Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.
De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

28 reacties

  1. Komt natuurlijk als praktische tip bij dat alle authenticator apps door elkaar te vervangen zijn, want dat is een open standaard. Ik zie geen reden dat de werkgever een bepaalde authenticator zou vereisten, als elke het doet. Dus installeer gewoon een andere die geen rechten vereist? Simpel opgelost, volgens mij.

  2. Er zijn meerdere wegen die naar Rome leiden. Je kunt een andere app kiezen, een waar je meer vertrouwen in hebt. Als het voornamelijk om 2FA gaat in webapplicaties zou je zelfs een browser extensie kunnen gebruiken hiervoor, dan heb je je telefoon helemaal niet nodig

      1. Goede vraag. In elk geval Dashlane werkt wel op die manier. Uiterst gemakkelijk natuurlijk dat beide stappen automatisch ingevuld worden op basis van de URL, maar strikt genomen is er m.i. geen enkele scheiding meer tussen iets weten (username en password) en iets hebben (de OTP) als het allebei prefilled wordt.

  3. Mijn werkgever gebruikt ook de Microsoft Authenticator. Maar, leuk feitje, de Google Authenticator werkt ook gewoon. Dat is allemaal hetzelfde (open?) protocol, blijkbaar. Wel verbazend dat dit niet proprietary is, maar doe er je voordeel mee!

    1. Het zijn allemaal implementaties van het Timed One Time Pass (TOTP) protocol, wat inderdaad open is. Zelf gebruik ik Authy. De MS Authenticator heeft wel wat extra mogelijkheden, bijvoorbeeld push berichten vanuit Microsoft diensten.

        1. FreeOTP is vrij spartaans, dus dat zou een goeie voor je kunnen zijn. Ook Authy kan ik als app aanraden, met backups uitgeschakeld (als je hiervan niet gediend bent). Voordeel van Authy t.o.v. FreeOTP is dat de app zelf ook nog eens beveiligd kan worden met bijvoorbeeld je vingerafdruk (netjes via de API op je telefoon, natuurlijk).

    1. SMS is wel een aantoonbaar minder veilige optie om aan 2FA te doen. Je kunt dan beter gaan voor een alternatieve app die TOTP implementeert.

      Verder; buiten dat schade moeilijk in geld uit te drukken is, lijkt mij welhaast onmogelijk om aan te tonen dat enig lek/hack/schade is veroorzaakt door een specifieke app.

  4. Vanuit een technisch oogpunt van de OTP app’s , de APP wil eenmalig een QR code kunnen scannen bij het aanzetten zodat de app gekoppeld wordt aan de bedrijfs applicatie. Als dat eenmaal gedaan is kan je de foto-rechten gewoon weer intrekken, niet langer nodig.

    Mocht je zelfs dat niet willen, is de QR code natuurlijk ook over te typen, maar hij is behoorlijk lang. En dat is met de meeste telefoon toetsenborden best fout gevoelig.

    Ik gebruik zelf de freeOTP app van RedHat (Open Source), maar ze doen allemaal hetzelfde.

  5. Wat als iemand geen geschikte telefoon heeft?

    Bovendien kan je je zeer grote vragen stellen bij de benodigde rechten locatie en contactpersonen, zeker deze laatste lijkt me zeer problematisch. Waarom worden de hardware 2FA toestellen niet gebruikt? Deze kosten zeer weinig, zijn compact en ervoor gemaakt. Ik zou een willekeurige telefoon niet betrouwen.

    Ik stel me trouwens de vraag hoe zo’n oplossingen door een veiligheidsaudit komen.

    1. Dan houdt het op, lijkt me. Maar door de bank genomen zullen dat zeer weinig werknemers zijn, en voor die ene persoon een token kopen lijkt me dan wel een te overziene uitgave. Het zou me verbazen als dit het soort bedrijf is waar een ISO 27001 auditor kind aan huis is.

  6. De reden dat die MS app de locatie kan/wil gebruiken is omdat je als beheerder kan instellen dat je access wil beperken tot bepaalde landen. Je kan dus zeggen “allow access als gebruiker in de BeNeLux is, maar deny als de gebruiker uit China komt”. Het is natuurlijk mogelijk de telefoon een valse locatie te laten opgeven als je het device geroot hebt, maar goed, het is een extra optie.

  7. True story, inmiddels al een aantal jaren geleden: werkgever vraagt aan medewerker om 2FA app te gebruiken maar stelt als aanvullende eis dat medewerker de optie om het bestandssysteem van de Android telefoon te encrypten, inschakelt. Dat is onomkeerbaar. Werknemer gaat zonder morren akkoord.

    Na het inschakelen van de encryptie is er sprake van meer dan een halvering van de performance van het toestel. Werkgever zegt: tja, hij doet het toch nog, en het is een telefoon van twee jaar oud. Logisch dat ie langzaam is.

    Dit betrof een medewerker met een niet zo hoog salaris, die geen “recht” had op een telefoon van de zaak en letterlijk al zijn spaarcentjes in zijn Nexus 6 had gestopt. Was best sneu.

    1. Ja, dat vind ik geen goed werkgeverschap. Het begint al met waarom die encryptie aan moet, om de seed van de 2FA te beschermen?? En zo’n afschuivende houding nadat de werknemer op jouw verzoek iets doet dat hem nadeel geeft, dat vind ik echt niet kunnen. Ik snap dat er dan werknemers hun telefoon “in de wc laten vallen” en dan geen telefoon meer naar het werk meenemen. Zo ga je niet met mensen om.

  8. De werkgever kan natuurlijk ook een OTP-2FA-dongle, zoals bijvoorbeeld een yubikey, aan de werknemer verstrekken. Prima alternatief. Daarmee vervalt voor de werkgever het belang om de werknemer een app op zijn privémobieltelefoon te laten zetten.

      1. Sure, het is duurder dan een app van een derde laten installeren. Maar die veiligheid is die paar tientjes per medewerker toch waard? Een Yubikey gaat jarenlang mee en kan bij uitdiensttreding gewoon naar een nieuwe medewerker.

      2. De extra veiligheid is dat toch direct waard. Je moet er toch vanuit gaan dat alles op een telefoon, laat staan een privé telefoon, onveilig is.

        Bovendien blijkt dat je proactief actie hebt ondernomen. Als je persoonsgegevens in je systemen hebt, lijkt mij dat een vereiste.

          1. Mijn huidige werkgever heeft alle werknemers twéé authenticatiesleutels gegeven (een als reserve). Onder het mom: sleutels en sleutelbeheer zijn goedkoper dan de onderzoekskosten naar de gevolgen van alle inbraken door gekraakte wachtwoorden.

  9. De werknemer heeft een behoorlijke bewijslast. De werknemer zal moeten bewijzen dat de schade is veroorzaakt door deze app en de werknemer deze schade in de uitoefening van zijn werkzaamheden heeft geleden. Artikel 7:658 BW is niet geschreven voor privé middelen die worden ingezet voor de doeleinden van de werkgever. Bij een bureastoel thuis zal dit nog wel goed gaan, maar bij een app zal dit nagenoeg onmogelijk zijn om tot een voor de werknemer gunstig resultaat te komen. En als dat wel lukt dan kan de werkgever er nog onderuit door aannemelijk te maken dat er een update beschikbaar was die deze schade zou hebben voorkomen en hij de instructie heeft gegeven om de app up to date te houden. Er zitten nog al wat haken en ogen aan software zodat ik het installeren van een app niet goed vind passen bij het idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.