Mag ik mijn werknemers echt niet verplichten een tweefactorauthenticatieapp te installeren?

Een lezer vroeg me:

Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie in te voeren. Wij hebben hiervoor een breed bekende leverancier gevonden, die ons een simpele en privacyvriendelijke app beschikbaar stelt voor op de telefoons van medewerkers. Alleen: ik begrijp uit eerdere blogs dat ik dit niet op privetelefoons mag zetten, maar het hele kantoor zakelijke telefoons moet geven enkel voor deze apps. Dat vind ik nogal wat qua kosten en beheer (een bedrijf met 80 man, iedereen heeft een eigen mobiel en men werkt op kantoor dus geen mobiele bereikbaarheid nodig). Is de wet werkelijk zo streng?

Ik heb inderdaad in het verleden altijd gesteld dat een werkgever niet mensen kan verplichten op hun privételefoon een app te installeren die voor het werk nodig is. De werkgever moet de gereedschappen leveren waarmee het werk wordt gedaan.

Uitzondering op deze wettelijke regel is als het normaal is dat de werknemer zulk gereedschap zelf meeneemt. Het clichevoorbeeld is de kapper met eigen scharen of de chefkok met eigen messen. Maar daar zit eigenlijk altijd achter dat die werknemer dat prettiger vindt dan wat de werkgever heeft liggen. Niet dat de werkgever dan goedkoper uit is.

Dat gezegd hebbende zie ik het dilemma wel bij een organisatie als deze. Je wilt het goed doen maar ook geen enorme kosten maken. En als er dan een app is die je één keer per werkdag nodig hebt (bij het inloggen voor de dag) en die verder geen rare dingen doet, wat is dan het probleem?

Je komt dan in het gebied van goed werknemerschap. Een goed werknemer doet dingen voor het werk, ook als dat niet letterlijk op papier staat of zelfs hem in geringe mate op kosten of moeite jaagt. Ik zou dat bij een simpele app als deze wel zien, als je als werkgever zegt, gebruik die alsjeblieft.

Daar staat tegenover dat een goed werkgéver ook weer rekening houdt met de belangen van werknemers. Als iemand echt bezwaar maakt (of geen mobiel heeft, om welke reden dan ook) dan zoek je een andere oplossing.

Wel zou je als werkgever iets moeten bedenken voor het geval de werknemer z’n telefoon gestolen wordt, of gewoon kapot is. Want je kunt niet verwachten dat hij binnen een dag een nieuwe telefoon heeft, en hij zal in de tussentijd toch moeten werken?

Arnoud

32 reacties

  1. Vervelende met een app is wel dat je niet weet wat die app allemaal vastlegt. Er is vast wel iemand die het nuttig vind dat de app de locatie bepaalt vanwaar hij gebruikt wordt . Maar je baas hoeft niet te weten waar je precies bent.

    1. Nou ja, in het artikel staat duidelijk dat het bedrijf uit 8o mensen bestaat en dat deze allemaal vanuit kantoor werken. Er is dus blijkbaar geen mogelijkheid tot thuiswerken en dus dal de betreffende app alleen op kantoor gebruikt worden.

      En als die applicatie dus alleen op kantoor gebruikt wordt en de leverancier is een grote speler op de 2FA markt, zal er ongetwijfeld ook een desktop versie van de 2FA applicatie zijn. Ik weet van meerdere bedrijven die deze dienst (en ook de 2FA hardware tokens) dat zij ook gewoon Windows en Apple varianten van de softtokens kunnen aanleveren. Hier zal wellicht een kleine meerprijs aan vast zitten, maar je neemt daarmee wel de noodzaak weg dat de medewerkers de app op hun telefoon moeten installeren.

      Ik weet het, ik denk weer in technische oplossingen, maar deze technische oplossing is net zo functioneel als de app op een smartphone.

  2. Het organisatie-culturele antwoord is: iemand die serieus nadenkt over zo’n vraag, zal niet snel tegen gedoe aanlopen in de implementatie ervan. Arnoud geeft wel gratis het meest voor de hand liggende risico aan. Privé-mobiel vraagt mobiel bij, opgeladen, werkend. Is dat waar je als werkgever afhankelijk van wil zijn. Kun je niet bijna net zo’n fijne oplossing met keys, dongels of pasjes verkrijgen? Natuurlijk, nadeel daarvan is dat er iemand aan onderhoud moet doen en dat zelfs dat voor een klein bedrijf een belasting kan zijn. Maar uiteindelijk kun je eigen bedrijfsbezit veel gemakkelijker vervangen en onderhouden dan het leunen op privébezit.

  3. Ik zie nog een ander probleem: Om deze app te kunnen gebruiken moet er op de een of andere manier met het mobieltje worden gecommuniceerd. Gebruikelijk hiervoor is, dat men het telefoonnummer gebruikt. Wat nu als ik, om hele goede reden dat ik buiten mijn werk niet bereikbaar wil zijn, mijn mobielnummer niet wil geven? Functioneerd de app dan wel?

  4. Ik zou er sowieso een probleem mee hebben als mijn werkgever zou willen dat ik mijn prive-mobiel voor werk-gerelateerde zaken zou gebruiken. Ik geef ook vrijwel nooit mijn mobiele nummer door om die reden. En ook belangrijk: eenmaal thuis gaat mijn mobiel in de oplader en ben ik er ver vandaan en hoor ik het meestal ook niet als hij afgaat. En dan zie ik af en toe dat er toch gemiste telefoontjes zijn. Tja, ik heb ook een vast nummer, hoor! Daar ben ik prima op te bellen!

    De reden dat ik mijn mobiele nummer niet meer doorgeef zijn apps zoals WhatsApp. Iemand kan dan mijn telefoonnummer invoeren om mij zo toe te voegen aan een WhatsApp groep en ik weiger om daaraan mee te doen! Mijn mobiel is voor mijzelf als ik b.v onderweg met pech kom te staan en de wegenwacht moet bellen.

    Maar de betere oplossing wordt eigenlijk al gegeven: een beveiligings-token. Een simpele RFID tag met RFID-reader zou een goed middel zijn als tweede authenticatie.

    Maar er is ook een ander alternatief: de bedrijfstelefoon! Veel werknemers hebben ook wel een vaste telefoon op hun bureau staan met bijbehorend doorkiesnummer. Laat de App daar maar mee samenwerken. De medewerker krijgt dan een gesproken code te horen via die telefoon. En de medewerker die thuis wil werken? Die geeft dan maar zijn mobiele nummer door! Dat is dan niet verplicht, maar anders kun je niet werken. En voor thuiswerk gebruik je meestal je eigen apparatuur…

      1. Er blijft nog steeds het probleem dat WhatsApp meekijkt in mijn contacten en mogelijk andere activiteiten…

        Sowieso merkte ik onlangs al hoeveel data er uiteindelijk verzameld wordt door diverse apps op mijn mobiel. Ik had laatst een vergadering waar ik voor was uitgenodigd via een Outlook-bericht. Op zich prima. Ik ging naar de vergadering en was best interessant en bij aankomst thuis zag ik een update van LinkedIn! LinkedIn was op de hoogte van de vergadering om de een of andere reden en had gemerkt dat ik daar samen was met nog twee andere personen. En of ik die twee aan mijn contactenlijst wilde toevoegen!!!

        En dat omdat ik, net als die anderen, LinkedIn ook als app op mijn telefoon had en mijn telefoon daar aan was. Om die reden wil ik ook geen WhatsApp op mijn telefoon omdat er dan nog meer bedrijven mij overal gaan volgen.

        LinkedIn is tegenwoordig van Microsoft, dus dat dit via Outlook bij LinkedIn terecht kwam snap ik wel, maar blijf het opvallend vinden.

        1. Julle hadden misschien hetzelfde IP adres? Of hadden jullie geen wifi aan staan? Heb nog een veel strafer verhaal. Paar jaar geleden was een radio verslaggever bij iemand en Facebook gaf een vriendschapsverzoek aan de verslaggever en de gast. Beide Hadden nooit contact met elkaar gehad via de telefoons en/of diensten die horen bij de apps. Dus puur op basis van GPS zoiden ze aan elkaar gekoppeld moeten zijn.

    1. Heer ten Brink, Ik geef je helemaal gelijk. Privé is privé en deze vraag geeft mij een duidelijk antwoord op mijn eigen vraag: mag mijn werkgever verwachten dat ik mijn privé mobiel inzet voor en op het werk? Bedankt voor het antwoord hier Arnoud!!

  5. Al eerder genoemd zijn de hardware tokens maar je kunt ook de boel zo dicht zetten dat alleen op kantoor ingelogd kan worden. Met 80 personeelsleden heb je nog door wie waar thuis hoort en een goede beveiliging van het pand kom je ook een heel eind en is het risico klein dat er zomaar iemand achter de pc kruipt en een beetje passwords gaat zitten proberen (waar je dan ook nog lockout op zet na 5 pogingen).

    Maar hardware tokens. 🙂

    1. Inderdaad:

      men werkt op kantoor dus geen mobiele bereikbaarheid nodig
      Wat is dan nog de toegevoegde waarde van 2FA? Technisch inregelen dat er alleen op de kantoorlocatie ingelogd kan worden, overdag goed opletten dat er geen vreemde snuiters achter de PC’s gaan zitten en ’s avonds de deur op slot.

  6. Zoals anderen ook al gezegd hebben, deze is technisch makkelijk op te lossen. Gebruikt TOTP, dan maakt het niet uit of je Google Authenticator, FreeOTP, OTP Auth, Enpass of een van de vele andere apps gebruikt. Je kan het zelfs op je desktop draaien, maar dan moet je afspraken maken dat het wachtwoord en OTP niet op hetzelfde apparaat staan (andere wordt de 2-factor toch nog een 1-factor authenticatie 🙂 ). OTP via SMS is ook een eenvoudige oplossing, dat kan op elke telefoon (handig voor de mensen die geen telefoon hebben, dat kan voor < €10/maand inclusief domme telefoon en SIM kaart). Maar er zijn ook genoeg (goedkopere) hardware oplossingen ipv een app op een telefoon. Yubikey is al genoemd, maar in de zorg zie je veel oplossingen met RFID kaart. Kortom er zijn meer dan genoeg oplossingen beschikbaar dat dit geen probleem zou hoeven te zijn.

  7. Wij hebben 2FA een tijd geleden ingevoerd als optie. Met de invoering van AVG hebben wij besloten dat bij al onze klanten verplicht te stellen, aangezien zij ook bijzondere persoonsgegevens verwerken.

    Wij ondersteunen alleen RFC 6238 en van de vele honderden gebruikers heeft er nog geen enkele gewijgerd bij ons of zijn werkgever dat hij een app moest installeren. Wij hebben wel eens de vraag gekregen of het nu nodig is, dan zeg ik alleen ‘als het jouw data was, zou je dan tevreden zijn als de enige beveiliging een wachtwoord is? Hoe vakk heb je jouw wachtwoord gewijzigd?’

    Wachtwoord policy laten wij over aan de werkgever die tussen ons en de gebruikers zitten en de reactie is eigenlijk altijd dat ze hun password nog nooit hebben gewijzigd en ja dat het wel goed is dat dat dus niet de enige bescherming is.

    Vervolgens zeg ik er altijd bij dat ze die zelfde app ook kunnen gebruiken om hun eigen privé accounts te beveiligen, aangezien het een standaard is en wordt men razend enthusiast.

    Ik heb daarna nog nooit iemand horen klagen dat het zijn privé telefoon is en dat hij die ‘werk app’ er niet op wil hebben. Er zit ook geen enkele privacy gevolgen aan die app vast, dus ik snap niet goed wat werknemers die hierover jammeren bezielt. Mij bekruipt meer het gevoel dat ze moeilijk doen in de hoop dat de werkgever een telefoon voor ze koopt.

      1. Je wilt bij een RFC 6238 implementatie de geheime sleutel niet op een publiek toegankelijke server hebben staan maar bij voorkeur op een apparaatje dat de gebruiker bij zich draagt. Het algoritme is vrij simpel te implementeren in verschillende programmeertalen, maar voor de beveiliging is het essentieel dat de sleutel (het “gedeelde geheim”) alleen bij de autorisatie-toepassingen van de gebruiker en van de server bekend is.

        Een “hardware token” is qua beveiliging beter dat een app op een mobiele telefoon, het is afhankelijk van de waarde van de gegevens hoeveel je wilt/moet investeren in de beveiliging daarvan.

        1. Ik volg je 100% over een “hardware token”, maar de beveiliging van de gemiddelde mobiele telefoon is quasi onbestaande. Ik ga er dan ook vanuit dat een gemiddelde intranetserver veel beter beveiligd is dan de privé mobiele telefoons. Met rfc 6238 kan je trouwens niet afdwingen dat de gebruiker zijn mobiele telefoon gebruikt, er kan door de gebruiker ook gekozen worden voor een eigen webserver.

          Ik zie trouwens niet hoe een werkgever een deftige beveiligings audit kan “overleven” met het gebruik van privé telefoons.

          1. Ik ben het met je eens dat je er van uit moet gaan dat er op de gemiddelde smartphone spyware staat en dat daarmee de sleutel (potentieel) uitgelezen kan worden. Deze sleutel is echter maar een van de authenticatiefactoren, het wachtwoord is nog steeds een effectieve factor. Ook als de gebruiker zijn toegang via een webserver laat regelen is er nog sprake van authenticatie via zijn wachtwoord, maar het effect van 2FA is dan wel weg.

            Een tweede punt waar je naar moet kijken is de koppeling die een aanvaller kan maken tussen de sleutel en de server/gebruikersnaam combinatie waar de sleutel toegang tot geeft. Standaard spyware weet niet voor welke server een sleutel bedoeld is en zonder die kennis is de sleutel een losse verzameling bits. Het is zeer gevaarlijk om vanaf de smartphone in te loggen op de server die door de 2FA app beschermd wordt omdat op dat moment alle inloginformatie op de smartphone beschikbaar is. (server, loginnaam, wachtwoord en 2FA sleutel).

        2. “van de waarde van de gegevens” Dat is een foute benadering, je moet het “risico op uitlekken” ook meenemen, dat kan veel groter zijn.

          Gelet op de zeer lage kostprijs van hardware tokens, is het quasi altijd te motiveren om hardware tokens te gebruiken.

    1. Niemand verplicht mij om een app op mijn prive telefoon te zetten Mijn werkgever wil zelfs dat we in de zorg op locatie gaan werken en dat ze mij kunnen traceren waar ik op dat moment bent, op mijn privé telefoon ???? Het moet niet gekker worden ! Ik hoop ook dat dit nooit geaccepteerd gaat worden !!!

  8. Ik ben wel geïnteresseerd naar de beveiligingsanalyse van deze privé GSM’s? Ik ben echt geïnteresseerd in een veilige GSM, maar heb er nog geen gevonden (of ooit ruim meer dan 1000 euro en die zullen de aangehaalde app waarschijnlijk niet toelaten.). Welke bekwame werkgever gaat dit risico op zich nemen? Een specifiek hardware token wordt dan wel een zeer aantrekkelijk alternatief.

  9. Ik ben het met je oneens. De werknemer moet zich wel eens waar als goed werknemer gedragen, maar daaruit volgt nog niet dat de werknemer software van de werkgever op zijn privé apparatuur moet installeren. Met software komen altijd risico’s. Daarnaast kunnen persoonsgegeven worden verwerkt. En het kan ook nog zo zijn dat je die software voor je zelf wilt gebruiken en dat dan mogelijk niet meer zou kunnen.

    Bovendien, zijn er hier te weinig argument aangedragen. Ja, een mobiele telefoon kost geld, maar je hebt er al een voor 80 euro. Als ik uitga van vijf jaar met vijf werkdagen per week en 25 vakantiedagen, dan hebben we het over een investering van 6,5 cent per werkdag per werknemer. En waarom zou er niet één telefoon gekocht kunnen worden die vervolgens door de medewerkers onderling worden gedeeld? Daarnaast zijn ook gratis VM software en Android images te downloaden. Kan deze app daar niet op draaien?

    1. En waarom zou er niet één telefoon gekocht kunnen worden die vervolgens door de medewerkers onderling worden gedeeld?

      Dat haalt het principe van 2FA onderuit: combinatie van iets wat je weet met iets wat je bezit. Zodat, als je een van de twee “factoren” kwijtraakt aan iemand anders, die persoon nog niet bij je account kan, omdat hij de andere factor van de twee niet heeft.

      Bij het delen van een telefoon hebben alle collega’s al beschikking over een van de twee factoren (“wat je hebt”). Als ze op een of andere wijze dan ook nog achter je wachtwoord kunnen komen (“wat je weet”) zijn ze binnen.

  10. Iets off-topic maar in het verlengde hiervan: werkgever outsourced payroll werkzaamheden en werknemers krijgen mogelijkheid om app op smartphone te installeren voor ziek-, betermeldingen, declaraties (reiskosten en overwerk) resp. vakantiedagen aanvragen/intrekken. Declaraties OV met bijv. NS-facturen als bijlage zijn niet te downloaden bij NS zonder alle (ook privé) reisgegevens. App is optioneel, kan ook met privé pc op internet met 2-weg verificatie via sms op privé gsm. Een andere app/website moet gebruikt worden om flexplekken op kantoor te reserveren. Voor het volgen van voor werk noodzakelijke trainingen en cursussen en aangepaste persoonlijke beschermingsmiddelen moeten werknemers de kosten voorfinancieren uit privémiddelen welke uiteraard wel vergoed worden. Blijkbaar mag dit allemaal (klopt dat?), maar is zoiets niet instemmingsplichtig volgens de WOR? Blijft bijzonder toch, dat aanspraak doen op privémiddelen. Dat werknemer verplicht wordt om als kleine bedrijfsbank te dienen voor uitoefening van werk en om bedrijfsgerelateerde zaken met privémiddelen in privétijd te communiceren. Werkgever stelt overigens wel dat te gebruiken apps privacyveilig zijn, locatiegegevens zouden bijvoorbeeld niet gebruikt worden (uitgeschakeld). Komt over als bepaald kostenreducerende outsourcing van o.a. HR-taken, over de ruggen van (ca. 1000) werknemers.

    1. Ik ben geen jurist maar het lijkt mij dat je een heleboel van dit gewoon kunt weigeren. Een werkgever kan niet eisen dat je altijd je prive-mobieltje bij je hebt. Je werkgever zal dan voor een mobieltje moeten zorgen. Je werkgever kan ook niet eisen dat je een privé-computer gebruikt voor werk. Die is immers voor prive-zaken bedoeld. Je werkgever heeft ook geen controle over wat je op je prive-spullen installeert. En hoe je deze beheert. Dat is immers allemaal privé en als je een mobiel of computer voor werk nodig hebt dan zal een werkgever deze moeten verzorgen. Je kunt dus “Nee” zeggen, hoewel je baas dan niet blij zal zijn. Je eigen OV-kaart gebruiken is ook al zo’n punt.

      Probleem is al snel dat werknemers “meedenken” met hun werk en veel graag hun eigen middelen inzetten. Moet je dus niet willen, want daar zitten risico’s aan! Die ervaring heb ik zelf dankzij het faillissement van een vorige werkgever waarbij de Curator alles van waarde probeert te claimen. Je eigen laptop die je meeneemt naar de zaak kan plotseling afgenomen worden omdat het “onderdeel is van de inboedel” en dan moet jij maar aantonen dat het je eigen computer is. Handig, met al die bedrijfs-software erop!

      Dus je stapt naar HR en geeft aan dat je een bedrijfs-mobieltje nodig hebt omdat de bedrijfsapp niet werkt op je Nokia uit 2002. Je geeft aan een bedrijfs-laptop nodig te hebben omdat je Linux computer thuis niet hun Windows software aan kan en je Lynx browser de site niet kan weergeven. En je vraagt een bedrijfs-OV-Chip kaart aan omdat je er zelf geen wilt hebben of niet nodig hebt. En betreffende die trainingen en cursussen die “jij moet voorschieten”… Geef gewoon aan dat je krap bij kas zit en dat dus niet kunt voorschieten. Sterker nog, je hoeft niet eens te zeggen dat je krap bij kas zit. Dat jij het niet kan voorschieten is reden genoeg…

      Probleem is alleen dat als jij de enige werknemer bent die zo moeilijk doet dan is jouw positie binnen het bedrijf ook meteen zwaar onder druk. Dit zul je dus samen met andere werknemers moeten bespreken.

      En besef dat het de werkgever vrij staat om te vragen, maar je hoeft geen antwoord te geven. En anders, “Nee” is ook een antwoord…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.