Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

| AE 12706 | Security | 28 reacties

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.
De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

Deel dit artikel

  1. Komt natuurlijk als praktische tip bij dat alle authenticator apps door elkaar te vervangen zijn, want dat is een open standaard. Ik zie geen reden dat de werkgever een bepaalde authenticator zou vereisten, als elke het doet. Dus installeer gewoon een andere die geen rechten vereist? Simpel opgelost, volgens mij.

  2. Er zijn meerdere wegen die naar Rome leiden. Je kunt een andere app kiezen, een waar je meer vertrouwen in hebt. Als het voornamelijk om 2FA gaat in webapplicaties zou je zelfs een browser extensie kunnen gebruiken hiervoor, dan heb je je telefoon helemaal niet nodig

  3. Vanuit een technisch oogpunt van de OTP app’s , de APP wil eenmalig een QR code kunnen scannen bij het aanzetten zodat de app gekoppeld wordt aan de bedrijfs applicatie. Als dat eenmaal gedaan is kan je de foto-rechten gewoon weer intrekken, niet langer nodig.

    Mocht je zelfs dat niet willen, is de QR code natuurlijk ook over te typen, maar hij is behoorlijk lang. En dat is met de meeste telefoon toetsenborden best fout gevoelig.

    Ik gebruik zelf de freeOTP app van RedHat (Open Source), maar ze doen allemaal hetzelfde.

  4. Wat als iemand geen geschikte telefoon heeft?

    Bovendien kan je je zeer grote vragen stellen bij de benodigde rechten locatie en contactpersonen, zeker deze laatste lijkt me zeer problematisch. Waarom worden de hardware 2FA toestellen niet gebruikt? Deze kosten zeer weinig, zijn compact en ervoor gemaakt. Ik zou een willekeurige telefoon niet betrouwen.

    Ik stel me trouwens de vraag hoe zo’n oplossingen door een veiligheidsaudit komen.

  5. De reden dat die MS app de locatie kan/wil gebruiken is omdat je als beheerder kan instellen dat je access wil beperken tot bepaalde landen. Je kan dus zeggen “allow access als gebruiker in de BeNeLux is, maar deny als de gebruiker uit China komt”. Het is natuurlijk mogelijk de telefoon een valse locatie te laten opgeven als je het device geroot hebt, maar goed, het is een extra optie.

  6. True story, inmiddels al een aantal jaren geleden: werkgever vraagt aan medewerker om 2FA app te gebruiken maar stelt als aanvullende eis dat medewerker de optie om het bestandssysteem van de Android telefoon te encrypten, inschakelt. Dat is onomkeerbaar. Werknemer gaat zonder morren akkoord.

    Na het inschakelen van de encryptie is er sprake van meer dan een halvering van de performance van het toestel. Werkgever zegt: tja, hij doet het toch nog, en het is een telefoon van twee jaar oud. Logisch dat ie langzaam is.

    Dit betrof een medewerker met een niet zo hoog salaris, die geen “recht” had op een telefoon van de zaak en letterlijk al zijn spaarcentjes in zijn Nexus 6 had gestopt. Was best sneu.

    • Ja, dat vind ik geen goed werkgeverschap. Het begint al met waarom die encryptie aan moet, om de seed van de 2FA te beschermen?? En zo’n afschuivende houding nadat de werknemer op jouw verzoek iets doet dat hem nadeel geeft, dat vind ik echt niet kunnen. Ik snap dat er dan werknemers hun telefoon “in de wc laten vallen” en dan geen telefoon meer naar het werk meenemen. Zo ga je niet met mensen om.

  7. De werkgever kan natuurlijk ook een OTP-2FA-dongle, zoals bijvoorbeeld een yubikey, aan de werknemer verstrekken. Prima alternatief. Daarmee vervalt voor de werkgever het belang om de werknemer een app op zijn privémobieltelefoon te laten zetten.

  8. De werknemer heeft een behoorlijke bewijslast. De werknemer zal moeten bewijzen dat de schade is veroorzaakt door deze app en de werknemer deze schade in de uitoefening van zijn werkzaamheden heeft geleden. Artikel 7:658 BW is niet geschreven voor privé middelen die worden ingezet voor de doeleinden van de werkgever. Bij een bureastoel thuis zal dit nog wel goed gaan, maar bij een app zal dit nagenoeg onmogelijk zijn om tot een voor de werknemer gunstig resultaat te komen. En als dat wel lukt dan kan de werkgever er nog onderuit door aannemelijk te maken dat er een update beschikbaar was die deze schade zou hebben voorkomen en hij de instructie heeft gegeven om de app up to date te houden. Er zitten nog al wat haken en ogen aan software zodat ik het installeren van een app niet goed vind passen bij het idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS