Mag de werkgever je privételefoon gebruiken voor tweefactorauthenticatie?

mobieltje-sms-bellen-06.pngEen lezer vroeg me:

Vanwege de Wet datalekken is bij ons bedrijf de security aangescherpt. We moeten nu altijd met tweefactorauthenticatie inloggen: na aanmelden met wachtwoord krijg je een SMS met een code die je dan ook moet invoeren. Maar mensen die geen bedrijfstelefoon hebben, moeten nu hun privé-06-nummer opgeven. Mag ik dat weigeren? Ik wil niet dat die telefoon voor zakelijke dingen wordt gebruikt.

Hoofdregel is dat de werkgever de “gereedschappen” waarmee het werk wordt uitgevoerd (art. 7:658 BW) beschikbaar moet stellen. Hij bepaalt immers hoe het werk wordt uitgevoerd, dus hij moet ook de spullen leveren. De werkgever maakt ook de keuze: wel of geen laptop, wel of niet flexwerken, et cetera. Of in dit geval: we gaan met tweefactorauthenticatie werken, dus je typt gewoon die sms codes in vanaf nu.

Het is mogelijk af te spreken dat werknemers zelf voor bepaalde hulpmiddelen zorgen. Denk aan bedrijfskleding die mensen liever zelf kopen omdat ze dan zelf voor iets passends kunnen shoppen. Een bring-your-own-device constructie kan dus hierop worden gebaseerd.

Een dergelijke afspraak kan echter alleen als dit in het arbeidscontract is opgenomen (of een CAO) dan wel als het een zeer gebruikelijke afspraak in de branche is. Dat je van een chefkok verwacht dat hij zijn eigen messen meeneemt, lijkt me bijvoorbeeld heel normaal. Maar van een ‘gewone’ medewerker dat hij een privételefoon meeneemt voor werk, vind ik daarmee niet vergelijkbaar.

Daar staat tegenover dat je anno 2016 mag verwachten dat een werknemer een mobiele telefoon bij zich heeft waar hij sms-berichten op kan ontvangen. Vanuit dat perspectief is het een uiterst kleine moeite voor de werknemer om de daarop ontvangen code over te typen. In alle redelijkheid kun je dan moeilijk zeggen “koop maar voor iedere werknemer een telefoon met abonnement van X euro per maand” lijkt me. Dus specifiek voor die situatie denk ik dat je het wel kunt verlangen.

Uiteraard moet de werkgever iets anders verzinnen als de werknemer geen telefoon heeft of om zwaarwegende redenen weigert zijn 06-nummer te geven. En het 06-nummer mag natuurlijk niet meteen ook voor de bedrijfs-whatsapp of gewoon werkoverleg worden ingezet.

Arnoud

56 reacties

      1. En hoe houdt je dat dan gescheiden? Wat is de inbreuk op je privé leven als je tijdens je werk een SMS ontvangt voor het inloggen?

        Ik kan écht met de beste wil niet verzinnen waarom je zou weigeren een werk SMS op je privé telefoon te ontvangen. Let wel, deze wordt alleen verstuurd als je aan het werk bent en probeert in te loggen.

        Kan je het me uitleggen?

        1. Het is mijn ervaring dat zo’n privénummer gaat rondzingen binnen een organisatie: het staat ergens in een systeem, er komt een tweede systeem/applicatie/whatever waarvoor 2factor nodig is en weet je wat: laten we dat andere nummer maar gebruiken want dat is er toch voor. Later komt er misschien een koppeling met een outlookadresboek of verzin het maar…

          Na een jaar of vijf, zes zit je ineens in de situatie dat jan en alleman je privenummer heeft en je maar even in moet loggen om probleem x op te lossen als je op vakantie op een hoge bergtop in tibet even helemaal zen zit te wezen maar men je toch kan bereiken want privenummer is bekend.

          1. Dan moet je dáár afspraken over maken. Ik ben altijd wat allergisch voor glijdende schaal argumenten….

            En als blijkt dat je daar geen afspraken over kan maken met je werkgever dan moet je dus zorgen dat je daar weg gaat en bij een betrouwbare werkgever terecht komt.

          2. Daar heb je velden voor in je AD die wel gebruikt kunnen worden voor dat soort toepassingen, mar niet te zien zijn voor Jan en alleman. Wij maken van zo’n veld gebruik om een dergelijke 2-tier authentication mogelijk te maken, waarbij we de privénummers respecteren en afschermen.

        2. Naast wat werkbij al aangeeft: Zo gauw ik ermee akkoord ga dat mijn 06 gebruikt wordt voor tweetraps-authenticatie, ben ik opeens afhankelijk van mijn privételefoon om mijn werk te kunnen doen. Ik kan ‘m niet meer thuis laten liggen als ik naar het werk ga. Ik kan niet zomaar een nieuwe experimentele Android installeren, want wat als het mijn telefoon brickt? Vindt mijn baas het goed dat ik mijn iPhone jailbreak? Mag ik van provider wisselen zonder het aan mijn baas te melden?

          1. Maar als de werkgever een RSA-token geeft, ben je daar toch ook verantwoordelijk voor. Of de sleutel van de bestelbus of van kantoor, of je privé auto om naar je werk te komen.

            De veiligheid ivm jailbreaks (of diefstal wegens frequent festival bezoek), etc kan ik me iets bij voorstellen maar ook dat zou je bij de werkgever neer moeten leggen. Die moet de risicoanalyse maken.

            1. Nee, je bent niet verantwoordelijk voor RSA-tokens, bestelbussen of wat dan ook, tenzij er sprake is van opzet of bewuste roekeloosheid. Voor het gebruik van een privé-auto krijg je doorgaans een vergoeding.

              1. Natuurlijk ben je wel verantwoordelijk om dat ding mee naar je werk te nemen. Als jij elke dag zonder je RSA token op je werk komt (of zonder je toegangsbadge) dan krijg je daar echt wel problemen mee. De stelling dat je iets nu niet meer mag vergeten is onzin want dat geldt voor heel veel dingen die je voor je werk mee zou moeten nemen.

                1. Natuurlijk zijn er dingen waar je verantwoordelijk voor bent, maar een RSA-token zou ik in beginsel gewoon op kantoor laten liggen.

                  Zegt m’n baas dat ik ‘m mee naar huis moet nemen, stop ik ‘m aan het einde van de dag in m’n tas en denk er verder niet meer aan tot de volgende dag. Telefoon gebruik ik en vergeet ik soms weer in mijn broekzak te stoppen.

                  Zou ik een €30 telefoon van de baas krijgen, is dat natuurlijk gewoon hetzelfde als een RSA-token en stop ik die in m’n tas of laat ‘m op kantoor, afhankelijk van wat ik met de baas afspreek.

          1. OK, alleen tijdens werkuren, maar nog, dat blijft een last. Ik vind 1 telefoon in mijn broekzak al oncomfortabel, laat staan een tweede erbij.

            Ik had het trouwens eerder gelezen als een inloggen buiten werkuren/buiten de werkomgeving. Binnen in het kantoor heb je automatisch 2-factor: Diegenen die er niet horen te werken hebben geen sleutel of worden door de portier niet binnengelaten.

            1. Genoeg bedrijven en dergelijke waar het publiek (gedeeltelijk) toegang heeft tot panden. Bijvoorbeeld winkels, scholen of het gemeentehuis. Bovendien stopt het wifi netwerk niet bij de buitendeur. Em anno 2016 accepteren de gebruikers het niet meer als systemen niet via het wireless netwerk bereikbaar zijn. Een systeem voor tweefactorauthenticatie is dan 1 van de weinige oplossingen die voor de meeste partijen enigszins acceptabel zijn. En dan zijn de gebruikelijkste opties: sms, smartphone app of hardware token.

          2. Dus je dumbfoon ligt in de la van je bureau. Bye bye extra beveiliging…. Dan wordt die 2-factor net zoiets als de post-it- met-wachtwoord-op-de-monitor. Overigens zou ik zelf een 2e simkaart in mijn (dualsim) smartfoon zetten.

        1. Wanneer er gebruik wordt gemaakt van een losse token als tweede factor (zoals yubikey) zal je ook altijd iets extra’s bij je moeten hebben. Wanneer je een extra apparaat wilt voorkomen dan zou je dus het nummer van de gewone telefoon moeten afgeven.

  1. Daar staat tegenover dat je anno 2016 mag verwachten dat een werknemer een mobiele telefoon bij zich heeft waar hij sms-berichten op kan ontvangen.

    Anno 2016 kan ik geen SMS meer ontvangen op mijn mobiel, heb alleen data+voip. Ik heb niet eens een 06 nummer. Als mijn werkgever dit zou invoeren hoop ik toch dat ze een goede fallback hebben.

  2. Het valt me op dat Arnoud niet valt over het ‘persoonsgegeven’ aspect. Tenzij je oproepbaar moet zijn, heeft je werkgever niets te maken met je mobiele nummer.

    Om dan op deze onderhandse manier toch persoonsgegevens te verzamelen van je werknemers… ongehoord.

    1. Alsof een werkgever belang heeft bij het hebben van een 06 nummer waarop zijn medewerker hem toch niet wil spreken. Ik snap het probleem niet zo… Anderszijds zijn er voldoende andere mogelijkheden voor 2-factor, waarbij géén telefoons nodig zijn. Als werkgever zou ik daar eerder voor kiezen, of op zijn minst als fallback inschakelen inderdaad, voor diegenen die hun werkgever een smartphone denken te kunnen aftroggelen door te weigeren hun 06 nummer door te geven… (of inderdaad ECHT geen telefoon hebben, die zijn er ook nog zat).

        1. Dat gaat behoorlijk mank. Een PIN code is bedoeld om aan niemand te geven, en is strikt persoonlijk. Als jouw telefoonnummer strikt persoonlijk was zou niemand jouw daarop kunnen bellen. Ik ga er voor het gemak even van uit dat jij jouw PIN code ook niet afgeeft aan iedereen waarvan jij vindt dat hij/zij jouw mag bellen….

          Ik merk (niet alleen in deze draad) dat veel werknemers / blog lezers spontaan overspannen worden als de woorden “werkgever” en “privé telefoon” in één zin worden gebruikt. Ik snap daar de oorzaak niet van. Mijn telefoon is bedoeld om mij mee te kunnen bereiken, en ik voel mij in het geheel niet gestressed als mijn werkgever mij op een vrije dag belt. En als dat incidenteel gebeurd, en ik he er even geen zin in, dan neem ik dus gewoon niet op. Dat gebeurd trouwens ook met vrienden en familie waar ik even geen zin in heb. Sterker nog, ik zeg altijd tegen mijn baas: “Ik heb liever dat je mij 5 minuten belt in plaats van dat je zelf een uur moet zoeken”!

          Mensen die zo gestrest raken van een telefoontje van de zaak moeten wellicht een carrière change overwegen dunkt me. In deze tijden van 24 uurs telefonie kun je echt niet meer doen of je niet bestaat als je vrij bent. Het werkt moet door en 10 tegen 1 moet je worden gebeld door je baas of collega’s omdat je zelf iets verzaakt hebt.

          Maar daar ging het hier eigenlijk helemaal niet over… het gaat over 2 factor authenticatie. Dat is geen spannend ding. Een SMS is één mogelijkheid. Een token kan ook, dan vraag je die toch gewoon? Niks aan de hand. Dat soort dingen horen gewoon bespreekbaar te zijn in een zakelijke omgeving.

          1. Opvallende redenatie dat iemand wiens motieven jij niet snapt of onderschrijft daarom maar op zoek moet naar een andere baan.

            Ik werk voor een grote mondiale organisatie met afdelingen en partners in zowat alle werelddelen. Als mijn privénummer in omloop raakt, is het een kwestie van tijd voordat ik gebeld word door een vendor in bijvoorbeeld India die in een andere tijdzone werkt, andere prioriteiten hanteert en waarmee lastig afspraken over dergelijke onderwerpen te maken zijn. En nee, dat is voor mij geen reden om te gaan solliciteren, maar wel om voor dit soort doeleinden mijn zakelijke toestel te gebruiken. Het heet immers niet voor niks een privénummer.

            1. Opvallende redenatie dat jij denkt dat iedereen in grote mondiale ondernemingen werkt… Volgens mij werken er meer mensen in het mkb dan in multinationals. Bovendien zeg je zelf al dat je een mobiel van de zaak hebt, dus wat is het probleem?

      1. Maar wanneer het alleen om sms gaat kan de werkgever toch een prepaid dumbphone verstrekken? Die kosten niet meer dan 30 euro inclusief beltegoed. Een werknemer hoeft dan echt geen smartphone te ontvangen 😉

      1. Dat is het hem juist, het gaat hier helemaal niet om oproepbaarheid. Het gaat om 2 factor authenticatie. En als iemand dan liever een aparte telefoon of een token draagt is dat toch prima? Persoonlijk zou ik liever mijn telefoon laten “misbruiken” omdat ik die toch al bij me heb. Blijkt dan dat mijn baas elk weekend 6 keer belt, dan vraag ik alsnog om een token en blokkeer ik zijn nummer. Maar zover zie ik het nog niet gauw komen.

      1. ‘ongehoord’ was cynisch bedoeld.

        Wat is er verder verkeerd aan: Als de werkgever uitvoering aan de arbeidsovereenkomst wil geven kan hij daarvoor een telefoontoestel of andere manier van 2-factor ter beschikking stellen. Daarvoor heeft hij niet het persoonsgegeven prive-mobiel-nummer nodig.

        Hierbij komt nog bij dat dit hele verhaal ruikt naar (alleen ruikt naar, ik heb geen bewijs) werknemers waarvan verwacht wordt dat ze s avonds en in het weekend ook beschikbaar zijn. Uitzondering daargelaten zal dit zeker NIET in de arbeidsovereenkomst staan. En selectief delen van de arbeidsovereenkomst wel willen uitvoeren en andere delen systematisch negeren met stress-gerelateerde gezondheidsproblemen tot gevolg, daar rijzen mij de haren van te berge.

        Die uitzonderingen kunnen er best zijn voor iemand die om bepaalde redenen altijd moet kunnen inloggen, en dat kan ook best in de arbeidsovereenkomst staan, maar niet ‘omdat de werkgever het zo graag wil’ (En zelfs niet omdat ze dat beiden zo graag willen)

        Maar zelfs als de werkgever een telefoon beschikbaar stelt, zijn het nog persoonsgegevens, dat nummer, en de geografische positie van dat toestel.

        Dan moet je dus een afweging malen tussen de WENS (niet de noodzaak, volgens mij) om 2-faktor authenticatie te willen als werkgever, en de privacyconsequenties voor de werknemer. Daar is voor mij geen duidelijke winnaar.

        1. Dat kan, net zoals de werkgever mij een laptoptas kan geven omdat ik anders niet met laptop van en naar het werk kan. Maar waarom niet gewoon zeggen, oh je hebt een eigen laptoptas, fijn.

          Stel nu dat het alleen gaat om werken op werkdagen tussen 9 en 17. Zou dat je standpunt veranderen? Dan is de casus neit meer dan, ik wil geen mobiele telefoon voor iedereen kopen enkel om een sms met logincodes te sturen. Plus dan lopen alle mensen met twee mobieltjes én gaan ze privé bellen op de sim die erin zit. Dat is toch ook weer ongewenst.

          Misschien moeten mensen onderweg werken of op locatie bij de klant. Misschien komen er wel bezoekers in het kantoor en is daarom tweefactorauthenticatie wenselijk.

          En als ik nu zeg, die wens schurkt redelijk tegen een noodzaak aan omdat het neit adequaat beveiligen van persoonsgegevens een boetewaardig feit (art. 13 Wbp) is? Het bedrijf wil zich indekken.

          1. Als het inderdaad iets is wat echt bij het werk hoort, in afgesproken werktijd etc, dan verandert dat de zaak iets.

            Het verhaal ‘ik wil geen mobiele telefoon kopen voor iedereen’ gaat dan nog steeds niet op. Zo’n ding kost 25 Euro. Als het de werkgever niet eens 25 euro waard is (zeg per jaar), om werknemers die aan belangrijke, gevoelige data moeten kunnen, zo belangrijk en gevoelig dat 2 faktor nodig is, toe te laten dat te doen, dan is oftewel die werkgever niet bij zijn volle verstand, of die data is lang niet zo belangrijk als hij denkt.

            Giecheltoets: Ja meneer de rechter, die data is heel belangrijk en vertrouwelijk, en alleen bedrijfskritische werknemer met een bepaald niveau en die gescreend zijn mogen daaraan, en die werknemers die kosten nogal wat aan salaris, maar die 25 euro per jaar voor dataveiligheid, nee, dat kan ik echt niet betalen.

            En als jij nu zegt, ‘die wens schurkt redelijk tegen een noodzaak aan omdat het neit adequaat beveiligen van persoonsgegevens een boetewaardig feit is’ dan zeg ik: Dan is er nog een andere mogelijkheid: geen externe toegang geven tot die gegevens.

            Die werkgever zal die externe toegang heel belangrijk vinden, en misschien wel vinden, en misschien is dat ook nog wel waar, dat anders zijn zaak failliet zou gaan.

            Maar dat is natuurlijk geen terzake doend argument. Als je businessmodel niet werkt zonder dat je wetten moet overtreden, tja, dan heb je geen businessmodel.

            Het wordt wat filosofisch, maar wat is noodzaak? Noodzaak is alleen maar noodzaak binnen een referentiekader van een te bereiken doel. Pas je doel aan, en de noodzaak valt weg.

  3. “Daar staat tegenover dat je anno 2016 mag verwachten dat een werknemer een mobiele telefoon bij zich heeft waar hij sms-berichten op kan ontvangen.” Ik ben na 20 jaar nog steeds tegenstander van die dingen, dus ik vind dat een werknemer de vrijheid moet blijven houden tot de aanschaf van een apparaat over te gaan of niet.

  4. Ik vind elke oplossing (die ik kan bedenken) behalve “werkgever biedt de werknemer het benodigde gereedschap aan” een onredelijke oplossing. Ik zou het niet opgelegd willen krijgen van mijn werkgever mijn privételefoon te gebruiken voor mijn werk. Dat vind ik niet netjes en ik vind het een vorm van afschuiven. (“we willen dat je voortaan een code invoert maar je moet je eigen gereedschap gebruiken om die code te bemachtigen”) Dan heb je toch ineens een verantwoordelijkheid gekregen die je niet wil hebben? De goedkoopste telefoon kan sms’jes ontvangen, en een prepaid kaartje of een goedkoop abonnement… tja dat heb je nou eenmaal nodig als je zo’n dienst af wil nemen. Daar kies je dan als werkgever zelf voor toch?

    Wat ik eigenlijk niet zo goed snap is dat de werkgever dit per sms wil doen. Ik heb voor mijn werk een RSA-token gekregen dat dit probleem toch vrij elegant oplost? Gedoe met sms’jes, kan toch veel makkelijker? Of mag het de werkgever niets kosten? (Hoewel ik me niet kan voorstellen dat de dienst die nu gebruikt wordt gratis is.)

    1. Wat ik eigenlijk niet zo goed snap is dat de werkgever dit per sms wil doen. Ik heb voor mijn werk een RSA-token gekregen dat dit probleem toch vrij elegant oplost?

      Als je als werkgever uit veiligheidsoverwegingen het standaard gebruik van de USB poorten blokkeert dan is zo’n ding minder handig.

  5. Als de werkgever tevens overheid is, zal de gebruiker vooraf aan moeten geven dat hij op zijn eigen device bereikbaar wil zijn. De toepassing van afdeling 2.3 Awb wordt binnen de overheid maar al te vaak over het hoofd gezien.

    1. Dit begrijp ik niet. Het gaat hier toch helemaal niet over berichtenverkeer tussen burger en overheid? Volgens mij is afdeling 2.3 Awb niet van toepassing op de relatie tussen ambtenaar en werkgever. Los daarvan, de werkgever stuurt geen elektronische berichten met mededelingen aan de werknemer maar kiest een kanaal om authenticatie te verzorgen.

      1. De Awb is in de relatie overheid – ambtenaar ook van toepassing voor de rechtsbescherming en ziet in afd 2.3 op meer dan beslissingen en berichten, dus wat er verzonden wordt is niet zo relevant. De eis van informed consent hangt samen met het moeten reageren op gebruik door de overheid en het gebruik van persoonsgegevens (nummer) daarbij. Met name authenticatie via een device brengt verantwoordelijkheid voor de gebruiker met zich als gevolg van het risico op misbruik en oneigenlijk gebruik. Juist voor het restrisico waarop de overheid geen greep heeft is de voorafgaande instemming van de gebruiker toepassing.

  6. Ik heb een (zelf gekocht pre-paid) werk- en een (contract) privé mobiel. Werk gaat ’s morgens om 8 aan en ’s avonds om 18 uur uit. Slechts als ik in het weekend moet werken is het ook tijdens die werkuren in het wekend aan. Wie uit mijn privé omgeving tijdens mijn werktijden kontakt op moet nemen kan dat op mijn werkmobiel doen, ’s avonds en in de weekenden op mijn privé of, nog beter, gewoon “landline”. Mijn werkgever beschikt over mijn werknummer en (moet) accepteren, dat ik buiten werktijden niet bereikbaar ben. Authetificatie via een sms op werktelefoon is dus geen enkel probleem. Mijn privé nummer krijgt mijn werkgever eenvoudig niet.

  7. Eea hangt ook vanaf waar het gebruikt wordt, een eigen tool van de werkgever, waarin deze ook toegang krijgt tot de 06-nummers. Of een 3e (cloud) partij, als Google. Ondanks de data verzameldrang van de laatste heb ik er daar toch meer vertrouwen in dat het nummer niet bij de werkgever terecht komt. En mocht het bedrijf gaan bellen op je mobiel terwijl dat niet de bedoeling is, gelijk afkappen.

  8. De vraag was of je dit als werknemer mag weigeren. Alle oplossingen om daar op eigen kosten omheen te werken zeggen dus in feite, ‘nee, dat mag je niet’. Ook Arnoud, en dat verbaast me eigenlijk, zegt in feite, dat je dat als werknemer eigenlijk maar te slikken hebt. Vooral dat je van een werknemer mag verwachten dat hij een mobieltje heeft en deze hiervoor dus maar beschikbaar stelt, is me een brug te ver. Dat je het vrijblijvend aan je personeel vraagt, prima. Veel mensen vinden het alleen maar makkelijk als ze ook dat via hun mobieltje kunnen doen. Maar het feit dat ik een mobiel heb, betekent nog niet dat ik verplicht wil worden deze altijd bij me te hebben. Of dat het plotseling mijn probleem is, als mijn mobiel stuk of weer eens kwijt is.

  9. Maar het feit dat ik een mobiel heb, betekent nog niet dat ik verplicht wil worden deze altijd bij me te hebben.
    Je werkgever kan je nu ook prima een extra cheap ass dumbphone verstrekken en je die verplichten mee te nemen naar je werk. Een object nodig voor je werk verplicht bij je MOETEN hebben op je werk kan een werkgever dus best verplichten. Het voordeel van je eigen telefoon is dan ten minste nog dat je die ook daadwerkelijk bijna altijd bij je WILT hebben.

    Of dat het plotseling mijn probleem is, als mijn mobiel stuk of weer eens kwijt is.

    Dat is sowieso altijd je eigen probleem. Maar als je je eigen telefoon gebruikt voor authenticatie op het netwerk dan is heet ook een probleem voor je werkgever. Dat is echter iets wat die werkgever gewoon zal moeten accepteren. Dat kan ook met een bedrijfstelefoon gebeuren Het risico dat je je eigen telefoon kwijt raakt is waarschiijnlijk ook niet echt hoger dan dat je een werktelefoon kwijt raakt

    1. Kan een werkgever je verplichten de door hem verstrekte telefoon ook daadwerkelijk de hele werktijd op je lichaam te dragen (in verband met veiligheid/beschikbaarheid)? Dat kan leuk worden bij dumbphones met maatje koelkast.

  10. Laat we zeggen dat je accepteer dat je je telefoonnummer geeft wat dan mijn telefoon is af en toe dagen zoek of ik laad hem niet op, wat dan het is mijn eigendom en ik laat hem liggen waar ik wil. Nog een mooi punt als ik 6 maanden niet veel meer gebruik maak van mijn telefoon ben ik van plan om hem weg te doen het kost te veel ik bel af en toe maanden niet met dat ding, kan mijn baas dan verplichten om hem aan te houden.

  11. Een lastige… Als ICT’er zie ik mijn mobieltjes als werk-materiaal en dat is ook de reden dat ik er drie heb! 😀 (Windows, Android, iOS.) Voor werk-gerelateerde zaken ben ik dan ook best bereid om ze daarvoor te gebruiken maar dat moet dan wel mijn eigen keuze zijn!

    Nu vind ik dit een interessante situatie want mijn prive-telefoon wordt nu een onderdeel van de dagelijkse bedrijfsvoering! Immers, ik heb mijn telefoon nodig om in te kunnen loggen. Maar wat nou als ik mijn telefoon vergeet, uitleen, kwijt raak of dat deze wordt gerepareerd? Het is immers mijn eigen telefoon en mijn werkgever heeft er geen zeggenschap over. Maar zonder die telefoon kan ik eigenlijk mijn werk niet eens doen. Dus nee, om die reden zou ik dit weigeren en ook als zodanig uitleggen. Mijn prive-telefoon is voor prive-gebruik ook al kan ik deze soms voor werk-doeleinden gebruiken. Dat laatste is dan gewoon een extra, en zou niet een bedrijfs-kritisch iets moeten zijn. Ik moet mijn werk ook zonder mijn prive-telefoon kunnen doen.

    Overigens zijn er genoeg andere manieren voor authenticatie. Simpelste methode zou een cardreader zijn met per werknemer een pasje. Een RFID-tag erin en een extra pincode erbij en je beveiliging is al een stuk beter. De kosten hiervan zijn volgens mij verwaarloosbaar, vergeleken met de kosten van SMS.

    1. Mee eens, stel je vindt android ontwikkeling leuk of je wilt mods proberen op je toestel dan hang je direct als het toestel niet meer werkt. Als de werkgever het een cruciaal onderdeel van de bedrijfsvoering wil maken dan zorgen ze maar voor de middelen lijkt mij.

  12. Dat je van een chefkok verwacht dat hij zijn eigen messen meeneemt, lijkt me bijvoorbeeld heel normaal.

    Ah, die mensen op straat en in het OV met messen zijn allemaal chefkok 😉 .

    Maar serieus, is dat echt gebruikelijk?

    Vanuit dat perspectief is het een uiterst kleine moeite voor de werknemer om de daarop ontvangen code over te typen. In alle redelijkheid kun je dan moeilijk zeggen “koop maar voor iedere werknemer een telefoon met abonnement van X euro per maand” lijkt me.

    Geldt die redenering ook andersom? Kan werkgever in alle redelijkheid ook moeilijk bezwaar maken tegen verzoeken van medewerker als die weinig moeite kosten?

    1. @de andere Alex. Ja, dat is volkomen normaal. Voor een chefkok zijn messen heel belangrijk, de reden dat er zo’n grote variatie is in lengte, vorm, gewicht, materiaal, balans, type etc is omdat het voor een kok het belangrijkste gereedschap is, waarvan de keuze afhankelijk is van de grootte en de vorm van de hand, het soort snijwerk (dit verschilt niet alleen per soort groente of vlees, maar ook per keuken. Voor de Franse keuken gebruik je andere messen dan voor de Oosterse. ), de lengte van de kok etc.

      Dat terzijde, het lijkt mij dat het ontvangen van een SMS als je een telefoon hebt een vorm is van goed werknemerschap, maar dat dat beperkt is door een aantal voorwaarden, zoals dat het nummer uitsluitend daarvoor gebruikt wordt, niet ingezien kan worden door anderen, en dat de werknemer niet verantwoordelijk gehouden kan worden voor de gevolgen van het een keer niet bij zich dragen van die telefoon. Deze kan immers kapot gaan, vergeten worden, kwijt raken of gestolen worden en wanneer dat een verzekerings- of aansprakelijkheidskwestie wordt kan de werknemer zomaar een aantal dagen zonder telefoon zitten. De werkgever kan natuurlijk onmogelijk eisen dat we werknemer zich daar tegen in moet dekken om zijn of of haar werk uit te kunnen blijven voeren. Een oplossing daarvoor zijn kan om een paar reserve-telefoons beschikbaar te hebben, en een goed proces om snel het authenticatie-telefoonnummer te wijzigen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.