Bij veel mensen leeft het idee dat de IT-afdeling dient als een soort digitale politieagent die constant medewerkers in de gaten houdt. Van e-mails en Teams-chats tot het openen van bestanden en bezochte websites – hoe realistisch is dat beeld eigenlijk? Is het praktisch voor IT om alles actief te volgen?
Wat kan IT technisch gezien monitoren?
Voor deze blogpost kijken we voornamelijk naar wat er technisch mogelijk is binnen Office 365 als admin. Met de juiste Admin rechten kan een IT-medewerker vrij veel inzien in gebruikersactiviteiten. Bijvoorbeeld:
Teams chatlogs
Via het Microsoft Purview Compliance Center kunnen Teams-berichten worden doorzocht op basis van zoekwoorden en metadata (zoals verzender en tijdstip).
E-mails
Admins kunnen via de Microsoft Exchange inzien naar wie er gemaild wordt en welke mails ontvangen worden. Ook zou de inhoud van mails ingezien kunnen worden.
Bestanden in SharePoint en OneDrive
Admins zouden zichzelf toegang kunnen verschaffen tot persoonlijke OneDrives en Sharepoint sites.
Web- en applicatiegebruik
Via netwerklogs of beveiligingstools kunnen IT-teams inzien welke websites en applicaties medewerkers gebruiken, vooral bij gebruik van bedrijfsapparatuur of een bedrijfsnetwerk.
Live Monitoring
De IT-afdeling kan via (Niet Microsoft) tools zoals RDP of beveiligingssoftware live meekijken bij medewerkersr, maar dit gebeurt meestal met toestemming en je krijgt melding wanneer dit gebeurt.
Het is belangrijk om te weten dat in de meeste organisaties de IT-governance zo is ingericht dat niet iedere IT-medewerker de rechten heeft om gebruikersgegevens in te zien. Vaak is er toestemming nodig voordat toegang wordt verleend. In kleinere organisaties zonder een professioneel IT-beleid is de kans groter dat iedereen met een admin account volledige rechten heeft. In grotere organisaties zorgt een strikt IT-beleid ervoor dat IT-medewerkers beperkte toegang hebben tot gebruikersgegevens.
Hoe realistisch is continue monitoring?
Hoewel het monitoren van medewerkers technisch mogelijk is, is het in de praktijk nauwelijks haalbaar of zinvol om alle medewerkers actief in de gaten te houden. De belangrijkste redenen hiervoor:
Te veel data
In een middelgroot bedrijf versturen en ontvangen medewerkers dagelijks honderden e-mails, bestanden en andere digitale interacties. Dit handmatig monitoren zou enorm veel tijd kosten.
Privacywetgeving en bedrijfsbeleid
In Nederland en België moeten organisaties transparant zijn over welke monitoring plaatsvindt en waarom. Continue monitoring zonder duidelijke aanleiding kan in strijd zijn met de AVG-wetgeving.
Interne controles/logging
IT-medewerkers kunnen en mogen niet ongecontroleerd toegang krijgen tot e-mails of chats. Zoals eerder benoemt hebben organisaties een controlemechanisme, zoals een goedkeuringsproces of logging van IT-activiteiten. Vaak mag er alleen inzage worden verschaft bij (verdenking van) een beveiligingsincident en juridisch onderzoek.
Conclusie
Hoewel IT-teams toegang kunnen hebben tot veel gegevens, is het onrealistisch en onpraktisch om medewerkers continu te monitoren. In de meeste gevallen worden deze middelen alleen ingezet als er een gegronde reden voor is, zoals een beveiligingsdreiging of een juridisch onderzoek. Transparantie en naleving van wetgeving spelen hierin een grote rol, waardoor het idee van een 'digitale politieagent' in de praktijk sterk wordt beperkt.