Privacy - Wat niemand over je mag weten

ARBO dienst eist dat ik Google Authenticator installeer

05-02-2020, 19:46 door Stroopwafel, 21 reacties
Laatst bijgewerkt: 05-02-2020, 19:52
Op dit moment heb ik te maken met een ARBO-dienst. Deze communiceert met mij via een website. Deze website maakt gebruik van 2FA, wat ik toejuich.

Tot voor kort maakte deze dienst gebruik van SMS voor 2FA, maar dit zou niet meer veilig zijn. Daarom is men nu overgeschakeld naar Google Authenticator. Ik mag deze downloaden uit Google's Play Store of de Apple Appstore.

Dit betekent dus dat ik verplicht ben om:
- Een Smartphone met Android of IOS te kopen;
- Akkoord te gaan met de gebruikersvoorwaarden van de relevante app-store;
- Akkoord te gaan met de gebruikersvoorwaarden van de App en ondersteunende services.

Ik vind dit erg merkwaardig. Ik ben een Nederlandse werknemer in Nederland en heb te maken met Nederlandse uitvoerders van Nederlandse wetten. Waarom moet ik voor de uitvoering daarvan instemmen met de voorwaarden van commerciele Amerikaanse bedrijven? Waarom kiest men niet DigID, wat door onze overheid wordt gecontroleerd?

Wat kan ik hier nog tegen doen? Mag ik dit weigeren?

PS: Ik heb deze link gelezen: https://www.security.nl/posting/588003/Juridische+vraag%3A+mijn+werkgever+wil+dat+ik+een+2FA+app+op+mijn+priv%C3%A9telefoon+installeer_+Mag+ik+dit+weigeren%3F

Die vraag gaat over het uitvoeren van werk. Hier gaat het over het uitvoeren van mijn plichten als werknemer richting de ARBO dienst. Ik heb geen telefoon van de zaak ontvangen voor dit doel.
Reacties (21)
05-02-2020, 20:02 door Anoniem
Persoonlijk zou ik de ARBO vertellen dat ze me maar een briefje moeten sturen. Scheelt je toch weer mooi een smartphone aanschaffen.

Dat gedoe met websites is als het gedoe met email, het gedoe met digid of zelfs het gedoe met mijnoverheid: Niemand die na 1993 begonnen is kan er wat van.
05-02-2020, 20:16 door Anoniem
Waarom die dienst geen gebruik maakt van DigID zul je die dienst moeten vragen.

Er zijn alternatieven voor Google Authenticator die op allerlei andere platformen draaien, waaronder open-source applicaties. Mogelijk is er een alternatief te bedenken.

Tenslotte: als je die dienst nodig hebt voor het uitvoeren van je werk, gaat bovenstaand artikel volgens mij nog steeds op, en lijkt dat me iets wat je met je werkgever moet bespreken.
05-02-2020, 21:19 door Anoniem
Note: DigiD is geen haar beter qua privacy.
05-02-2020, 21:34 door linux4
Eén minuut zoeken op internet: https://7labs.io/tips-tricks/google-authenticator-2fa-on-pc-mac-ios-android.html
Smartphone kopen is helemaal niet nodig. Je had zelf even op internet kunnen zoeken. 2FA op deze manier is veiliger dan via SMS.
05-02-2020, 21:36 door Anoniem
Door Stroopwafel: Hier gaat het over het uitvoeren van mijn plichten als werknemer richting de ARBO dienst. Ik heb geen telefoon van de zaak ontvangen voor dit doel.
Heb je een contract met de ARBOdienst? Lijkt me dat de werkgever plichten heeft tegenover die dienst, en jij tegenover de werkgever. Dat daar dan ook onder valt "met de ARBOdienst samenwerken" mag zo zijn, het betekent wel dat als de ARBOdienst vanalles wil met smartphones dat ze dan met de werkgever kunnen gaan kleppen over het ter beschikking stellen van die dingen als arbeidsmiddel. En als de werkgever daar geen zin in heeft dan zullen ze iets anders moeten bekokstoven.

Werkgevers hebben een boel plichten tegenover werknemers en arbeidsomstandigheden en diensten die daar op toezien horen erbij, maar vergeet niet dat veel dingen uiteindelijk toch weer verhandlungssache zijn. Het gaat uiteindelijk om een veilige werkomgeving, niet dat de laatste speeltjes en buzzwords gebruikt worden.

Dus praat erover met je werkgever, en kom eventueel met tegenvoorstellen. "Ik wil best met de ARBOdienst samenwerken maar dan wel met ... in plaats van ...", etc.

Zeker aangezien dat hele "digitalisering"sverhaal helemaal niet uitgekristalliseerd is, en er iedere week wel iets nieuws op de horizon opdoemt. Het helpt dan om kritisch te zijn en je poot stijf te houden voor iets dat prettig werkt. En dus niet zomaar alles wat een of andere dienst van je verwacht voor zoete koek te slikken. Ook omdat dat nogal eens ambtenaren zijn die wel betweteren maar ook niet alles beter weten*. Dus alweer, ga met je werkgever kleppen. Weest constructief en kom met werkbare voorstellen.

* Zo wilde er eens een ARBOdienst rubber matten achter de toog want tegeltjes waren maar gevaarlijk. Blijkt dat die rubber matten spekglad worden van al de nattigheid die daar onherroeppelijk op de vloer belandt. Dus tegeltjes waren en zijn véél veiliger. Leuk bedacht, maar de praktijk wist het toch beter dan den ARBOambtenaar.
05-02-2020, 23:02 door Anoniem
2FA op de manier die je beschrijft (TOTP) is inderdaad een betere optie dan SMS, zowel voor veiligheid (SMS is kwetsbaar en de controle over telefoonnummers kan in enkele gevallen worden overgenomen) als privacy (je hoeft je nummer niet overal af te staan, waardoor profielen te koppelen zijn). Ik denk ook dat het een goede stap is van ARBO om hiervan gebruik te maken.

Het is een beetje jammer en misleidend dat men stelt dat je de Google Authenticator nodig hebt. TOTP werkt ook prima met talloze open source applicaties die gratis in de App Store te downloaden zijn (in het geval van iOS, voor Android geldt het zelfde, maar daar heb ik geen voorbeelden van). Ik kan je Tofu aanraden voor iOS. Simpel en open source.

https://apps.apple.com/nl/app/tofu-authenticator/id1082229305

Als je geen smartphone wenst te gebruiken, dan kun je ook TOTP-codes laten genereren door diverse password managers op de computer. Neem bijvoorbeel de alom gerespecteerde en open source password manager KeePassXC. Door op een toegevoegd item met de rechtermuisknop te klikken kan eenvoudigweg TOTP geactiveerd worden. Je moet dan wel de code kunnen opvragen bij ARBO. Vaak is dat mogelijk door ergens op te klikken tijdens het instellen van 2FA, maar soms laten ze alleen de QR-code zien (waar de code in verstopt zit).

https://www.reddit.com/r/security/comments/8ys1ki/what_is_totp_for_keepassxc_and_how_to_use_it/

Zorg wel dat je een backup ergens veilig opslaat van de secret code of de QR code voor het geval je de smartphone of KeePassXC-database onverhoopt niet meer tot je beschikking hebt.

Succes!
06-02-2020, 08:13 door Bitje-scheef
Vanuit Google is het mogelijk om zogenaamde "backup-codes" te gebruiken. Dit is een lijst met codes die 2FA vervangen. De Arbo-dienst moet deze kunnen verstrekken. Andere mogelijkheid is de code per telefoon (computergesproken) te onvangen. Ze kunnen je niet verplichten een Smartphone te kopen.
06-02-2020, 08:22 door Anoniem
Door Bitje-scheef: Vanuit Google is het mogelijk om zogenaamde "backup-codes" te gebruiken. Dit is een lijst met codes die 2FA vervangen. De Arbo-dienst moet deze kunnen verstrekken. Andere mogelijkheid is de code per telefoon (computergesproken) te onvangen. Ze kunnen je niet verplichten een Smartphone te kopen.
En als ik het verhaal lees, doen ze dat ook niet. Ze geven alleen het advies dat je hiervoor Google Authenticator kan gebruiken, omdat bijna iedereen tegenwoordig een smartphone heeft. En als je er zelf bewust voor kiest om geen smartphone te hebben, ben je vast ook slim genoeg om even te googlen of hier wellicht een alternatieve oplossing voor is waarmee je het ook kunt gebruiken, en die is er gewoon.

Gaat het er hier om dat iemand eist dat iets toegankelijk is voor hem/haar, of dat iets maar zo makkelijk mogelijk gemaakt wordt en dat iedereen zich maar aan hem/haar aan moet passen? Naar mijn idee dat laatste.
06-02-2020, 08:55 door [Account Verwijderd]
@Stroopwafel,

Stel de ARBO dienst er bij voorkeur met een aangetekende brief (email is onopvallend) van op de hoogte dat je nu geen gebruik meer kunt maken van hun diensten omdat je geen smartphone hebt.
Sluit af met de vraag: welke alternatieven zij bieden. Niet vergeten: Vraag ook om een spoedige reactie binnen 2 weken na dagtekening omdat je nu een daar hen veroorzaakt probleem hebt.

Allerbelangrijkst: Schrijf niet dat je géén smartphone gaat kopen, want je opent dan een slepend discussiemodel waar zij op in gaan spelen.
Een open vraag is het beste i.p.v. dat jij de vraag al deels invult voor hen met je opmerking: "Ik wil geen smartphone" Ofwel in voetbaltermen: Jij speelt de bal. Je moet de bal niet voor hen klaar leggen.

Succes!
06-02-2020, 11:39 door Anoniem
Door Anoniem: Note: DigiD is geen haar beter qua privacy.
Hoezo?
06-02-2020, 11:47 door Anoniem
sms is inderdaad niet veilig, dusver ok.
06-02-2020, 15:07 door Anoniem
Laat je niet bang maken....
Installeren is een keuze. Waar maak je je druk om?
06-02-2020, 16:36 door Anoniem
Storm in een glas water. Google authenticator werkt prima en is een betere oplossing dan 2fa dmv. Sms.
06-02-2020, 16:49 door Anoniem
Door linux4: Eén minuut zoeken op internet: https://7labs.io/tips-tricks/google-authenticator-2fa-on-pc-mac-ios-android.html
Smartphone kopen is helemaal niet nodig. Je had zelf even op internet kunnen zoeken. 2FA op deze manier is veiliger dan via SMS.
Ik vind dat de vraagsteller aan de Arbodienst moet vragen welke mogelijkheden ze hebben voor mensen die geen Android- of iOS-smartphone hebben. Het is in de eerste plaats aan hun om te kiezen voor oplossingen die iedereen kan gebruiken. Als ze hun huiswerk inderdaad gedaan hebben dan kunnen ze naar de mogelijkheden die jij gevonden hebt, of alternatieven die er misschien ook zijn, verwijzen. Als ze dat niet kunnen dan kunnen ze ook niet van de vraagsteller verlangen dat die er wel uitkomt. Als ze redelijk zijn, althans.

Dus, vraagsteller, heb je al contact met ze opgenomen met de simpele mededeling dat je helemaal geen smartphone hebt en de vraag hoe je dan wel bij ze kan aanloggen?
06-02-2020, 17:14 door Anoniem
Door Stroopwafel: Op dit moment heb ik te maken met een ARBO-dienst. Deze communiceert met mij via een website. Deze website maakt gebruik van 2FA, wat ik toejuich.

Tot voor kort maakte deze dienst gebruik van SMS voor 2FA, maar dit zou niet meer veilig zijn. Daarom is men nu overgeschakeld naar Google Authenticator. Ik mag deze downloaden uit Google's Play Store of de Apple Appstore.

Dit betekent dus dat ik verplicht ben om:
- Een Smartphone met Android of IOS te kopen;
- Akkoord te gaan met de gebruikersvoorwaarden van de relevante app-store;
- Akkoord te gaan met de gebruikersvoorwaarden van de App en ondersteunende services.
Google Authenticator is ook maar een TOPT token generator.
Je kunt natuurlijk ook even het geweldige google gebruiken om eens het hele grote internet te doorzoeken als alternatief.
Een hele mooie zoekterm zou bijvoorbeeld kunnen zijn "google authenticator replacement desktop".

Eerste hit : https://superuser.com/questions/462478/is-there-a-google-authenticator-desktop-client
Eventueel alternatieven:
https://chrome.google.com/webstore/detail/gauth-authenticator/ilgcnhelpchnceeipipijaljkblbcobl?hl=en
https://www.techjunkie.com/google-authenticator-desktop/
Met een beetje zoeken, kun je echt nog wel meer alternatieven vinden.

Ofwel er zijn alternatieven genoeg. Je moet alleen zelf even zitten hobbyen. Maar verwacht niet dat de ARBO dienst je hiermee gaat helpen.

Ik vind dit erg merkwaardig. Ik ben een Nederlandse werknemer in Nederland en heb te maken met Nederlandse uitvoerders van Nederlandse wetten. Waarom moet ik voor de uitvoering daarvan instemmen met de voorwaarden van commerciele Amerikaanse bedrijven?
Tja... De gebruikelijke zeikers weer. Maar zoals hierboven al gemeld, er zijn voldoende alternatieven. Ga dit lekker zelf uitzoeken als dit niet via een smartphone wilt doen.

Waarom kiest men niet DigID, wat door onze overheid wordt gecontroleerd?
Omdat de DigiD niet commercieel gebruikt mag worden?

En je daarna de vraag gaat stellen: De overheid kan dus nu mee kijken of ik bij een ARBO arts langs kom?

Wat kan ik hier nog tegen doen? Mag ik dit weigeren?
Alternatieven gebruiken?
Wil je dat ook niet zien, dan kan het zijn dat je niet mee werkt aan je re-integratie en hier dus gevolgen aan kunnen zitten.

PS: Ik heb deze link gelezen: https://www.security.nl/posting/588003/Juridische+vraag%3A+mijn+werkgever+wil+dat+ik+een+2FA+app+op+mijn+priv%C3%A9telefoon+installeer_+Mag+ik+dit+weigeren%3F

Die vraag gaat over het uitvoeren van werk. Hier gaat het over het uitvoeren van mijn plichten als werknemer richting de ARBO dienst. Ik heb geen telefoon van de zaak ontvangen voor dit doel.

Ik zou deze eerst eens lezen, die is veel mee up to date Juridische vraag: Is de norm 'goed werknemerschap' aan de orde wanneer een werkgever een 2FA-app op de privételefoon verplicht?
https://www.security.nl/posting/632989/Juridische+vraag%3A+Is+de+norm+%27goed+werknemerschap%27+aan+de+orde+wanneer+een+werkgever+een+2FA-app+op+de+priv%C3%A9telefoon+verplicht%3F
Maar als je dit via een werkgevers telefoon doet, dan kun je ook weer vragen krijgen als: Kan de werkgever nu mijn codes en communicatie tussen mij en de ARBO arts zien, wat misschien onder medisch beroepsgeheim valt.
06-02-2020, 21:20 door Anoniem
Microsoft phone werkt ook prima. Microsoft authenticator snapt dezelfde qr codes.
06-02-2020, 23:00 door linux4
Door Anoniem: Microsoft phone werkt ook prima. Microsoft authenticator snapt dezelfde qr codes.

Dat is ook een smartphone en dat wil TS nu juist niet. Bovendien wordt Microsoft Phone al lang niet meer van veiligheids updates voorzien.
07-02-2020, 07:25 door Anoniem
Door Anoniem:
Ik vind dit erg merkwaardig. Ik ben een Nederlandse werknemer in Nederland en heb te maken met Nederlandse uitvoerders van Nederlandse wetten. Waarom moet ik voor de uitvoering daarvan instemmen met de voorwaarden van commerciele Amerikaanse bedrijven?
Tja... De gebruikelijke zeikers weer. Maar zoals hierboven al gemeld, er zijn voldoende alternatieven. Ga dit lekker zelf uitzoeken als dit niet via een smartphone wilt doen.
Een arbodienst die ervoor kiest te communiceren via een website heeft ervoor te zorgen dat iedereen die website ook kan gebruiken. Dat betekent dat niet iemand die met ze te maken heeft het zelf maar uit moet zoeken, maar dat ze dat als arbodienst uitgezocht moeten hebben en moeten kunnen aangeven.

TS maakt niet de indruk dat hij/zij de vraag hoe je zonder smartphone op die website terecht kan aan de arbodienst heeft gesteld, en hoe de communicatie verloopt als ze daar niet beter weten dan dat dat niet kan. Hier melding maken van een misstand die er misschien helemaal niet is is voorbarig, en in die zin is TS mogelijk inderdaad aan het zeiken.

Maar "ga dit lekker zelf uitzoeken" deugt ook niet. De arbodienst moet het gewoon ondersteunen of een alternatief bieden. Als die blind aannemen dat iedereen wel een iPhone of Android-toestel heeft en niet verder hebben gekeken dan dat dan heeft TS een legitieme klacht, ongeacht de vraag of iemand die handig genoeg is met computers er zelf wel uit kan komen.
07-02-2020, 09:48 door Anoniem
Door Anoniem:
Door Anoniem:
Ik vind dit erg merkwaardig. Ik ben een Nederlandse werknemer in Nederland en heb te maken met Nederlandse uitvoerders van Nederlandse wetten. Waarom moet ik voor de uitvoering daarvan instemmen met de voorwaarden van commerciele Amerikaanse bedrijven?
Tja... De gebruikelijke zeikers weer. Maar zoals hierboven al gemeld, er zijn voldoende alternatieven. Ga dit lekker zelf uitzoeken als dit niet via een smartphone wilt doen.
Een arbodienst die ervoor kiest te communiceren via een website heeft ervoor te zorgen dat iedereen die website ook kan gebruiken. Dat betekent dat niet iemand die met ze te maken heeft het zelf maar uit moet zoeken, maar dat ze dat als arbodienst uitgezocht moeten hebben en moeten kunnen aangeven.

TS maakt niet de indruk dat hij/zij de vraag hoe je zonder smartphone op die website terecht kan aan de arbodienst heeft gesteld, en hoe de communicatie verloopt als ze daar niet beter weten dan dat dat niet kan. Hier melding maken van een misstand die er misschien helemaal niet is is voorbarig, en in die zin is TS mogelijk inderdaad aan het zeiken.

Maar "ga dit lekker zelf uitzoeken" deugt ook niet. De arbodienst moet het gewoon ondersteunen of een alternatief bieden. Als die blind aannemen dat iedereen wel een iPhone of Android-toestel heeft en niet verder hebben gekeken dan dat dan heeft TS een legitieme klacht, ongeacht de vraag of iemand die handig genoeg is met computers er zelf wel uit kan komen.
Maar moet de werkgever ook eventueel een Internet verbinding regelen voor TS?
Immers wie zegt dat TS een Internet verbinding heeft? Of moet de ARBO dienst dit ook regelen?

En een computer... Wat als TS geen computer heeft. Moet de ARBO of de werkgever dit dan ook regelen?

Wie weet is TS wel afgesloten van de Elektriciteit, dan doet zijn smartphone het ook niet, maar hij heeft ook geen mogelijkheid tot zijn (mogelijke) telefoon of computer.
Is dit dan ook een probleem van de werkgever of ARBO?

Eventueel de kosten van de Internet verbinding of verbruikte Elektriciteit moet de werkgever dit ook vergoeden?
18-02-2020, 21:33 door Anoniem
Door Anoniem: Ik kan je Tofu aanraden
Ik moest gelijk aan Trust On First Use denken :-)
18-02-2020, 21:38 door Anoniem
Door Anoniem: Storm in een glas water. Google authenticator werkt prima en is een betere oplossing dan 2fa dmv. Sms.
Als je heel goed (en snel) bent in rekenen, kan je ook gewoon papier en potlood gebruiken om de code uit te rekenen. Je hebt dan geen smartphone nodig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.