Onze softwareleverancier eist dat mijn personeel hun vingerafdruk gebruikt om in te loggen, wat nu?

Een lezer vroeg me:

Ik ben CTO van een dienstverlenend bedrijf. Wij maken gebruik van een externe tool voor gevoelige bedrijfsgegevens, en nu komt de leverancier met een security-update: mijn mensen moeten nu met vingerafdruk zich aanmelden, alle andere authenticatiemethoden zijn afgeschaft. Ik snap dat zij als verwerkingsverantwoordelijke zelf moeten afwegen wat veilig is, maar wat is mijn positie als werkgever nu? Ik zie de discussie al voor me.
Het is vrijwel nooit toegestaan om biometrie in te zetten voor authenticatie, de AP en de wet leggen de lat heel hoog. Ik weet niet om wat voor gegevens het gaat maar tenzij je in de nucleaire energievoorziening of defensie-ondersteuning zit, zie ik dus niet hoe de leverancier Y dit kan rechtvaardigen. Uit de Manfield-zaak weten we dat die lat voor gewone bedrijfstoepassingen te hoog ligt.

Het is inderdaad zo dat zo’n bedrijf als verwerkingsverantwoordelijke optreedt, zij beslissen zelf hoe hun applicatie werkt en welke beveiligingsmechanismen ze inzetten. (Slimmeriken die nu roepen, laat ze een verwerkersovereenkomst tekenen en eis dan een andere authenticatie: nee, zo werkt het niet.) Als klant van zo’n dienstverlener is het dus kiezen of delen of je dit wil doen.

De complicatie hier is natuurlijk dat je als goed werkgever je personeel niet mag verplichten om illegale biometrie te ondergaan. Dat het een keuze is van zo’n bedrijf om het zo te doen, staat daar los van. Als het bedrijf je personeel fouilleert en eist dat je je ontkleedt daarbij, dan zou ook vrij evident zijn dat jij je personeel daar niet aan mag onderwerpen, ook al is dat de keuze van die leverancier.

Conclusie zou dus zijn dat je de tool niet mag gebruiken. Ik zie hoe dat vervelend is, want waarschijnlijk ben je als bedrijf al enige tijd op deze tool en dan is overstappen niet eenvoudig. Maar ik zie geen andere optie, als men werkelijk tot iedere prijs weigert anders te authenticeren dan met biometrie dan houdt het op.

Arnoud

20 reacties

  1. In de contracten kan vanalles staan, maar er zijn toch best gebruikelijke passages dat als de leverancier zich niet aan wetgeving houdt daar consequenties aan verbonden zijn. In dit geval constateren we dat de AVG geschonden wordt, daar mag je als klant wat van vinden. En mogelijk heb je een contractuele stok om mee te slaan. Als is het maar contractbreuk, omdat de dienstverlening per direct niet meer toegestaan is en niet staken. Daarnaast kan er natuurlijk alsnog een verwerking plaatsvinden als onder de gevoelige bedrijfsgegevens zich persoonsgegevens bevinden. Maar dat zou los staan van de casus an sich.

  2. Conclusie zou dus zijn dat je de tool niet mag gebruiken. Ik zie hoe dat vervelend is, want waarschijnlijk ben je als bedrijf al enige tijd op deze tool en dan is overstappen niet eenvoudig. Maar ik zie geen andere optie, als men werkelijk tot iedere prijs weigert anders te authenticeren dan met biometrie dan houdt het op.

    Maar daar heeft het bedrijf van de vraagsteller praktisch niet veel aan. Als het niet is toegestaan onder de AVG, kan de afnemer de leverancier dan niet dwingen om de update ongedaan te maken of te wijzigen op zo’n manier dat de biometrie niet meer verplicht is en daarbij een schadevergoeding vorderen voor de periode waarbinnen de software niet gebruikt kan worden? De software werkte immers tot voor kort ook zonder biometrie als ik het goed begrijp en de leverancier moet op de hoogte zijn van de AVG.

    Het zou van de overeenkomst kunnen afhangen, maar wellicht kan de afnemer betogen dat het hier wanprestatie betreft, omdat de AVG zich tegen het gebruik van de software verzet en de schuldenaar (de leverancier) daarmee de overeengekomen prestatie niet nakomt. Ervan uitgaande dat er dus geen goede rechtvaardigingsgronden zijn om de biometrie te mogen gebruiken onder de AVG.

      1. De exacte historie van Aegon ken ik niet, maar ik meen me te herinneren als kind al een spaarbeleg rekening gehad te hebben. Spaarbeleg is een Aegon onderneming. Misschien overgenomen, misschien fusie, dat weet ik niet. Even gegoogled: ik vond een reclame liedje voor spaarbeleg van ene Jules de Corte uit 1961.

    1. Dat lijkt me niet. Jij hebt het over zo’n authenticator-app zoals die van Google, Microsoft of LastPass, maar daarbij is een vingerafdruk niet verplicht. Die app kan je gewoon openen als je je telefoon hebt unlocked, en dat kan ook met een pincode of zo’n patroontje. Daar is ook een alternatief voor in de vorm van zo’n hardware token. Zo’n code gebruik je naast een username/password zodat je two-factor authenticatie krijgt. En het is zeer zeker niet zo dat “iedereen toch al een vingerafdruk gebruikt”, er zijn genoeg mensen die een pincode of zelfs een lange passphrase gebruiken om hun device te unlocken.

      Hier wordt heel expliciet gezegd dat de software van die dienstverlener een vingerafdruk eist en dat alle andere methoden zijn afgeschaft. Ik ben ook erg benieuwd naar hoe dat dan in de praktijk exact werkt, maar op basis van de vraag lijkt het niet te gaan om eenvoudige two-factor authenticatie met een app.

  3. Mooi artikel! Doe nu de bank! KNAB eist tegenwoordig dat ik me biometrisch laat opmeten om meer dan 2000 euro over te mogen maken. Zonder mijn instemming, het werd gewoon van de een op de andere dag opgelegd met een wijziging aan de voorwaarden door de bank waar ik al 30 jaar* klant van ben.

    • knab is gewoon aegon in een hip jasje
  4. (Slimmeriken die nu roepen, laat ze een verwerkersovereenkomst tekenen en eis dan een andere authenticatie: nee, zo werkt het niet.)

    Eens, maar het gesprek aan gaan wil je wel. En misschien is er een klantenvereniging o.i.d. om gezamenlijk het standpunt te duiden.

    Het is vrijwel nooit toegestaan om biometrie in te zetten voor authenticatie, de AP en de wet leggen de lat heel hoog.
    Bedoel je vereisen door de werkgever, of toestaan / niet verbieden dat een werknemer het doet? Duimafdruk of gezichtsherkenning instellen om op de telefoon in te loggen is zeer gebruikelijk. Idem om de (Google / MS / andere) Authenticator app te openen. Dat ergens in een handleiding wordt uitgelegd hoe dat kan ook.

    Edit: maar inderdaad, hier zsm wegwezen als de leverancier het blijft vereisen.

    1. Zo’n authenticator-app kan je ook gebruiken zonder vingerafdruk, met een passphrase of code bijvoorbeeld. Daar zijn ook alternatieven voor in de vorm van een hardware token. In de vraag staat heel duidelijk dat een vingerafdruk de verplichte en enige mogelijkheid is, dus het lijkt mij niet te gaan om eenvoudigweg het gebruik van zo’n authenticator. Hoe het dan wel precies werkt ben ik ook erg nieuwsgierig naar; mogelijkheid is een hardware token met vingerafdruklezer, of een 2fa app specifiek voor die dienst die in tegenstelling tot de bekende authenticator apps wel echt een vingerafdruk verplicht. Dit laatste lijkt me alleen onwaarschijnlijk; niet alleen moeten al je klanten dan verplicht een telefoon met vingerafdruklezer hebben (hier ondertussen wel gebruikelijk, maar in minder rijke gebieden lopen voldoende mensen rond met oudere telefoons), maar het lijkt me ook een onnodig kostbare aangelegenheid die niets beters of meer doet dan een normale authenticator qua beveiliging.

    2. Het is vrijwel nooit toegestaan om biometrie in te zetten voor authenticatie, de AP en de wet leggen de lat heel hoog.

      Voor de duidelijkheid: het is vrijwel nooit toegestaan anderen te verplichten biometrie te ondergaan. Als je het voor jezelf doet, dan is dat uitdrukkelijke toestemming en dan is het prima. Werknemers kun je niet verplichten toestemming te geven, je kunt het ook niet verplichten op grond van het werk of jouw legitiem belang – tenzij je een kerncentrale beheert. Maar ook gasten in je gebouw, leden van je vereniging of wat dan ook. Van andermans vingers of ogen blijf je af.

      1. Noemt de wet kerncentrales expliciet als uitzondering?

        Mijn persoonlijke ervaring: in geen van de kerncentrales (of ook niet-nucleaire elektriciteitscentrales) waar ik geweest ben, werd biometrische authenticatie van mij vereist om in te kunnen loggen in applicaties.

        1. Ja, omdat juristen veel ontzag hebben voor atoomtechnologie. Dit komt uit de Memorie van Toelichting van de Uitvoeringswet AVG:

          Er dient wel een afweging te worden gemaakt of identificatie met biometrische gegevens noodzakelijk is voor authenticatie of beveiligingsdoeleinden. De werkgever zal dan moeten afwegen of de gebouwen en informatiesystemen zodanig beveiligd moeten zijn dat dit met biometrie dient plaats te vinden. Dit zal het geval zijn als de toegang beperkt dient te zijn tot bepaalde personen die daartoe geautoriseerd zijn, zoals bij een kerncentrale. Het verwerken van biometrische gegevens dient ook proportioneel te zijn. Als het om de toegang tot een garage van een reparatiebedrijf gaat, zal de noodzaak van de beveiliging niet zodanig zijn dat werknemers alleen met biometrie toegang kunnen krijgen en daartoe deze gegevens worden vastgelegd om de toegangscontrole uit te oefenen.

          1. Als in de memorie van toelichting kerncentrales als voorbeeld gegeven worden en de kerncentrales in de praktijk geen biometrische authenticatie gebruiken voor toegang tot applicaties, blijft er voor andere sectoren weinig argumentatieruimte om biometrische authenticatie te eisen over.

            1. Eens. De onderliggende aanname is wel dat kerncentrales de hoogste vorm van beveiliging nodig hebben (en dat biometrie die biedt). Ik vraag me wel serieus af of dat klopt. Ik zou bij een zorgverzekeraar meer beveiliging op data (dossiers) verwachten dan bij een energiecentrale.

  5. Als het gaat om de biometrische herkenning vanuit het is van je mobiel, waarbij de persoonsgegevens het device nooit zullen/kunnen verlaten, hoe zit die afweging dan?

    En als er geen alternatieven zijn, of dusdanig kostbaar om over te stappen dat er een hoog risico is op faillissement?

  6. Biometrie is de eenduidige identificatie van een persoon ofwel de unieke lichaamskenmerken. Gebruik van identificatie door vingerafdrukken hoeft, echter, geen unieke kenmerken te bevatten. Ook gebruik van enkele punten (vectoren) van de vingerafdruk kan gebruikt worden. Dan is er geen sprake van een 100% zekerheid dat de gebruiker de juiste persoon is, maar geeft (wellicht) voldoende zekerheid zonder dat de persoon uniek herleid kan worden. Maar een alternatieve inlogmethode aanbieden, is natuurlijk aan te raden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.