Mag ik mijn werknemers echt niet verplichten een tweefactorauthenticatieapp te installeren?

| AE 11630 | Ondernemingsvrijheid, Privacy | 30 reacties

Een lezer vroeg me:

Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie in te voeren. Wij hebben hiervoor een breed bekende leverancier gevonden, die ons een simpele en privacyvriendelijke app beschikbaar stelt voor op de telefoons van medewerkers. Alleen: ik begrijp uit eerdere blogs dat ik dit niet op privetelefoons mag zetten, maar het hele kantoor zakelijke telefoons moet geven enkel voor deze apps. Dat vind ik nogal wat qua kosten en beheer (een bedrijf met 80 man, iedereen heeft een eigen mobiel en men werkt op kantoor dus geen mobiele bereikbaarheid nodig). Is de wet werkelijk zo streng?

Ik heb inderdaad in het verleden altijd gesteld dat een werkgever niet mensen kan verplichten op hun privételefoon een app te installeren die voor het werk nodig is. De werkgever moet de gereedschappen leveren waarmee het werk wordt gedaan.

Uitzondering op deze wettelijke regel is als het normaal is dat de werknemer zulk gereedschap zelf meeneemt. Het clichevoorbeeld is de kapper met eigen scharen of de chefkok met eigen messen. Maar daar zit eigenlijk altijd achter dat die werknemer dat prettiger vindt dan wat de werkgever heeft liggen. Niet dat de werkgever dan goedkoper uit is.

Dat gezegd hebbende zie ik het dilemma wel bij een organisatie als deze. Je wilt het goed doen maar ook geen enorme kosten maken. En als er dan een app is die je één keer per werkdag nodig hebt (bij het inloggen voor de dag) en die verder geen rare dingen doet, wat is dan het probleem?

Je komt dan in het gebied van goed werknemerschap. Een goed werknemer doet dingen voor het werk, ook als dat niet letterlijk op papier staat of zelfs hem in geringe mate op kosten of moeite jaagt. Ik zou dat bij een simpele app als deze wel zien, als je als werkgever zegt, gebruik die alsjeblieft.

Daar staat tegenover dat een goed werkgéver ook weer rekening houdt met de belangen van werknemers. Als iemand echt bezwaar maakt (of geen mobiel heeft, om welke reden dan ook) dan zoek je een andere oplossing.

Wel zou je als werkgever iets moeten bedenken voor het geval de werknemer z’n telefoon gestolen wordt, of gewoon kapot is. Want je kunt niet verwachten dat hij binnen een dag een nieuwe telefoon heeft, en hij zal in de tussentijd toch moeten werken?

Arnoud

Mag de werkgever je privételefoon gebruiken voor tweefactorauthenticatie?

| AE 8323 | Ondernemingsvrijheid, Security | 56 reacties

mobieltje-sms-bellen-06.pngEen lezer vroeg me:

Vanwege de Wet datalekken is bij ons bedrijf de security aangescherpt. We moeten nu altijd met tweefactorauthenticatie inloggen: na aanmelden met wachtwoord krijg je een SMS met een code die je dan ook moet invoeren. Maar mensen die geen bedrijfstelefoon hebben, moeten nu hun privé-06-nummer opgeven. Mag ik dat weigeren? Ik wil niet dat die telefoon voor zakelijke dingen wordt gebruikt.

Hoofdregel is dat de werkgever de “gereedschappen” waarmee het werk wordt uitgevoerd (art. 7:658 BW) beschikbaar moet stellen. Hij bepaalt immers hoe het werk wordt uitgevoerd, dus hij moet ook de spullen leveren. De werkgever maakt ook de keuze: wel of geen laptop, wel of niet flexwerken, et cetera. Of in dit geval: we gaan met tweefactorauthenticatie werken, dus je typt gewoon die sms codes in vanaf nu.

Het is mogelijk af te spreken dat werknemers zelf voor bepaalde hulpmiddelen zorgen. Denk aan bedrijfskleding die mensen liever zelf kopen omdat ze dan zelf voor iets passends kunnen shoppen. Een bring-your-own-device constructie kan dus hierop worden gebaseerd.

Een dergelijke afspraak kan echter alleen als dit in het arbeidscontract is opgenomen (of een CAO) dan wel als het een zeer gebruikelijke afspraak in de branche is. Dat je van een chefkok verwacht dat hij zijn eigen messen meeneemt, lijkt me bijvoorbeeld heel normaal. Maar van een ‘gewone’ medewerker dat hij een privételefoon meeneemt voor werk, vind ik daarmee niet vergelijkbaar.

Daar staat tegenover dat je anno 2016 mag verwachten dat een werknemer een mobiele telefoon bij zich heeft waar hij sms-berichten op kan ontvangen. Vanuit dat perspectief is het een uiterst kleine moeite voor de werknemer om de daarop ontvangen code over te typen. In alle redelijkheid kun je dan moeilijk zeggen “koop maar voor iedere werknemer een telefoon met abonnement van X euro per maand” lijkt me. Dus specifiek voor die situatie denk ik dat je het wel kunt verlangen.

Uiteraard moet de werkgever iets anders verzinnen als de werknemer geen telefoon heeft of om zwaarwegende redenen weigert zijn 06-nummer te geven. En het 06-nummer mag natuurlijk niet meteen ook voor de bedrijfs-whatsapp of gewoon werkoverleg worden ingezet.

Arnoud