Column


IT-jurist Peter van Schelven over...

Systeembeheerder… maar ook politieagent?

Binnen heel veel organisaties zitten de eigen of ingehuurde systeembeheerders dikwijls op een plek die voor de ICT-beveiliging van grote betekenis is. Niet zelden hebben zij – beter dan welke andere medewerker dan ook in een organisatie – een vrij goed beeld van het dataverkeer binnen de organisatie en van het dataverkeer met de buitenwereld. Met de brede toegang tot de ICT-systemen van hun organisatie weten systeembeheerders dikwijls meer dan bijvoorbeeld de directie.

Dat kan voor systeembeheerders lastige vragen oproepen, met name als zij in hun werk aanlopen tegen onregelmatigheden in het gebruik van ICT-voorzieningen. Wat doe je als systeembeheerder wanneer je erachter komt dat een collega bijvoorbeeld betrokken is bij BitTorrent-verkeer? Spreek je de betrokken collega een-op-een aan en help je het probleem gezamenlijk de wereld uit? Of stap je met het vermoeden van de onregelmatigheid direct naar jouw leidinggevende en verklik je jouw collega? Deze afwegingen hebben niet alleen ingewikkelde morele en sociale kanten, maar ook arbeidsrechtelijke implicaties.

Taken van systeembeheer
De vraag wat de verantwoordelijkheden van een systeembeheerder zijn, kan uiteraard het beste in een goede functieomschrijving zijn vastgelegd. En voor systeembeheerders die extern worden ingehuurd, staan de taken bij voorkeur opgesomd in een gedegen inhuurcontract. De ervaring leert echter dat functie- en taakomschrijvingen vaak gebrekkig zijn of soms zelfs volledig ontbreken. Dikwijls is een omschrijving beperkt tot de meest voorkomende taken van de beheerder, zeker wanneer die man of vrouw in een wat kleinere organisatie het ICT-manusje-van-alles is. Meer dan eens ontbreken duidelijke instructies over de vraag welke informatie, met name rondom beveiligingsincidenten en onregelmatigheden, de systeembeheerder met zijn leidinggevende of andere functionarissen (bijvoorbeeld van security) moet delen.

Een organisatie die security serieus neemt, zorgt ervoor dat de informatieverplichtingen van haar beheerder op voorhand klip-en-klaar zijn. Dat geldt eens te meer als de beheerder gebruik moet maken van beheertools waarmee het ICT-gedrag van individuele werknemers wordt gelogd. Aan het gebruik van die tools zitten immers de nodige privacyrechtelijke haken en ogen.

Utrechtse arbeidszaak
Illustratief voor het spanningsveld waarin een systeembeheerder terecht kan komen, is een arbeidszaak waarover de kantonrechter in Utrecht enige tijd terug moest oordelen. Volgens de systeembeheerder in deze procedure was het alleen zijn taak om het systeem van zijn werkgever draaiende te houden en hoefde hij – naar hij meende – op grond van zijn functieomschrijving niet te fungeren als toezichthouder. De directie van de werkgever, die bekend was geworden met het feit dat er binnen de organisatie sprake was geweest van BitTorrent-verkeer, had de beheerder verzocht te melden welke computer – en dus welke werknemer – zich met BitTorrent had ingelaten. De beheerder legde dat verzoek echter naast zich neer en gaf dus geen naam.

In de procedure die daarop op initiatief van de werkgever bij de rechter volgde, voerde hij aan dat hij adequaat had gehandeld. In dat verband verweerde de beheerder zich met de stellingen dat hij zelf had geconstateerd dat het slechts onschadelijke BitTorrent-software betrof, dat hij geen Tor-client had aangetroffen, dat hij de software had verwijderd, dat hij ook nog eens een extra virusscan had gedraaid en dat hij de gebruiker bovendien had aangesproken op het BitTorrent-verkeer.

Bikkelharde uitspraak
Dit alles mocht de kantonrechter echter niet overtuigen. Van de beheerder in kwestie mocht, aldus de rechter, worden verlangd dat hij op verzoek van de directie de medewerker die achter het incident zat, zou verlinken. De kantonrechter schrijft in zijn beschikking: “Dat volgt uit de eisen die aan een goede werknemer gesteld kunnen worden en geldt dus ook zonder dat de verplichting om een naam te noemen expliciet in de functieomschrijving is opgenomen.” De consequentie was een bikkelharde: de kantonrechter maakte een einde aan de arbeidsverhouding zonder de systeembeheerder na een dienstverband van zo’n 17 jaar ook maar één cent mee te geven.

De arbeidsrechtelijke uitspraak in Utrecht leert ons dat aan systeembeheerders hoge eisen worden gesteld. Volgens de kantonrechter moet de systeembeheerder binnen zijn organisatie desgevraagd dus tevens de pet van politieagent opzetten. Het kan daarom zeker geen kwaad als u de functieomschrijving van uw eigen systeembeheerder nog eens spiegelt aan die gedachte.


Lees meer over