Kysymys:
Onko asiakas tunnistanut laitteeni (joka aiheutti suurta verkkoliikennettä) mahdollisesti tietosuojasääntöjen vastaisesti?
ElGringoMagnifico
2018-08-13 17:42:35 UTC
view on stackexchange narkive permalink

Asun Belgiassa ja työskentelen valtion laitoksessa urakoitsijana.

Noin kaksi kuukautta sitten olen joutunut asentamaan (oman - mutta ammattimaisesti käytetyn) kannettavan tietokoneeni uudelleen, joka on kytketty yrityksen "Tuo oma laite" (BYOD) wifi-verkkoon koko päivän ajan. Asensin tietokoneeni uudelleen kotona, omana aikanani. Mutta ilmeisesti näyttää siltä, ​​että kannettavan tietokoneeni Dropbox on synkronoitu yrityksen verkon kautta (jota se ei näytä estäneen) ollessani töissä ja kuluttanut noin 100 keikkaa verkkoliikennedataa muutamassa viikkojen kuluttua.

Tänään olen saanut verkko-osastolta erittäin ankaran keskustelun sanomalla, että tätä ei voida hyväksyä (jota en kiellä) ja että minua vastaan ​​ryhdytään asianmukaisiin toimiin. Olen ilmoittanut verkonvalvojalle, että tämä tapahtuu ensimmäistä kertaa ja että aion huolehtia siitä, ettei se enää tapahdu tulevaisuudessa.

Näytän kuitenkin muistan, että henkilön tunnistaminen suoraan ja hänen verkon toiminnan seuraaminen ilman hyvää syytä (ja johdon hyväksyntää) on tietosuojasääntöjen vastaista. Onko näin?

Kysymykseni kuuluu siis: Ottaen huomioon uudet EU: n tietosuojasäännökset (GDPR ja vastaavat), kuinka pitkälle työnantaja voi mennä tarkastamaan yrityksen liikenteen tarkistamista BYOD-verkko?

Huomaa, että en aio häiritä organisaatiota, koska olin vialla (vaikka en tiennyt sitä tuolloin), haluan vain saada selville jos heidän toimintatapansa on menettelyn mukainen.

Tämä on ensimmäinen kerta, kun he ilmoittavat minulle, eikä minulla ole koskaan aiemmin ollut mitään näistä ongelmista.

Huomautuksia:

  • Minulla on täydellinen valtuus muodostaa yhteys verkkoon jopa henkilökohtaisella laitteella - tämä on "tuo oma laiteverkko", lukuun ottamatta erien lataamista, joille IT-käytännössä ei ole asetettu kovaa rajaa, en ole rikkonut kaikkia virallisia IT-määräyksiä.
  • Puhumme verkon käyttötiedoista (niitä ei ole henkilökohtaiset tiedostoni, jotka on tallennettu yrityksen resursseille - käytän vain verkkoani), tiedän hyvin, miten järjestelmävarmuuskopiointi ja synkronointi toimii, unohdin vain, että Dropbox oli päällä ja synkronoitu omalla kannettavalla tietokoneellani (jota käytän osana työni ammattimaisesti, joten kokouksen muistiinpanot, suunnitelmat, mallit ja vastaavat), kun olen yhteydessä yrityksen BYOD-wifi-verkkoon.
  • Tämä on valtion järjestö, valtion omistamassa rakennuksessa, mutta tarjoaa yrityksen wifi. Heidän internetyhteytensä on huipputasoa Belgiassa, ja kaistanleveys ei yleensä ole ongelma.
  • Asiat saattavat olla erilaiset Yhdistyneessä kuningaskunnassa, mutta Belgiassa sisäiset IT-käytännöt eivät todellakaan ei kumoaa yksityisyyden huolenaiheet. Yksityisyyttä otetaan erittäin vakavasti.
  • Tässä on hyvin yleistä, että riippumaton urakoitsija käyttää omia laitteitaan asiakkaan toimittamien laitteiden lisäksi. Tässä tapauksessa kannettava tietokoneeni on oma ammattilaitteeni, jota käytän enimmäkseen muistiinpanojen tekemiseen ja mallien luomiseen. Teen suurimman osan "oikeasta" työstäni asiakkaani infrastruktuurissa.
Kommentteja ei käytetä laajempaan keskusteluun;tämä keskustelu on siirretty chattiin (https://chat.stackexchange.com/rooms/81625/discussion-on-question-by-elgringomagnifico-is-a-client-identifying-my-device-w).
100 Gt useiden viikkojen aikana, mikä johtui työssä käyttämiesi tiedostojen synkronoinnista?Tämä kuulostaa kohtuulliselta verkkoliikenteeltä, joka vastasi velvollisuuksiasi.Miksi olet kurinalainen?
Viisi vastused:
AdzzzUK
2018-08-13 17:51:04 UTC
view on stackexchange narkive permalink

En näe tässä mitään ongelmia - verkonvalvojat ovat havainneet riskin (suuri kaistanleveyden käyttö), tunnistaneet kenelle se kuuluu (helppo, jos tietokoneen nimi antaa sen pois) tai vaihtoehtoisesti tunnistaneet liikennettä kuluttavan tukiaseman , jäljitti sen IP-osoitteeksi ja huomasi, että se olit sinä.

Mikään tässä ei ole GDPR: n vastaista. Heillä ei ole tietoja sinusta, heillä on tietoja laitteella. He vain toimivat toimivaltansa rajoissa suojaamaan verkkoa ja tunnistamaan ja vähentämään mahdollisia turvallisuusriskejä tunnistamalla laitteen, joka syö kaistanleveyden, ja ilmoittamalla sen omistajalle (sinulle).

Tärkeintä on, että yhdistit henkilökohtaisen laitteen yksityiseen verkkoon. Sinulla voi olla lupa tähän, mutta on tavallista, että kaikkien liitettyjen laitteiden on noudatettava verkkojen tietoturvakäytäntöä, ja tämä tulee aina ylittämään kaikki ns. Yksityisyyden huolenaiheet. Tietojen synkronoiminen ulkoiseen DropBoxiin voi olla itsessään turvallisuusriski (riippumatta siitä, onko se estetty, se on verkko, jota järjestelmänvalvojat eivät voi valvoa), joten verkon järjestelmänvalvojat ovat oikeassa huolestuneina ja täysin heidän oikeuksillaan saada keskustelu kanssasi.

Kyllä, en ole perehtynyt Yhdistyneeseen kuningaskuntaan, mutta tämä on melko tavallinen järjestelmänvalvoja ... Ainoa todellinen ongelma näen, että järjestelmänvalvojan olisi pitänyt estää tämä ennakoivasti.Heidän ei pitäisi olettaa käyttäjien tietävän kuinka hallita omia koneitaan.Ehkä heitä nuhdeltiin ja he ottavat sen pois OP: sta.
@Kilisi Kyllä, verkonvalvoja näyttää siltä melko raskaalta.Jos se olisin minä, yleensä hiljainen sana yleensä riittää.
@Kilisi Voivatko olla välilataukset?Ehkä OP yhdistää satunnaisin väliajoin ja he yrittivät paikantaa sitä kuukausien ajan ja lopulta selvittivät sen.Se voi olla dropbox on vakiotyökalu, jota he käyttävät yrityksessään, joten sen estäminen ei ole kysymys.
Kysymyksessä sanotaan "yrityksen wifi".Tässä vastauksessa sanotaan "hallituksen verkosto".Kaipasinko jotain tai onko kyseessä kirjoitusvirhe yhdessä tai toisessa?
Toimenpideohjelman ensimmäisellä rivillä lukee "valtion laitos".Joten oletukseni on, että vaikka se voi olla suljettu (yritys) verkko, voi olla linkkejä laajempaan hallitukseen.infrastruktuuri.IT-tietoturva on - oletetaan pahimmassa tapauksessa, minkä olen tehnyt täällä.
OP vaihtaa sanomalla, että hän työskentelee valtion laitoksessa, ja että hän on liittynyt yrityksen wifi-verkkoon, joten on mahdollista, että asia olisi voinut tapahtua jommassakummassa paikassa (joko laitoksessa, johon hän on sopinut, tai hän voisi työskennellä uloshankintaviraston toimistot).
Olen täysin eri mieltä - Verkon järjestelmänvalvojat ovat saattaneet todeta, että verkon käyttöä oli paljon ... niin mitä?OP: lla oli lupa ilman rajoituksia.Verkon järjestelmänvalvojat ovat oikeassa keskustellessaan, mutta väärin ryhtyä muihin toimiin.
@Dan olisi helppo nähdä ja rutiininomainen työ estää.Helpoin tapa on palomuurien suojausryhmät.Paras arvaus on, että järjestelmänvalvojat reagoivat liikaa, koska nyt heidän on todella tehtävä joitain perustöitä, joita he eivät ole allekirjoittaneet.
Haluaisin hyväksyä tämän vastauksen, mutta en voi, koska siinä todetaan, että turvallisuuspolitiikka aina ylittää yksityisyyden huolenaiheet.Tämä ei yksinkertaisesti ole totta Belgiassa, ja epäilen kovasti, että näin on Yhdistyneessä kuningaskunnassa.Minusta kuitenkin tuntuu, että monet verkonvalvojat kokevat, että näin pitäisi olla.Loppujen lopuksi he todella pyysivät minulta neuvoja, miten estää tämä tapahtumasta pidemmälle (ottaen huomioon asemani organisaatiossa) ja minä ehdotin estää tällainen liikenne verkossa, mutta heidän mielestään se olisi liikaa vaivaa.
Tässä tapauksessa yksityisyydensuojaa ei ole.GDPR liittyy henkilökohtaisesti tunnistettaviin tietoihin (esim. Nimi, osoite jne.), Kun taas IT-tiimi on jatkanut vain tietokoneen IP-osoitetta.Jos IT-tiimi olisi päässyt kannettavaan tietokoneeseesi ja tallentanut sen ilman suostumustasi, se olisi selvää yksityisyyden loukkaamista, mutta kommenteissasi ei ole mitään viitteitä siitä, että näin on, he yksinkertaisesti havaitsivat suuren verkkoliikenteen,tunnisti sen laitteellesi ja tuli puhumaan sinulle siitä.Ellei ole jotain, mitä et kerro meille, en todellakaan näe mitään GDPR-ongelmaa.
Vastaamme nimenomaisesti kysymykseesi (missä määrin), jos havaitsemme suuren kaistanleveyden (kuten tässä tapauksessa) tai väärennetyn liikenteen (sivustoille, jotka eivät välttämättä liity liiketoimintaan, tai vastustavaan sisältöön), voimme helposti tunnistaa palvelun IP-osoitteen.ja tunnista laitteen omistaja - ja pidä sitten sana.Kun liityt organisaatioon, olet sitoutunut noudattamaan hyväksyttävän käytön käytäntöä, joka * on saattanut sisältää tietyn valvonnan sallimisen.Tarkista organisaatiosta tämän ulottuvuus.
@AdzzzUK Toistat jatkuvasti, että "heillä ei ole tietoja sinusta vaan tietokoneestasi", mutta GDPR: n mukaan kaikki tiedot, jotka voidaan linkittää yksinomaan yhteen henkilöön ja joita voidaan käyttää kyseisen henkilön tunnistamiseen, ovat lain suojaamia henkilötietoja.Koska he tietävät, että se on hänen tietokoneensa (koska he onnistuivat keskustelemaan hänen kanssaan siitä), PC: tä koskevat liikennetiedot ovat määritelmän mukaan henkilökohtaisia tietoja.Olen samaa mieltä siitä, että heillä on syytä tarkistaa nämä tiedot, koska ne on linkitetty dropboxiin (ja on mahdollinen tietoturvaloukkaus), mutta vastauksesi perusta on väärä.
Dan
2018-08-13 19:03:01 UTC
view on stackexchange narkive permalink

Näytän kuitenkin muistan, että henkilön tunnistaminen suoraan ja verkon toiminnan seuranta ilman hyvää syytä (ja johdon hyväksyntää) on tietosuojasääntöjen vastaista . Onko näin?

Vastait omaan kysymykseesi. Kannettava tietokone vie suuren määrän kaistanleveyttä, mikä on todennäköinen syy tutkinnalle ja lähteen tunnistamiselle. Mistä yrityksesi tietäisi, että jätit sen vahingossa? He näkevät vain jonkun lataavan keikkoja tietoja ja haluavat tietää kuka.

Yrityskompromissien kannalta tietojen siirtojen näkeminen on merkki mahdollisesta tietorikkomuksesta. Joten he olivat oikeassa tutkimaan ja tunnistamaan.

Tämän lisäksi kääntäisin taulukot verkonvalvojalle.Miksi nyt tehdään niin iso melu?Se oli vaaraton ja paljasti mahdollisen tietoturvaloukkauksen.Valvontaagentin olisi pitänyt automaattisesti nostaa hälytys järjestelmänvalvojalle ja evätä verkon pääsy kyseiseen MAC-osoitteeseen.Sen sijaan OP pystyi lataamaan jatkuvasti useita viikkoja.Ehkä verkko-osasto on hämmentynyt ja hämmentynyt.En sallinut minkäänlaisten toimien toteuttamista minua vastaan ja johtajan osallistumista.
@LVDV Esitin heille samat kysymykset, mutta vastaus oli yksinkertaisesti: "Se on liian paljon työtä toteuttaa, ja löydät tien siitä kiertää joka tapauksessa" ja "Olemme vasta nyt nähneet tämän liikenteen".Ottaen huomioon, että minut kutsutaan todennäköisesti turvahenkilön toimistoon tätä varten, aion ehdottaa näitä parannuksia verkkoon (se on itse asiassa osa työni tehdä niin).Ja ei, minulla ei ole aikomusta sallia toimia minua vastaan, mutta aion ratkaista tämän ongelman verkossa.
KillianDS
2018-08-14 13:38:43 UTC
view on stackexchange narkive permalink

Yksi asia on, että yleensä Belgia on aina ollut yksi tiukimmista maista yksityisyyden suhteen, GDPR muuttui siitä vain hyvin vähän. On olemassa useita yksityisyydensuojaan liittyviä kysymyksiä, joita GDPR ei kata (jotka keskittyvät tietosuojaan), mutta jotka kuuluvat Belgian lakien piiriin.

Täällä on kaksi erittäin tärkeää periaatetta sekä belgialaisesta laista että CAO: sta ( työehtosopimukset):

  1. Työnantaja ei voi tehdä tätä ilman nimenomaista suostumusta. Yleensä tämä suostumus on osa sopimustasi tai työpolitiikkaasi (arbeidsreglement). Jos tällaista suostumusta ei koskaan annettu, tätä käytäntöä pidetään melkein aina laittomana.
  2. Kun otetaan huomioon 1, on myös jotain, jota kutsutaan "suhteellisuusperiaatteeksi". Jos suurin huolenaihe oli datan käyttö ja he vain seurasivat laitteesi käyttöä, se on todennäköisesti kunnossa. Kuitenkin, jos he pääsivät paljon pidemmälle ja seurasivat käyttämiään sisältöjä ja palveluja, se todennäköisesti ei hyväksyttävää. Jos heidän tärkein huolenaiheensa oli kuitenkin turvallisuus, joka voi olla hyväksyttävämpää, mutta tämä argumentti voi olla vaikea myydä, koska puhut BYOD-verkosta.

Nämä ovat vanhoja sääntöjä (ennen GDPR: ää) jotka on testattu tuomioistuimessa useita kertoja. GDPR tosiasiassa vain vahvistaa näitä sääntöjä, esim. oletetaan, että "suostumus" -osa ei voi olla vain "Internetin käyttöäsi valvotaan", vaan sen on oltava tarkempi. Myös, jos seurantaa sovelletaan (ja sallitaan), GDPR lisää tiukempia sääntöjä näiden tietojen säilyttämiseen ja niin edelleen. On kuitenkin määritettävä, miten kaikki tämä pysyy oikeudessa.

Joitakin lähteitä tälle kaikelle (hollanti):

Olen hyväksynyt tämän vastauksen, koska se on ainoa vastaus, joka tosiasiallisesti vastaa kysymykseen (lihavoitu lause postauksessa).Se tarjoaa myös asiaankuuluvia tietoja, eikä se ole pelkästään perustelu verkon ylläpitäjän toiminnalle (jonka jo totesin, että minulla ei ollut mitään ongelmaa lukuun ottamatta vilpitöntä huolta menettelystä).Vaikka AdzzzUK: lla on eniten ääniä, etsin tätä vastausta.
@ElGringoMagnifico, olet kuitenkin esittänyt useita kysymyksiä."Näytän kuitenkin muistan, että henkilön tunnistaminen ja hänen verkon toiminnan seuraaminen ilman hyvää syytä (ja johdon hyväksyntää) on yksityisyyden suojaa koskevien sääntöjen vastaista.Onko näin?
UKMonkey
2018-08-13 21:20:00 UTC
view on stackexchange narkive permalink

GDPR: n huomiotta jättäminen, mikä ei mielestäni auta sinua; Sanoit:

  1. yritys on sanonut, että heillä on wifi, joka on tarkoitettu henkilökohtaisten laitteiden käyttöön; mutta ei sitten soveltanut tietorajaa tai "oikeudenmukaista käyttöä" koskevaa käytäntöä.

Tämä tarkoittaa, että IT-tiimillä ei ole reittiä valitettavaksi - kunhan lataamiasi tietoja ei ole laiton - esimerkiksi videoita, joihin sinulla ei ole oikeuksia.

  1. Ilmoitit ja latait suuren määrän tietoa; taustalla. Eli et ole viettänyt palkattua aikaa tähän.

Tämä tarkoittaa, että esimiehesi ei voi valittaa, koska et viettänyt kenellekään miehelle tunteja.

näitä, en näe mitään syytä miksi kukaan voi ryhtyä mihinkään toimiin sinua vastaan; ja vastustaisin voimakkaasti mitä tahansa "toimintaa" sinua vastaan. Jos he valittavat lainkaan, sanoisin, että eteenpäin on muuttaa käytäntöä, jonka he voivat Sitten panna täytäntöön, koska et ole rikkonut mitään lakia, eikä kirjoittamattomia käytäntöjä voida panna täytäntöön.

Riippuen siitä, mitä "asianmukaisia ​​toimia" he tekevät, olisin valmis taistelemaan sitä vastaan, koska ei ole mitään syytä, että tämän pitäisi mennä ennätykseen.

Olen samaa mieltä.En ymmärrä tämän kysymyksen anteeksipyyntöä - * koska olin syyllinen * jne.
Itse asiassa luulen, että hän * latasi * keikkoja tietoja.Se on vähän pelottavaa yritykselle, koska juuri rikkomukseen liittyy.
100 Gt: n datan lataaminen on sellainen asia, joka muuttaa käytäntöjä.Ja Yhdistyneessä kuningaskunnassa sen katsottaisiin "ottavan kusta" ja saavan sinut IT: n huonoihin kirjoihin.Heidän tehtävänään on saada yrityksen tietovirta käyntiin, jos kannettava tietokoneesi häiritsee sitä, heillä on ehdottomasti oikeus kieltää yksityinen kannettava tietokone verkkoistanne.
@MartinBonner Ei, se ladattiin.OP toteaa, että he olivat asentaneet käyttöjärjestelmän uudelleen ja se synkronoi dropboxia - eli vain lataamista.Vaikka he lataisivatkin, niin mitä?Jos heidän mielestään se on turvallisuusriski, heidän tulisi lisätä käytäntö.Varoitukset ovat kiinni, ja HR voi toimittaa ne osana viitteitä ....
@gnasher729, jos yrityksen perustama henkilökohtainen wifi vaikuttaa ei-henkilökohtaiseen wifi-verkkoon, tietotekniikka on ehdottomasti vaihdettava, eikä heillä ole tilaa kieltää kannettavaa tietokonetta, koska he ovat liian kyvyttömiä erillisten verkkojen luomiseen,QoS tai jopa vain kirjallinen käytäntö.
Luettuani huolellisemmin, näen, että olet oikeassa.Huomaa, etten koskaan ehdottanut, että yritys on perusteltu valituksen tekemisessä - vain että he olivat perusteltuja tutkimuksissa.
M. Doe
2018-08-13 19:56:15 UTC
view on stackexchange narkive permalink

Myös belgialainen täällä jonkin verran GDPR-näkemyksiä.

Ainoa asia, joka voidaan havaita tässä tilanteessa, estäen, että he eivät ole tarkistaneet, mitä tietoja olet lähettänyt dropboxiin, on IP-osoitteesi.

Silloinkin Euroopan komissio luokittelee seuraavat henkilökohtaisiin digitaalisiin tietoihin (lisätietoja EU: n tietosuojadirektiivistä 95/46 / EY).

  1. Metatiedot
  2. Sähköpostiosoitteet
  3. Sosiaalisen median tiedot ja niille määritetyt tiedot
  4. IP-osoitteet (reunakoko)

IP-osoitteiden kirjaaminen ei ole enää sallittua (olettaen, että sijainti voisi olla siitä johdettavissa), oman yrityksesi verkon sisällä et ole tässä. Verkon järjestelmänvalvoja on seurannut protokollasta vain seurannut kaistanleveyden käyttöä ja jäljittänyt sen sinulle. Mikä on täysin laillista.

Joten vaikka kyllä, IP-osoitteet voidaan nähdä henkilötiedoina, se on silti reunatapa monissa käyttötarkoituksissa. Ja tämä näyttää täysin reilulta.

IP-osoitteiden kirjaaminen on edelleen sallittua GDPR: n mukaan, mutta vain, jos dokumentoit nimenomaisesti miksi (tarkoitus jne.) Ja millä laillisella pohjalla (yksi GDPR: ssä määritellyistä perusteista), ja että et tallenna sitä kauemmin kuin määritellylle tarvitaantarkoitus (t).
@MarkRotteveel Esität hyvän asian, en ole asiantuntija / ammattilainen tässä asiassa.Mutta ymmärrykseni mukaan EY: n esittämissä rajoissa on vielä paljon harmaata vyöhykettä siitä, voisitko varastoida niitä vai eivätkö ne sopivat käyttötarkoituksesi rajoitteisiin.
Sikäli kuin tiedän (mutta IANAL), GDPR ei kiellä mitään, se vain vaatii, että dokumentoit nimenomaisesti mitä, miksi, kuinka kauan ja mitä oikeusperustaa käytät.Jos ei ole vankkaa oikeudellista perustaa, ainoa jäljellä oleva vaihtoehto on pyytää nimenomaista lupaa (mikä tuo mukanaan joitain lisärajoituksia).Kielletty ja rangaistava se, että et ole dokumentoinut käyttöäsi tai ylittänyt näitä rajoituksia, on kiellettyä ja rangaistavaa.
Voit vapaasti muokata toimenpideohjelmaa sisällyttääksesi nämä tiedot.


Tämä Q & A käännettiin automaattisesti englanniksi.Alkuperäinen sisältö on saatavilla stackexchange-palvelussa, jota kiitämme cc by-sa 4.0-lisenssistä, jolla sitä jaetaan.
Loading...