Een lezer vroeg me:
Ik ben directeur van een softwareontwikkelbedrijf en wil mijn mensen toestaan op een werkvakantie (“workation”) te gaan. De locatie kan Mexico zijn, maar dat schijnt AVG-technisch ingewikkeld te worden. Wat zijn de regels met laptopwerk in het buitenland? We hebben VPN verbindingen als dat uitmaakt.Een workation is een vrij nieuw fenomeen waarbij mensen vanaf een vakantielocatie gaan werken, en dat combineren met vakantievieren. Dit begint populair te worden, maar het roept ook vragen op.
Onder de AVG is werken vanaf een vakantielocatie niet anders dan andere vormen van werken op afstand. De regels zijn dus nog steeds simpel: persoonsgegevens mogen niet naar buiten de Europese Economische Ruimte, tenzij het land adequaat is verklaard. Mexico staat daar niet op dus het wordt Argentinië of Japan dan, als je het simpel wilt houden.
En ja, je exporteert persoonsgegevens (“draagt over”) in de zin van de AVG als je een laptop met die dingen naar een vakantieland meeneemt, of als je vanuit dat vakantieland jezelf toegang verschaft tot de gegevens. Ook als je alleen maar via een remote tool toegang hebt en de server in Nederland staat. Je kunt ze zien in Mexico, dan zijn ze geëxporteerd naar Mexico.
Juridisch speelt dan nog wel de vraag of sprake is van overdracht wanneer de persoonsgegevens feitelijk het bedrijf niet verlaten. Een werknemer die persoonsgegevens krijgt, doet dat namens het bedrijf en niet op persoonlijke titel. De samenwerkende AVG-toezichthouders menen dat deze situatie géén vorm van overdracht is wanneer het gaat om een werknemer.
Als je tijdens je werk de toegang tot persoonsgegevens weet te vermijden, dan speelt dit natuurlijk niet. Bij een softwareontwikkelaar kán ik me daar wat bij voorstellen, al blijf je altijd zitten met zaken als accounts van anderen, teamoverleg via chatdiensten en mailtjes met verzoeken.
Arnoud
Dus je mag eigenlijk ook geen smartphone meenemen als je daar werk mail/chat op hebt staan.
Ik zie de absurditeit daarvan. Ik neig daarom steeds sterker naar het standpunt van de EDPB: zolang de smartphone in handen blijft van de medewerker, gaan de persoonsgegevens niet naar een derde en is er geen sprake van overdracht.
(De reden dat ik er moeite mee heb, is dat een Justitie in dat derde land de telefoon of laptop kan vorderen en zo in strijd met de AVG persoonsgegevens kan opeisen. Maar de EDPB zegt, dat is een beveiligingskwestie en valt buiten de discussie over doorgifte of niet.)
En hoe zou je die beveiliging willen doen? Als dat andere land erin wilt, dan komen ze erin. Want ze hebben niet alleen de telefoon, ze hebben ook de eigenaar van de telefoon.
zie https://xkcd.com/538/
Zolang je niet daadwerkelijk aan workaction doet, dus alleen je telefoon meeneemt maar niet daadwerkelijk gebruikt, kun je gewoon geoblocken. Dan kan die medewerker gewoon niet bij zijn werk vanuit een onveilig land.
Een standaard geoblock instellen voor landen waar je medewerkers niet (horen te) zitten kan een hele zinvolle beveiligingsmaatregel zijn. Je komt dan uit op “whitelisten” van de IP ranges waarvandaan je medewerkers mogen werken.
Voor werkvakanties zou je tijdelijke uitzonderingen kunnen toevoegen of werknemers via een VPN laten werken. (Moet je het VPN exit point whitelisten.)
VPN’s werken twee kanten op, een aanvaller kan simpelweg een VPN opzetten waardoor het lijkt dat hij uit Nederland of een EU land komt.
Bij een (klein) bedrijf waar ik werkte hadden we de thuisadressen van de werknemers op de firewall van het bedrijf in een whitelist. Voor een wat groter bedrijf zou je een aantal ranges van Nederlandse ISP’s kunnen whitelisten. Er is geen reden om een VPN provider op jouw whitelist te hebben tenzij je werknemers deze VPN gebruiken.
En dat was AVG-technisch in orde ?
Noodzakelijk voor de uitvoering van een overeenkomst?
Ik vermoed dat de verwarring zit in de term “thuisadres”. CG denkt volgens mij dat jij de woonadressen van werknemers gebruikte, maar ik neem aan dat het om de door hen zelf doorgegeven IP-adressen van hun thuiscomputer betrof.
Nee, dat dacht ik niet, ik dacht wel degelijk dat het IP-adressen waren. Maar ook IP-adressen zijn persoonsgegevens.
Ik dacht ook al aan ‘Noodzakelijk voor de uitvoering van een overeenkomst’ rechtvaardingsgrond, maar welke overeenkomst dan? Een ’thuiswerkovereenkomst’? Had de werknemer daar wel echt een keuze, gezien de machtsverhoudingen?
En dat ‘noodzakelijk’, hoe vul je dat in? Dan moet het noodzakelijk zijn om de tegenprestatie te leveren die contractueel is overeengekomen met de andere partij, in casu de werknemer.
Deze ‘noodzakelijk’ is niet noodzakelijk voor de tegenprestatie, maar (misschien, daar heb ook nog wel mijn twijfel over) voor het door de werkgever gewenste (maar niet perse noodzakelijke) niveau van veiligheid.
Gelukkig. Nee, noodzaak zie ik ook niet als grondslag. Maar ik denk wel dat je er komt vanuit het legitiem belang van netwerkbeveiliging (overweging 46 AVG) en als duidelijk vastgelegd is dat die IP-adressen alleen gebruikt worden voor het toelaten van thuiswerkers. Specifiek daarbij is het niet echt een inbreuk op de persoonlijke levenssfeer (want ik zie je toch al inloggen met je wachtwoord) en als het niet wordt hergebruikt voor andere doelen dan zie ik de impact niet?
Ik denk niet dat je er met belangenafweging komt. Je hebt realistisch gesproken geen belang om werknemers alleen vanuit hun eigen huis te laten inloggen (misschien wel om werknemers niet uit onveilige landen te laten inloggen, maar dat is wat anders). De maatregel past dus maar heel erg bij benadering bij het vermeende belang.
Bovendien: de casus ging over mogelijk ‘lekken’ van persoonsgegevens als er corrrect ingelogd wordt vanuit een onveilig land. Dat is een administratief/persoonlijk probleem, geen technisch probleem met je netwerk
Het netwerk is niet gecompromitteerd, de data is mogelijk gelekt via een technisch toegestane weg. Eigenlijk is dat hetzelfde als een medewerker die thuis alles raadpleegt en zijn scherm capturet en dat dan opstuurt naar iemand in het buitenland. Dat los je niet op met technische maatregelen.
Een technische oplossing creeert zelfs nog meer gevaar voor je werknemer: Hij moet remote inloggen en dat lukt om een of andere reden niet. Zal die man met die machete dat accepteren? Of zal die misschien denken dat na een escalatie van pressiemiddellen de werknemer wel zal gaan meewerken?
Inderdaad:
[…] it should be kept in mind that controllers and processors are nevertheless obliged to implement technical and organisational measures, considering the risks with respect to their processing activities, in accordance with Article 32 of the GDPR. De EDPB lijkt dit geen probleem te vinden – mits maatregelen die sowieso nodig zijn aanwezig zijn.
Neemt niet weg dat ik het persoonlijk ongewenst vindt werk-apparatuur mee te nemen naar landen met verhoogde risico’s op diefstal of inname door de lokale justitie. Denk aan de adviezen van Buitenlandse Zaken om alleen een ‘burner phone’ en lege laptop te gebruiken als je naar bijv. China of Rusland gaat.
Inderdaad. De reden dat ik er moeite mee heb om dit ‘slechts’ een security-issue te noemen, is dat er ook landen zijn waar er dan ongeoorloofde druk op de werknemer wordt uitgeoefend om toegang te geven. Denk aan de VS met gag orders of Tibecuador waar je vinger eraf gaat als je niet meewerkt.
Volgens mij is voor zulke zaken het systeem van doorgifte en adequate landen bedacht: op zulke plekken moet je het risico niet nemen, blijf daar weg met persoonsgegevens. Er zijn vast securitymaatregelen om ook hiertegen te borgen, maar dat voelt als lapmiddel, je moet niet in een situatie komen waarin een technische maatregel jou redt van een werknemer die met een machete in z’n nek het wachtwoord intypt.
Ja maar dan zou je eigenlijk helemaal niet meer op vakantie mogen gaan naar die landen, als je werkt voor een bedrijf wat persoonsgegevens verwerkt die op de een of andere manier online toegankelijk zijn. Met die machete kunnen ze je ook dwingen in te loggen vanaf een eigen device.
Ik denk eerder dat de werkgever er voor moet zorgen dat je er niet aan kan. Ook dat is een vorm van een adequate beveiliging.
Wij werken met een remote-office constructie. Dus je logt remote in op een virtuele machine die binnen het bedrijfspand draait.
Heb je dan nog steeds avg/gdpr issues?
Het is technisch nog steeds mogelijk dat een werknemer met een machete in de nek remote inlogt en gegevens inziet, maar dat zou je wel als beveiligings issue kunnen zien.
Het is een AVG issue omdat ook op die manier de persoonsgegevens gebruikt worden op de laptop van de werknemer op een remote locatie. Dat je een foto moet nemen of ze overtypen in plaats van copypaste is een technisch detail. Dus ja, dit valt onder de AVG, maar is dus geen doorgifte als die werknemer in Tibecuador zit.
De AVG lijkt steeds meer die hamer waardoor alles op een spijker gaat lijken.
Dit is niet meer dan een security issue dat alleen maar zal spelen als de autoriteiten in dat betreffende land ‘kwaadaardig’ zijn. En dat betreft een klein aantal met name aan te wijzen landen waar je sowieso niet met persoonlijke/zakelijke apparatuur en data naar toe zou willen reizen. En zeer waarschijnlijk al helemaal niet op workation zou willen gaan.
Voor Mexico (en de meeste niet als adequaat verklaarde landen) is het dus werkelijk een non-issue.
Ik zie het als het verschil tussen “pas goed op je portemonnee als je gaat winkelen” en “blijf weg uit café De Boevenbende”. De eerste is een security issue, de tweede is echt een no-go.
Tja, toen ik in de VS werkte op een plek waar ook mensen aan geheime onderzoeksprojecten werkten, werd er gezegd dat we werkbestanden niet op de computer moesten hebben staan als we naar het buitenland gingen omdat de Amerikaanse (!) douane die nog wel eens in beslag wilde nemen en je dwingen die te unlocken (wat ivm die geheimen niet mocht). En dat dit in het verleden inderdaad een keer gebeurt was. De VS zou ik niet direct uitgesloten zien van worktations.
De Amerikaanse Douane heeft dat legaal recht en tot x aantal mile tot de grens. Ze doen dat ook. Volgens mij zijn ze niet de enigste.
Het is een slecht idee om met een “gewone” werklaptop of smartphone naar buiten de EU (of EER?) te gaan. Ik stel me de vraag of er dan nog sprake is van een adequaat beveiligingsniveau/-beleid vanwege de werkgever.