Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

| AE 12706 | Security | 28 reacties

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.
De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

Onderzoek: managers kijken bij half miljoen werknemers thuis over de schouder mee, de hele dag

| AE 12611 | Ondernemingsvrijheid | 11 reacties

Bij 13% van de thuiswerkers komt de manager de hele dag langs om door het raam mee te kijken of zij wel aan het werk zijn. Dit blijkt uit CNV-onderzoek onder 1200 thuiswerkers. ‘Dit betekent dat ruim een half miljoen werkenden dus voortdurend in de gaten worden gehouden door hun werkgever. In de praktijk ligt dit getal waarschijnlijk nog hoger omdat niet iedereen de manager bij het raam ziet staan,’ stelt Piet Fortuin, CNV-voorzitter.  Oh nee pardon: een half miljoen thuiswerkers wordt via software in de gaten gehouden. Want dat is wél normaal voor werkgevers?!

Ik blijf me erover verbazen dat werkgevers zich zo’n zorgen maken over thuiswerken dat ze structureel grijpen naar dit soort middelen. Waarbij ik dan ook meteen aanneem dat vele werkgevers niet verder kijken dan de folder, die belooft dat er productiviteit gemeten kan worden. En dat men dan niet direct denkt, oh handig dat iedere toetsaanslag gelogd kan worden, dat ga ik live meelezen. Het is een tool die alles kan, dat is handig want dan mis/vergeet je niets, dus laten we het maar doen. En trouwens, men moet werken dus hoezo mag dat niet? Op het werk mag ik ook meekijken.

En dat is dus waarom ik die vergelijking maakte in de titel: natuurlijk mág dat, maar geen manager haalt het in zijn hoofd om bij mensen door het raam te gaan kijken. Of op kantoor naast iemand te staan “wat ben je nu aan het typen, druk eens op F1, ik zou die paars maken en dan printen”. Iedereen voelt onmiddellijk aan dat dat niet gaat werken. Maar zodra je dat met software doet, is het ineens gewoon handig en moeten mensen maar niet zeuren want het is werktijd en de kantoorlaptop? Of zoiets?

Arnoud

 

Aangeklaagd worden door je (oud) werkgever voor een hobbyproject, kan dat?

| AE 12573 | Informatiemaatschappij | 12 reacties

Een beetje mysterieus bericht bij Tweakers:

De motivatie om deze topic te starten komt naar aanleiding van een bericht [link weggehaald]. Kort samengevat: Dennis en Ronald werkten bij een softwarebedrijf. Ze waren met een hobby-project bezig en hun (inmiddels) oud-werkgever klaagt ze aan voor 1 miljoen. Gebeuren dit soort zaken wel vaker? Ik ben nu zelf ZZP’er maar zal binnenkort in loondienst beginnen, en heb veel ICT-projectjes lopen waar ik aan werk.
Vrijwel ieder arbeidscontract van programmeurs, developers en aanverwante jobs heeft een concurrentieverbod: niet tijdens het dienstverband (dus ook niet op zaterdag op je eigen laptop) dingen doen die direct concurreren met de werkgever. Dat is rechtsgeldig, want een goed werknemer houdt rekening met de belangen van zijn werkgever en doet hem dus geen concurrentie aan.

Dit nog los van het (al dan niet per ongeluk) lekken van bedrijfsgeheimen of het inzetten van auteursrechtelijk beschermd materiaal van je werkgever. Want beiden kunnen zomaar gebeuren als je ~hetzelfde doet voor het werk en voor een eigen privéproject.

Je arbeidscontract kan nadere regels bevatten, bijvoorbeeld definiëren wat een “directe concurrent” is of een procedure voor toestemming. Wil je bijvoorbeeld in je eigen tijd een opensourcelibrary onderhouden die ook voor je werk relevant is, dan vraag je dus even toestemming. En doe dat álsjeblieft schriftelijk, of forward de mail met toestemming naar je privéadres.

Arbeidscontracten bevatten soms ook een “alles dat je programmeert is auteursrechtelijk van ons”. Dat is in zo brede bewoordingen niet rechtsgeldig, want je moet wel aan het contract kunnen zien om welke werken het gaat. In juridische taal: zo’n akte van overdracht moet “voldoende bepaalbaar” omschreven zijn, en “alles dat je de komende tien jaar doet” is het toppunt van vaag. Maar er zijn rechters genoeg die dan geen streep door die bepaling zetten maar gaan zeggen “wat zou wél redelijk zijn geweest” en de clausule dan zo lezen. Dus daar zul je rekening mee moeten houden.

De topicstarter heeft het over een schadeclaim van een miljoen. Dat is natuurlijk absurd, welke werknemer hééft er een miljoen. Mijn juridische nekharen gaan dan meteen overeind staan, want dat klinkt als een ex-werkgever die z’n gelijk wil afbluffen in plaats van op de inhoud discussiëren. Tegelijk zie ik ook vaak genoeg dat zo’n enorme claim een emotionele reactie is op een erg vervelende handeling van de werknemer, zoals het core product direct concurrentie aandoen mét een meegenomen klantenbestand en 80% van de architectonische kennis gedupliceerd.

Arnoud

 

Ik wil niet dat mijn klanten mijn identiteitsbewijs scannen!

| AE 12402 | Privacy, Security | 20 reacties

Een lezer vroeg me: Als ik als IT-medewerker een bepaalde klant bezoek, moet ik me identificeren aan de deur. Fair enough, maar sinds kort moet mijn identiteitsbewijs in een scanner “ter verificatie”. Ik heb daar vraagtekens bij want als bezoeker kun je niet controleren wat de hardware en software (“Paspoort scanner” en een standaard Windows PC) wel… Lees verder

Werknemers zien werkgevers vaker monitoringsoftware inzetten

| AE 12400 | Ondernemingsvrijheid | 12 reacties

Sinds werknemers vanwege de coronamaatregelen thuiswerken wordt er vaker door werkgevers gebruikgemaakt van monitoringsoftware om het personeel in de gaten te houden. Dat meldde Security.nl onlangs. Een enquête van GetApp onder ruim duizend Nederlandse werknemers en tweehonderd managers uit het mkb laat zien dat 65 procent van de managers claimt “meer vertrouwen in het personeel te… Lees verder

Mag je iemand zijn ontslag laten nemen als je zijn laptop onbeheerd aantreft?

| AE 12212 | Ondernemingsvrijheid | 58 reacties

Een lezer vroeg me: Bij ons (redelijk groot) bedrijf gelden harde securityregels, waaronder de simpele eis je laptop te locken als je er van wegloopt. Als security officer zeg ik dan altijd, als ik een open laptop zie dan stuur ik vanuit jouw mailadres een ontslagmail naar je manager. Maar nu vroeg ik me af… Lees verder

Moet ik echt mijn camera aan bij het video-werkoverleg?

| AE 11965 | Ondernemingsvrijheid | 39 reacties

Een lezer vroeg me: Bij de afdeling waar ik werk (Sales) is het sinds het thuiswerken verplicht om elke ochtend een online dagstart te maken. Even bijpraten waar we staan, actiepunten verdelen et cetera. Prima, alleen wordt het vanaf aanstaande maandag verplicht om je camera aan te hebben staan. Het argument is dat gezichtsuitdrukking helpt… Lees verder

Nee, het coronavirus is geen ontheffing voor de AVG

| AE 11808 | Ondernemingsvrijheid, Privacy | 17 reacties

Mijn werkgever verplicht alle werknemers nu thuis te werken vanwege de corona uitbraak. Dat las ik bij Tweakers (dank, tipgever). So far so good, maar dan komt ‘ie: men moet timetrackingsoftware installeren en deze “doet echter op random intervallen screenshots maken en volgens de privacy voorwaarden van deze software ook een lijst bijhouden met alle… Lees verder