Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

| AE 12706 | Security | 28 reacties

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.
De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

Onderzoek: managers kijken bij half miljoen werknemers thuis over de schouder mee, de hele dag

| AE 12611 | Ondernemingsvrijheid | 11 reacties

Bij 13% van de thuiswerkers komt de manager de hele dag langs om door het raam mee te kijken of zij wel aan het werk zijn. Dit blijkt uit CNV-onderzoek onder 1200 thuiswerkers. ‘Dit betekent dat ruim een half miljoen werkenden dus voortdurend in de gaten worden gehouden door hun werkgever. In de praktijk ligt dit getal waarschijnlijk nog hoger omdat niet iedereen de manager bij het raam ziet staan,’ stelt Piet Fortuin, CNV-voorzitter.  Oh nee pardon: een half miljoen thuiswerkers wordt via software in de gaten gehouden. Want dat is wél normaal voor werkgevers?!

Ik blijf me erover verbazen dat werkgevers zich zo’n zorgen maken over thuiswerken dat ze structureel grijpen naar dit soort middelen. Waarbij ik dan ook meteen aanneem dat vele werkgevers niet verder kijken dan de folder, die belooft dat er productiviteit gemeten kan worden. En dat men dan niet direct denkt, oh handig dat iedere toetsaanslag gelogd kan worden, dat ga ik live meelezen. Het is een tool die alles kan, dat is handig want dan mis/vergeet je niets, dus laten we het maar doen. En trouwens, men moet werken dus hoezo mag dat niet? Op het werk mag ik ook meekijken.

En dat is dus waarom ik die vergelijking maakte in de titel: natuurlijk mág dat, maar geen manager haalt het in zijn hoofd om bij mensen door het raam te gaan kijken. Of op kantoor naast iemand te staan “wat ben je nu aan het typen, druk eens op F1, ik zou die paars maken en dan printen”. Iedereen voelt onmiddellijk aan dat dat niet gaat werken. Maar zodra je dat met software doet, is het ineens gewoon handig en moeten mensen maar niet zeuren want het is werktijd en de kantoorlaptop? Of zoiets?

Arnoud

 

Mag je werknemers vragen of ze gevaccineerd zijn tegen het coronavirus?

| AE 12447 | Ondernemingsvrijheid, Privacy | 75 reacties

Een lezer vroeg me:

Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij gevaccineerd heb. Is dat toegestaan, en maakt het uit of men dat eenmalig vraagt of het ook opslaat?
Of je besmet bent met het covid-19 virus dan wel daartegen gevaccineerd bent, of zelfs maar getest, dat zijn gezondheidsgegevens in de zin van de AVG. Het zijn immers gegevens “die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon”.

De wet is daar terecht streng in: die gegevens mogen eigenlijk niet worden verwerkt tenzij je in de wet een grondslag kunt aanwijzen waarom je het wél mag. En die is niet makkelijk te vinden, met name omdat je er altijd een noodzaak bij moet onderbouwen. Dus “het is handig” of zelfs “bij een uitbraak op kantoor gaan we failliet” is echt bij lange na niet genoeg.

Bij het temperaturen is de nodige discussie geweest. Iemands lichaamstemperatuur zegt wat (kan wat zeggen) over zijn gezondheid, dus wordt dat gegeven ook gezien als persoonsgegevens. De AP zegt daarover dat je deze niét mag nemen, tenzij je het zo doet dat het buiten de AVG valt. Dat wil zeggen: een niet-geautomatiseerde meting (dus géén warmtecamera), geen registratie of opslag van de meting en géén automatische handeling laten volgen op de meting (dus geen poortje dicht of claxon bij te hoge temperatuur).

Vragen of men gevaccineerd is of dat men besmet is (geweest), mag sowieso niet. Deze gegevens zijn ook medische persoonsgegevens, en dit registreren (in bijvoorbeeld personeelsdossier) is dus problematisch. Toestemming vragen aan personeel kan per definitie niet, want werknemers voelen zich niet vrij daarop te antwoorden. Plus: toestemming mag worden geweigerd zonder consequenties, dus wat ga je doen als een werknemer ‘nee’ zegt?

Als je om kunt gaan met werknemers die niet willen zeggen of ze besmet zijn, dan mag je het ze vragen – alleen, waarom vraag je het nog als het niet noodzakelijk is? Je hebt immers net gezegd, als ze nee zeggen, kan ik daarmee omgaan. Je werkplek is dus coronaproof en dan hoef je het niet meer te vragen. (Voor juristen: noodzaak en proportionaliteit geldt immers óók bij de toestemming als grondslag.)

In uitzonderlijke situaties zou het in het algemeen belang kunnen zijn om iemands besmetting of vaccinatie gedwongen te onthullen. De enige reële situatie lijkt te zijn in de zorg: je wilt dat een arts of verpleegkundige geen patiënten of collega’s besmet, en gezien de aard van het werk is de kans daarop veel groter dan bij andersoortig werk. Deze grond zou dus voor andere werkgevers niet mogelijk zijn om in te roepen.

Als je die benadering van temperaturen toepast op het vragen naar vaccinatie, dan zou je wellicht uitkomen bij de situatie dat de werkgever het mondeling vraagt (dus niet geautomatiseerd), de werknemer een briefje laat zien met zhaar status en de werkgever dan besluit of thuiswerken dan wel op kantoor werken toegestaan is.

Alleen; als thuiswerken mogelijk is, waarom komt die werknemer dan überhaupt naar kantoor? En als zhij op kantoor moet werken, waarom is de werkplek niet coronaproof? Iemand kan in de tijd tussen test en naar kantoor komen net besmet zijn, of uit principiële redenen niet gevaccineerd willen worden (of vanwege gezondheid niet kunnen worden). En als je werkplek coronaproof is, waarom moet je dan nog weten wie besmet dan wel gevaccineerd is?

 

Arnoud

Wat mag een werkgever met Sinterklaascadeaus in coronatijd?

| AE 12294 | Ondernemingsvrijheid, Privacy | 25 reacties

Een lezer vroeg me: Als FG bij ons bedrijf vroeg ik me af hoe we moeten omgaan met Sinterklaas in deze coronatijd. Traditioneel koopt iedereen cadeautjes voor elkaar (lootjes trekken), en koopt de werkgever ook nog iets van een chocoladeletter. Dat mensen elkaars postadres krijgen lijkt me niet de bedoeling, maar mag de werkgever het… Lees verder

Kan een it-werknemer worden ontslagen als hij ransomware binnenlaat?

| AE 11447 | Security | 25 reacties

Een lezer vroeg me: Verschillende steden in de VS zijn met ransomware besmet geraakt omdat personeel een besmette e-mailbijlage opende. Nu heeft één van deze steden een it-medewerker ontslagen. Zou dat in Nederland kunnen, iemand ontslaan omdat zijn gedrag tot een infectie leidde, bijvoorbeeld omdat hij een bijlage opende of een update niet installeerde? Het… Lees verder

Mijn werkgever wil me op social media neerzetten, moet ik daaraan meewerken?

| AE 11428 | Ondernemingsvrijheid, Privacy | 17 reacties

Een lezer vroeg me: Mijn werkgever (een mkb-bedrijf met 14 man) wil dat wij allemaal onszelf op internet zetten. Op de bedrijfswebsite “zodat de klant weet wie er langskomt” en ook op social media, om onszelf te promoten. We moeten zelfs meedoen aan discussies op Linkedin. Na wat geruzie heeft een collega voorgesteld dat we… Lees verder

Kan de werkgever anno 2019 verwachten dat je beschikbaar bent op WhatsApp?

| AE 11350 | Ondernemingsvrijheid, Privacy | 34 reacties

Maandag blogde ik over de vraag of een werkgever je kan verplichten een smartphone aan te schaffen. Daarop kreeg ik een paar vervolgvragen, met name over WhatsApp dat in het mkb en onderwijs veel gebruikt wordt voor werkoverleg en andere zakelijke communicatie. Mensen ‘moeten’ dan hun 06 doorgeven, of dat wordt gewoon in de groep… Lees verder