Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

| AE 12706 | Security | 28 reacties

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.
De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

Mag Clubhouse eisen dat je je adresboek deelt?

| AE 12522 | Ondernemingsvrijheid, Privacy | 20 reacties

Clubhouse, de nieuwe social media app, is echt iets voor dummies, aldus een van de vele blogs over deze nieuwe dienst. Want je hoeft er weinig voor te kunnen: alleen luisteren. De app draait namelijk om live gesprekken, zonder beeld of chatten. De app is nieuw en hip, en je kunt er alleen gebruik van maken als je uitgenodigd wordt (en een iPhone hebt). En daarbij een opmerkelijk detail: “Omdat Clubhouse gebruik maakt van je contactenlijst (in je telefoon) ziet de app direct wie van je bekenden er al gebruik maakt van de app.” Dat is even geleden, dat apps je adresboek standaard leegtrekken om zo andere mensen te kunnen werven. Hoe zit dat ook alweer, mocht dat nou of niet?

Je adresboek moet je delen om anderen te kunnen uitnodigen. Doel hiervan is namelijk dat Clubhouse kan zien wie van deze mensen al een account heeft. Maar indirect natuurlijk ook het opbouwen van een groot informatiebestand van kennelijk kapitaalkrachtige mensen met interesse in high tech en het laatste en hipste, je bent startup of niet natuurlijk. (Tenzij je voor de app betaalt, gaat het om je data en niet om de dienstverlening.)

Dit delen van adresboeken is in Europa problematisch, omdat een vermelding in je adresboek een persoonsgegeven is van die contactpersoon. Die mag jij daar hebben – uitzondering voor persoonlijk gebruik en/of toestemming tot communicatie met die persoon. Maar delen van die vermelding met een ander mag in principe gewoon niet, tenzij het netjes is van wel, en in bulk lijkt me eigenlijk nooit netjes. Dat is niet waarom jij in mijn adresboek zit, juridisch gezegd: de doelbinding ontbreekt, en toestemming is er ook al niet. Dus nee.

Tegelijk zie ik ook wel de legitieme behoefte van alleen uitnodigingen willen sturen aan mensen die de app al hebben. Dus dat Clubhouse wil nagaan of een opgegeven genodigde de app heeft, dat lijkt me legitiem. Precies dat was wat Whatsapp vroeger deed, totdat onze AP ingreep: die gegevens mag je wel verwerken, maar niet zodanig dat je ze óók voor gewone marketingdoeleinden (profielopbouw van niet-klanten) kunt inzetten. De dienst stuurt nu alleen hashes van 06-nummers uit het adresboek, en de server kan daarmee zien of iemand al klant is (men heeft dezelfde hash in het klantenbestand) of niet (hash onbekend). Dit is dus wat Clubhouse ook moet gaan doen.

Arnoud

Facebook moet 3,83 miljoen euro betalen aan ontwikkelaar wegens kopiëren Nearby

| AE 12443 | Intellectuele rechten | 6 reacties

Een Italiaanse rechtbank heeft in hoger beroep bepaald dat Facebook 3,83 miljoen euro moet betalen aan de Italiaanse softwareontwikkelaar Business Competence. Dat las ik bij Tweakers. Een Italiaanse rechtbank vonniste dat de dienst het auteursrecht op een app (genaamd Faround) heeft geschonden door haar eigen concurrerende dienst. Opmerkelijk aspect: dat lijkt met name het geval te zijn geweest omdat BC haar app ter goedkeuring moest voorleggen, en Facebook zo een en ander kon afkijken.

Mijn Italiaans is niet zo sterk, maar het lijkt te zijn gegaan om een combinatie van auteursrechten en oneerlijke concurrentie. En dat laatste is met name waar Facebook vaker commentaar op heeft gekregen (en Amazon ook trouwens): mensen moeten hun app via jou aanbieden, en jij kunt dan kijken wat  er wel en niet werkt – en bij Facebook ook gewoon hoe het werkt. Dat is dan makkelijk scoren, anderen nemen het risico en als het wat oplevert dan maak je het snel na, met inside kennis.

Het is opmerkelijk dat dit Italiaanse bedrijf Facebook aanklaagt, ik ken geen eerdere zaken hierover. Ik vermoed dat veel mensen bang zijn dat Facebook ze dan verbant van hun platform, wat natuurlijk een enorm bedrijfsrisico is.

Uit het vonnis haal ik dat de rechtbank met name het auteursrecht op de databank die achter de app zit, geschonden ziet. Dit gaat om de gegevens over bedrijven en winkels die in de buurt zijn van de Facebook-gebruikers, zodat die snel naar een relevante shop kunnen als ze ergens zijn.

De originaliteit van Faround bestond erin een reeks criteria te hebben opgesteld van selectie, organisatie en presentatie van gegevens die zijn ontworpen om te werken met categorieën gegevens die worden gehost op het sociale netwerk van Facebook. Eerdere programma’s verwerkt door Facebook (Facebook Places) en derden (Foursquare en Yelp) bezitten deze niet.
De kern van het bezwaar is dan ook dat Facebook deze manier van werken heeft afgekeken, en wel door de verplicht te overhandigen broncode van Faround te inspecteren. Dit werd aangetoond door een deskundige die constateerde dat de nieuwe app van Facebook wel heel veel leek – en bovendien geheel anders was dan die eerdere apps van Facebook zelf. Dat is natuurlijk nogal verdacht.

In zo’n situatie mag de rechtbank de bewijslast omkeren: Facebook, laat je broncode zien zodat we kunnen kijken of er daadwerkelijk iets is overgenomen dat auteursrechtelijk beschermd is bij de klager. Alleen wilde Facebook daar niet aan meewerken. En dat wordt ze zeer kwalijk genomen, zo zeer zelfs dat de rechtbank concludeert dat er dan wel inbreuk moet zijn. Dat kan, hoewel het nogal een stevige conclusie is.

De redenering is dan, we zien dat Facebook veel sneller dan normaal een concurrerende app met sterk gelijkende functionaliteit op de markt heeft, nadat ze geprivilegieerde toegang heeft gehad tot de concurrent én terwijl ze weigert in detail aan te tonen dat ze het echt geheel apart heeft gemaakt. Dan ligt het meer voor de hand dat men toch heeft gekopieerd, dan dat men het echt zelf heeft gemaakt.

Arnoud

 

Misschien doet handhaven op informatieplichten wel meer pijn dan op toestemming/belang?

| AE 12135 | Privacy | 32 reacties

Whatsappen met Wopke Hoekstra? Bellen met Kajsa Ollongren of Carola Schouten? Het kan dankzij Lusha, een onlinedienst die mailadressen en telefoonnummers van het internet plukt. Zo opende Trouw onlangs. Met deze vage dienst zijn mobiele telefoonnummers te vinden van vele, vele mensen. En er is een handige browser plugin waarmee je het telefoonnummer meteen ziet… Lees verder

Is het een datalek als een app het bsn van je clipboard uitleest?

| AE 12040 | Privacy | 16 reacties

Via Twitter: Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens. Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn… Lees verder

Mag ik de hardcoded sleutel van een app gebruiken voor mijn eigen aanroepen?

| AE 11944 | Ondernemingsvrijheid | 36 reacties

Een lezer vroeg me: Ik wil gebruik maken van een online tool vanuit mijn eigen software. Helaas is een zakelijke licentie op die tool veel te duur. Nu zat ik in de bijbehorende app voor consumentengebruik te kijken, en die blijkt met een hardcoded key te authenticeren. Ik kan daarmee dus perfect een aanroep simuleren,… Lees verder

Wat gaan we doen met die corona-app van de overheid?

| AE 11876 | Privacy, Regulering | 30 reacties

De Nederlandse overheid is van plan om twee apps te gebruiken om besmettingen met het coronavirus te traceren. Dat meldde Tweakers eergisteravond. De eerste app “vertelt je of je in de buurt bent geweest van een andere gebruiker, die besmet blijkt te zijn. Je krijgt dan het advies om binnen te blijven en het verzoek… Lees verder

Mag ik mijn werknemers echt niet verplichten een tweefactorauthenticatieapp te installeren?

| AE 11630 | Ondernemingsvrijheid, Privacy | 31 reacties

Een lezer vroeg me: Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie in te voeren. Wij hebben hiervoor een breed bekende leverancier gevonden, die ons een simpele en privacyvriendelijke app beschikbaar stelt voor op de telefoons van medewerkers. Alleen: ik begrijp uit eerdere blogs dat… Lees verder

Moet ik nog zeggen dat die ondergoedfotoapp van Albert Heijn van de AVG niet mag?

| AE 11634 | Ondernemingsvrijheid, Privacy | 28 reacties

Winkelpersoneel van Albert Heijn is binnenkort in nieuwe bedrijfskleding te zien. De maat zou worden bepaald door foto’s in ondergoed. Dat las ik bij NRC (dank, vele tipgevers, ook voor dit gedicht). De foto’s worden – als ik het goed begrijp – door een AI geanalyseerd om zo de best passende maat te weten te… Lees verder

Overheid lanceert nieuwe versie van KopieID-app

| AE 11383 | Privacy, Security | 15 reacties

De Rijksdienst voor Identiteitsgegevens heeft een nieuwe versie van de KopieID-app gelanceerd die het eenvoudiger voor gebruikers moet maken om een kopie van hun identiteitsdocument te maken. Dat meldde Security.nl vorige week. Er zijn de nodige verbeteringen doorgevoerd; zo is het et doorstrepen nu eenvoudiger gemaakt en is het watermerk beter leesbaar. Ook kan de… Lees verder