Wat kan ik als mijn werkgever mijn bsn en medisch dossier lekt?

| AE 12299 | Privacy, Security | 19 reacties

Een lezer vroeg me:

De laptop van mijn leidinggevende is recent gestolen. Helaas was het systeem niet versleuteld, waardoor gevoelige persoonsgegevens (zoals mijn naam, geboortedatum, BSN, handtekening en medische gegevens) door de dief te lezen zouden kunnen zijn. Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan ik juridisch doen tegen mijn werkgever?
Allereerst: erg jammer en vervelend dat er anno 2020 nog steeds werkgevers zijn die dus dit soort gevoelige gegevens rondsjouwen zonder zelfs maar full-disk encryptie. Het is erg pijnlijk om daar via een datalekmelding achter te moeten komen.

De procedure is zo te lezen netjes gevolgd: de werknemer moet worden geïnformeerd en de AP ook, want de gegevens zijn zeer gevoelig en misbruik daarvan kan zeker tot schade bij de werknemer(s) leiden. Ook als het maar een handjevol mensen was – BSN en medische gegevens tellen als zeer gevoelig ook bij kleine hoeveelheden.

Dat wil niet zeggen dat de kous daarmee af is. De werknemer kan desondanks immers schade lijden door het lek, en volgens de AVG is de werkgever daar gewoon voor aansprakelijk stellen.

Het lastige hierbij is natuurlijk aan te tonen wat je schade is, zeker als er nog geen kwaadwillend gebruik van je gegevens is gemaakt. En bij diefstal van een laptop is de kans reëel dat dat ook niet gaat gebeuren; waarschijnlijk herinstalleert de dief Windows en verkoopt hij het ding tweedehands. Je kunt dan natuurlijk gaan monitoren op misbruik maar je zult waarschijnlijk niets tegenkomen.

Het gaat me wat ver om te zeggen dat een werkgever maar gewoon een bedrag moet geven bij wijze van forfaitaire schadevergoeding. Maar zonder concreet aangetoonde schade kan de werknemer verder niet zo veel. Bij financiële gegevens zou je nog kunnen eisen dat de werkgever een monitoringdienst betaalt om op het ahem “dark web” te kijken of je creditcard daar opduikt, maar voor bsn’s of medische dossiers is er niet echt zo’n markt.

Arnoud

Mag je iemand zijn ontslag laten nemen als je zijn laptop onbeheerd aantreft?

| AE 12212 | Ondernemingsvrijheid | 58 reacties

Een lezer vroeg me:

Bij ons (redelijk groot) bedrijf gelden harde securityregels, waaronder de simpele eis je laptop te locken als je er van wegloopt. Als security officer zeg ik dan altijd, als ik een open laptop zie dan stuur ik vanuit jouw mailadres een ontslagmail naar je manager. Maar nu vroeg ik me af hoe bindend dat zou zijn op die persoon?
Een eis dat mensen hun laptop locken is een prima idee, en het is goed om met concrete voorbeelden te illustreren waarom. Het spreekt zeer tot de verbeelding dat iemand dan vanaf jouw mailadres iets raars naar je manager stuurt, dat geeft gedoe waar je géén zin in hebt.

Ik adviseer zelf om krokettenbeleid te voeren (in het Zuiden des lands ook wel vlaaienbeleid): je mailt alle collega’s “Mijn laptop stond open dus ik regel morgen kroketten”. En dat is dan soort van sociaal verplicht dat je dat doet.

Juridisch kun je een werknemer natuurlijk niet verplichten om kroketten (of vlaaien) te gaan kopen. En ik heb al een OR-lid in de mail gehad die dit potentieel pesten/bullying vond van de zwakkere werknemer, die zo legaal te grazen genomen kan worden door collega’s. Je daartegen wapenen vind ik wel een serieuze randvoorwaarde voor je bedrijf.

Deze constructie (je baas mailen “ik neem ontslag”) gaat voor mij nog een stapje verder. Afhankelijk van de werkrelatie, die je niet kent als langslopende security officer, kan het zijn dat deze persoon geloofd wordt (“Ha, eindelijk!”) en dan komen er processen op gang waar het héél lastig weer uit te komen is. Ik zou dit dus dringend afraden.

Formeel-juridisch is het niet bindend want die persoon heeft het niet gezegd, en daar is bewijs van want als goed werknemer ga jij natuurlijk een getuigenverklaring afleggen dat jij die mail hebt gestuurd. Maar je komt er pas achter als het ontslagproces al op gang is, en misschien is er dan al een arbeidsconflict ontstaan waardoor het hoe dan ook doorgezet wordt.

Dus misschien moeten we maar gewoon zeggen, de SO stuurt alleen mails naar de persoon zelf “Volgende keer je laptop afsluiten” of de laptop meenemen en een geel briefje achterlaten. Geen ontslagbrieven sturen, en geen kroketten aankondigen. Dan laat je iemand lopen in plaats van vettigheid eten, is nog beter voor de gezondheid ook.

Arnoud

Kan ik mijn data van de laptop van mijn opdrachtgever laten wissen?

| AE 12163 | Ondernemingsvrijheid | 18 reacties

Een lezer vroeg me:

Ik werk als zzp’er voor een verzekeraar. Tijdens mijn klus (waarbij ik een hoop gegevens moest verzamelen en verwerken) ging mijn laptop stuk, en vanwege de deadline kreeg ik toen een laptop van de opdrachtgever te leen. Daarop mocht ik ook privédata opslaan, dit staat expliciet in de leenovereenkomst. Echter, daarna ontstond ruzie en werd de overeenkomst opgezegd, waarna men van op afstand de laptop vergrendelde!  Nu kan ik niet meer bij de privédata die ik daar mocht opslaan. Bovendien ontdekte ik daarna dat men bepaalde resultaten toch ging gebruiken (ik zie ze terug in publicaties). Mag dat zomaar?
Het is nogal cru, maar ik zou zeggen dat een opdrachtgever inderdaad gerechtigd is de geleende laptop op te eisen als de opdracht ineens eindigt. Dat men deze nu op afstand vergrendelt, is het cyber-equivalent daarvan. Dat je de laptop voor privédoeleinden mocht gebruiken, impliceert voor mij nog niet dat je ook recht had op toegang tot de data na einde opdracht. Zoiets moet expliciet in de overeenkomst opgenomen zijn.

Los daarvan mag de opdrachtgever natuurlijk niet zomaar die data gebruiken, dat mag pas als uit de overeenkomst blijkt dat deze bruikbaar is. Zonder overeenkomst is hij niet bevoegd daarmee te werken. Zeker omdat op die data een databankrecht rust (mag u van me aannemen). Ik zou hem sommeren de data te vernietigen.

Het maakt natuurlijk nogal uit wat de reden is voor de ruzie. Als dat bijvoorbeeld gaat over dat er te veel is gefactureerd, dan zie ik wel hoe de opdrachtgever zou denken dat hij de resultaten mag gebruiken. Maar als de klacht is dat er prutswerk is geleverd, dan is het natuurlijk onzin om vervolgens wél met die data verder te werken.

Arnoud

Die journalisten van Trouw hadden dikke mazzel dat ze een scoop vonden bij hun computervredebreuk

| AE 11749 | Ondernemingsvrijheid, Security | 24 reacties

Enkele KPN-medewerkers hebben zich intern kritisch uitgelaten over de door KPN ontwikkelde app WeGoEU. Dat las ik bij Tweakers. De kritiek luidt dat de app data van Chinese toeristen verzamelt en naar Chinese servers, en daarmee naar de Chinese overheid zou sturen. Oké, leuk nieuwtje maar het échte nieuws voor mij is dat Trouw dit… Lees verder

Ex-werknemer moet 500 euro betalen voor achterhouden wachtwoord

| AE 10399 | Security | 32 reacties

Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op… Lees verder

Heb ik recht op een nieuwe laptop als de processor een Meltdown of Spectre heeft?

| AE 10210 | Ondernemingsvrijheid, Security | 19 reacties

Beveiligingsexperts vonden twee grote bugs in processors, die vrijwel in elke computer ter wereld worden gebruikt. Dat meldde Nu.nl vorige week. De zogeheten Meltdown en Spectre bugs zijn bugs die er voor kunnen zorgen dat hackers toegang krijgen tot het kernelgeheugen van computers, waarmee onder meer wachtwoorden eenvoudig te achterhalen zijn (nou ja, “eenvoudig“). De… Lees verder

Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

| AE 9571 | Regulering, Security | 32 reacties

Een lezer vroeg me: Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de… Lees verder

Mag een PC-reparateur aangifte doen van wat hij op je harddisk vindt?

| AE 7858 | Security | 23 reacties

Een lezer vroeg me: Als je je pc voor reparatie aanbiedt, kan men daarbij bijvoorbeeld zien dat je illegale software gebruikt. Of, als je pech hebt, dat je echt illegale zaken hebt staan (gestolen bedrijfsgegevens, terroristische literatuur, kinderporno, vul maar in). Mogen ze daar aangifte van doen? Ze hebben toch een geheimhoudingsplicht als opdrachtnemer? Als… Lees verder

Lenovo installeert nepcertificaat en malware op nieuwe laptops, mag dat?

| AE 7452 | Security | 36 reacties

Lenovo injecteert nieuwe laptops met malware, meldde Nu.nl gisteren. Het gaat om de Superfish-software, die advertenties en floepvensters toevoegt aan webpagina’s. En om dat ook bij beveiligde sites te kunnen doen, is een SSL root certificaat geïnstalleerd zodat beveiligd verkeer omgeleid kan worden en Superfish er tussen kan komen met z’n rommel. Stilletjes adware op… Lees verder

Maar hij staat dáár!

| AE 5427 | Security | 21 reacties

Diverse lezers wezen me op dit GeenStijlbericht over een gestolen laptop die de politie niet wilde terughalen. Op de bekende tendentieuze, ongefundeerde en nodeloos kwetsende wijze werd daar melding gemaakt van een poepdure hipstermachine die in 020-Gaza beneden zijn stand weg stond te kwijnen in het onrechtmatige bezit van werkschuw steeltuig. En de pliesie zat… Lees verder