Onze softwareleverancier eist dat mijn personeel hun vingerafdruk gebruikt om in te loggen, wat nu?

Een lezer vroeg me:

Ik ben CTO van een dienstverlenend bedrijf. Wij maken gebruik van een externe tool voor gevoelige bedrijfsgegevens, en nu komt de leverancier met een security-update: mijn mensen moeten nu met vingerafdruk zich aanmelden, alle andere authenticatiemethoden zijn afgeschaft. Ik snap dat zij als verwerkingsverantwoordelijke zelf moeten afwegen wat veilig is, maar wat is mijn positie als werkgever nu? Ik zie de discussie al voor me.
Het is vrijwel nooit toegestaan om biometrie in te zetten voor authenticatie, de AP en de wet leggen de lat heel hoog. Ik weet niet om wat voor gegevens het gaat maar tenzij je in de nucleaire energievoorziening of defensie-ondersteuning zit, zie ik dus niet hoe de leverancier Y dit kan rechtvaardigen. Uit de Manfield-zaak weten we dat die lat voor gewone bedrijfstoepassingen te hoog ligt.

Het is inderdaad zo dat zo’n bedrijf als verwerkingsverantwoordelijke optreedt, zij beslissen zelf hoe hun applicatie werkt en welke beveiligingsmechanismen ze inzetten. (Slimmeriken die nu roepen, laat ze een verwerkersovereenkomst tekenen en eis dan een andere authenticatie: nee, zo werkt het niet.) Als klant van zo’n dienstverlener is het dus kiezen of delen of je dit wil doen.

De complicatie hier is natuurlijk dat je als goed werkgever je personeel niet mag verplichten om illegale biometrie te ondergaan. Dat het een keuze is van zo’n bedrijf om het zo te doen, staat daar los van. Als het bedrijf je personeel fouilleert en eist dat je je ontkleedt daarbij, dan zou ook vrij evident zijn dat jij je personeel daar niet aan mag onderwerpen, ook al is dat de keuze van die leverancier.

Conclusie zou dus zijn dat je de tool niet mag gebruiken. Ik zie hoe dat vervelend is, want waarschijnlijk ben je als bedrijf al enige tijd op deze tool en dan is overstappen niet eenvoudig. Maar ik zie geen andere optie, als men werkelijk tot iedere prijs weigert anders te authenticeren dan met biometrie dan houdt het op.

Arnoud

Is een Synology Cloudstation juridisch gezien een backup? #zorgplichtdeelzoveel

Als je klant je vraagt een backupoplossing te installeren, en jij schuift een Synology Cloudstation naar binnen, heb je dan aan je zorgplicht voldaan? De rechtbank Noord-Holland oordeelde recent van wel in een zaak tussen een tandartspraktijk en een ICT support dienstverlener. Na dat configureren van de Cloudstation bleek er iets niet goed te zijn gegaan, en kon de tandarts zijn agenda niet terugvinden in de backup, pardon op de NAS, of nou ja daar ging het dus om. Waar sta je dan als ICT dienstverlener die beloofd had een backupsysteem te leveren?

De discussie wordt onder techneuten vaak gevoerd: is een network attached storage oftewel een netwerkschijf een backup? Natuurlijk, je kunt er een kopie neerzetten van belangrijke bestanden. Dan kun je er overal bij, ook als je lokale apparaten stuk zijn of geïnfecteerd door ransomware, of iets dergelijks. Maar dit is ook de zwakte: zulke ransomware kan gewoon de netwerkschijf benaderen en alle data daar infecteren. Verder ontbreekt versiebeheer: je hebt een kopie van je laatste bestand, maar niet van de vorige drie versies. Backupoplossingen doen dat wel. En zo kun je nog wel even doorgaan.

Ik kan me desondanks goed voorstellen dat bij een klein bedrijf zoals een tandartsenpraktijk een NAS wordt gezien als een redelijke backupoplossing. Vaak heb je daar bestanden die je eenmalig maakt (zoals facturen of röntgenfoto’s) en die je daarna nooit meer aanpast. Tegen “gewoon” uitval van de eigen harddisk is de kopie op de NAS dan een kosteneffectieve oplossing.

De kern van het probleem in deze zaak zat hem in een overstap van het ene tandartsenpraktijksysteem (Evolution) naar het andere (Exquise). Die nieuwe software viel niet onder het contract van de ICT dienstverlener, en dat was dus vervelend toen bleek dat er een berg afspraken uit de agenda weg waren:

Bij e-mail van 3 maart 2020 schrijft Microminder Nederland, de huidige IT-beheerder van [eiser] (hierna: Microminder), aan [eiser]: ‘(…) In oktober 2019 is Microminder benaderd (…) voor hulp omdat de praktijksoftware / database was gecrasht. Wij hebben dit proberen te herstellen door de NAS te onderzoeken, er zou hierop een back-up aanwezig moeten zijn. De bestanden die op de NAS aanwezig waren klopte niet met de laatste werkende versie, dit komt hoogstwaarschijnlijk omdat er een sync programma is gebruikt i.p.v. een back-up programma met de juiste retentie, op een of andere manier is dit niet goed gegaan, wij hebbend dit niet kunnen achterhalen.
“Sync” wil dus zeggen dat wat er lokaal gebeurt, ook op de NAS wordt uitgevoerd. Wis je dus lokaal iets, dan wordt dat op de NAS ook gewist. Dat is een reden om dit geen backup te noemen: die wil je ook hebben om bij een abusievelijke verwijdering wat achter de hand te hebben. Maar wat speelde hier, aldus de rechtbank die de ICT beheerder parafraseert:
Synology zorgde ervoor dat de bestanden in de Cloudstation-map altijd werden gesynchroniseerd. Evolution, waar het [eiser] om ging, stond gekoppeld aan Synology, zodat van die gegevens automatisch een back-up werd gemaakt. Op die manier werd er volgens [gedaagde 1] c.s. geborgd dat er altijd een actuele kopie was van Evolution op een andere computer, zodat een virusaanval geen of beperkte gevolgen zou hebben voor de bedrijfsvoering van [eiser]. Als [eiser] andere bestanden dan uit Evolution aan de back-up koppeling wilde toevoegen, moest zij dat handmatig op de D-schijf in de Cloudstation-map zetten. Het systeem is getest en succesvol opgeleverd, aldus [gedaagde 1] c.s.
Tussen de regels door lees ik dat het probleem dus was dat de database-bestanden van het nieuwe systeem (Exquise) niet aan de synchronisatie-lijst van de Cloudstation waren toegevoegd. Dan worden die inderdaad niet meegenomen, tenzij je dat apart configureert. En dat hoefde deze dienstverlener niet te doen, omdat de adoptie van het nieuwe systeem door een ander verricht zou worden. Buiten scope, dus geen aansprakelijkheid.

Zou je zeggen. Want je zorgplicht als dienstverlener kan ver gaan:

De rechtbank is wel van oordeel dat het tot de zorgplicht van [gedaagde 1] c.s. als IT-dienstverlener behoorde dat zij, op het moment dat [gedaagde 1] c.s. ervan op de hoogte raakte dat [eiser] overstapte naar Exquise, [eiser] en/of Vertimart erop attendeerde dat daarvoor geen back-up koppeling bestond.
Dus als je klant iets doet dat buiten jouw contract valt, en jij ontdekt dat (dus niet “had moeten weten” maar “wíst”) dan zul je even moeten zeggen “ho ho, let op dat je de goede koppelingen maakt”. Wat hier ook was gebeurd:
Volgens [gedaagde 1] c.s. heeft zij Vertimart op 8 mei 2018 (de dag dat zij Exquise installeerde bij [eiser]) (a) geïnformeerd over de back-up koppeling van Evolution die op de D-schijf in de Cloudstation draaide, (b) laten zien hoe de Cloudstation werkt en (c) hoe Evolution daarop geïnstalleerd was. Vertimart gaf daarop aan ‘alles helemaal in orde te maken’, aldus [gedaagde 1] c.s. [eiser] heeft die stellingen onvoldoende gemotiveerd weersproken, zodat de rechtbank uitgaat van de juistheid daarvan.
Daarmee heeft de oude dienstverlener keurig gedaan wat van hem verwacht mocht worden. Waarom dan precies het database-bestand niet meegenomen is, vertelt het vonnis verder niet.

Arnoud

Deliveroo-bezorgers zijn dus echt werknemers, ja daarvoor was een rechtszaak nodig

Ook in hoger beroep oordeelt de rechter dat de maaltijdbezorgers in feite werknemers zijn, en ze dus als zodanig betaald en behandeld dienen te worden. Dat meldde NRC vorige week. Inderdaad vonniste de rechtbank hetzelfde in 2019, en nu is er dus het Hof dat dit bevestigt. Ongetwijfeld een klap voor het verdienmodel van het ICT-platform dat zich nadrukkelijk niet als maaltijdbezorger wenst te profileren – ja, die leg ik hieronder uit. Maar wel terecht binnen de kaders van de wet, én de maatschappelijke opvattingen.

In twee zaken bij dezelfde rechtbank kwam FNV als vakbond op voor de algemene kwestie of voedselfietsbezorgbedrijf Deliveroo haar bezorgers als zzp’er mocht aanmerken. Dit was een collectieve procedure, waar Deliveroo bezwaar tegen maakte met het argument dat ieder arbeidscontract anders is en de beoordeling of iemand werknemer is ook. Maar de rechter bepaalde meteen dat FNV wél mag procederen over zoiets principieels als dit.

Tegen de uitspraak – ja, ze zijn werknemer – kwam Deliveroo met zo ongeveer alle mogelijke argumenten in het verweer. Onder meer dat ieder contract toch anders is, wat de rechter terzijde schuift: je kunt best een algemene uitspraak doen over mensen die bepaald werk verrichten, en dan eventueel in uitzonderingsgevallen daar weer van afwijken.

Kern van de uitspraak is een arrest uit november, waarin de Hoge Raad bepaalde dat de bedoelingen van partijen er niet toe doet bij de vraag of een contract een arbeidsovereenkomst is. Je kijkt er objectief naar: werkt iemand ‘in dienst’, krijgt zhij ‘loon’ om ‘gedurende zekere tijd’ bepaalde ‘arbeid’ te verrichten. Zo ja, dan is het een arbeidscontract. En dan doet het er niet toe wat er bovenaan het contract staat of zelfs wat je allebei verklaard te hebben gewild.

Dit is ter bescherming van de werknemer, die anders maar al te vaak plechtig zal verklaren zzp’er wilde te zijn. Wat precies is dat er gebeurde bij Deliveroo, dat in februari 2018 al haar werknemers uitnodigde voor zichzelf te beginnen en tot haar grote vreugde van ontzettend veel zzp’ers een aanbod kreeg om pakketjes te bezorgen. Ja, zo generiek is het:

Deliveroo heeft verder betwist dat het bezorgen van maaltijden voor haar een kernactiviteit betreft. Zij stelt dat zij een IT-bedrijf is, en het bezorgen van maaltijden daarbij slechts van ondergeschikte betekenis is.
(Ik ben niet aansprakelijk voor koffie op de monitor.) Droogjes constateert het Gerechtshof dat zij “kan Deliveroo hierin niet volgen.” Ik denk dat we dit standpunt voor marktplaatspartijen maar eens naar de giechel-afvalbak gaan verwijzen.

Dat de bezorgers een vergoeding krijgen, staat buiten kijf. Maar is dat loon? Dat is natuurlijk lastig te zeggen. Het Hof vindt belangrijk dat wat je aan het eind van de maand overhoudt, niet véél meer is dan het minimumloon uit de wet. Daar schemert doorheen dat zzp’ers meestal toch voor meer dan dat willen werken. Wat niet meehelpt is dat Deliveroo de vergoeding eenzijdig kan aanpassen, wat niet logisch is bij zzp’ers, en dat haar standaardcontract de aanname bevat dat de bezorger “hobbymatig” de werkzaamheden verricht in de zin van de belastingwetgeving.

Belangrijker is de vraag of zij ‘in dienst’ zijn, oftewel of Deliveroo gezag kan uitoefenen over de bezorgers. Dat lijkt het geval: Deliveroo zegt waar je moet zijn en hoe laat je moet leveren om geld te verdienen. Daarbij komt dat wat de bezorgers doen, eigenlijk gewoon de “kernarbeid” van het bedrijf is. Een zzp’er haal je er eerder bij om iets incidenteels te doen. De ict van een juristenkantoor, bijvoorbeeld, of de website van een bakker. Wie brood komt bakken bij die bakker, zal wel werknemer zijn en geen gedetacheerde zzp’er dus.

Maar ook de techniek kan gezag uitoefenen:

Het GPS-systeem geeft Deliveroo daarmee een vergaande controlemogelijkheid op de werkwijze van de bezorger. FNV heeft erop gewezen, en zulks komt het hof ook aannemelijk voor, dat deze GPS-bekendheid ook een druk op de bezorger uitoefent. De klant rekent op bezorging van een maaltijd op een bepaald tijdstip; wanneer een bezorger bijvoorbeeld langzamer gaat fietsen, dan zal de klant (en daarmee Deliveroo) hierover teleurgesteld zijn, hetgeen een bezorger menselijkerwijs zal willen proberen te voorkomen. Het GPS-systeem geeft Deliveroo (al dan niet via haar klanten) dus een vergaande controlemogelijkheid, die eveneens als een vorm van gezag is aan te merken.
Daar komt bij dat de bezorgers zich naar buiten toe moeten profileren als “iemand van Deliveroo”, zodat restaurants weten wie hun maaltijden bezorgt en passanten eventuele overlast kunnen melden bij Deliveroo. Alles bij elkaar (en dat is de juridische standaard) zijn de Deliveroo-bezorgers dus gewoon werknemers.

De criteria zijn redelijk op het bedrijf gericht maar ik denk dat je dit vrij eenvoudig ook kunt toepassen op andere fietsbezorgdiensten en andere door platforms gecoördineerde individuen.

Arnoud

Is een SaaS dienstverlener vanwege de AVG verplicht escrow op te zetten?

Een lezer vroeg me:

Strekt de AVG zover dat softwarepartijen verplicht zijn – in het kader van beveiligen van de continuiteit – een escrowachtige regeling aan te bieden waarbij software en hosting geborgd zijn na een faillissement of overname?
De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig is voor de toegezegde dienstverlening en de rechten van betrokkenen. Er is dus nergens een algemeen lijstje met wat je moet doen of hoe lang, je moet zelf beredeneren (al dan niet in een DPIA) wat er nodig is om aan deze eis te voldoen.

Een partij die een softwaredienst met persoonsgegevens aanbiedt, moet er dus voor zorgen dat die dienst blijft draaien zo lang als nodig. Escrow of een continuïteitsregeling is daarvoor een mogelijk middel. Maar als er andere manieren zijn om de klanten te blijven bedienen, dan is dat ook prima. Een offline backup die in noodgevallen naar de klanten gestuurd kan worden, zou ook kunnen werken.

Bij faillissement zal de dienstverlening gewoonlijk eindigen, hoewel dat niet wil zeggen dat de betrokkenen dan geen rechten meer hebben. Dus formeel zou ik zeggen dat er dan iets van continuïteit moet zijn, hoewel dat praktisch gezien lastig af te dwingen is want de organisatie is dan nou eenmaal failliet en dan houdt het gewoon op.

Het grote probleem met escrow is dat het daadwerkelijk uitvoeren pittig kan zijn: ga er maar aan staan om vanuit een broncodedepot een online dienst weer neer te zetten. Zat de database met gegevens bijvoorbeeld ook in het depot? Hoe oud was die databasedump dan eigenlijk?

Een overname is geen excuus voor welke wijziging in de dienstverlening dan ook. Daar moet de dienst dus gewoon doorlopen en moeten de gegevens gewoon beschikbaar zijn.

Het maakt natuurlijk ook nog uit of het softwarebedrijf een verwerkingsverantwoordelijke is of een verwerker. Als dat laatste het geval is, dan zal de afnemer van de dienst meer stappen moeten nemen om zich tegen uitval van die verwerker te wapenen. Escrow of continuïteit ligt dan meer voor de hand.

Arnoud

Hoe moeten wij omgaan als ICT-bedrijf met AVG-schendende opdrachten van klanten?

Een lezer vroeg me:

Wij staan als ICT leverancier vaak tussen de werkgever (onze klant) en hun werknemers in. Als bijvoorbeeld een werkgever toegang tot meerdere inboxen wil van werknemers, dan doen wij dit niet zomaar. We krijgen dan een beetje een adviserende rol. Maar tot hoever gaan we? Is het genoeg om een klant schriftelijk te adviseren eerst toestemming te vragen of een acceptable use policy op te stellen?

De beste manier om hiermee om te gaan, is voor jezelf duidelijke regels te maken: hoe willen jullie werken, waar voel je je nog prettig bij en wanneer wordt het echt onacceptabel voor jullie als dienstverlener? Bedrijfsculturen kunnen verschillen natuurlijk, en soms is er gewoon een noodzaak om bij berichten te kunnen.

Dat protocol maak je onderdeel van de opdrachten met de klant, bijvoorbeeld als bijlage bij de SLA of als annex aan je verwerkersovereenkomst. (Je hébt toch een verwerkersovereenkomst met al je klanten? Dat ben je verplicht sinds de AVG gezien het soort dienstverlening.)

Vervolgens zeg je, wij hebben een zorgplicht en afspraken in het protocol en daar werken we onder. Je doet wat er is afgesproken, maar afspraken mogen niet tegen de AVG zijn. De AVG zegt, heb je gerede twijfel dan leg je het werk neer totdat het is opgehelderd. En “volgens ons is het legaal, doe het!!1!” is daarbij niet genoeg, er moet een inhoudelijke argumentatie komen.

Dat protocol mededelen doe je aan de klant, de werkgever in dit geval dus. Die heeft vervolgens de taak om het aan zijn personeel uit te leggen. Jullie hoeven dus niet de werknemers van de klant uit te leggen wat jullie precies wel of niet doen en waarom. En je hoeft al helemaal niet de werknemers akkoord te laten gaan met jullie privacy policies, acceptable use policies en ga zo maar door. Je sluit contracten met je klanten, niet met hun personeel.

Arnoud