Mag je als werkgever bepalen wat er op een BYOD laptop geïnstalleerd wordt?

| AE 12537 | Ondernemingsvrijheid, Security | 18 reacties

Een lezer vroeg me:

Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en de werkgever het bedrag vergoedt via de werkkostenregeling. Nu zeggen collega’s dat ze dus op hun eigendom alles mogen installeren dat ze willen, inclusief applicaties die adminrechten nodig hebben. Dat zie ik als security officer als een groot risico, maar hoe zit het juridisch met deze positie?
Je kunt inderdaad werknemers een vergoeding via de werkkostenregeling geven voor de aanschaf van apparatuur zoals een laptop. Maar dat is inderdaad dan ook een privélaptop, waar de werknemer mee mag doen wat zhij wil. Inclusief installeren van gare software met adminrechten.

Als werkgever kun je dan natuurlijk zeggen dat die laptop niet veilig genoeg is om het werk mee te doen. Dat is je goed recht, alleen moet de werknemer dan wel een andere laptop krijgen om mee te kunnen werken.

Er is een uitzondering, en die heet de gerichte vrijstelling: als de laptop voor 90% of meer zakelijk gebruikt wordt, dan kun je de werknemer deze geven en gaat het bedrag niet uit deze regeling. Wel moet het dan noodzakelijk zijn:

‘Noodzakelijk’ betekent dat de werknemer zonder de voorziening zijn dienstbetrekking niet goed kan uitoefenen. Dat houdt in dat de werknemer de voorziening voor zijn werk nodig heeft en gebruikt. De mate van dat zakelijke gebruik is daarbij niet doorslaggevend.
In die situatie kun je de laptop als werklaptop zien en behandelen, inclusief veiligheidsrestricties die redelijkerwijs nodig zijn. Echt privé is de laptop dan niet: bij uitdiensttreden moet deze teruggegeven worden aan de werkgever.

Arnoud

Ransomware is inderdaad ook een datalek als je niet uitkijkt

| AE 12436 | Security | 1 reactie

De persoonsgegevens van een onbekend aantal ANWB-leden liggen mogelijk op straat door een datalek bij een incassobureau. Dat meldde Nu.nl onlangs. Het gaat om mensen die in contact zijn geweest met Trust Krediet Beheer (TKB), dat namens de ANWB betalingen incasseert bij wanbetalers. Het datalek betreft gijzelsoftware (ransomware) dat gegevens van TKB ontoegankelijk had gemaakt. De ANWB informeerde meteen haar leden, wat heel netjes is maar wel vragen opriep: hoezo is dit nu een datalek onder de AVG?

Meestal denken mensen bij de term ‘datalek’ aan het beschikbaar komen van persoonsgegevens bij onbevoegde derden. Bijvoorbeeld wanneer iemand zonder wachtwoord bij een database weet te komen of als een Excel naar de verkeerde is gemaild. Maar de wettelijke definitie (artikel 4 AVG) is breder:

een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

Ook “vernietiging” en “verlies” zijn vormen van datalekken. Heb je je administratie maar op één datadrager en gaat die verloren, dan heb je dus een datalek in de zin van de AVG: je kunt de status van je administratie dan niet meer reproduceren. Je kunt dan bijvoorbeeld niet meer zeggen wie nog moet betalen of wie geld van jou krijgt, dan zijn persoonsgegevens (informatie over mensen) dus verloren. Dit is dus waarom je een backup moet maken.

In het geval van de ANWB en haar incassobureau TKB lijkt het onwaarschijnlijk dat de ANWB haar ledenadministratie kwijtgeraakt is door de ransomware bij TKB. Hooguit zijn de gegevens bij TKB zelf (wie hebben we aangemaand, wie heeft al betaald, welke reactie kregen we op onze laatste sommatie) verloren gegaan, maar het lijkt me vrij sterk dat men geen backup heeft. Hoewel je dat nooit zeker weet.

Ik vermoed echter dat men dit als datalek behandelt vanwege een andere reden. Al geruime tijd wordt gewaarschuwd dat ransomware niet alleen data gijzelt maar het vaak ook steelt. Als je toch al bij alle data kunt, waarom zou je dan niet even een kopietje trekken om daar achteraf misdadige dingen mee te doen? “Dank je voor het betalen voor de sleutel, dat bewijst dat je je zorgen maakt over deze data, graag nog eens 1 bitcoin want anders zet ik je klantendatabase op internet”. Dus dan is ransomware een datalek zelfs als je nog goede backups hebt.

De ANWB waarschuwt in haar mail (via) dan ook vooral om op te letten voor misbruik van je contact- en facturatiegegevens. Want een nepfactuur voor lidmaatschap 2022 is natuurlijk een leuke bijverdienste voor dit soort criminelen.

Arnoud

Ik wil niet dat mijn klanten mijn identiteitsbewijs scannen!

| AE 12402 | Privacy, Security | 20 reacties

Een lezer vroeg me:

Als ik als IT-medewerker een bepaalde klant bezoek, moet ik me identificeren aan de deur. Fair enough, maar sinds kort moet mijn identiteitsbewijs in een scanner “ter verificatie”. Ik heb daar vraagtekens bij want als bezoeker kun je niet controleren wat de hardware en software (“Paspoort scanner” en een standaard Windows PC) wel en niet doet. Men zegt dan wel dat alles in het apparaat gebeurt en niets wordt opgeslagen, maar hoe controleer je dat? En mijn werkgever zegt dat ik gewoon naar binnen moet. Wat moet ik nu doen?
Een identiteitscontrole van een bezoeker kan gerechtvaardigd zijn, ik denk dat daar weinig discussie over bestaat. En dat je dan wil controleren of het ID-bewijs van die bezoeker echt is, dat snap ik ook. Daar zijn diverse kastjes voor, op de markt vaak bekend onder de term “ID scanner”. Die kunnen echtheidskenmerken controleren en gegevens uitlezen, en soms zelfs daar meteen een bezoekerspas mee maken.

Inzet van zo’n kastje lijkt me op zich geen probleem. Dat ondersteunt de taak die je toch al hebt, en past binnen de goede uitvoering van die noodzakelijke identiteitscontrole. Je had toch al onderbouwd (op papier) waarom je die controle moest doen, nietwaar?

Het is natuurlijk lastig te zien voor mensen wat er gebeurt met hun gegevens. Zelfs als het los kastje met alleen een stroomkabeltje is, dan nog zou deze via wifi van alles door kunnen geven. Dat mag niet als daar geen goede reden voor is.

Er zijn bedrijven die online identiteitsverificatie / ID controle doen; het kastje is dan alleen een scanner en verzendapparaat naar de dienstverlener die dan de resultaten teruggeeft. Als dat is hoe het bedrijf werkt, dan kan dat (dat bedrijf is dan een verwerker immers) maar dat moet dan wel duidelijk uitgelegd worden.

Dat is dan ook het theoretische antwoord: er mag niets dat niet duidelijk is toegelicht, dus op zijn minst moet je kunnen vragen wat er gebeurt en moet de beveiliger/portier/receptionist hier adequaat antwoord op kunnen geven. Bijvoorbeeld met een folder met toelichting.

Voel je je daar niet prettig bij, of heb je twijfels over of het allemaal wel klopt, dan heb je niet zo heel veel mogelijkheden ben ik bang. Je kunt als individu geen DPIA afdwingen, en eisen dat de AP langskomt is ook niet zo kansrijk ben ik bang.

De enige optie die ik zie is dat je naar je werkgever gaat. Die heeft immers een zorgplicht: een goed werkgever laat de privacy van zijn personeel niet in gevaar komen. Die moet dus bij die klant nadere informatie en/of waarborgen eisen, of misschien zelfs wel een ander protocol verzinnen. Ik heb zelf wel eens een klant geadviseerd om de standaardmonteurs een vaste bezoekerspas te geven. Dat is dan eenmalig een handmatige controle van identiteit, en daarna toegang met die pas.

Arnoud

Ticketmaster krijgt boete van 1,4 miljoen euro van Britse privacywaakhond

| AE 12338 | Privacy, Security | 28 reacties

Het Britse bedrijf Ticketmaster heeft een boete gekregen voor een datalek in 2018, las ik bij Nu.nl. Door een kwetsbaarheid in de chatbot op de website konden derden toegang krijgen tot betaalgegevens van 37.000 creditcardhouders, en in theorie zelfs 9.4 miljoen mensen uit de hele EU. Opmerkelijk aan de zaak vond ik vooral dat die… Lees verder

Mag je de verlichting van de Erasmusbrug op paars zetten?

| AE 12327 | Regulering, Security | 23 reacties

Het systeem om de verlichting van de Erasmusbrug in Rotterdam te veranderen was ruim een jaar via internet toegankelijk, meldde Tweakers onlangs. RTL Nieuws-reporter Daniël Verlaan kreeg een tip over het lek en wist de brugverlichting paars te maken. De brug zelf was verder niet te bedienen, maar de interface van dit systeem bleek zonder… Lees verder

ING hoeft slachtoffer van nep ‘LinkedIn-helpdesk’ niet te vergoeden

| AE 12323 | Security | 15 reacties

ING hoeft een klant die werd opgelicht door iemand die zich voordeed als de helpdesk van LinkedIn niet te vergoeden, las ik bij Security.nl. Het financiële klachteninstituut Kifid oordeelde dat de transactie binnen de risicosfeer van de klant viel en niet die van de bank. De klant had vanwege een probleem met haar LinkedIn-account hulp… Lees verder

“Camera met gezichtsherkenning meestal niet toegestaan”

| AE 12310 | Privacy, Security | 15 reacties

Het gebruik van camera’s met gezichtsherkenning is, zo las ik bij Security.nl meestal niet toegestaan voor bedrijven. Dit volgt uit een recente publicatie van de Autoriteit Persoonsgegevens. De privacytoezichthouder gaat daarom sectoren die dergelijke camera’s vaak gebruiken voorlichting geven over de regels. De Algemene verordening gegevensbescherming (AVG) verbiedt in beginsel het gebruik van biometrische gegevens om… Lees verder

Wat kan ik als mijn werkgever mijn bsn en medisch dossier lekt?

| AE 12299 | Privacy, Security | 19 reacties

Een lezer vroeg me: De laptop van mijn leidinggevende is recent gestolen. Helaas was het systeem niet versleuteld, waardoor gevoelige persoonsgegevens (zoals mijn naam, geboortedatum, BSN, handtekening en medische gegevens) door de dief te lezen zouden kunnen zijn. Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan… Lees verder

Is het ethisch hacken om het Twitterwachtwoord van Trump te raden?

| AE 12292 | Security, Uitingsvrijheid | 7 reacties

De Nederlandse ethische hacker Victor Gevers heeft vorige week naar eigen zeggen het Twitter-account van Donald Trump gehackt. Dat meldde Tweakers vorige week. Het wachtwoord (maga2020!) was eenvoudig te raden, zegt Gevers tegen Vrij Nederland. VN zegt ook dat er sterke aanwijzingen zijn dat Gevers achter een beruchte tweet van de president zat. Het gaf de… Lees verder

Met valse personalia internet bestellen is geen computervredebreuk

| AE 12233 | Regulering, Security | 18 reacties

Onder andermans naam een internetmodem bestellen en een contract afsluiten, is dat computervredebreuk? Je zit dan te internetten terwijl je weet dat je dat niet mag, dus je bent dan willens en wetens ergens binnengegaan (namelijk in de modem en het netwerk van Vodafone) waar je niet mocht zijn. Dat je geen beveiliging hebt doorbroken,… Lees verder