Hoe krijg ik security op de kaart bij mijn kinderopvang?

| AE 13099 | Informatiemaatschappij, Privacy | 5 reacties

congerdesign / Pixabay

Een lezer vroeg me:

Onze kinderen gaan naar de kinderopvang. Het bureau gebruikt hiervoor een SaaS-platform van een derde, met daarin dus alle persoonsgegevens (inclusief bsn en benodigde gezondheidsinformatie). Maar meer dan een wachtwoord wordt er niet gebruikt, en je mag zo te zien onbeperkt wachtwoorden proberen. Ik maak me daar grote zorgen over, ik zie dit zo gehackt worden. Wat kan ik doen, zijn er juridische middelen?
Er zijn vele, vele pakketten en diensten als deze. Nu we als maatschappij graag onze zaakjes zo veel mogelijk online willen regelen, is het logisch dat er allerhande portalen, apps en diensten komen waarmee dat kan. En die slaan dan dus al die gegevens op, die vaak wettelijk nodig zijn (zoals bsn bij kinderopvang) of waarzonder men niet kan werken (zoals allergie-gegevens).

Er zijn tegelijk maar weinig wettelijke kaders. De AVG is natuurlijk de bekendste. Deze bepaalt dat zulke gegevens goed beschermd moeten zijn, maar schrijft geen specifieke security-eisen voor. Je moet zelf, op basis van de situatie, de kosten en de te verwachten bedreigingen, een afweging maken om het zo goed mogelijk op orde te maken.

Er is ook geen toezichthouder die preventief je platform komt screenen of een audit komt uitvoeren. Of zelfs maar komt eisen dat jij een audit laat uitvoeren of wat dan ook. Wie het heel treurig wil formuleren, komt dus tot de conclusie dat alles AVG proof is totdat blijkt dat dat niet zo is. Door een hack of datalek dus. Ik word daar inderdaad niet vrolijk van.

En natuurlijk, dan mag de kinderopvang de rommel opruimen en de schade vergoeden. Want ook als ze dit zonder enige kennis van digitale zaken inkopen, zij blijven onder de AVG de verwerkingsverantwoordelijke en zij zijn aansprakelijk voor alles dat er mis gaat. (Op papier kunnen ze dat verhalen op de leverancier, of ze dit in de onderhandelingen van het servicelevelcontract afdwingen blijft natuurlijk giswerk.)

Als je als ouder een vermoedelijk datalek of ander probleem zit, kun je dat natuurlijk aankaarten. Alleen lastig: het bureau kan er niets mee, want die heeft de kennis niet. En de leverancier van het platform is vaak lastig bereikbaar voor de eindklanten, of heeft er weinig belang bij theoretische risico’s snel op te pakken.

Dus veel praktische oplossingen zijn er niet. Specifiek bij kinderopvang is er wellicht nog de route van de oudercommissie, die bij het bureau kan aankaarten dat er zorgen leven en of er wat anders bedacht kan worden. Mijn gevoel is dat bij veel van dergelijke commissies de zorg om digitale veiligheid niet heel hoog is, maar het is het proberen waard.

Arnoud

Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

| AE 12706 | Security | 28 reacties

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.
De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

Mag Clubhouse eisen dat je je adresboek deelt?

| AE 12522 | Ondernemingsvrijheid, Privacy | 20 reacties

Clubhouse, de nieuwe social media app, is echt iets voor dummies, aldus een van de vele blogs over deze nieuwe dienst. Want je hoeft er weinig voor te kunnen: alleen luisteren. De app draait namelijk om live gesprekken, zonder beeld of chatten. De app is nieuw en hip, en je kunt er alleen gebruik van maken als je uitgenodigd wordt (en een iPhone hebt). En daarbij een opmerkelijk detail: “Omdat Clubhouse gebruik maakt van je contactenlijst (in je telefoon) ziet de app direct wie van je bekenden er al gebruik maakt van de app.” Dat is even geleden, dat apps je adresboek standaard leegtrekken om zo andere mensen te kunnen werven. Hoe zit dat ook alweer, mocht dat nou of niet?

Je adresboek moet je delen om anderen te kunnen uitnodigen. Doel hiervan is namelijk dat Clubhouse kan zien wie van deze mensen al een account heeft. Maar indirect natuurlijk ook het opbouwen van een groot informatiebestand van kennelijk kapitaalkrachtige mensen met interesse in high tech en het laatste en hipste, je bent startup of niet natuurlijk. (Tenzij je voor de app betaalt, gaat het om je data en niet om de dienstverlening.)

Dit delen van adresboeken is in Europa problematisch, omdat een vermelding in je adresboek een persoonsgegeven is van die contactpersoon. Die mag jij daar hebben – uitzondering voor persoonlijk gebruik en/of toestemming tot communicatie met die persoon. Maar delen van die vermelding met een ander mag in principe gewoon niet, tenzij het netjes is van wel, en in bulk lijkt me eigenlijk nooit netjes. Dat is niet waarom jij in mijn adresboek zit, juridisch gezegd: de doelbinding ontbreekt, en toestemming is er ook al niet. Dus nee.

Tegelijk zie ik ook wel de legitieme behoefte van alleen uitnodigingen willen sturen aan mensen die de app al hebben. Dus dat Clubhouse wil nagaan of een opgegeven genodigde de app heeft, dat lijkt me legitiem. Precies dat was wat Whatsapp vroeger deed, totdat onze AP ingreep: die gegevens mag je wel verwerken, maar niet zodanig dat je ze óók voor gewone marketingdoeleinden (profielopbouw van niet-klanten) kunt inzetten. De dienst stuurt nu alleen hashes van 06-nummers uit het adresboek, en de server kan daarmee zien of iemand al klant is (men heeft dezelfde hash in het klantenbestand) of niet (hash onbekend). Dit is dus wat Clubhouse ook moet gaan doen.

Arnoud

Facebook moet 3,83 miljoen euro betalen aan ontwikkelaar wegens kopiëren Nearby

| AE 12443 | Intellectuele rechten | 6 reacties

Een Italiaanse rechtbank heeft in hoger beroep bepaald dat Facebook 3,83 miljoen euro moet betalen aan de Italiaanse softwareontwikkelaar Business Competence. Dat las ik bij Tweakers. Een Italiaanse rechtbank vonniste dat de dienst het auteursrecht op een app (genaamd Faround) heeft geschonden door haar eigen concurrerende dienst. Opmerkelijk aspect: dat lijkt met name het geval te… Lees verder

Misschien doet handhaven op informatieplichten wel meer pijn dan op toestemming/belang?

| AE 12135 | Privacy | 32 reacties

Whatsappen met Wopke Hoekstra? Bellen met Kajsa Ollongren of Carola Schouten? Het kan dankzij Lusha, een onlinedienst die mailadressen en telefoonnummers van het internet plukt. Zo opende Trouw onlangs. Met deze vage dienst zijn mobiele telefoonnummers te vinden van vele, vele mensen. En er is een handige browser plugin waarmee je het telefoonnummer meteen ziet… Lees verder

Is het een datalek als een app het bsn van je clipboard uitleest?

| AE 12040 | Privacy | 16 reacties

Via Twitter: Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens. Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn… Lees verder

Mag ik de hardcoded sleutel van een app gebruiken voor mijn eigen aanroepen?

| AE 11944 | Ondernemingsvrijheid | 36 reacties

Een lezer vroeg me: Ik wil gebruik maken van een online tool vanuit mijn eigen software. Helaas is een zakelijke licentie op die tool veel te duur. Nu zat ik in de bijbehorende app voor consumentengebruik te kijken, en die blijkt met een hardcoded key te authenticeren. Ik kan daarmee dus perfect een aanroep simuleren,… Lees verder

Wat gaan we doen met die corona-app van de overheid?

| AE 11876 | Privacy, Regulering | 30 reacties

De Nederlandse overheid is van plan om twee apps te gebruiken om besmettingen met het coronavirus te traceren. Dat meldde Tweakers eergisteravond. De eerste app “vertelt je of je in de buurt bent geweest van een andere gebruiker, die besmet blijkt te zijn. Je krijgt dan het advies om binnen te blijven en het verzoek… Lees verder

Mag ik mijn werknemers echt niet verplichten een tweefactorauthenticatieapp te installeren?

| AE 11630 | Ondernemingsvrijheid, Privacy | 32 reacties

Een lezer vroeg me: Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie in te voeren. Wij hebben hiervoor een breed bekende leverancier gevonden, die ons een simpele en privacyvriendelijke app beschikbaar stelt voor op de telefoons van medewerkers. Alleen: ik begrijp uit eerdere blogs dat… Lees verder

Moet ik nog zeggen dat die ondergoedfotoapp van Albert Heijn van de AVG niet mag?

| AE 11634 | Ondernemingsvrijheid, Privacy | 28 reacties

Winkelpersoneel van Albert Heijn is binnenkort in nieuwe bedrijfskleding te zien. De maat zou worden bepaald door foto’s in ondergoed. Dat las ik bij NRC (dank, vele tipgevers, ook voor dit gedicht). De foto’s worden – als ik het goed begrijp – door een AI geanalyseerd om zo de best passende maat te weten te… Lees verder