Hoe krijg ik security op de kaart bij mijn kinderopvang?

congerdesign / Pixabay

Een lezer vroeg me:

Onze kinderen gaan naar de kinderopvang. Het bureau gebruikt hiervoor een SaaS-platform van een derde, met daarin dus alle persoonsgegevens (inclusief bsn en benodigde gezondheidsinformatie). Maar meer dan een wachtwoord wordt er niet gebruikt, en je mag zo te zien onbeperkt wachtwoorden proberen. Ik maak me daar grote zorgen over, ik zie dit zo gehackt worden. Wat kan ik doen, zijn er juridische middelen?
Er zijn vele, vele pakketten en diensten als deze. Nu we als maatschappij graag onze zaakjes zo veel mogelijk online willen regelen, is het logisch dat er allerhande portalen, apps en diensten komen waarmee dat kan. En die slaan dan dus al die gegevens op, die vaak wettelijk nodig zijn (zoals bsn bij kinderopvang) of waarzonder men niet kan werken (zoals allergie-gegevens).

Er zijn tegelijk maar weinig wettelijke kaders. De AVG is natuurlijk de bekendste. Deze bepaalt dat zulke gegevens goed beschermd moeten zijn, maar schrijft geen specifieke security-eisen voor. Je moet zelf, op basis van de situatie, de kosten en de te verwachten bedreigingen, een afweging maken om het zo goed mogelijk op orde te maken.

Er is ook geen toezichthouder die preventief je platform komt screenen of een audit komt uitvoeren. Of zelfs maar komt eisen dat jij een audit laat uitvoeren of wat dan ook. Wie het heel treurig wil formuleren, komt dus tot de conclusie dat alles AVG proof is totdat blijkt dat dat niet zo is. Door een hack of datalek dus. Ik word daar inderdaad niet vrolijk van.

En natuurlijk, dan mag de kinderopvang de rommel opruimen en de schade vergoeden. Want ook als ze dit zonder enige kennis van digitale zaken inkopen, zij blijven onder de AVG de verwerkingsverantwoordelijke en zij zijn aansprakelijk voor alles dat er mis gaat. (Op papier kunnen ze dat verhalen op de leverancier, of ze dit in de onderhandelingen van het servicelevelcontract afdwingen blijft natuurlijk giswerk.)

Als je als ouder een vermoedelijk datalek of ander probleem zit, kun je dat natuurlijk aankaarten. Alleen lastig: het bureau kan er niets mee, want die heeft de kennis niet. En de leverancier van het platform is vaak lastig bereikbaar voor de eindklanten, of heeft er weinig belang bij theoretische risico’s snel op te pakken.

Dus veel praktische oplossingen zijn er niet. Specifiek bij kinderopvang is er wellicht nog de route van de oudercommissie, die bij het bureau kan aankaarten dat er zorgen leven en of er wat anders bedacht kan worden. Mijn gevoel is dat bij veel van dergelijke commissies de zorg om digitale veiligheid niet heel hoog is, maar het is het proberen waard.

Arnoud

Ik hoop dat die orthodontist z’n webbouwer aansprakelijk stelt voor die 12.000 euro boete

De Autoriteit Persoonsgegevens heeft een boete van 12.000 euro uitgedeeld aan een orthodontistenpraktijk omdat die op een aanmeldformulier geen ssl-verbinding gebruikte. Dat meldde Tweakers vorige week. Door het ontbrekende ‘slotje’ liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Opmerkelijk dat die basale beveiligingsmaatregel er niet was, maar minstens zo opmerkelijk dat de AP er voor in actie kwam gezien de beperkte scope. Maar goed, ik ben dus fan van kleine boetes voor kleine overtredingen.

De betreffende website bood klanten van de orthodontist gelegenheid afspraken te maken voor een behandeling. Op zich logischerwijs vroeg men om onder meer NAW-gegevens, geboortedatum, BSN, telefoonnummers van de patiënt en de ouders, gegevens over de school, huisarts, tandarts en de verzekeringsmaatschappij.” Dat formulier werd zonder beveiliging (dus SSL-, TLS-certificaat oftewel “slotje”) opgestuurd, wat inderdaad een beveiligings-dingetje is.

Is het heel erg? Mwa. Technisch betekent het dat iedereen die in het netwerk tussen de klant en de orthodontist zit, de data kan onderscheppen. Het klassieke voorbeeld is het internetcafé of bibliotheek, waar je met de juiste software alles kunt zien dat anderen in diezelfde ruimte opsturen naar websites. Door https te gebruiken, is dit niet langer inzichtelijk – de communicatie naar de site is versleuteld en daarmee niet meer te lezen.

Het aantal scenario’s waarin dit een reëel risico is, is dus beperkt. Vanuit huis is dit bijvoorbeeld geen issue, de buren die ook bij Ziggo zitten kunnen sowieso niet meelezen. Huisgenoten mogelijk wel. Werk je met mobiel internet, dan is dit ook geen serieus risico. Maar natuurlijk is er een niet te verwaarlozen groep mensen die alleen via publieke terminals (zoals de bieb) kan werken, en ook die moet gewoon veilig internet op kunnen.

Daar komt bij: al sinds jaar en dag weet iedereen dat zo’n slotje weinig moeite is, zeker sinds initiatieven als Let’s Encrypt die je gratis certificaten geven om het slotje te realiseren. Dus het voelt als “oké beperkt risico maar het is zo gedaan, doe het dus gewoon” voor mij. Ik blogde er ooit in 2013 over en concludeerde dat het eigenlijk onvermijdelijk is, behalve wellicht bij triviale formulieren zoals de plek hieronder waarin u het hartgrondig met mij oneens gaat zijn.

In het boetebesluit kan de AP het nog simpeler houden: het gaat hier om persoonsgegevens in de zorg, daarbij is NEN 7510-2 leidend en daaruit volgt het gebruik van TLS. Punt, klaar, next. En dan gaat het om zeer gevoelige gegevens, ook nog eens (vooral) van kinderen en dan mag dat al helemaal niet gebeuren. Normaal kom je dan op een boete van een ton, maar omdat deze orthodontist dat absoluut niet kan betalen wordt deze gematigd naar 12.000 euro.

En dan gooi ik met dit citaat even de knuppel in het hoenderhok:

[Betrokkene] heeft erkend dat de oude website geen gebruik maakte van een versleutelde verbinding. De ontwikkelaar van de oude website heeft haar nooit gewezen op die mogelijkheid. Anders had zij daar zeker gebruik van gemaakt, aldus [betrokkene].
We hebben het dus over 2019. Let’s Encrypt was toen al best bekend, en het algemene idee dat SSL-certificaten verstandig waren ook. Om dus nog maar niet te spreken van die NEN-norm in de zorg. Dan wil ik van een kleine orthodontie-praktijk nog wel geloven dat die weinig verstand van internet heeft (de nieuwe site heeft geen online formulier meer maar een uit te printen pdf, ik bedoel maar)  maar van de webbouwer mag dit wel verwacht worden toch?

Oftewel, die orthodontist mag de webbouwer op grond van schending zorgplicht aansprakelijk houden voor die 12.000 euro wat mij betreft.

Arnoud

Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.
De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

Moet mijn werkgever geen tweefactorauthenticatie op het HRM-portaal zetten?

Een lezer vroeg me:

Bij veel bedrijven kan je op een portaal o.a. je loonstroken, jaaropgaven, n.a.w gegevens raadplegen. En vaak ook HRM vragen indienen. Hierbij wordt geen mogelijkheid geboden om 2FA gebruiken bij het inloggen. Er is ook geen keuze om dit ‘dicht’ te zetten. Is dat wel conform de AVG, 2factorauthenticatie is toch een vrij basaal middel? Kan ik mijn werkgever aansprakelijk stellen?

De AVG eist dat je bij alle applicaties die persoonsgegevens verwerken een adequaat niveau van beveiliging realiseert. Perfectie wordt niet verlangd, het moet gewoon oké zijn gezien het soort gegevens, het soort risico’s en de kosten en moeite.

Helaas is er geen makkelijke checklist waarmee je kunt kijken welke maatregelen je moet nemen. Dit moet je zelf analyseren en uitwerken. En als je grote risico’s ziet, dan moet je een DPIA uitvoeren.

Sommige maatregelen zijn zo basaal dat er nauwelijks discussie over kan zijn. Dat je een wachtwoord op een account zet, lijkt me voor zich spreken. SSL op je bestelpagina, ook geen twijfel. Bij 2FA kom je voor mijn gevoel nog net iets meer in een discussiegebied: het is weer even wat extra kosten en gedoe, je moet een 2FA kastje of app hebben, en omdat het hier om privéinformatie gaat (de loonstroken etc) moet dat dan de privételefoon zijn of de zakelijke?

Daarnaast zou het voor mij ook relevant zijn of het gaat om een intranet waar je alleen na centraal inloggen bij kunt, of een openbare dienst waar je gewoon apart inlogt. Als die centrale inlog al veilig is, of alleen vanuit kantoor kan, dan zie ik even de aanvullende veiligheid van 2FA op dit specifieke portaal niet.

Ik zou eens beginnen met de werkgever te vragen waarom 2FA niet ingevoerd is en of dat op de planning staat. Maar die vraag vereist altijd context; de belangenafweging bij beveiliging.

Arnoud

Is een maximale wachtwoordlengte in strijd met de AVG?

Een lezer vroeg me:

Ik kom nog geregeld bedrijven en verenigingen tegen die wachtwoorden van maximaal 12 karakters accepteren. Als je ze hierop aanspreekt zeggen ze dat dit voldoende is of het later zal worden aangepast. Maar de AVG verplicht dat er “passende technische én organisatorische maatregelen” worden genomen om een adequaat beveiligingsniveau te waarborgen. Twaalf karakters is tegenwoordige echt niet meer adequaat. Handelen de instanties die wachtwoorden van maximaal 12 karakters accepteren in strijd met de AVG?

Daar lijkt het wel op. Een goed wachtwoord is een van de belangrijkste technische beveiligingsmaatregelen die je kunt nemen. In de praktijk wordt vaak binnengedrongen met een geraden wachtwoord, dus hoe sterker je dat wachtwoord tegen gokken kunt maken, hoe beter.

De AVG zegt zelf niet precies aan welke eisen een wachtwoord moet voldoen, alleen dus dat de maatregelen die je neemt “passend” moeten zijn gezien de risico’s, de stand der techniek en andere relevante factoren. Kort gezegd: je moet kunnen verantwoorden waarom je de keuzes maakte die je maakte, en waarom het niet sterker hoefde dan het was.

In mijn ervaring wordt zelden echt nagedacht over wachtwoordbeleid, met name als het gaat om de lengte van wachtwoorden. Er is het nodige onderzoek gedaan naar bijvoorbeeld hoe vaak een wachtwoord gewijzigd moet worden (nooit, als het maar sterk is) of hoe sterk ze moeten zijn (12 karakters is wel het minimum inderdaad) maar je ziet dat niet snel terug in bestaande implementaties van password-based access control. En dat is jammer.

Ik zou dus zelf geneigd zijn om te zeggen, wie een maximale lengte op wachtwoorden afdwingt zit fout onder de AVG, tenzij hij een heel goed verhaal heeft waarom het nódig is dat het wachtwoord niet langer is. Ik kan me dat verhaal niet voorstellen, maar goed, ik probeer een open mind te houden hierbij. “Onze software werkt nu eenmaal zo” of “Wij zijn nog nooit gehackt” is natuurlijk géén goed verhaal.

Arnoud

Mag je als bedrijf vingerafdrukken voor je prikklok gebruiken?

Bedrijven trotseren de nieuwe privacywet door gewoon te blijven werken met prikklokken met vingerafdrukken. Dat meldde het FD afgelopen vrijdag. Uitzendbureau Tempo Team is gestopt, maar supermarkt Dirk ziet er vooralsnog geen probleem in. De AVG verklaart vingerafdrukken tot biometrische en daarmee bijzondere persoonsgegevens, die in principe niet mogen worden gebruikt. De zorg is nu of de AVG een uitzonderingsgrond biedt voor deze categorie verwerkingen. Dat komt met name door een fout antwoord van de minister op Kamervragen hierover.

Biometrische gegevens zoals vingerafdrukken worden onder de AVG aangemerkt als bijzondere persoonsgegevens, waarmee ze in beginsel helemaal niet mogen worden gebruikt. Alleen als de AVG daar een aparte grondslag voor biedt, kan dat toegestaan zijn. Naast uitdrukkelijke vrijwillige toestemming -die werknemers niet kunnen geven- is voor biometrie eigenlijk de enige optie dat je je beroept op een nationale regeling die het onder voorwaarden toelaat (art. 9 lid 2 AVG). De politieke achtergrond hiervan is namelijk dat de lidstaten het niet eens konden worden over de toelaatbaarheid en risico’s van biometrie, zodat iedereen het maar zelf in zijn eigen wet moet regelen.

In Nederland is er sinds 25 mei de Uitvoeringswet AVG, waarin een aantal nationale regels zijn opgenomen die de AVG nader uitwerken of aanvullen, waaronder op het punt van biometrie. In artikel 29 daarvan wordt het verbod op gebruik van biometrie opgeheven wanneer

de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Opvallend daarbij is dat bij de invoering alleen over beveiligingsnoodzaak is gesproken. Biometrie is natuurlijk primair bedoeld voor de veiligheid, zeker weten dat je de juiste persoon binnen of buiten laat. In de zeer korte behandeling van dit wetsartikel komt men dan ook niet verder dan de inzet voor toegangscontrole.

In de beantwoording van de Kamervragen uit februari gaat de minister ook niet verder dan dat:

Het criterium van de regeling in de UAVG betekent dat het gebruik van vingerafdrukken noodzakelijk moet zijn voor de beveiliging van de toegang van gebouwen of ICT systemen. Het vastleggen van de biometrische gegevens moet voorts proportioneel zijn en noodzakelijk voor de toegangscontrole.

En bij het antwoord op vraag 3 (mag een werknemer straffeloos weigeren zich met vingerafdruk in de prikklok te registreren) is men nog stelliger: Ja. Dat wekt natuurlijk wel héél erg de indruk dat biometrie voor prikklokken niet de bedoeling is – het is geen toegangscontrole, en de werknemer mag niet worden gestraft met niet-uitbetaling van gewerkte uren als hij er niet aan wil meewerken. Daar zou ik ook wat zenuwachtig door worden als werkgever.

Het klopt natuurlijk niet. “Authenticatie” is een veel breder begrip dan enkel “toegangscontrole”. Authenticatie is algemeen gesteld het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Er is geen enkele reden om dat te lezen als beperkt tot nagaan in de context van toegang tot controle of bijvoorbeeld een ict-systeem. De Uitvoeringswet noemt in de tekst ook nergens die beperking.

Relevant is natuurlijk wel of de inzet van biometrie noodzakelijk is voor het goed functioneren van de prikklok. Er zijn immers alternatieven, zoals authenticatie met een persoonlijk pasje. De vraag wordt dan of die alternatieven onwerkbaar zijn, bijvoorbeeld omdat er te makkelijk mee kan worden gefraudeerd. Je kunt immers het pasje van je collega meenemen en scannen, om zo fictief zijn uren op te hogen. In de praktijk gaat het vooral om gemak, zo lees ik in het FD:

‘De praktijk leert echter dat veel medewerkers de voorkeur hebben voor het gemak van de vingerscan boven het gedoe van een pasje. We hebben dan ook diverse klanten gehad die een groot deel van hun passen hebben teruggestuurd’, aldus Matthijs van den Ende van [prikklok-leverancier] Dyflexis.

Gemak zou ik zien als een te zwak argument om de noodzaak te ondersteunen. Als mensen liever met vingerafdrukken werken vanwege het gemak, dan zou je dat kunnen zien als een uitdrukkelijke toestemming. Dan kom je uit bij een prikkloksysteem dat én met vingerafdruk én met pasje werkt, zodat de werknemer de keuze heeft. Dat lost het probleem dan op, zij het dat je nog blijft zitten met de mogelijkheid van pasjesfraude. Maar dat is een al bekend probleem waar -neem ik aan- ook al oplossingen voor zijn.

Arnoud

Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien. Wachtwoordmanagers zijn veiliger, maar werken met dezelfde herkentechniek voor inlogpagina’s. De maatregel gaf dan ook de nodige ophef, waaronder “maar het is toch jouw keuze of je zo onveilig bent”? Ja, maar bij bankieren zijn de regels net even anders.

Hoofdregel uit het recht is dat je aansprakelijk bent voor je eigen keuzes. Dus als jij de sleutels van je pand slordig opbergt, dan kun je dat moeilijk anderen verwijten. En specifiek bij internetdiensten is het dan ook jouw keuze en jouw risico hoe je wachtwoorden kiest, beheert en toegankelijk maakt.

Natuurlijk, wachtwoorden kunnen worden gestolen of afgekeken. Maar hoe moet een internetdienst weten dat iemands login door een ander gebeurde? Behoudens heel concrete aanwijzingen zou ik dat niet weten. En pas bij een hele grote of belangrijke dienst zou ik vinden dat die actief moeten monitoren op ongebruikelijk inloggedrag.

Specifiek bij banken ligt het iets complexer. De wet zegt namelijk dat een bank altijd aansprakelijk is voor beveiligingsincidenten, behalve bij fraude, opzet en grove nalatigheid van de klant (art. 7:529 BW). Bij gewone slordigheid of onoplettendheid van de internetbankierende consument draait de bank dus op voor ongeautoriseerde transacties, met hooguit een eigen risico van 150 euro voor die consument. Per ongeluk of uit gemakzucht kiezen voor het onthouden van je inlogwachtwoord voor bankieren lijkt mij een gevalletje slordigheid en géén grove nalatigheid.

Dit risico komt ook weer terug in de Uniforme Veiligheidsregels van de banksector, die expliciet over beveiligingscodes vermelden:

Schrijf of sla de codes niet op. Of, als het echt niet anders kan, alleen in een voor anderen onherkenbare vorm die alleen door uzelf is te ontcijferen. Bewaar in dit geval de versleutelde informatie niet bij uw bankpas of bij apparatuur waarmee u uw bankzaken regelt;

Ik kan dit niet anders lezen dan dat je je browser geen wachtwoorden mag laten opslaan, maar dat je ook geen wachtwoordmanager mag gebruiken. Die “apparatuur” is immers je laptop of telefoon, en de wachtwoordmanager slaat daar het wachtwoord bij op. Dus wat dat betreft is ING wel consistent.

Tegelijk: een wachtwoordmanager en dan een stevig master password is gewoon de beste manier om jezelf te beveiligen bij online diensten. Dus dit voelt als een best wel fundamenteel dilemma.

Arnoud

Google gaat telefoonmakers verplichten beveiligingsupdates aan te bieden

Google gaat telefoonmakers contractueel verplichten om smartphones van software-updates te voorzien. Dat meldde Nu.nl vorige week. Een onderwerp waar al veel over te doen is, onder meer vanuit onze Consumentenbond met haar actie die onder meer leidde tot een rechtszaak tegen Samsung met de eis tot langer updaten van smartphones. Fabrikanten zijn volgens mij gewoon wettelijk verplicht dit te doen, maar werken daar bepaald niet enthousiast aan mee. Ergens is het dan wel erg frappant dat Google met zo’n aankondiging (waarschijnlijk) wél iedereen gewoon meekrijgt.

Natuurlijk is het heel logisch dat als Google het zegt, iedereen zich eraan gaat houden. Google heeft het merk Android en stelt stevige eisen aan het gebruik van deze software. Dat mogen ze, en je bent uiteindelijk niet formeel verplicht om Android op je telefoon te zetten. Maar praktisch gezien heeft Google een forse marktmacht (een dikke 85% van de mobielebesturingssystemenmarkt) dus vanuit dat standpunt kun je wel zeggen dat Google echt afdwingt dat je dit moet doen.

Het kan misbruik van je machtspositie zijn om zo’n verplichting op te leggen. Maar hier lijkt het me zó in het voordeel van de markt en de consument dat ik me niet kan voorstellen dat iemand er werkelijk met succes bezwaar tegen kan maken.

Het raakte me vooral omdat het er nu op lijkt dat een marktpartij (Google) méér voor elkaar kan krijgen dan de wetgever en uitvoerende macht bij elkaar. Dat is ergens raar, want regels in het voordeel van de markt of maatschappij lijken me regels die je vanuit de overheid zou verwachten, inclusief handhaving daarvan. Maar het is wel iets dat je typisch vaker ziet bij internetbedrijven, dat zij veel effectiever normen stellen en handhaven dan de formele overheid. Ik zou echt eens een studie rechtsfilosofie moeten gaan doen, wat zit hier achter, hoe past dit in de grondslagen van het recht?

Arnoud

Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot?

Een intrigerende vraag op Reddit (de /r/Nederland):

I have a 6 months contract. My employer is adding a fingerprint lock to the door, I don’t want my fingerprint or the hash calculated from it to be taken, can he force me?

(Ik baseer het antwoord maar even op de AVG/GDPR want die is het relevantst voor de lange termijn.)

Een vingerafdruk wordt gezien als een biometrisch persoonsgegeven: fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon waarmee identificatie mogelijk is. Wel moet het dan gaan om verwerkingen met het oog op de unieke identificatie van een persoon, maar daarvan lijkt me hier wel sprake.

Het verwerken van biometrische persoonsgegevens valt onder de zeer strenge regels voor bijzondere persoonsgegevens. Dat mag kort gezegd niet, tenzij in de AVG staat van wel. Wie dan doorleest, zal in de AVG zelf niets vinden waarin staat dat dit mag. Echter, hoewel het hier gaat om een Europese wet is het specifiek op dit punt toegestaan dat landen eigen regels maken over biometrische persoonsgegevens.

Nederland heeft dat gedaan, althans in concept: de concepttekst van de Uitvoeringswet AVG bepaalt (artikel 26) dat deze gegevens mogen worden verwerkt ter identificatie. Voorwaarde hiervoor is wel dat de verwerking noodzakelijk en proportioneel is ter behartiging van gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde. Het is onder omstandigheden eveneens toegestaan om biometrische gegevens te verwerken indien de betrokkene hiervoor in vrijheid toestemming heeft gegeven.

Dat van die toestemming kun je vergeten als werkgever. Even kort door de bocht, omdat iedereen graag salarisverhoging/vast contract/promotie wil, zullen ze op iedere toestemmingsvraag ja zeggen uit angst dat mis te lopen. Dat is dus niet vrijwillig.

Je moet als werkgever dus op zoek naar een rechtvaardigingsgrond. Waarom moet dat nou met biometrie, die deur. Is er werkelijk geen andere, net zo effectieve oplossing? Natuurlijk, sleutels kan men kwijtraken en pincodes kunnen worden vergeten, uitgelekt of afgekeken. Een portier is ook ietwat begrotelijk. En de kans dat een derde vingers gaat afsnijden om binnen te komen is bij het gemiddelde Nederlandse bedrijf niet zo groot.

Vanuit dat standpunt denk ik dat het dus wel mag, mits alléén voor toegangscontrole. Zou je die vingerafdrukken ook gaan gebruiken om bijvoorbeeld te kijken hoe goed iemand zijn werk doet (“neemt wel héél vaak pauze”) dan zul je daar een apart verhaal voor moeten bouwen waarom jouw belang als werkgever het alsnog wint van de privacy van de werknemer.

Arnoud

Mag je andermans brakke IoT-apparaten op afstand onschadelijk maken?

De brickerbot is terug, las ik bij Ars Technica. Het gaat om een initiatief van de mysterieuze “Janit0r”, een handige hacker die brakke apparaatjes met internetverbinding kaapt en gebruikt om hun broertjes en zusjes permanent stuk te maken (“bricken”, oftewel de enige resterende functionaliteit is die van een baksteen). Dit omdat dergelijke apparaten zó veel schade aanrichten dat het niet mooi meer is, en geen hond zin heeft daar wat aan te doen.

De frustratie is begrijpelijk. Aanvallen door gekaapte Internet-of-Things apparaten lopen aan alle kanten de spuigaten uit. Zo zette een denial-of-service aanval door gehackte videorecorders en webcams het wereldrecord voor grootste aanval ooit. En dat is belachelijk: hoe moeilijk is het nu werkelijk om een webcam of recorder te beveiligen tegen triviale kapingen?

Het probleem is, zoals security-expert Bruce Schneier recent mooi aangaf, dat niemand zich geroepen voelt er wat tegen te doen. Consumenten vinden het niet hun probleem dat een apparaat lek is. Leveranciers pakken de snelle winst en verwachten geen toename in de verkoop als er “Nu extra veilig tegen hacks” of “100% niet-kaapbaar garantie” op de doos staat. Internetproviders merken weinig van de aanvallen, omdat de data in één specifiek netwerk te klein is om overlast te geven. En voor toezichthouders is het probleem te diffuus om op te treden, nog los van ontbrekende wetgeving. Brakke apparaten aan internet hangen is volstrekt legaal.

De oplossing zit natuurlijk in dat laatste: verplicht leveranciers tot ICT-veilige apparatuur. Net zoals apparaten niet mogen ontploffen en niet giftig mogen zijn, mogen apparaten niet onveilig zijn in de zin van hackbaar of te kapen voor ddos-aanvallen. Dat is niet moeilijk, wel een hoop gedoe en natuurlijk kost het geld, maar als álle leveranciers dat moeten dan blijft het speelveld gelijk.

De tactiek van de Janit0r is slim. Door die apparaten fysiek onbruikbaar te maken, komt het probleem bij de consument te liggen. Die moet nu gaan klagen bij de winkel (waardoor het probleem verschuift) of hij heeft een nutteloos apparaat (waardoor het probleem weg is). En de winkel zou dan bij genoeg klachten zijn inkoopbeleid moeten gaan herzien.

Lastig is natuurlijk: dat mag eigenlijk niet, andermans apparaat permanent uitschakelen. Dat is binnendringen en schade aanrichten, en dat is een strafbaar feit.

Tenzij je zegt: het gaat hier om zaakwaarneming, de juridische figuur waarbij je je bemoeit met andermans zaken om verdere schade te voorkomen. Je mag bij de buren een ruitje intikken als je ziet dat er nog een spreekwoordelijk pannetje melk aan staat terwijl ze net op vakantie zijn gegaan. En als de tuinslang ’s nachts ineens op volle kracht sproeit, mag je die dichtdraaien. Dan mag je dus ook die datalekkende apparaten dichtdraaien, zou dan het argument zijn.

Wat vinden jullie? Terecht gepast ingrijpen of niet?

Arnoud