Grote bedrijven VS gebruiken tool om berichten medewerkers op Slack te monitoren

Maar Europese wetgeving is toch niet van toepassing in de VS.

Ja, maar dan hebben we weer conflicten wanneer mensen zakelijke resources gebruiken voor persoonlijk gebruik, in Nederland is dat al jaren toegestaan. We maken ook al decennia lang backups van alle email, of dat nu persoonlijk is of niet. Een admin met voldoende rechten zou daarbij kunnen, maar mag dat niet zomaar, ook niet zomaar op verzoek van een leidinggevende. Als iemand in iemand anders mailbox/backup wil, zonder toestemming van diens 'eigenaar', dan doe ik uit voorzorg altijd eerst toestemming vragen via juridische zaken. Ik ben immers ITer en geen jurist.

Daarnaast hebben we zaken als AV/EDR/XDR, etc. welke activiteiten van gebruikers analyseren, bijhouden en eventueel aan admin/security met voldoende rechten, raadpleegbaar zijn.

Dit zijn allemaal geen nieuwe zaken en dat zijn daadwerkelijk zwaarwegende belangen. Zeker bij grote multinationals zou zonder dergelijke beveiliging er situaties kunnen optreden die enorme kosten posten kunnen opleveren, in de miljarden. Gaan we die private dick pic dan afwegen tegen die schade?

Daarnaast hebben we het over bedrijven in de VS, geen AVG en wellicht ook geen 'recht' om bedrijfs resources te gebruiken voor prive doeleinden...

Ik ben met je eens 'zwaarwegend belang' te pas en te onpas wordt gebruikt, maar ik ben benieuwd hoeveel privacy-warriors zitten te janken als opeens alle beveiliging wordt uitgeschakeld omdat iemand besloot omdat het privacy teveel in de weg zat. Al je bankrekeningen leeg, enorme leningen afgesloten in jou naam, al je foto's versleuteld, al je smarthome apparaten die een meltdown hebben en nu stuk zijn, etc.

Imho is reacties meten op berichten of naakt fotos opsporen niet een 'zwaarwegend belang', maar het opsporen van 'pesten' van medewerkers bv. wel.

Ik kan me niet voorstellen dat bijvoorbeeld de Hema een beroep kan doen op economisch welzijn van het land. Het lijkt me dat dit artikel bedoeld is voor overheden en bijvoorbeeld de politie. Die hebben te maken met openbare en nationale veiligheid, het beschermen van de gezondheid en dergelijke.

Laat mij even advocaat van de duivel spelen:

• Telt het briefgeheim/privacy wel als je communicatieplatformen van het bedrijf zelf gebruikt zoals waar dit artikel over gaat?
• Is iets laten analyseren door AI, zonder dat personen toegang tot deze data hebben, wel een inbreuk op het briefgeheim of privacy?

Bij de overheid bijv. dient een hoop communicatie juist gelogd te worden om aan de WOO (wet openbare overheid, voorheen WOB) te voldoen. Dit is uiteraard niet zo als jij op je privé mobiel een WhatsApp bericht naar huis stuurt, maar wel voor sommige mails (of de zakelijke SMS'jes van een minister-president). Waarom zouden een zakelijke slack of MS Teams chat opeens niet ingezien mogen worden?

Is een AI een analyse laten maken van je zakelijke chats heel anders dan bijv. een mail client die mails sorteert of het in je focus inbox, je overige inbox, of je spambox komt? Als geen persoon je communicatie kan lezen, waarom zou dan de privacy geschonden zijn? Je suggereert dat AI anders in dan andere software, zoals je chatclient, mailclient of routering software, die in feite je berichten ook uitlezen en op basis daarvan taken uitvoeren.

Mijn persoonlijke mening is dat dit wel een hele slippery slope is. Het zou een goede zaak als we dit (op Europees niveau) in heldere regels vastleggen. Ik heb zo mijn twijfels of huidige privacy wetgeving wel toereikend is in het geval van steeds betere AI analyses.

Uit je link:

" Mag mijn werkgever mijn e-mail, internet- en telefoongebruik controleren?

Ja, dat mag. Uw werkgever mag voorwaarden stellen aan het gebruik van e-mail, internet en zakelijke telefoon op het werk. Of bepaalde soorten gebruik verbieden. Vervolgens mag uw werkgever controles uitvoeren."

Als de voorwaarden die je werkgever stelt legaal zijn maar je niet bevallen, dan is de enige optie die je hebt ontslag te nemen?

Waarom je hier het 'openbaar gezag' bij haalt is me een raadsel.

Jep bij ons werkt dit met ZScaler en alles wordt er inderdaad door heen getrokken. Jou punt over whitelisted diensten was een goede, ik heb eigenlijk nooit gecheckt of dit ook met bijvoorbeeld ing.nl gebeurt en jawel hoor, ook ing.nl gaat gewoon door ZScaler met het ZScaler intermediate root certificate.

Waar baseer je dat op? SSL inspectie is altijd onderhevig aan discussie bij ons in de multinational. Tot zover nooit ingevoerd. Risicogebaseerde inlogscores en zo is iets totaal anders dan mensen hun chatverkeer doorspitten. Ik kan me eigenlijk niet voorstellen hoe een privacy officer dat zou moeten onderbouwen in een verwerkingsregister voor heel een commercieel bedrijf.
Enige dat ik kan bedenken wat zwaarwegend genoeg is voor zoiets als chat inhoud analyseren is een bedrijf dat grotendeels het nationaal veiligheidsbelang kan aanvoeren als grondslag, zoals de NIS1 doelgroep van grote back-end telecomprovider, transporthubs, energieproductie en defensie/veiligheid industrieën. Maar daarbuiten zijn er nog veel meer grote bedrijven die buiten zelfs de bredere NIS2 vallen, of daar wel Belangrijk zijn maar niet Essentieel. Ik zie nogmaals niet hoe die anderen in essentie briefgeheim opheffen qua belang voor inhoudelijke gespreksanalyse.

[Reactie gewijzigd door OruBLMsFrl op 22 juli 2024 17:04]

Ik zou wel durven zeggen dat alle / de meeste grote bedrijven met een grote IT-afdeling en managed desktops/laptops dit soort gegevens bijhouden / loggen / monitoren.

Volgens mij is dat in Nederland toch vrij zeldzaam hoor. De juridische implicaties zijn fors, de privacymensen vinden dit helemaal niet leuk. Bijna geen enkele organisatie kan verantwoorden dat ze echt alles moeten monitoren. Je moet uitzonderingen maken voor artsen, banken en dergelijke zaken. Dat is heel veel werk en gedoe.

Je moet je personeel hier ook voortdurend over informeren, een regeltje in het contract is niet genoeg. Mensen moeten beseffen dat ze geen privacy hebben. Dat ze op het werk zijn betekent niet dat er geen enkel recht op privacy is, al is het maar om de bedrijfsarts te bellen. Natuurlijk zijn er vast ook bedrijven die het gewoon doen zonder er over na te denken, maar ik hoop dat het aantal daarvan meevalt.

Ik denk dat er wel veel gaat veranderen in deze hoek. De wereld begint zich te verzetten. Dan bedoel ik vooral bedrijven waarvan de klanten onderschept worden. Banken vinden het bv afschuwelijk dat hun klanten afgeluisterd worden als ze vanaf hun werk inloggen. Een deel zal te veel opslaan, zoals wachtwoorden. Google heeft er zo genoeg van dat ze in Chrome de SSL-certificaten van hun eigen sites zijn gaan hardcoden.
Met name van de banken verwacht ik nog forse druk. Die zijn al een tijd aan het aftasten in hoe ver ze kunnen gaan bij het inspecteren van de klant. Ze willen graag controleren of je computer een modern OS draait met alle security patches en een virusscanner enzo en liefst precies weten wat er op je systeem draait. Dat noemen ze "client attestation". Het probleem is alleen dat ze de eigenaar van de computer niet vertrouwen (dat is terecht) en dus meer rechten eisen dan de eigenaar van de computer.
Daar heb ik grote problemen mee. Ik wil geen software op mijn systeem die op de achtergrond dingen doet die ik onmogelijk kan controleren*. Macht zonder controle gaat altijd fout. Geef een partij het recht om in het geheim dingen te doen en vroeg of laat zal het fout gaan, ofwel door het overschrijden van de regels, ofwel door luiheid. Zonder controle is er gewoon weinig druk om het goed te doen.

Toen Microsoft een stuk van de media-markt wilde hebben ze DRM ingebouwd om Holywood te plezieren (ik ga erg kort door de bocht, maar volgens mij klopt het wel. De hardware komt uiteraard van anderen maar de steun van MS is wat DRM in praktijk mogelijk heeft gemaakt). Dat plan is maar half uitgevoerd maar het is geluikt om hun chips in al onze computers en tv's te krijgen, oa via de HDMI-standaard. Er is veel geprotesteerd maar uiteindelijk heeft iedereen die hardware gekocht en zelfs Firefox heeft DRM ingebouwd. De macht in de techwereld is zo geconcentreerd dat je er eigenlijk niet om heen kan.
Tegemwoordig is het overigens eerder Google die hier mee bezig is. Als "eigenaar" van de browser, een OS en een stel belangrijke websites zijn ze in een positie om "full stack" veranderingen aan te brengen.
Hoe dan ook, de infrastructuur staat klaar om ons de toegang tot onze eigen computer te ontzeggen.

Waar eindigen we? Ik denk dat als client attestation wordt doorgevoerd er steeds meer sites gebruik van gaan maken. Werkcomputers die afgeluisterd worden zullen worden geweigerd. Waarom zouden sites dat massaal doen? Omdat de adverteerders bewijs willen zien dat hun advertenties getoond worden.
Dat betekent dat je op je werkcomputer steeds minder sites zal kunnen bezoeken en de sites waar je wel op komt (zakelijk en prive) hun eigen controles, scriptjes en weet ik wat nog meer op jouw computer willen gaan draaien.


* ik besef dat niemand alles zelf kan controleren, niemand heeft de tijd of de vaardigheden, dat is dan ook niet wat ik wil. Als ik me afvraag hoe iets werkt wil ik genoeg toegang hebben om het uit te kunnen zoeken hoe het werkt en het te kunnen veranderen als ik het anders wil. Het is mijn computer en dat ding heeft toegang tot alles wat belangrijk is in mijn leven. Ik ben de baas, niemand anders.

als er op het intranet een nieuwsbericht komt te staan dan is het niet gek dat mensen elkaar via teams/slack een berichtje sturen om een persoonlijke mening met een collega te bespreken. Het is dan zeer kwalijk dat een werkgever dat gesprek 1 op 1 gaat monitoren. Daar heb je andere middelen voor.

Afaik is de avg niet van toepassing op bedrijfsgegevens/interne communicatie.

De werkgever mag bijvoorbeeld het lekken van persoonsgegevens of bedrijfsgeheimen monitoren met software, mits vastgelegd in personeelshandboek en juist proces dat rechten waarborgt.

Dus intern chatverkeer monitoren op uitwisseling NSFW content zou ook moeten kunnen als dat verboden is met bedrijfsmiddelen te doen. Idem op pesten als daar melding van gemaakt is.

Echter niet of je het management aardig vindt, of het eens bent met de koers die het bedrijf vaart. Dat is wettelijk niet toegestaan. Daar kan de werkgever tevredenheidsonderzoeken op uitvoeren.
Overigens zou ik alsnog nooit zoiets via werkmiddelen verspreiden, je weet nooit wie er aan de andere kant over de schouder meeleest bij je collega, of wat die ermee doet, een screenshot is zo gemaakt.

Jij kan het bericht in zoom of slack toch lezen? Dan kan een client side plugin dat ook. End to end encryptie zegt alleen dat de verbinding tussen jou en je chat partner versleuteld is, aan beide uiteinden waar de data geconsumeerd word is het helemaal niet van toepassing.

Het bespioneren van je medewerkers terwijl je juist een fundament van vertrouwen in je bedrijf wilt hebben onder je medewerkers om je doelen te bewerkstelligen.

Dat is niet de cultuur in ieder bedrijf. Zeker in de VS waar het makkelijker is om personeel de laan uit te sturen kijkt men vaak anders naar "human resources".

Ik ben benieuwd wat de correlatie van deze houding is tussen beursgenoteerde bedrijven en andere soorten organisaties (in de VS en in de EU).

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:04]

Dat is wel interessant, ik heb eens geprobeerd om Slack die ik met een groepje vrienden gebruikte te migreren naar een ander platform en daarvoor een data export inclusief DMs voor opgevraagd, en dat was absoluut totaal onmogelijk zonder een heel plan aan te leveren en bewijs dat iedereen akkoord was gegaan met een overeenkomst waarin staat dat ik dit zou mogen opvragen.

Ben benieuwd hoe zo'n bot daar omheen werkt, want Slack geeft DMs dus niet zomaar vrij. Misschien dat bots ze wel gewoon kunnen lezen?