Onze softwareleverancier eist dat mijn personeel hun vingerafdruk gebruikt om in te loggen, wat nu?

Een lezer vroeg me:

Ik ben CTO van een dienstverlenend bedrijf. Wij maken gebruik van een externe tool voor gevoelige bedrijfsgegevens, en nu komt de leverancier met een security-update: mijn mensen moeten nu met vingerafdruk zich aanmelden, alle andere authenticatiemethoden zijn afgeschaft. Ik snap dat zij als verwerkingsverantwoordelijke zelf moeten afwegen wat veilig is, maar wat is mijn positie als werkgever nu? Ik zie de discussie al voor me.
Het is vrijwel nooit toegestaan om biometrie in te zetten voor authenticatie, de AP en de wet leggen de lat heel hoog. Ik weet niet om wat voor gegevens het gaat maar tenzij je in de nucleaire energievoorziening of defensie-ondersteuning zit, zie ik dus niet hoe de leverancier Y dit kan rechtvaardigen. Uit de Manfield-zaak weten we dat die lat voor gewone bedrijfstoepassingen te hoog ligt.

Het is inderdaad zo dat zo’n bedrijf als verwerkingsverantwoordelijke optreedt, zij beslissen zelf hoe hun applicatie werkt en welke beveiligingsmechanismen ze inzetten. (Slimmeriken die nu roepen, laat ze een verwerkersovereenkomst tekenen en eis dan een andere authenticatie: nee, zo werkt het niet.) Als klant van zo’n dienstverlener is het dus kiezen of delen of je dit wil doen.

De complicatie hier is natuurlijk dat je als goed werkgever je personeel niet mag verplichten om illegale biometrie te ondergaan. Dat het een keuze is van zo’n bedrijf om het zo te doen, staat daar los van. Als het bedrijf je personeel fouilleert en eist dat je je ontkleedt daarbij, dan zou ook vrij evident zijn dat jij je personeel daar niet aan mag onderwerpen, ook al is dat de keuze van die leverancier.

Conclusie zou dus zijn dat je de tool niet mag gebruiken. Ik zie hoe dat vervelend is, want waarschijnlijk ben je als bedrijf al enige tijd op deze tool en dan is overstappen niet eenvoudig. Maar ik zie geen andere optie, als men werkelijk tot iedere prijs weigert anders te authenticeren dan met biometrie dan houdt het op.

Arnoud

Als je eerder op je werk moet komen omdat het inloggen tien minuten duurt, dan ben je dus gewoon tien minuten eerder aan het werk.

Je zou zeggen dat dit logisch is. Maar nee: een Zuid-Hollands callcenter dat eist dat werknemers tien minuten voor het begin van hun werktijd aanwezig zijn om in te loggen, moet een medewerker voor die minuten gaan betalen. Dat meldde RTL Nieuws vorige week. Het bedrijf Teleperformance eist dit zodat mensen stipt om 9 uur kunnen beginnen met de verwerking van telefoontjes, dit vanwege de SLA met hun klanten. Dat is geen werk, aldus het bedrijf: “[Het gaat erom dat mensen] dermate op tijd inloggen dat zij voorafgaand aan de aanvang van hun dienst desgewenst nog even rustig wat te drinken kunnen pakken en gebruik kunnen maken van het toilet.” Welles, aldus de rechtbank, want jij zegt dat ze er tien voor negen moeten zijn en iets voor jou moeten doen (namelijk inloggen).

Het vonnis is al uit december maar pas onlangs gepubliceerd. Een werknemer eiste van Teleperformance uitbetaling van achterstallig salaris, namelijk elke werkdag 10 minuten voor de normale starttijd van 9 uur aanwezig zijn en werk doen. Dat komt neer op een bedrag van € 1.587,03 bruto plus vakantiegeld, oh ja en wettelijke verhoging van 50% omdat het nu pas wordt betaald.

Het argument is dan, als je er om tien voor negen moet zijn, en dan dingen moet doen die je werkgever je opdraagt, dan ben je dus aan het werken. En wie werkt, heeft recht op loon. Dat is bijvoorbeeld in 2020 bij een supermarkt bepaald, waar werknemers pas naar buiten mochten als iedereen klaar was met werken, wat tot 15 minuten wachten kon leiden. Dat is werktijd, aldus de rechtbank toen: beschikbaar zijn voor werkopdrachten telt als “arbeid”, ook al sta je alleen maar te wachten en misschien ben je dan privézaken op je telefoon aan het doen. Als je werkgever je hád kunnen zeggen “ga nog even het magazijn vegen”, dan is het werktijd.

De werkgever hier had het als volgt opgeschreven in het planningsreglement:

3. Het is de bedoeling dat je, volgens het aan jou uitgereikte rooster je werkzaamheden verricht. Dat wil zeggen dat je je zowel aan de werktijden als aan de pauzetijden houdt. Door het webstation altijd open te hebben, ben je altijd van alle tijden op de hoogte. 09.00 uur beginnen betekent exact om 09.00 uur klaar zitten om je eerste call aan te nemen dan wel te maken. Meld je daarom altijd 10 minuten voor aanvang van je dienst bij je supervisor, dan ben je nooit te laat.
Ik ben ook benieuwd waarom inloggen tien minuten moet duren. Zelfs met mijn Mijn Documenten-map van 3 gig duurt het hier maar 40 seconden. Maar gelukkig was de werknemer specifiek in de omschrijving:
[Bij de mondelinge behandeling] is naar voren gekomen dat [eiser] voorafgaand aan het opnemen of starten van zijn eerste call het volgende moet doen: de pc aanzetten en het opstarten van 1) het urenregistratiesysteem, 2) het rooster, 3) het e-mail programma, (inclusief bekijken ingekomen e-mail), 4) het klantensysteem, 5) de agenda (o.a. voor terugbelverzoeken), 6) de community (forum), 7) de e-shop tool Nederland, 8) de e-shop tool België, 9) de remote call (teamviewer) en 10) het kladblok. Bij negen van de tien genoemde programma’s moet door de werknemer worden ingelogd met een inlognaam die steeds hetzelfde is en een wachtwoord dat in het algemeen ook hetzelfde is maar wel moet worden ingevoerd. Het laatste programma (het kladblok) hoeft alleen aangeklikt te worden. De programma’s moeten allemaal klaar staan om de klanten die inbellen of gebeld gaan worden te woord te kunnen staan. Verder is tussen partijen vast komen te staan dat nadat alle tien de programma’s zijn opgestart, nog op een zogenaamde ‘groene knop’ moet worden geklikt om in te loggen in het belsysteem (een aux-code-systeem). Dat inloggen mag niet te vroeg gebeuren omdat dan het scherm van de leidinggevende ‘vervuild’.
Elders was vermeld dat er sancties staan op het niet exact om 9.00 klaar zitten. En zie wel hoe dit enige minuten gaat duren. Hoe veel precies zal van dag tot dag verschillen, algemeen bekend is immers dat netwerksnelheden en laadtijden weers- en maanstandafhankelijk zijn. Maar Teleperformance heeft daar, aldus de rechtbank, goed over nagedacht en is uitgekomen op een gemiddelde van tien minuten. Dat is dus arbeidstijd:
Het gaat immers wel degelijk om tijd waarin instructies van Teleperformance gelden, te weten het opstarten van alle programma’s die voor het uitvoeren van het werk nodig zijn. Het gaat dus om voorbereidende werkzaamheden die nodig zijn om de telefoonwerkzaamheden uit te kunnen voeren. Omdat [eiser] op grond van de Planningsregels tien minuten voor aanvang van zijn dienst aanwezig dient te zijn, moet worden aangenomen dat de voorbereidende werkzaamheden tien minuten in beslag nemen.
De hiervoor gemaakte uren moeten dus worden betaald, en omdat Teleperformance niet inhoudelijk de berekening had betwist wordt de hele eis toegewezen, een slordige 6.500 euro. Daar had je toch een aardig automatisch-opstartenscript voor kunnen laten bouwen lijkt me.

Arnoud

Microsoft maakt einde aan wachtwoorden, andere techbedrijven voorlopig niet

Microsoft kondigde onlangs aan gebruikers de keuze te bieden zonder wachtwoorden in te loggen, zo las ik bij Nutech.nl. Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Op zich natuurlijk geen juridisch nieuws, maar ik licht het er toch even uit omdat a) security ontzettend belangrijk is binnen de ict en b) juristen zich regelmatig tegen wachtwoordbeleid aan bemoeien.

Microsoft maakt de stap omdat wachtwoorden fundamenteel onveilig zijn. Ze kunnen worden afgekeken, geraden of uit datalekken afgeleid. Eigenlijk was het altijd al een hele rare keuze, wachtwoorden. Mensen iets laten doen waar computers heel goed in zijn en mensen niet (onthoud acht tekens, waarvan minstens drie hoofdletters, minimaal één cijfer en één leesteken maar niet als eerste teken, u kent het wel), hoe kom je er bij. Maar goed, in de jaren zeventig was dat de enige logische keuze.

Ook het wijzigen van wachtwoorden komt uit die tijd. Het Amerikaanse ministerie van Defensie had recent ontdekt dat aanvallers wachtwoorden konden kraken, zelfs als ze versleuteld waren opgeslagen. Het terugrekenen van de versleuteling (jaja, ik weet het maar leg jij rainbow tables eens uit in gewone taal) kostte ongeveer zes weken, zo was de inschatting. De praktische oplossing: elke maand een nieuw wachtwoord, dan is de informatie voor de criminele aanvaller verouderd voordat deze hem gevonden heeft. Die regel belandde ergens in de algemene kennis van de ICT-securityspecialisten – en de juristen, want dit is praktische regelgeving en dat is hardnekkiger dan de Grondwet om te veranderen.

Al geruime tijd is er een verbetering, namelijk tweefactorauthenticatie. Daarbij heb je naast je wachtwoord ook bijvoorbeeld een vingerafdruk nodig of een fysiek token. Dat scheelt in het aanvalsgemak, maar:

Veel vormen van 2FA berusten nog steeds op het inloggen met wachtwoorden, wat deze manier van inloggen nog steeds kwetsbaar maakt voor aanvallen van buitenaf. Het is veiliger dan inloggen met alleen een wachtwoord, maar de kwetsbaarheden van het wachtwoord worden niet weggenomen.
Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Dat is echt een stap vooruit, en ik hoop dan ook dat andere bedrijven snel gaan volgen. (Ik gebruik zelf al lange tijd een Bluetooth-koppeling: als mijn telefoon (die in mijn zak zit) te ver van mijn laptop is, dan gaat mijn laptop op slot. Een wachtwoord draagt daar niets meer aan bij.)

Het juridische haakje: u mag nu even de verwerkersovereenkomsten controleren op uw passende technische en organisatorische maatregelen onder artikel 32 AVG die u opgelegd zijn of die u aan verwerkers oplegt. Afgaande op de paar duizend verwerkersovereenkomsten uit onze contractenscanner staat daar namelijk in dat men sterke wachtwoorden moet hanteren (32% van de clausules) en maar zelden iets over 2FA (4%). Regelmatig wijzigen van wachtwoorden staat vrijwel altijd (78%) bij die wachtwoordclausules, wat binnen de securitywereld juist een slecht idee is – dan krijg je welkom42 of X5j13$#eOktober als wachtwoorden. Tijd dus om hier nieuwe regels over in te voeren.

Meelezende juristen en compliance officers: ondersteunt jouw securitybeleid en/of VO het gebruik van wachtwoordloze authenticatie?

Arnoud

Mag een bedrijf de factuur alleen via een portaal aanbieden?

Een lezer vroeg me:

Is het toegestaan om facturen alleen als download te verstrekken, of moet je op verzoek ze per e-mail (of op papier) verstrekken?

De eerste vraag is of de klant een consument is of een bedrijf. Een consument heeft geen recht op een factuur (en de handelaar is niet verplicht een factuur uit te reiken). De consument moet alleen een betalingsbewijs krijgen. Dat mag natuurlijk opgemaakt zijn als factuur, maar formeel zitten er geen eisen aan hoe dit bewijs eruit moet zien of hoe het moet worden verstrekt.

Een bedrijf moet wel een factuur uitgereikt krijgen, maar de wet laat de keuze bij partijen of die elektronisch of op papier moet worden verstrekt. De klant heeft het laatste woord: elektronisch factureren vereist instemming van de wederpartij (art. 35b lid 1 Wet omzetbelasting 1968). Gelukkig voor de ondernemer kun je die instemming in je algemene voorwaarden bedingen.

Hoe je de elektronische facturatie vervolgens invult, is iets dat je vrij mag beslissen. Een e-mail is dus op zich mogelijk, maar als je de facturen liever in een portaal zet en de klant ze daar moet downloaden, dan is dat ook goed (tenzij de klant piepte toen hij dat in je algemene voorwaarden zag staan).

Zo’n online omgeving wordt door juristen als nuttig gezien, omdat je dan kunt bewijzen dat de factuur is gedownload en dus is uitgereikt. Ook voldoe je dan aan beveiligingseisen ivm privacy, een factuur kan immers persoonsgegevens bevatten. Het is buitengewoon irritant, maar irritatie is niet onrechtmatig.

Arnoud

Mag een apotheek je laten inloggen met je BurgerServiceNummer?

bsnEen lezer vroeg me:

Mijn apotheek biedt de mogelijkheid om online herhaalrecepten voor medicatie aan te vragen. Maar dan moet je inloggen met BSN. Dat mag toch helemaal niet?

De regel bij het BSN is eigenlijk simpel: alleen als in een wet staat dat het voor een specifiek doel mag worden gebruikt, is dat toegestaan. Ander gebruik, hoe handig of makkelijk ook, is eenvoudigweg verboden. En ja, hier staan boetes op sinds 1 januari.

Dat een apotheek het BSN mag gebruiken, staat in de Wet gebruik BSN in de zorg. Doel is te waarborgen dat de in het kader van de verlening van zorg te verwerken persoonsgegevens op die cliënt betrekking hebben. Je wilt immers geen medicatie aan de verkeerde persoon meegeven, of per abuis onthullen wat voor aandoening iemand heeft.

Het daaronder hangend Besluit werkt uit dat bij het identificeren van een klant het BSN mag worden gebruikt. Hierbij kan ik echter niet vinden hoe dat moet, en al helemaal niet in het geval de cliënt zich online meldt. Ik vermoed dus dat het niet mag, omdat er geen wettelijke regeling lijkt te zijn die zegt van wel.

Meer algemeen lijkt het me problematisch, omdat het BSN in het algemeen niet bedoeld is als dossiernummer of administratief kenmerk. Een gebruikersnaam valt daar ook onder. Dit wordt ook zo gemeld door de toezichthouder, de Autoriteit Persoonsgegevens:

De gemeente mag uw burgerservicenummer (BSN) niet gebruiken als briefkenmerk of dossiernummer. De gemeente mag u ook niet vragen om standaard uw BSN te vermelden in brieven die u naar de gemeente stuurt. Daarvoor is het BSN niet bedoeld.

En wat voor een gemeente geldt (hoi Beverwijk en Alkmaar) lijkt me voor een apotheek ook te gelden.

Arnoud

Inloggen op een opgezegd abonnement: rekening volgt!

login-inloggen-pin-number-nummer-password-wachtwoordEen lezer vroeg me:

Ons bedrijf had een abonnement op een informatiedienst, dat we per 1 april hebben opgezegd. Echter onlangs kregen we een mail met een factuur voor extra gebruik ná 1 april, omdat uit hun logs bleek dat er nog medewerkers van ons bedrijf inlogden op de dienst. Moet ik dat betalen? Ik heb toch opgezegd, dan moeten zij toch de dienst ontoegankelijk maken?

Dit voelt als een dilemma. Enerzijds: er is opgezegd, dus hoezo kán er nog worden ingelogd. Anderzijds: waarom wérd er nog ingelogd nadat het bedrijf had opgezegd?

Natuurlijk behoort een bedrijf na opzegging ervoor te zorgen dat medewerkers niet meer zomaar gaan inloggen op een dienst, zeker niet als het gebruik van die dienst geld kost per minuut, megabyte of iets dergelijks. Na opzegging is die dienst niet meer beschikbaar, behoort men daar weg te blijven.

Het bedrijf heeft dat niet (adequaat) gedaan, waardoor mensen alsnog zijn gaan inloggen en de dienst gebruiken. Daarmee heeft het bedrijf kosten gemaakt, en zij zouden dit mogen opvatten als “kennelijk wilde u alsnog onze dienst gebruiken” dus dan is factureren zoals het ten tijde van het abonnement ging, een logische stap.

Echter, het lijkt me na opzegging van een informatiedienst primair de taak van de dienstverlener om deze ontoegankelijk te maken. Dat is zo standaard en gebruikelijk dat je dat wel mag verwachten van die leverancier. En als bedrijf zou je dan op die verwachting af mogen gaan, wat dus betekent dat je geen aparte stappen hoeft te nemen om inloggen vanuit je organisatie te verhinderen.

Wat vinden jullie?

Arnoud

Mag een site je verplichten om je via Facebook aan te melden?

face-book.pngEen lezer vroeg me:

Ik was op zoek naar een studentenkamer en kwam Kamers in Nederland tegen. Daar staat letterlijk: “KamersInNederland.nl is bewust een afgesloten platform. Alleen door in te loggen met je Facebook-account kun je kamers bekijken en plaatsen. Op deze manier houden we oplichters buiten de deur.” Maar is dat wel legaal? Mag je bezoekers verplichten zich via Facebook aan te melden?

Bij commerciële diensten heb ik het nog niet vaak gezien, maar bij steeds meer forums en blogs zie ik de eis om je aan te melden via Facebook, Twitter en dergelijke diensten van derden.

Op zich is dat legaal. Je mag je dienstverlening aanbieden zoals jij dat wil, en als je wil dat mensen lid zijn van Facebook dan mag je dat als voorwaarde stellen. Het doet gek aan, want in het normale leven heb je zoiets eigenlijk nooit. Maar ik kan er niet echt een regel tegen bedenken.

De enige regel die in de buurt komt, is dit artikel op de grijze lijst:

dat de wederpartij verplicht tot het sluiten van een overeenkomst met de gebruiker of met een derde, tenzij dit, mede gelet op het verband van die overeenkomst met de in dit artikel bedoelde overeenkomst, redelijkerwijze van de wederpartij kan worden gevergd;

Het is dus verdacht om te eisen dat je klanten ook met iemand anders een contract moeten sluiten. Maar de grijze lijst is niet dwingend; je mag tegenbewijs leveren waarom het wél redelijk is. En de hint staat er al: er moet een redelijk verband zijn tussen de twee overeenkomsten. Bij kamerverhuur speelt het probleem van oplichters en malafide huurders en verhuurders. Door te eisen dat je je identiteit onthult, schrik je die partijen af. En verder kost het je weinig, behalve je privacy dan maar die is juridisch gezien toch nul euro waard.

Het voelt wel gek om zo expliciet Facebook aan oplichting te koppelen. De indruk lijkt een beetje te zijn “heb je geen Facebook, dan ben je een oplichter”. En dit vond ik wel dubieus:

We controleren Facebook profielen automatisch én handmatig. Bovendien helpen onze gebruikers een handje mee.

Dit vereist – net als het googelen van sollicitanten – apart toestemming. Die zou dus op de loginpagina geëist moeten worden, verstoppen op een pagina waar men niet per se langs komt is juridisch niet genoeg.

Verder kon ik het als jurist niet nalaten de Privacy Policy te lezen. Alleen, dat bleek naar de algemene voorwaarden te gaan waar niks over privacy in staat. Maar waar wél in staat dat er € 9.50 per maand plus bemiddelingsloon verschuldigd is, terwijl de dienst volgens de site gratis is (“omdat het kan“). Gevalletje copypasten bij de concurrent?

Arnoud