Onze softwareleverancier eist dat mijn personeel hun vingerafdruk gebruikt om in te loggen, wat nu?

| AE 13390 | Ondernemingsvrijheid, Privacy | 20 reacties

Een lezer vroeg me:

Ik ben CTO van een dienstverlenend bedrijf. Wij maken gebruik van een externe tool voor gevoelige bedrijfsgegevens, en nu komt de leverancier met een security-update: mijn mensen moeten nu met vingerafdruk zich aanmelden, alle andere authenticatiemethoden zijn afgeschaft. Ik snap dat zij als verwerkingsverantwoordelijke zelf moeten afwegen wat veilig is, maar wat is mijn positie als werkgever nu? Ik zie de discussie al voor me.
Het is vrijwel nooit toegestaan om biometrie in te zetten voor authenticatie, de AP en de wet leggen de lat heel hoog. Ik weet niet om wat voor gegevens het gaat maar tenzij je in de nucleaire energievoorziening of defensie-ondersteuning zit, zie ik dus niet hoe de leverancier Y dit kan rechtvaardigen. Uit de Manfield-zaak weten we dat die lat voor gewone bedrijfstoepassingen te hoog ligt.

Het is inderdaad zo dat zo’n bedrijf als verwerkingsverantwoordelijke optreedt, zij beslissen zelf hoe hun applicatie werkt en welke beveiligingsmechanismen ze inzetten. (Slimmeriken die nu roepen, laat ze een verwerkersovereenkomst tekenen en eis dan een andere authenticatie: nee, zo werkt het niet.) Als klant van zo’n dienstverlener is het dus kiezen of delen of je dit wil doen.

De complicatie hier is natuurlijk dat je als goed werkgever je personeel niet mag verplichten om illegale biometrie te ondergaan. Dat het een keuze is van zo’n bedrijf om het zo te doen, staat daar los van. Als het bedrijf je personeel fouilleert en eist dat je je ontkleedt daarbij, dan zou ook vrij evident zijn dat jij je personeel daar niet aan mag onderwerpen, ook al is dat de keuze van die leverancier.

Conclusie zou dus zijn dat je de tool niet mag gebruiken. Ik zie hoe dat vervelend is, want waarschijnlijk ben je als bedrijf al enige tijd op deze tool en dan is overstappen niet eenvoudig. Maar ik zie geen andere optie, als men werkelijk tot iedere prijs weigert anders te authenticeren dan met biometrie dan houdt het op.

Arnoud

Als je eerder op je werk moet komen omdat het inloggen tien minuten duurt, dan ben je dus gewoon tien minuten eerder aan het werk.

| AE 13282 | Ondernemingsvrijheid | 38 reacties

Je zou zeggen dat dit logisch is. Maar nee: een Zuid-Hollands callcenter dat eist dat werknemers tien minuten voor het begin van hun werktijd aanwezig zijn om in te loggen, moet een medewerker voor die minuten gaan betalen. Dat meldde RTL Nieuws vorige week. Het bedrijf Teleperformance eist dit zodat mensen stipt om 9 uur kunnen beginnen met de verwerking van telefoontjes, dit vanwege de SLA met hun klanten. Dat is geen werk, aldus het bedrijf: “[Het gaat erom dat mensen] dermate op tijd inloggen dat zij voorafgaand aan de aanvang van hun dienst desgewenst nog even rustig wat te drinken kunnen pakken en gebruik kunnen maken van het toilet.” Welles, aldus de rechtbank, want jij zegt dat ze er tien voor negen moeten zijn en iets voor jou moeten doen (namelijk inloggen).

Het vonnis is al uit december maar pas onlangs gepubliceerd. Een werknemer eiste van Teleperformance uitbetaling van achterstallig salaris, namelijk elke werkdag 10 minuten voor de normale starttijd van 9 uur aanwezig zijn en werk doen. Dat komt neer op een bedrag van € 1.587,03 bruto plus vakantiegeld, oh ja en wettelijke verhoging van 50% omdat het nu pas wordt betaald.

Het argument is dan, als je er om tien voor negen moet zijn, en dan dingen moet doen die je werkgever je opdraagt, dan ben je dus aan het werken. En wie werkt, heeft recht op loon. Dat is bijvoorbeeld in 2020 bij een supermarkt bepaald, waar werknemers pas naar buiten mochten als iedereen klaar was met werken, wat tot 15 minuten wachten kon leiden. Dat is werktijd, aldus de rechtbank toen: beschikbaar zijn voor werkopdrachten telt als “arbeid”, ook al sta je alleen maar te wachten en misschien ben je dan privézaken op je telefoon aan het doen. Als je werkgever je hád kunnen zeggen “ga nog even het magazijn vegen”, dan is het werktijd.

De werkgever hier had het als volgt opgeschreven in het planningsreglement:

3. Het is de bedoeling dat je, volgens het aan jou uitgereikte rooster je werkzaamheden verricht. Dat wil zeggen dat je je zowel aan de werktijden als aan de pauzetijden houdt. Door het webstation altijd open te hebben, ben je altijd van alle tijden op de hoogte. 09.00 uur beginnen betekent exact om 09.00 uur klaar zitten om je eerste call aan te nemen dan wel te maken. Meld je daarom altijd 10 minuten voor aanvang van je dienst bij je supervisor, dan ben je nooit te laat.
Ik ben ook benieuwd waarom inloggen tien minuten moet duren. Zelfs met mijn Mijn Documenten-map van 3 gig duurt het hier maar 40 seconden. Maar gelukkig was de werknemer specifiek in de omschrijving:
[Bij de mondelinge behandeling] is naar voren gekomen dat [eiser] voorafgaand aan het opnemen of starten van zijn eerste call het volgende moet doen: de pc aanzetten en het opstarten van 1) het urenregistratiesysteem, 2) het rooster, 3) het e-mail programma, (inclusief bekijken ingekomen e-mail), 4) het klantensysteem, 5) de agenda (o.a. voor terugbelverzoeken), 6) de community (forum), 7) de e-shop tool Nederland, 8) de e-shop tool België, 9) de remote call (teamviewer) en 10) het kladblok. Bij negen van de tien genoemde programma’s moet door de werknemer worden ingelogd met een inlognaam die steeds hetzelfde is en een wachtwoord dat in het algemeen ook hetzelfde is maar wel moet worden ingevoerd. Het laatste programma (het kladblok) hoeft alleen aangeklikt te worden. De programma’s moeten allemaal klaar staan om de klanten die inbellen of gebeld gaan worden te woord te kunnen staan. Verder is tussen partijen vast komen te staan dat nadat alle tien de programma’s zijn opgestart, nog op een zogenaamde ‘groene knop’ moet worden geklikt om in te loggen in het belsysteem (een aux-code-systeem). Dat inloggen mag niet te vroeg gebeuren omdat dan het scherm van de leidinggevende ‘vervuild’.
Elders was vermeld dat er sancties staan op het niet exact om 9.00 klaar zitten. En zie wel hoe dit enige minuten gaat duren. Hoe veel precies zal van dag tot dag verschillen, algemeen bekend is immers dat netwerksnelheden en laadtijden weers- en maanstandafhankelijk zijn. Maar Teleperformance heeft daar, aldus de rechtbank, goed over nagedacht en is uitgekomen op een gemiddelde van tien minuten. Dat is dus arbeidstijd:
Het gaat immers wel degelijk om tijd waarin instructies van Teleperformance gelden, te weten het opstarten van alle programma’s die voor het uitvoeren van het werk nodig zijn. Het gaat dus om voorbereidende werkzaamheden die nodig zijn om de telefoonwerkzaamheden uit te kunnen voeren. Omdat [eiser] op grond van de Planningsregels tien minuten voor aanvang van zijn dienst aanwezig dient te zijn, moet worden aangenomen dat de voorbereidende werkzaamheden tien minuten in beslag nemen.
De hiervoor gemaakte uren moeten dus worden betaald, en omdat Teleperformance niet inhoudelijk de berekening had betwist wordt de hele eis toegewezen, een slordige 6.500 euro. Daar had je toch een aardig automatisch-opstartenscript voor kunnen laten bouwen lijkt me.

Arnoud

Microsoft maakt einde aan wachtwoorden, andere techbedrijven voorlopig niet

| AE 12947 | Security | 19 reacties

Microsoft kondigde onlangs aan gebruikers de keuze te bieden zonder wachtwoorden in te loggen, zo las ik bij Nutech.nl. Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Op zich natuurlijk geen juridisch nieuws, maar ik licht het er toch even uit omdat a) security ontzettend belangrijk is binnen de ict en b) juristen zich regelmatig tegen wachtwoordbeleid aan bemoeien.

Microsoft maakt de stap omdat wachtwoorden fundamenteel onveilig zijn. Ze kunnen worden afgekeken, geraden of uit datalekken afgeleid. Eigenlijk was het altijd al een hele rare keuze, wachtwoorden. Mensen iets laten doen waar computers heel goed in zijn en mensen niet (onthoud acht tekens, waarvan minstens drie hoofdletters, minimaal één cijfer en één leesteken maar niet als eerste teken, u kent het wel), hoe kom je er bij. Maar goed, in de jaren zeventig was dat de enige logische keuze.

Ook het wijzigen van wachtwoorden komt uit die tijd. Het Amerikaanse ministerie van Defensie had recent ontdekt dat aanvallers wachtwoorden konden kraken, zelfs als ze versleuteld waren opgeslagen. Het terugrekenen van de versleuteling (jaja, ik weet het maar leg jij rainbow tables eens uit in gewone taal) kostte ongeveer zes weken, zo was de inschatting. De praktische oplossing: elke maand een nieuw wachtwoord, dan is de informatie voor de criminele aanvaller verouderd voordat deze hem gevonden heeft. Die regel belandde ergens in de algemene kennis van de ICT-securityspecialisten – en de juristen, want dit is praktische regelgeving en dat is hardnekkiger dan de Grondwet om te veranderen.

Al geruime tijd is er een verbetering, namelijk tweefactorauthenticatie. Daarbij heb je naast je wachtwoord ook bijvoorbeeld een vingerafdruk nodig of een fysiek token. Dat scheelt in het aanvalsgemak, maar:

Veel vormen van 2FA berusten nog steeds op het inloggen met wachtwoorden, wat deze manier van inloggen nog steeds kwetsbaar maakt voor aanvallen van buitenaf. Het is veiliger dan inloggen met alleen een wachtwoord, maar de kwetsbaarheden van het wachtwoord worden niet weggenomen.
Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Dat is echt een stap vooruit, en ik hoop dan ook dat andere bedrijven snel gaan volgen. (Ik gebruik zelf al lange tijd een Bluetooth-koppeling: als mijn telefoon (die in mijn zak zit) te ver van mijn laptop is, dan gaat mijn laptop op slot. Een wachtwoord draagt daar niets meer aan bij.)

Het juridische haakje: u mag nu even de verwerkersovereenkomsten controleren op uw passende technische en organisatorische maatregelen onder artikel 32 AVG die u opgelegd zijn of die u aan verwerkers oplegt. Afgaande op de paar duizend verwerkersovereenkomsten uit onze contractenscanner staat daar namelijk in dat men sterke wachtwoorden moet hanteren (32% van de clausules) en maar zelden iets over 2FA (4%). Regelmatig wijzigen van wachtwoorden staat vrijwel altijd (78%) bij die wachtwoordclausules, wat binnen de securitywereld juist een slecht idee is – dan krijg je welkom42 of X5j13$#eOktober als wachtwoorden. Tijd dus om hier nieuwe regels over in te voeren.

Meelezende juristen en compliance officers: ondersteunt jouw securitybeleid en/of VO het gebruik van wachtwoordloze authenticatie?

Arnoud

Mag een apotheek je laten inloggen met je BurgerServiceNummer?

| AE 8371 | Informatiemaatschappij | 23 reacties

Een lezer vroeg me: Mijn apotheek biedt de mogelijkheid om online herhaalrecepten voor medicatie aan te vragen. Maar dan moet je inloggen met BSN. Dat mag toch helemaal niet? De regel bij het BSN is eigenlijk simpel: alleen als in een wet staat dat het voor een specifiek doel mag worden gebruikt, is dat toegestaan…. Lees verder

Mag een site je verplichten om je via Facebook aan te melden?

| AE 5506 | Privacy | 12 reacties

Een lezer vroeg me: Ik was op zoek naar een studentenkamer en kwam Kamers in Nederland tegen. Daar staat letterlijk: “KamersInNederland.nl is bewust een afgesloten platform. Alleen door in te loggen met je Facebook-account kun je kamers bekijken en plaatsen. Op deze manier houden we oplichters buiten de deur.” Maar is dat wel legaal? Mag… Lees verder