GDPR - Gebruik van eigen materiaal bij thuiswerken

[FreelancerIT]

Ik ben sinds kort actief bij een bedrijf in de sociale sector. In dit bedrijf werk ik aan een aantal oplossingen die worden gebruikt door diverse sociale secretariaten. UIteraard, sinds maart vorig jaar werk ik voltijds van thuis uit.

Ik ben tot nu toe 1x op kantoor moeten komen, bij mijn opstart voor het in het ontvangst nemen van mijn werklaptop.

Nu, die laptop is eigenlijk een grote ramp. De schijfruimte is belachelijk klein, het interne geheugen is te laag, ... Alles draait wel en hij is correct geconfigureerd, maar... daar stopt het bij. Ik zit geregeld een paar minuten met mijn vingers te draaien omdat mijn programma editor van alles aan het doen is en daardoor niet meer reageert.

Eens klaar kan ik verder gaan, tot ik weer eens een "specialer" commando oproep en de boel opnieuw bevriest...

Enfin, echt werkbaar is dit niet te noemen. Ik heb hier uiteraard melding van gemaakt, maar het enige dat ik van feedback kreeg is dat ik als externe enkel een refurbished laptop kon krijgen, en dat er nu niets beters voorhanden is.

Gelukkig werk ik momenteel van thuis uit, en kan ik zo alles vanop mijn eigen materiaal doen. Mijn werklaptop staat wel op mijn bureau, maar veel meer dan stof vergaren doet die momenteel niet. Ik doe al mijn werk op mijn toestel, daarna zet ik het gedane werk over op mijn laptop en ga dan naar de volgende taak.

Naar aanleiding van een GDPR opleiding kregen alle "nieuwelingen" de GDPR manual opgestuurd, een vrij lijviig document met daarin alle do's en don'ts daaromtrent.

Nu, om vlot te kunnen werken en gemakkelijk data te kunnen overzetten wanneer nodig maak ik gebruik van een "Remote Desktop oplossing" om het scherm van mijn werklaptop te kunnen overpakken en rustig te kunnen werken. Bij het nalezen van dat GDPR document bljkt dus dat dit niet echt toegestaan is. Nu, alles is relatief, er staan nogal wat zaken in dat document die zogezegd niet toegestaan zijn, maar die wij wel nodig hebben om ons werk te kunnen uitvoeren...

Mijn vraag... ik doe bijna alles op mijn eigen materiaal. Ik werk professionneel, ik speel niet met die zaken, en ik zet na afloop ook altijd alles over op mijn werklaptop. Kwestie van overal de nodige data te hebben.

Maar... heeft het gebruik maken van eigen materiaal ook geen impact op de GDPR?

Heel concreet. Ik ontwikkel mijn software, en ik test die gebruik makende van test databanken. Die databanken zijn enkel toegankelijk via VPN. Ik heb om die reden de VPN toegang geïnstalleerd en geconfigureerd op mijn eigen toestel.

Op de VPN identificeer ik mezelf met mijn eigen credentials, natuurlijk kan in principe opgemerkt worden dat de pc die zich connecteert op de databank niet 1 van het bedrijf zelf is.

Kan dit als datalek opgevat worden?

[basejumper]

Beste

Volgens mij weinig met GDPR te maken. Dat is een wetgeving die particulieren beschermt tegen misbruik van hun datagegevens.
In dit geval is uw probleem er een van de arbeidsovereenkomst/contract met het bedrijf. Het heen en weer verzenden van bedrijfsgegevens van een beschermde bedrijfsomgeving naar een privé pc is doorgaans problematisch. In veel bedrijven werk je met laptops die doorgaans minder performant zijn dan wat je recent kan kopen. Maar het is niet aan de werknemer/contractant om op eigen houtje andere regelingen te treffen.

[FreelancerIT]

In dit geval is uw probleem er een van de arbeidsovereenkomst/contract met het bedrijf. Het heen en weer verzenden van bedrijfsgegevens van een beschermde bedrijfsomgeving naar een privé pc is doorgaans problematisch. In veel bedrijven werk je met laptops die doorgaans minder performant zijn dan wat je recent kan kopen. Maar het is niet aan de werknemer/contractant om op eigen houtje andere regelingen te treffen.

Hier ben ik eigenlijk niet mee eens.
Als contractor wordt het bijna altijd aanvaard om het werk op een "eigen" pc/laptop uit te voeren (eigen als in een toestel afkomstig van het moederhuis van de contractor) Zo ook in mijn geval.

In een aantal gevallen wordt dit totaal niet toegestaan, of gewoon niet mogelijk. Maar, in die gevallen krijg je doorgaans relatief recent materiaal waarmee je je taken zonder al te veel problemen op kunt uitvoeren.

Hier zitten we in het 1ste geval. Ik heb een toestel van het bedrijf zelf, maar dit is onbruikbaar voor wat ze me vragen te doen. Voor alle duidelijkheid, met onbruikbaar bedoel ik het volgende:

• Het toestel is te licht om de programma's die ze mij zelf vragen te gebruiken op een bruikbare manier te kunnen draaien.
• De software, eens opgestart, werkt en log en onstabiel. Vaak moet ik hetzelfde werk 2-3x overdoen vanwege crashes waarbij mijn werkbestanden corrupt geraken.
• Er wordt gevraagd om archieven op te bouwen van wat er allemaal gedaan wordt, maar... ik heb er de schijfruimte niet voor
• ...

Nu, dat is niet zo bizar, erg vaak zelfs de gewoonste zaak van de wereld. Dan zijn er 2 mogelijkheden. Of je maakt gebruik van wat je hebt gekregen, en je rekent hun ook de gevolgen er van door (wat ze verre van allemaal aanvaarden), of... als het kan maak je gebruik van een "eigen" toestel, een andere bedrijfslaptop. Dit wordt vaak zonder problemen toegestaan.

Zo ook hier. Er is niets in mijn contract of in de bedrijfsregels die mij verbieden mijn eigen toestel te gebruiken. Mits het allemaal volgens de regels van de kunst gebeurd zou dit ook hier geen probleem mogen zijn. Maar... in de GDPR - regels waar we mee moeten rekening houden, wordt melding gemaakt van een aantal security-vereisten.

Daar gaat mijn vraag over. Hoewel ik niet denk iets verkeerds te doen, kan in dat opzicht gebruik maken van een extern toestel met bedrijfscredentials opgevat worden als een datalek en/of gevolgen hebben voor de GDPR - regels?

[pho450]

Kan u eventueel de gdpr regels waar u u zorgen over maakt hier posten?