken uit het systeem en beoogt dat met deze functionaliteit te doen. Dat ze het makkelijker maken voor verantwoordelijken in hier alleen maar positief. Dat dit zowel prive-channels als dm's bevat is ook logisch, alle data is van de verantwoordelijke.

De berichten mogen alsnog niet gelezen worden door de verantwoordelijke zonder rechtmatige grondslag is zeker waar, maar een gehele andere discussie.

Wat raar is, is dat ze voor niet betalende klanten nog steeds gebruik maken van toestemming. Ook daar zijn ze verwerker.

Frituurbaas @Chrotenise • 22 maart 2018 21:10

GDPR is voor het gebruiken van ouderwetse testdata op basis van kopieën uit productie een ramp. Bedrijven die nog steeds datarefreshes doen vanuit productie naar test, zullen met testdatageneratie (bijv. op basis van businessrules) aan de slag moeten. Doen ze dat niet en worden ze betrapt op het gebruik van data in testomgevingen die tot personen is terug te leiden, dan kan dat bedrijven een x-percentage van hun jaaromzet als boete opleveren. Een mooie melkkoe voor de overheid dus.

Chrotenise @Frituurbaas • 25 maart 2018 21:44

Dat is incorrect. Je kan prima data van de testomgeving reproduceren, maar je moet het vervolgens wel als deel van je proces anonimiseren en opnemen in je procedure dat dit de bedoeling is. Verder mag je de privédata gebruiken voor testdoeleinden, mits hier een noodzaak toe is en dat dit is overeengekomen met de verantwoordelijke en de eindklant (de entiteit van wie de data is) - en je testomgeving verder voldoet aan ALLE GDPR conventies.

Wanneer wij bijv. een productieomgeving moeten dupliceren vanwege een specifieke set omstandigheden die niet te reproduceren is, heb ik opgesteld dat op alle collecties die aangeduid zijn als 'NAW gegegeven' een script gedraaid wordt die elke int naar 9 zet en elke letter naar W. We gebruiken vervolgens IDs om te herleiden waar het fout gaat. Dit is met de klant gecommuniceerd en in onze documentatie opgenomen.

[Reactie gewijzigd door Chrotenise op 22 juli 2024 17:29]

Frituurbaas @Chrotenise • 26 maart 2018 22:06

Dank voor de aanvulling/ correctie. Bedrijven doen er wijs aan om dit soort afspraken met klanten te maken wanneer zijn genoodzaakt zijn productiedata naar lagere omgevingen te dupliceren voor het nabootsen van een productiesituatie met dezelfde dataset.

PdeBie 22 maart 2018 11:11

Het exporteren van privé kanalen snap ik wel, maar DM's vind ik te ver gaan.

Dat zou namelijk hetzelfde zijn als overal microfoons in je pand ophangen en luisteren naar wat al je medewerkers in de wandelgangen tegen elkaar zeggen. Dat kan soms hele nadelige gevolgen hebben voor iemand.

Zo kan iemand bijvoorbeeld zeggen via een DM dat hij/zij een enorme hekel heeft aan 'Directielid A', maar dit uiteindelijk professioneel gezien nooit tot uiting brengen.

Natuurlijk kan directielid A het ook "via de wandelgangen" te weten komen, maar via een chat voelt het denk ik voor velen toch meer privé dan wanneer ze het echt tegen elkaar zeggen.

--edit--

Met het oog op GDPR snap ik wel waarom je DM's ook mee wilt nemen. Als Jantje via DM Pietje benaderd over klant A, dan moeten de gegevens van klant A boven tafel komen wanneer die zich beraad op GDPR.

[Reactie gewijzigd door PdeBie op 22 juli 2024 17:29]

Tk55 @PdeBie • 22 maart 2018 11:28

Met het oog op GDPR snap ik wel waarom je DM's ook mee wilt nemen. Als Jantje via DM Pietje benaderd over klant A, dan moeten de gegevens van klant A boven tafel komen wanneer die zich beraad op GDPR.

Waarom? Moet elke communicatie tussen 2 werknemers gelogd worden als ze over een klant praten?

Mit-46 @Tk55 • 22 maart 2018 11:29

Daar kunnen diverse redenen voor zijn. Dat is ook geen probleem.

Het dient echter duidelijk vastgelegd te zijn waarom dit nodig is. Men dient ook geïnformeerd te worden dat dit vastgelegd wordt en voor hoe lang.

Niet Henk @Tk55 • 22 maart 2018 11:40

Nee, niet elke communicatie hoeft gelogd te worden, zover ik weet. Het verschil is dat het hier opgeslagen gegevens betreft. In het geval van een datalek zouden die gegevens kunnen uitlekken.

Je moet natuurlijk wel kunnen aangeven wie toegang had tot welke gegevens en waarom, en daar horen gesprekken bij het koffiezetapparaat bij, als er vertrouwelijke gegevens worden besproken. Maar je hoeft geen uittreksel van dat gesprek te maken, als het verder niet opgeslagen is.

Gomez12 @Tk55 • 22 maart 2018 13:11

[...]

Waarom? Moet elke communicatie tussen 2 werknemers gelogd worden als ze over een klant praten?

Nee, alleen als een gegeven gelogd wordt moet dat wel inzichtelijk zijn.
DM's worden gewoon opgeslagen / vervliegen niet zoals in een gesprek, dus moeten ze inzichtelijk zijn (voor zolang ze opgeslagen zijn)

DragonChaser @PdeBie • 22 maart 2018 11:30

"Voor mij" een beetje een raare vergelijking, omdat ik toch echt bewust ben dat letterlijk niks prive is op werk. Vind het naar mijn mening dat dat zo moet blijven, je werk mail is ook gewoon toegankelijk voor de werkgever.

Dingen als "heb een hekel aan directielid A" moeten buiten werk besproken worden, geen tijd voor dat soort dingen op werk. Daar zijn de communicatie kanalen naar mijn gevoel niet voor. (overigens is slack echt echt een tof stukje software).

OMX2000 @DragonChaser • 22 maart 2018 12:01

yeah, uhuh. Werk en privé lopen steeds meer door elkaar. Ik geloof er niks van dat niemand onder werktijd zaken over zijn werk bespreekt

Wat schadelijk is, is dat dit met terugwerkende kracht behoorlijke implicaties kan hebben. Behoorlijk onzorgvuldig van Slack.

DragonChaser @OMX2000 • 22 maart 2018 12:11

Ik snap het en ook het feit dat een heleboel mensen niet weten hoe ze moeten omgaan met problemen op werk. Als je een hekel hebt aan "directielid A" dan is er een probleem aanwezig die proffesioneel besproken moet worden.

Het is wat mij in ieder geval opvalt, vaak het gebrek aan het "know how" to identify an issue as an issue.
Hoe dan ook, een beetje werk ethiek mag je wel verwachten en vooral een bewustzijn dat je op werk zit.

Er zijn uiteindelijk alleen maar nadelen tegen een collega te zeggen dat je hekel hebt aan een andere collega, nul voordelen. Het is gewoon het beste om er proffesioneel face to face over te praten en de problemen te identificeren.

Armin @PdeBie • 22 maart 2018 19:59

Het exporteren van privé kanalen snap ik wel, maar DM's vind ik te ver gaan.

Slack is een bedrijfs communicatiemiddel. Alle communicatie over dat kanaal moet je als niet-prive maar eigendom van het bedrijf zien.

In sommige sectoren is het zelfs verplicht voor het bedrijf om die gegevens te kunnen overhandigen. Denk aan financiele sector in relatie met handel in voorkennis, of de overheid ivm WOB.

Dat bij veel (kleinere) bedrijven Slack ook gebruikt wordt voor prive-zaken is leuk, maar het is niet anders dan email of de telefoon van de zaak: alles wat je ermee communiceert is in principe van 'de baas' tenzij de wetgever een expliciete uitzondering maakt. Deze uitzondering is land-specifiek.

Moraal: communiceer prive met prive-apparatuur en bedrijfsmatig met bedrijfsmateriaal maar meng beide niet.

arjankoole @Armin • 23 maart 2018 10:10

Dat bij veel (kleinere) bedrijven Slack ook gebruikt wordt voor prive-zaken is leuk, maar het is niet anders dan email of de telefoon van de zaak: alles wat je ermee communiceert is in principe van 'de baas' tenzij de wetgever een expliciete uitzondering maakt. Deze uitzondering is land-specifiek.

Dat is juridisch dus niet het geval. Ook op je werk, en op werkmiddelen, heeft een werknemer recht op privacy. Dat is in Nederland zo, en volgens mij Europa breed. (en in Duitsland zijn ze dacht ik nog een paar tanden strenger op dat vlak).

Uiteraard zijn de publieke 'team' kanalen niet beschermd, maar DM's zeer zeker wel.

edit:

hier nog wat fijn materiaal van onze grote vriend Engelfriet, over dit onderwerp:

http://www.iusmentis.com/internetten/prive-ophetwerk/

[Reactie gewijzigd door arjankoole op 22 juli 2024 17:29]

Armin @arjankoole • 23 maart 2018 17:31

Dat is juridisch dus niet het geval. Ook op je werk, en op werkmiddelen, heeft een werknemer recht op privacy.

Dat schreef ik ook: alles wat je ermee communiceert is in principe van 'de baas' tenzij de wetgever een expliciete uitzondering maakt. Deze uitzondering is land-specifiek.

Communicatie gebruikmakend van bedrijfsmedia zijn zeker niet zomaar beschermd, inclusief DM (wat bij Slack technisch ook niet een echte DM is). Zeker niet als dat duidelijk bekend gemaakt is. Vandaar ook dat deze Slack procedure nu expliciet gewijzigd wordt. Specifiek heeft de Nederlandse wet namelijk ruimte om af te luisteren mits dat bekend gemaakt wordt. Daar is geen uitzondering voor DM of email.

RvdDungen @PdeBie • 22 maart 2018 16:28

Het is dan ook niet de bedoeling dat werkgever vervolgens de gegevens ook daadwerkelijk door gaat spitten zonder dat ze daar een rechtmatige grondslag voor hebben.

PdeBie @RvdDungen • 22 maart 2018 16:34

Niet de bedoeling en dat het niet gebeurt is natuurlijk wel een groot verschil

RvdDungen @PdeBie • 23 maart 2018 12:07

Klopt, maar dan zijn zij fout en niet Slack.

multipasser 22 maart 2018 11:53

Slack gaat dood door hun free user limit!
Ik zit op genoeg slacks die de limiet halen maar de kost prijs PER user is echt absurd!

Als je als community bv 50euro/jaar moet betalen voor 10k of 20k user limiet gaan vele dat doen, nu stapt iedereen over naar telegram.

QErikNL @multipasser • 22 maart 2018 13:47

Telegram is geen alternatief voor Slack. Microsoft Teams bijvoorbeeld wel en Wire uit Zwitserland, die is gemaakt door de Skype oprichter.

Armin @multipasser • 22 maart 2018 20:02

Als je als community bv 50euro/jaar moet betalen voor 10k of 20k user limiet gaan vele dat doen, nu stapt iedereen over naar telegram.

Uiteindelijk moet Slack ook hun personeel en de ficus betalen. Niet alles op deze wereld is gratis. Slack is bovendien een productiviteitstool. Het kost wat, maar helpt je als bedrijf ook. Wil je niet betalen kun je naar de concurent (Microsoft) gaan, of extra personeel inhuren om een zelfbouwconstructie of open-source constructie te proberen.

hub0 22 maart 2018 12:55

Ik vind dit een beetje non-nieuws. De mogelijkheid om audit reports zonder medeweten van medewerkers uit te draaien zit al sinds de opstart van Slack in het Enterprise pakket. Begrijp wel dat de headline lekker clickbait kan zijn omdat allerlei werknemers die hun baas niet vertrouwen nu de 'zie-je-wel' bevestiging krijgen.
Wisten jullie dat Exchange, Skype for Business, MS Team, et cetera exact dit soort functionaliteit bieden? Toch fijn dat er wettelijke beperkingen zijn op het zonder meer inzien van persoonlijke communicatie van medewerkers, ook wanneer daar bedrijfsmiddelen voor worden gebruikt.

Smen 22 maart 2018 12:57

Ik snap de ophef niet zo. Lijkt me volledig logisch om die data moeilijker toegankelijk te maken wegens GDPR. En Slack kondigde het vanmorgen ook zelf aan in een keurige email.

Daarbij zijn ze één van de voorlopers van de techbedrijven die dit zo goed geregeld & gecommuniceerd hebben. Zie ook deze pagina, met gedetailleerde impact van GDPR op hun werkzaamheden.

Fermion 22 maart 2018 22:48

Oei, blijkt nu in de uitvoering dat GDPR hellemaal niet zo goed is voor het beschermen van je privé gegevens... wat een grap.

Op dit item kan niet meer gereageerd worden.

Slack lijkt procedure voor inzien van privéchats minder transparant te maken

Lees meer

IT-banen

Reacties (29)

Sorteer op:

Weergave: