Keylogging en recording van sessies

[ubremoved_2964]

Kan een werkgever zomaar beslissen om alle ssh en remote desktop sessies op te nemen en er zelfs videos van te maken, door iedereen verplicht te laten inloggen via een proprietary proxy die alles opneemt - en alle andere klassieke toegangswegen tot de servers (bvb de klassieker, een jumphost) af te zetten? Ik weet dat dit in Duitsland verboden is, maar in België?

https://www.google.com/search?q=keylogg ... refox-b-ab

Bedrijf werkt wel met gevoelige data en wil alle admin access tot op de keystroke dus loggen om diefstal te vermijden van data, maar gaat dit niet een beetje te ver? Dus niet alleen de logins worden gelogd, maar ook elke actie die een admin doet, zodat ze nadien perfect kunnen replayen wat er gebeurde.

Dat klinkt een beetje als slimme camera's op elke straathoek en bijhouden van fingerprints op je EID, iedereen is in principe nu plots een verdachte en we vertrouwen niemand meer .... wat is dan nog de waarde van een IT carriere?

[Sinna]

De CNIL, de Franse gegevensbeschermingsautoriteit (GBA), heeft hieromtrent in 2013 uitspraak gedaan, zie French Data Protection Authority Rules on Keylogger Software.
In Duitsland heeft de federale arbeidsrechtbank vorig jaar geoordeeld dat het gebruik van keyloggers een te grote inbreuk vormt op de privacy, zie Germany: Employee monitoring by keylogger software unlawful except in case of severe suspicions.
Zoals ik beide bronnen lees, gaat het hier over keyloggers die niet gemeld waren aan het personeel en dus eigenlijk als spyware fungeerden.

Aangezien in het geval van TS het volgen op voorhand duidelijk gecommuniceerd is, en in een beperkte omgeving (dus niet alle bedrijfs-PC's), zal het bedrijf er heel waarschijnlijk mee wegkomen. Ik zou wel een onderscheid maken tussen opnemen of live meevolgen. Live meevolgen lijkt mij juridisch niet haalbaar. Enkel in geval van vermoeden van misbruik zouden die sessies teruggekeken mogen kunnen worden.

De GDPR verwacht dat je de belangen van het individu en het bedrijf goed balanceert, en als zij dat kunnen aantonen, dan zal m.i. de GBA geen bezwaar maken.

[heist_175]

Volgens mij mag het wel, als het op voorhand gemeld is aan het personeel.
En dus ook dat het personeel er via de ondernemingsraad etc mee akkoord is gegaan.

[MClaeys]

Dan lijkt het mij beter een pakket als Varonis te installeren, dan zi je ook wie aan gevoelige data zit en hoe lang zonder alles te moeten opnemen Gevoelige data beschermen snap ik, maar de maatregel is wat zwaar in mijn ogen.

[ubremoved_539]

Dus niet alleen de logins worden gelogd, maar ook elke actie die een admin doet, zodat ze nadien perfect kunnen replayen wat er gebeurde.

Dat is al jaar en dag de standaard auditing bij de verschillende banken waarvoor ik werk... niets speciaals aan.

Het maakt hier trouwens niet uit op welke manier je naar het systeem gaat want het is basis auditing van het systeem zelf (en dus niet van één of andere proxy ertussen... want dat zou meteen de zwakke schakel zijn).

Je kan er trouwens geen diefstal mee "vermijden"... je zal nadien alleen kunnen "vaststellen" dat het gebeurd is.

[gm123]

Ik zou eerder aan de alarmbel trekken als uw bedrijf geen logging doet van alle acties van gebruikers indien het om toegang tot gevoelige data gaat...