Een lezer vroeg me:
Mijn werkgever eist dat ik een app op mijn privételefoon installeer. Ik maak me zorgen over misbruik van mijn persoonsgegevens door de app-leverancier. Er staat op de site van de app niets over privacy, en de werkgever reageerde verbaasd dat ik hiernaar vroeg. Welke AVG argumenten kan ik gebruiken om mijn zorgen kracht bij te zetten?We hebben het natuurlijk al vaker gehad over zakelijke apps op de eigen telefoon. In 2018 bijvoorbeeld over een tweefactorauthenticatieapp en in 2019 zelfs een geval waarbij de werknemer ook maar snel een telefoon moest kopen(!) zodat daar een werkapp op gezet kon worden.
De strekking van het antwoord is steeds hetzelfde: de werkgever moet zorgen voor de spullen waarmee het werk wordt uitgevoerd. Als er dus apps nodig zijn voor werkzaken, dan moet de werkgever een apparaat geven waar die app op gebruikt kan worden. Of dat nou gaat om tijdschrijven, authenticatie, e-mail of wat anders is niet relevant.
De enige echte uitzondering is je loonstrookje. Als de werkgever die via een digitale omgeving beschikbaar stelt, dan heb je twee keuzes: of je installeert de app, of je meldt dat je je loonstrookje op papier wilt hebben. Dat laatste is je wettelijk recht, maar er is géén recht om een specifiek digitaal kanaal aan te wijzen zoals een pdf per mail.
Er is nog een soort-van uitzondering: als het normaal is dat een werknemer zelf voor die spullen zorgt, dan heeft de werknemer daar ook nu voor te zorgen. Het clichévoorbeeld is de professioneel kok die eigen messen meeneemt omdat die op zijn handen zijn afgestemd. Dit haakt in op “goed werknemerschap”: je moet redelijk en constructief zijn naar je werkgever toe. En als een app geen problemen of risico’s geeft (bv. een 2FA authenticator), dan is het best onredelijk om dan ‘nee’ te zeggen.
Als de werkgever een app aanwijst voor het werk, dan is de werkgever natuurlijk wel aansprakelijk voor wat die app doet. Dat raakt dus aan de AVG maar ook aan andere wetten, zoals in 2021 behandeld. Dit betekent dat hij onder de AVG de benodigde informatie moet verstrekken over wat de app verzamelt en doet op het gebied van persoonsgegevens. Dat mag in eerste instantie op het niveau van “hier is de privacyverklaring van de app-leverancier” maar hij mag niet verwijzen naar de helpdesk en je het zelf laten uitzoeken. (Voor de fijnproevers: het maakt daarbij niet uit of de app-leverancier kwalificeert als verwerker of verwerkingsverantwoordelijke.)
Als de app-leverancier in het geheel niets meldt over privacy, dan zou ik ernstig de wenkbrauwen optrekken. Het is haast ondenkbaar dat een app anno 2024 niets verzamelt, dus hier klopt iets niet. Dus daar drukt de zorgplicht van de werkgever extra zwaar.
Arnoud
Cynische vertaling: “Ik heb geen zin in MFA en probeer de AVG nu te gebruiken om dat te saboteren. Als de werkgever me een telefoon speciaal voor die app verstrekt kan ik die makkelijk vergeten maar met mijn privé telefoon is dat niet echt een optie.”
En ja, ik heb het meegemaakt dat mensen dit gewoon toegaven.
Ik heb geen persoonlijke smartphone, omdat ik het ergonomische ondingen vindt. Mijn baas heeft mij er een gegeven om te proberen, maar dat heeft mij slechts in mijn mening gesterkt.
Voor MFA heb ik twee USB sleutels van de werkgever gekregen, goedkoper dan voor iedere werknemer een smartphone aanschaffen.
Maar die sleutels zijn ook makkelijk te vergeten/verliezen, dus die lossen het sabotage probleem niet op.
Ik heb bij meerder werkgevers met USB sleutels gewerkt en ben ze tot nu toe nooit verloren of thuis laten liggen. (Ik heb wel eens mijn toegangsbadge thuis laten liggen.) Het helpt als de USB sleutel aan een sleutelbos zit.
Wat ik zou doen als ik manager was: Degene die zijn sleutel vergeten is als een lagerschoolkind naar huis sturen om de sleutel op te halen. En ‘ middags een uurtje langer blijven als compensatie voor de verloren tijd.
Nee, die manager gaat de schuld neerleggen bij de IT-afdeling en eisen dat er een inlogmogelijkheid komt zonder MFA
De manager spant samen bij het ondergraven van MFA. Als je eens weet hoeveel dat de werkgever kan kosten…
MFA is er niet voor de lol. In sommige branches is het een (effectief) verplicht onderdeel van gegevensbescherming. Voor andere bedrijven is het een goede investering om problemen met inbraken (ransomware) te voorkomen.
Dat zal voor sommige mensen ongetwijfeld een reden zijn, maar je kan niet zomaar op voorhand doen alsof dat voor iedereen of voor deze specifieke lezer het geval is. Ik hecht zelf ook bijzonder veel waarde aan security en ben groot voorstander van MFA, maar ik weiger ook om voor mijn werk een app te installeren op mijn prive-telefoon. Dat heeft niets te maken met geen MFA willen.
Zeker als het gaat om “beheersapplicaties” die bestanden naar “de baas” kunnen opsturen, bestanden kunnen verwijderen of de complete telefoon wissen.
Als een werkgever dat wil geeft hij me maar een bedrijfstelefoon.
Op iOS kan je Privacy Report inschakelen voor apps, dan logt iOS welke hostnames die app allemaal contact mee maakt.
Dan kan je ook makkelijker weerleggen dat het allemaal wel goed zit met die app. Zo heb ik ontdekt dat er een heleboel telemetrie in de mobiele Outlook-app zit. Die babbelt zelfs met concurrent Google.
Als je zelfs moet uitkijken voor zaklampapps omdat ze je telefoon leegrekken, is het nooit zo dat het geen risico’s geeft. Hooguit dat het gebruik van de app ingeburgerd is.
Deze vraag komt toch geregeld langs, niet alleen hier maar ook op reddit e.d. Wat ik niet goed begrijp is waarom het toch telkens weer trammelant geeft; als een werknemer toch zegt “Sorry werkgever, maar liever niet op mijn prive-telefoon”, om wat voor reden dan ook, dan is het goedkoopste en eenvoudigste antwoord toch “Prima, hier heb je een goedkope telefoon of een usb device of een tokengenerator”? Op de kosten van een gemiddelde werknemer is alleen al het discussieren erover duurder dan gewoon zo’n token aanschaffen.
Ik weiger zelf ook om voor mijn werk noodzakelijke apps op mijn prive-telefoon te installeren. De oplossing was heel eenvoudig, namelijk een tweede telefoon die ik op mijn werk bewaar voor die apps (authenticatie met name). Vaker al heb ik (op o.a. reddit) uitgelegd waarom ik het weiger maar elke keer weer zijn er mensen die zich geroepen voelen daar boos over te worden, inclusief verwensingen en schuttingtaal, alsof ik ze persoonlijk benadeel. Het is een merkwaardig verschijnsel.
Het goedkoopste en eenvoudigste antwoord is “Stel je niet aan, installeer dat gewoon ik zie het probleem niet.” Want het gaat om een concreet probleem van de werkgever waar een abstract bezwaar tegenover staat. Dat bezwaar kom je zelden tegen dus daar is dan niet meteen begrip voor.
Oke, de op een na eenvoudigste oplossing dan, of de eenvoudigste in gevallen waarbij de werknemer zegt “Nee”.
Ik ben het er overigens niet mee eens dat het bezwaar altijd abstract is. In veel gevallen is het dat wel, als iemand bijvoorbeeld in het algemeen een niet nader gespecificeerd privacy-bezwaar heeft tegen bijvoorbeeld de Google of Microsoft authenticator.
In het geval van deze lezer vind ik het al veel minder abstract. Het lijkt hier niet om een standaard-app te gaan zoals zo’n authenticator, want die hebben allemaal een armlange privacy-verklaring, terwijl deze app dat blijkbaar niet heeft. Lezer heeft ook moeten zoeken op de website van de aanbieder, dat is een teken dat die app niet uit de standaard app-store komt (want dan zou je daar bij het installeren de privacy-statement kunnen lezen) en dan voldoet die app dus misschien ook niet aan de eisen die bijvoorbeeld Google en Apple aan apps in hun store stellen. Dat je daar dan vragen over hebt, of je zorgen maakt over welke data die app zou kunnen verzamelen of wat de leverancier of werkgever kan zien vind ik niet meer dan terecht. Je moet je prive-telefoon natuurlijk zorgeloos kunnen gebruiken voor prive-doeleinden waar je je werkgever liever buiten houdt. Ik noem maar iets als een periode-tracker voor vrouwen die zwanger willen worden, of een dating-app voor homosexuelen.
Meer in het algemeen nog zijn er naast privacy nog enkele andere bezwaren die ook niet abstract zijn.
Ik heb hier ook wel eens “nee” op gezegd, maar dat ging specifiek om een soort bedrijfsportal-app, en die wilde vervolgens allerlei security-settings overnemen. Toen ik wat verder zocht, zag ik ook nog dat die app het bedrijf de mogelijkheid gaf om van afstand mijn telefoon te wissen.
Misschien is “ik weet niet wat de app doet” te abstract, maar “ik weet niet wat de app doet en ik heb slechte ervaringen met soortgelijke apps” toch wel concreet genoeg.
Je lijkt mij bevooroordeeld: je stelt dat een werknemer op grond van goed werknemerschap een app moet installeren als deze geen problemen of risico’s geeft; en daarna benoem je dat het installeren van een app met risico, maar als de werkgever daar informatie over geeft dan is het goed. De werkgever hoeft de digitale loonstrook niet als PDF aan te bieden, omdat dat geen recht is, terwijl de werknemer wel even een app moet installeren op zijn privé telefoon, terwijl dat geen recht is. Over goed werkgeverschap rep je niet, terwijl dat in de praktijk toch een stuk omvangrijker is.
Is het niet ook vanuit de werkgever ook waanzinnig dubieus om dingen te vereisen op een privetelefoon? Ze hebben amper sturing op alle andere dingen in die telefoon, dus je zou naast de 2FA voor werk ook een bak aan dubieuze andere apps kunnen installeren waardoor de beveiliging uiteindelijk wordt geschaad.
Ik denk dat het voor zowel werknemer als werkgever belangrijk is de stromen niet door elkaar te laten lopen.
Ik denk dat daar dan een vergoeding tegenover moet staan die genereus genoeg moet zijn om daar een (niet al te kostbare maar wel adequate) tweede telefoon van de kopen. Dan kan die werkgever daar naar hartenlust zijn spyware op zetten, en blijf je op je privé telefoon daarvan gevrijwaard. Dat maakt het ook makkelijk om het ding uit te zetten of thuis te laten als je niet voor je werk bezig bent.
Bij een twee jarig abonnement praat je dan over een bedrag van minimaal 20 euro per maand.
Waarom zou je het op die manier oplossen en in dat geval niet de werkgever de telefoon laten verstrekken? Er zitten nogal wat haken en ogen aan je oplossing bij bijvoorbeeld uitdiensttreding en een telefoon die defect raakt.
Klopt, daar hoort dus een verzekering tegen defecten en diefstal bij, en inderdaad bij uitdiensttreding zou de baas dan jouw toestel moeten overnemen en het nog lopende abonnement afkopen of overnemen… (hebben ze toch nodig voor jouw opvolger) of gewoon voor de duur van het contract doorbetalen.
Waarom moet ik zelf m’n toestel regelen (en verzekeren), maar wordt dat voor m’n opvolger wél door het bedrijf geregeld?
Los daarvan zou ik er als bedrijf ook niet op zitten te wachten om allerlei exotische type telefoons over te moeten nemen van ex-medewerkers, maar liever één of twee types aanhouden.
Ik snap heel goed dat het voor mensen die echt een telefoon van de zaak nodig hebben, het dus voor een bedrijf veel slimmer is om dat even zelf te regelen…. en als het alleen om een identifier appje gaat valt daar nog mee te leven op een privé telefoon, maar als daar allerlei Orwelliaanse troep mee moet komen, dan is het voor toch echt iets anders.
Dat “valt nog mee te leven” is wel een van de issues die ook meespelen waar ik eerder aan refereerde.
Een van de problemen met het accepteren van “alleen maar een authenticator app” is dat je vanaf dat moment het principiele argument “werkgever moet voor middelen zorgen” of “Ik wil mijn prive-telefoon prive houden” niet meer kan gebruiken. Die dingen vind je dan blijkbaar niet heel erg zwaarwegend, anders had je immers ook niet die authenticator geaccepteerd.
Op het moment dat je dus die grens van wat je toelaatbaar acht ergens in het midden legt tussen “Nee, mijn device” en “Ja hoor, ik instaleer alles wat jij wil dat ik installeer” ben je continue in het nadeel en kan je eigenlijk niet meer terug. De huidige praktijk leert dat bedrijven, ondanks allerlei mooie woorden over het respecteren van privacy, steeds meer en meer data willen vergaren.
De authenticator app is een mooi voorbeeld. Voorheen, of in veel gevallen nu nog, is dat een app die offline werkt en met de huidige tijd als seed een zes-cijferige code maakt die je dan moet invoeren. De laatste authenticator app van Microsoft werkt (of kan werken, ik weet niet zeker welke mogelijkheden er allemaal zijn, maar dit is er een van) niet langer zo maar stuurt een push-bericht naar je telefoon met een twee-cijferige code die je moet invoeren, of een pop-up met een vraag om bevestiging waarvoor je je vingerafdruk moet scannen. Deze app heeft Internetaccess nodig, ontvangt push-berichten, wil je locatie weten, en heeft een armlange privacy statement waarin staat dat ze verzamelde gegevens mogen gebruiken voor marketing doeleinden. Dit is niet langer een eenvoudige offline zes-cijferige code generator, het is een connected app waarvoor je een account nodig hebt, die data vergaart en deze deelt. Maar kan je dit nog wel weigeren zonder dat je in een arbeidsconflict terecht komt omdat je “ineens” lastig bent gaan doen? Het is toch nog steeds “alleen maar” een authenticator? En “zoveel data gebruikt het niet”, en “ja je hebt toch ook apps X, Y en Z die je locatie willen hebben en gebruiken?”. En als je dan deze toestaat, en volgende maand komen ze met een app die je nodig hebt om te kunnen printen, of koffie te pakken, of toegang te krijgen, en je moet NFC aanzetten of een gesloten app van een printer-leverancier installeren, kan je dan nog wel weigeren?
Al die issues voorkom je door gelijk vanaf het begin een streep te trekken en je eigen prive-telefoon prive te houden.
Nog een reden waarom ik blij ben dat ik nooit akkoord ben gegaan met het gebruik van mijn prive-mobiel voor zakelijke toepassingen is dat ik een Murena Fairphone 5 met /e/OS ( https://murena.com/shop/smartphones/brand-new/murena-fairphone-5/) ga bestellen als mijn volgende telefoon. Dat was al een tijdje mijn plan op het moment dat mijn huidige telefoon het op zou gaan geven maar ik wachte nog op de Fairphone 5 ipv de 4. Als ik allerhande zakelijke apps geinstaleerd had zou dat nu een probleem hebben gegeven. De levertijd van die telefoon is een week of twee, dus als mijn toestel kapot zou zijn gegaan zou ik twee weken zonder hebben gezeten, en de kans is zeer aanwezig dat op die telefoon die Microsoft authenticator niet gaat draaien, en de Teams app al helemaal niet. Als ik dat nodig had gehad zou ik een probleem hebben gehad en had ik of een ander toestel moeten kiezen, of had ik alsnog moeten gaan vragen om een zakelijk toestel, waarbij je dan weer diezelfde issues krijgt. Nu heb ik die niet, alle zakelijke apps zitten alleen en uitsluitend op het toestel van de zaak, en prive kan ik kiezen wat ik wil.
Als het gaat om een pure TOTP authenticatie, waarvan je een app naar eigen keuze kan installeren vind ik het acceptabel om die op je prive toestel te installeren. Deze is namelijk ook voor andere multi factor authenticatie te gebruiken voor andere sites dan die van je werkgever. Voor hardnekkige weigeraars die denken op die manier een zakelijk toestel af te kunnen dwingen kan je een hardware token zoals de OTP-200 aanschaffen. Als je dat aanbiedt gaan ze vaak toch overstag.
Voor bedrijfsspecifieke apps en afgedwongen dubieuze apps van Microsoft ben ik met je eens dat je dat niet hoeft te accepteren op een prive toestel.
Inderdaad, ik heb gewoon dezelfde authenticator app voor mijn werk, mijn github, etc.
Alleen nu kan ik dus mijn werk-mail niet meer via webmail lezen omdat dat naar de microsoft cloud gaat, en die willen perse hun (niet-totp, privacydata-slurpende) 2fa app afdwingen.
Dit klinkt alsof het krijgen van een zakelijk toestel de achterliggende motivatie zou zijn. Dat is misschien soms het geval, maar zeker niet altijd. Ik zit niet te wachten op een apart toestel, sterker nog ik heb het liefst een hardware token. En ook bij alleen TOTP met een app naar eigen keuze blijf je het eerder geschetste probleem houden dat je dan toch je prive-telefoon gaat gebruiken voor je werk en dat je dan dus het principiele argument dat je dat niet wil niet meer kan gebruiken.