Mag ik mijn werknemers echt niet verplichten een tweefactorauthenticatieapp te installeren?

| AE 11630 | Ondernemingsvrijheid, Privacy | 30 reacties

Een lezer vroeg me:

Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie in te voeren. Wij hebben hiervoor een breed bekende leverancier gevonden, die ons een simpele en privacyvriendelijke app beschikbaar stelt voor op de telefoons van medewerkers. Alleen: ik begrijp uit eerdere blogs dat ik dit niet op privetelefoons mag zetten, maar het hele kantoor zakelijke telefoons moet geven enkel voor deze apps. Dat vind ik nogal wat qua kosten en beheer (een bedrijf met 80 man, iedereen heeft een eigen mobiel en men werkt op kantoor dus geen mobiele bereikbaarheid nodig). Is de wet werkelijk zo streng?

Ik heb inderdaad in het verleden altijd gesteld dat een werkgever niet mensen kan verplichten op hun privételefoon een app te installeren die voor het werk nodig is. De werkgever moet de gereedschappen leveren waarmee het werk wordt gedaan.

Uitzondering op deze wettelijke regel is als het normaal is dat de werknemer zulk gereedschap zelf meeneemt. Het clichevoorbeeld is de kapper met eigen scharen of de chefkok met eigen messen. Maar daar zit eigenlijk altijd achter dat die werknemer dat prettiger vindt dan wat de werkgever heeft liggen. Niet dat de werkgever dan goedkoper uit is.

Dat gezegd hebbende zie ik het dilemma wel bij een organisatie als deze. Je wilt het goed doen maar ook geen enorme kosten maken. En als er dan een app is die je één keer per werkdag nodig hebt (bij het inloggen voor de dag) en die verder geen rare dingen doet, wat is dan het probleem?

Je komt dan in het gebied van goed werknemerschap. Een goed werknemer doet dingen voor het werk, ook als dat niet letterlijk op papier staat of zelfs hem in geringe mate op kosten of moeite jaagt. Ik zou dat bij een simpele app als deze wel zien, als je als werkgever zegt, gebruik die alsjeblieft.

Daar staat tegenover dat een goed werkgéver ook weer rekening houdt met de belangen van werknemers. Als iemand echt bezwaar maakt (of geen mobiel heeft, om welke reden dan ook) dan zoek je een andere oplossing.

Wel zou je als werkgever iets moeten bedenken voor het geval de werknemer z’n telefoon gestolen wordt, of gewoon kapot is. Want je kunt niet verwachten dat hij binnen een dag een nieuwe telefoon heeft, en hij zal in de tussentijd toch moeten werken?

Arnoud

Moet ik nog zeggen dat die ondergoedfotoapp van Albert Heijn van de AVG niet mag?

| AE 11634 | Ondernemingsvrijheid, Privacy | 28 reacties

Winkelpersoneel van Albert Heijn is binnenkort in nieuwe bedrijfskleding te zien. De maat zou worden bepaald door foto’s in ondergoed. Dat las ik bij NRC (dank, vele tipgevers, ook voor dit gedicht). De foto’s worden – als ik het goed begrijp – door een AI geanalyseerd om zo de best passende maat te weten te komen, en kennelijk heeft niemand in de keten van hoofdkantoor-ontwikkelbedrijf-testgroep-management ergens gezegd “goh, is het eigenlijk niet raar dat we ons personeel verplichten in ondergoed op de foto te gaan”, of zelfs maar “goh wat zou er gebeuren als die foto’s op straat komen straks”. Zelfs de AP ontkwam niet aan de terechte kwalificatie van “bizar”.

Mijn eerste gedachte bij het lezen van dit artikel was natuurlijk, waaróm in vredesnaam kom je op het idee dat je hier een app voor nodig hebt. Het doorgeven van maten voor bedrijfskleding is toch iets dat werknemers al heel wat decennia doen (grapje voor wie in dienst zat: we hebben Te Groot en Te Klein, maar Past Precies is op). Maar her en der lees ik informeel dat een probleem is dat werknemers te grote kleding uitkiezen (dat werkt fijner) terwijl het bedrijf wil dat mensen precies passende kleding dragen (dat staat verzorgder). Dus moet er objectief worden gemeten, en toen was er iemand die zei, kunnen we niet een app dat laten doen met AI.

Voor de volledigheid toch even het juridisch inkoppertje. Het (laten) maken van digitale foto’s van personeel is een verwerking van hun persoonsgegevens, gebeurt dat bij slechts gekleed in ondergoed dan kom je mogelijk zelfs bij bijzondere persoonsgegevens (gezondheid). Daar is een grondslag voor nodig en als werkgever heb je alleen de noodzaak voor het werk of het eigen belang dat boven het privébelang gaat. Nog even los van hoe dit beveiligd is en wat er nog meer met die foto’s gebeurt (ik zie de commerciële waarde van verkoop aan jeugdkledingmakers wel).

Een noodzaak voor het werk zou dan zijn dat mensen correct gekleed moeten gaan en dat dat niet anders vast te stellen is, ondersteund door managersverklaringen dat personeel altijd te ruim gekleed gaat. Ik zou dan zeggen, daar kun je mensen op aanspreken, of desnoods iemand het laten opmeten. Zó veel personeelsleden per filiaal zijn er nou ook weer niet. (Oké, ik weet niet wat vervelender is, een collega met een meetlint of een AI die je ondergoedfoto op een AWS bucket in Amerika opslaat.) Dus nee, die noodzaak zie ik niet. Zeker niet omdat AH zegt, wie echt niet wil die kan gewoon zijn maten doorgeven. Om diezelfde reden krijg je de eigen noodzaak gewoon niet rond.

De belangrijkste vraag voor mij is, hoe had men gedacht dat dit het gestelde probleem zou oplossen? Voor zover ik weet heeft men alleen S, M, L en XL. Dus dan kan zo’n AI wel heel gedetailleerd taillematen met afwijkende mouwen, extra lange achterkant en strak kraagje aanraden, maar dan krijg je alsnog gewoon een L. Nee, dit geeft meer vragen dan antwoorden.

Arnoud

Overheid lanceert nieuwe versie van KopieID-app

| AE 11383 | Privacy, Security | 15 reacties

De Rijksdienst voor Identiteitsgegevens heeft een nieuwe versie van de KopieID-app gelanceerd die het eenvoudiger voor gebruikers moet maken om een kopie van hun identiteitsdocument te maken. Dat meldde Security.nl vorige week. Er zijn de nodige verbeteringen doorgevoerd; zo is het et doorstrepen nu eenvoudiger gemaakt en is het watermerk beter leesbaar. Ook kan de kopie nu worden opgeslagen voor later gebruik en is het versturen vergemakkelijkt. Allemaal mooie stappen binnen het gegeven “men wil een kopie van mijn ID, hoe maak ik dat veiliger” maar ik erger me dood dat het nodig is. Zeker in combinatie met dit bericht dat “we” onze identiteitsbewijzen kwijtraken en dat “we” dus beter op moeten letten. Dat is toch de wereld op zijn kop?

De KopieID app is een hele handige oplossing voor het probleem dat veel mensen bij organisaties tegenkomen: die willen een kopie van je identiteitsbewijs, en slaan daarmee allerlei overbodige en risicovolle gegevens op, zoals je pasfoto of je burgerservicenummer. Deze app komt je dan te hulp, je kunt dan een kopie inleveren met een watermerk (waarmee vaststaat wie de data lekte) en niet-nodige gegevens netjes uitgebalkt (zodat de impact van een datalek minder is). En ik kom zowaar steeds vaker organisaties tegen die dat accepteren, een digitale kopie via deze app in plaats van “geef nou maar gewoon je rijbewijs, of wil je die auto niet”.

De hamvraag voor mij blijft echter altijd, hoezo moet je überhaupt een kopie van mijn rijbewijs, paspoort of identiteitsbewijs maken? Daar komt meestal geen antwoord op, of het is “dat is nu eenmaal het proces” of tegenwoordig de nog leukere “dat moet van de AVG, u weet wel die privacywet, misschien heeft u er van gehoord”. Ik moet me dan altijd héél erg inhouden met uitleg waarom dat helemaal niet moet van de AVG.

Want nee, als hoofdregel kun je prima zeggen dat de AVG noch andere wetgeving van organisaties eist dat ze een kopie van je identiteitsbewijs bewaren. Er zijn bedrijven (met name banken) die verplicht een kopie moeten hebben, maar die kunnen daar een specifieke wettelijke regel over aanwijzen. Verreweg de meesten doen het omdat ooit intern bedacht is dat het handig is als check of een identiteitscontrole goed is uitgevoerd, en omdat je achteraf dan dat kopietje kunt laten zien aan politie of rechtbank als bewijs. En dat is leuk en aardig maar natuurlijk zwaar overdreven. In veel gevallen kun je prima volstaan met het nummer van de identiteitskaart noteren. Daarmee is de identiteit terug te halen, wat genoeg moet zijn bij een aangifte.

En oh ja, dat andere bericht. In 2018 zijn in Nederland bijna 340.000 officiële identiteitspapieren als vermist of gestolen opgegeven, las ik bij de NOS. “Veel mensen zijn zich niet bewust van de risico’s. Mijn advies is: let op uw identiteitsbewijzen”, aldus staatssecretaris Knops. De boodschap begrijp ik, maar ik mis wel heel erg de focus op de bedrijven die identiteitsbewijzen bewaren of kopiëren. Dáár zitten toch de risico’s?

Kunnen we niet vanuit de overheid eens zeggen, als u een kopie ID maakt dan bent u strafbaar tenzij? Of heel simpel, in die app eerst een checklistje met drie vragen doorlopen en dat een filmpje van Knops dan zegt “Hoho bedrijfje, dit mag u helemaal niet van de AVG!”

Arnoud

De Spaanse Liga mag dus niet je microfoon inzetten om illegale voetbaluitzendingen te detecteren

| AE 11332 | Intellectuele rechten, Privacy | 3 reacties

De Spaanse voetbalbond heeft een boete van 250.000 euro gekregen van de toezichthouder vanwege overtreding van de AVG, meldde Tweakers vorige week. De app luistert met de microfoon mee om illegale voetbalstreams op te sporen aan de hand van voor mensen onhoorbare tonen in de sportuitzendingen. Hoewel de app daarmee niet direct mensen afluistert (althans… Lees verder

Politie brengt app uit waarmee slachtoffer onderzoek kan doen naar misdrijf

| AE 11299 | Regulering | 14 reacties

De Nederlandse politie en het openbaar ministerie brengen op 1 juni een app uit waarmee burgers zelf onderzoek kunnen doen naar het misdrijf waar ze slachtoffer van zijn geworden. Dat meldde Tweakers maandag. Mensen kunnen onder andere getuigeninterviews afnemen en foto’s als bewijs uploaden. Het gaat om een kleinschalige proef in zes basisteams in vier… Lees verder

Hoe maak je sms-berichten en appjes van ambtenaren Wob-baar?

| AE 11257 | Regulering, Uitingsvrijheid | 23 reacties

Alweer wat ouder nieuws, maar toch: sms-berichten en appjes van ambtenaren vallen onder de Wet openbaarheid van bestuur. Dat besliste de Raad van State enige tijd terug. Iets formeler gezegd: het medium waarin informatie wordt opgeslagen of verstuurd, is niet relevant. Of iets nu in een sms bericht staat of in een papieren brief: als… Lees verder

Groeiende ergernis over niet bijgewerkte apps op Smart TV’s

| AE 9754 | Ondernemingsvrijheid | 50 reacties

Uit een zaterdag gepresenteerde enquête van het tv-programma Kassa blijkt dat meerdere apps het niet meer doen op oudere Smart TVs. Dat meldde Emerce vorige week. Zo werkt bij zo’n 40 procent van de mensen de Youtube-app niet meer, terwijl die televisies pas enkele jaren oud zijn. Samsung meldt desgevraagd niet te gaan over apps… Lees verder

Ik moet een app installeren van mijn werkgever en dat wil ik niet

| AE 9257 | Ondernemingsvrijheid | 59 reacties

Een lezer vroeg me: Mijn werkgever wil dat we allemaal een app installeren die voor het werk noodzakelijk is. Hiermee moeten we onder meer onze tijd bijhouden en registreren bij welke klanten we zijn geweest. Maar ik wil dat helemaal niet op mijn privételefoon. Mag ik dit weigeren? Ja, dat mag je weigeren. De werkgever… Lees verder