image

Voor alle thuiswerkers: privacy en de inzet van thuiswerktools

woensdag 25 maart 2020, 12:25 door Arnoud Engelfriet, 22 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Iedereen werkt natuurlijk thuis deze periode. Maar ik vraag me toch af of al die tools voor monitoring en videoconferencing eigenlijk wel mogen, het is een behoorlijke ingreep op je privacy. Zeker als je -zoals ik vanochtend hoorde- als werkgever gewoon continu de webcam foto's kunt laten maken bij je personeel. Mag dat wel? De motivatie is "op het werk kan ik je ook elk moment zien als ik wil".

Antwoord: Nederland is koploper thuiswerken, las ik op diverse plekken. Bestrijding van het coronavirus vereist dat we onszelf zo veel mogelijk isoleren, en thuiswerken is dan ook een logische maatregel (en ja, mijn kantoor is natuurlijk ook dicht nu). Ook het onderwijs is dicht, en daar wordt nu ook breed gegrepen naar e-learning en video-oplossingen. Helaas zie ik toch veel misgaan bij de snelle keuze voor video, monitoring en onderwijs op afstand.

Natuurlijk snap ik dat het nu voor iedereen hoogst acuut is om toch even iéts te kunnen realiseren. Geen onderwijs of niet kunnen werken is erger dan kunnen werken met een suboptimale tool. Mijn zorg is alleen vooral dat als we over een aantal maanden, als dit virus weer onder controle is, we blijven werken met deze tools omdat het nu eenmaal lekker werkt. Toch even verder kijken en onderzoeken lijkt me dan ook wel verstandig.

Het probleem zit hem wat mij betreft vooral in het feit dat de snelst inzetbare thuiswerk- en e-learningtools uit Amerika komen. De regels over privacy zitten daar, laten we zeggen, net even anders dan bij ons. De aanbieders van die tools beschouwen de gebruikers als de ruwe grondstof voor het verbeteren van hun dienstverlening, al dan niet gekoppeld aan advertentieverkoop of profileren. En dat mag prima in de VS, moet je de privacyverklaring maar lezen en/of de voorwaarden maar afwijzen als het je niet bevalt. En dat is natuurlijk een volkomen absurde fictie maar wel het geldend recht in Amerika.

Hier zouden we iets veiliger moeten zitten omdat de AVG rare voorwaarden verbiedt. Zo kun je niet in gebruiksvoorwaarden akkoord gaan met het monitoren van je elearning- of thuiswerkgedrag door de dienstverlener, of voor het analyseren daarvan voor het ahem "verbeteren van de dienstverlening". Je zult heel expliciet (dus met een privacyverklaring in eenvoudige taal) moeten uitleggen wat dat precies inhoudt en hoezo die dienstverlener dat zelf gaat doen.

Dat is dus een probleem onder de AVG, en nee daar kom je niet mee weg omdat het een noodsituatie is en/of thuiswerken de enige optie gezien de kennelijke pandemie die zich in Nederland voordoet.

Toevallig las ik gisteren over WorkSmart, Amerikaanse software die zogenaamd de productie monitort maar in feite mensen de ziektewet in helpt:

… even using the bathroom in his own home required speed and strategy: he started watching for the green light of his webcam to blink before dashing down the hall to the bathroom, hoping he could finish in time before WorkSmart snapped another picture.

Het bedrijf achter deze software zegt dat het slechts een hulpmiddel is en dat bedrijven zelf na moeten denken hoe ze deze in willen zetten. Want als de software zegt dat iemand niet productief is, dan is dat natuurlijk reden voor een goed gesprek en geen manager koppelt aan zo’n handige indicatie een betalingsinhouding of negatieve beoordeling. Precies, zou ik ook zeggen als ik dat bedrijf was.

Mag het? Nee, natuurlijk niet. Nieuwsflash: je mag mensen sowieso al niet in de gaten houden op het werk, of je moet een héél goede reden hebben én de privacy-impact van de werknemers daarin meegenomen hebben.

En dat is tien keer zo erg thuis. In principe mág je thuis niet eens kijken hoe mensen hun werkplek ingericht hebben (en ja ondertussen ben je wel aansprakelijk als die werkplek niet arbocompliant is en mensen daardoor klachten krijgen). Dus waarom zou dat wel mogen omdat het een ict-middel is? Oh ja wacht, het is met de computer en dat is anders he. Dat is gewoon software die mensen monitort. Nee natuurlijk niet. Misschien moeten we aan de AVG een artikel toevoegen dat zegt "als het raar is wanneer een mannetje met een notitieblok het live doet, dan mag software het ook niet".

Want nee, het elke tien minuten fotograferen van je personeel terwijl dat aan het werk is, dat krijg je echt niet rond onder de AVG. Ook niet als je zegt dat je geen ander middel hebt om hun productiviteit te meten. Want dat heb je wel, al is het maar de output die er ligt op vrijdagmiddag. Dus definieer maar een betere output metric en ga daar op sturen, zo moeilijk moet dat niet zijn als mensen in staat zijn om thuis te werken.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (22)
25-03-2020, 13:03 door Anoniem
Heb geen webcam thuis. En het mobieltje ook niet (stokoud).
Dus voor mij geen videoconferencing (en geen "fotoshoot" als de baas dat zou flikken). :-)
25-03-2020, 13:24 door Hatsikidee
"Zeker als je -zoals ik vanochtend hoorde- als werkgever gewoon continu de webcam foto's kunt laten maken bij je personeel."

Om welke tooling gaat het hier dan? Want met programma's zoals Teams, Skype, Slack, Hangouts, etc, heeft een werkgever helemaal deze rechten niet.
25-03-2020, 13:27 door Anoniem
Eh... is jouw camera nog niet afgeplakt als je 'm niet gebruikt?

Nou dan!
25-03-2020, 13:30 door AceHighness
Door Anoniem: Heb geen webcam thuis. En het mobieltje ook niet (stokoud).
Dus voor mij geen videoconferencing (en geen "fotoshoot" als de baas dat zou flikken). :-)

Dit gebeurt natuurlijk met de zakelijke laptop van het bedrijf waar je voor werkt. Die hebben wel allemaal een webcam, en de software erop is in volledig beheer van de organisatie.
25-03-2020, 15:36 door Anoniem
Door AceHighness:
Door Anoniem: Heb geen webcam thuis. En het mobieltje ook niet (stokoud).
Dus voor mij geen videoconferencing (en geen "fotoshoot" als de baas dat zou flikken). :-)

Dit gebeurt natuurlijk met de zakelijke laptop van het bedrijf waar je voor werkt. Die hebben wel allemaal een webcam, en de software erop is in volledig beheer van de organisatie.

Afplakken met zwart papiertje en ook weer opgelost.
(Nee, hij doet het echt niet. Sorry.)
25-03-2020, 16:07 door [Account Verwijderd]
Goede kapstok dit topic om tot het volgende te komen (misschien off-topic)

Hoe staat het met de afscherming van je eigen systeem en privébestanden op je werkstation of laptop als je in RDP ingelogd bent op de server van je werkgever? Ik gebruik bijvoorbeeld Remmina onder Linux.
Op het gevaar af dat hier weer een OS discussie ontstaat lijkt het mij toch zinnig dat hier gezien het nu zeer toegenomen 'thuiswerken' ook aandacht voor is.
25-03-2020, 16:37 door Anoniem
Misschien moeten we aan de AVG een artikel toevoegen dat zegt "als het raar is wanneer een mannetje met een notitieblok het live doet, dan mag software het ook niet".

Mannetje of vrouwtje hè Arnoud!
25-03-2020, 16:40 door Anoniem
Door Hatsikidee: "Zeker als je -zoals ik vanochtend hoorde- als werkgever gewoon continu de webcam foto's kunt laten maken bij je personeel."

Om welke tooling gaat het hier dan? Want met programma's zoals Teams, Skype, Slack, Hangouts, etc, heeft een werkgever helemaal deze rechten niet.

Volgens mij moet je het bericht even opnieuw lezen Hatsikidee. Het gaat hier om monitoringssoftware, niet om chatprogramma's.
25-03-2020, 16:41 door Anoniem

Hoe staat het met de afscherming van je eigen systeem en privébestanden op je werkstation of laptop als je in RDP ingelogd bent op de server van je werkgever? Ik gebruik bijvoorbeeld Remmina onder Linux.
Op het gevaar af dat hier weer een OS discussie ontstaat lijkt het mij toch zinnig dat hier gezien het nu zeer toegenomen 'thuiswerken' ook aandacht voor is.

Veel ervaring met Remmina onder Linux en RDP hier, en geen aanwijzing dat de RDP-sessie toegang heeft tot andere zaken op je werkstation. Al moet je natuurlijk zelf wel even uitkijken met een eventueel gedeeld clipboard.

Bottom line: Isoleer bij thuiswerken de spullen die onder controle van je werkgever staan van je privéspullen. Werkt twee kanten op; kan de werkgever nooit tegen zijn.
25-03-2020, 21:56 door [Account Verwijderd]
Door Anoniem:

Hoe staat het met de afscherming van je eigen systeem en privébestanden op je werkstation of laptop als je in RDP ingelogd bent op de server van je werkgever? Ik gebruik bijvoorbeeld Remmina onder Linux.
Op het gevaar af dat hier weer een OS discussie ontstaat lijkt het mij toch zinnig dat hier gezien het nu zeer toegenomen 'thuiswerken' ook aandacht voor is.

Veel ervaring met Remmina onder Linux en RDP hier, en geen aanwijzing dat de RDP-sessie toegang heeft tot andere zaken op je werkstation. Al moet je natuurlijk zelf wel even uitkijken met een eventueel gedeeld clipboard.

Bottom line: Isoleer bij thuiswerken de spullen die onder controle van je werkgever staan van je privéspullen. Werkt twee kanten op; kan de werkgever nooit tegen zijn.

@ Anoniem, 16:41 uur,
Dank voor de informatie!
27-03-2020, 12:09 door Anoniem
Door Anoniem: Heb geen webcam thuis. En het mobieltje ook niet (stokoud).
Dus voor mij geen videoconferencing (en geen "fotoshoot" als de baas dat zou flikken). :-)
Dat is slechts uitstel van executie, want eens gaat jouw stokoude phone kapot en dan zijn er geen onderdelen meer. Ook de nieuwste sim-kaarten werken niet meer en.........hupla, je koopt een nieuwe.
28-03-2020, 11:22 door Anoniem
Door Anoniem:
Door Anoniem: Heb geen webcam thuis. En het mobieltje ook niet (stokoud).
Dus voor mij geen videoconferencing (en geen "fotoshoot" als de baas dat zou flikken). :-)
Dat is slechts uitstel van executie, want eens gaat jouw stokoude phone kapot en dan zijn er geen onderdelen meer. Ook de nieuwste sim-kaarten werken niet meer en.........hupla, je koopt een nieuwe.
Mijn telefoon (een Nokia 2630) ging laatst ineens stuk, maar ik had er nog 3 liggen die de werkgever had weggemikt
bij een verhuizing... (dit was ooit het standaard toestel voor simpel gebruik).
Dus alles overgezet met zo'n archaisch backup/restore programma, wat achteraf geen knip voor de neus waard bleek
want juist de toestel instellingen worden niet overgezet, alleen dingen als adresboek en dat had ik toch al op de SIM kaart
staan. Geen NL-alert gehad dus vorige week, moest dat eerst weer instellen.
Maar nu heb ik dus NOG 2 werkende 2630's en 4 accu's ook nog, dus ik kan nog even vooruit... behalve als ze GSM
uit gaan zetten natuurlijk.
30-03-2020, 19:27 door Anoniem
Mijn manager stelt verplicht camera gebruik; deelnemers (thuiswerkers) van Teams overleg moeten persoonlijk in beeld.
Ik weiger camera te gebruiken.

Wat zouden jullie doen?
31-03-2020, 07:38 door Anoniem
Door Anoniem: Mijn manager stelt verplicht camera gebruik; deelnemers (thuiswerkers) van Teams overleg moeten persoonlijk in beeld.
Ik weiger camera te gebruiken.

Wat zouden jullie doen?

Een goed argument geven aan je werkgever waarom je geen camera wenst te gebruiken en de consequenties ervan dragen.
31-03-2020, 21:52 door Anoniem
Ik wordt toch zo vreselijk lacherig van dit soort "Ik gebruik oude techniek, dus ben ontastbaar" opmerkingen. Tuurlijk, als je in een hutje op de hei gaat wonen en alleen boeken leest, loop je geen cybersecurity risico's.
Daar gaat informatiebeveiliging echter niet over. We hebben het over het terugbrengen van de risico's naar een acceptabel niveau met optimale bruikbaarheid en functionaliteit. Dit soort archaïsche maatregelen voldoen voor mij niet aan de laatste 2.

Wat betreft bovenstaande, ik denk dat het heel gezond is om oplossingen te gaan toetsen aan wat toelaatbaar is binnen de huidige wettelijke kaders. Zodat we daar op de lange termijn ook gewoon binnen de kaders (acceptabel security risico, optimale gebruiksvriendelijkheid en functionaliteit) gebruik van kunnen blijven maken.
07-04-2020, 13:13 door Anoniem
Door Anoniem: Mijn manager stelt verplicht camera gebruik; deelnemers (thuiswerkers) van Teams overleg moeten persoonlijk in beeld.
Ik weiger camera te gebruiken.

Wat zouden jullie doen?
Bijzonder. Mijn werkgever heeft juist het verzoek gedaan om Video conferencing tot een minimum te beperken om call-genoten voor haperende en stotterende verbindingen door hoge resolutie streams te behoeden… Wat is de motivatie voor een verplicht beeld erbij?
09-04-2020, 06:56 door Bitje-scheef
Door Anoniem: Mijn manager stelt verplicht camera gebruik; deelnemers (thuiswerkers) van Teams overleg moeten persoonlijk in beeld.
Ik weiger camera te gebruiken.

Wat zouden jullie doen?

Zoals de waard is vertrouwd ie zijn gasten.... (mooi spreekwoord)
11-04-2020, 09:17 door Anoniem
Door Anoniem: Mijn manager stelt verplicht camera gebruik; deelnemers (thuiswerkers) van Teams overleg moeten persoonlijk in beeld.
Ik weiger camera te gebruiken.

Wat zouden jullie doen?

Andere werkgever zoeken. Mijn werkgever ontmoedigt camera gebruik om bandbreedte te sparen. Alleen audio verbinding, op mute als je niets te zeggen hebt en alleen de camera aan als het om bepaalde redenen echt nodig is en dan meteen weer uit.

Prima reden dus: bandbreedte sparen.
15-04-2020, 12:30 door Anoniem
Mijn werkgever stelt het verplicht om de webcam de hele dag aan te hebben in Hangouts tijdens het thuiswerken. In het kader van "het teamgevoel hoog houden" en een "virtueel kantoor" creëren. Ik ben het hier uiteraard niet mee eens. Vind het een inbreuk op mijn privacy, ook aangezien mijn thuiswerkplek in de huiskamer is. Mijn collega's doen er braaf aan mee..

Mag een werkgever dit verplichten? Wat zouden jullie doen?
16-04-2020, 18:10 door Anoniem
Door Anoniem: Mijn manager stelt verplicht camera gebruik; deelnemers (thuiswerkers) van Teams overleg moeten persoonlijk in beeld.
Ik weiger camera te gebruiken.

Wat zouden jullie doen?

Ik zou 'm in sociaal acceptabele bewoordingen vertellen dat 'ie wel meer kan willen, maar dat 'ie de boom in kan. Dat ligt ver buiten wat een manager kan en mag verplichten. Het je vriendelijk vragen, geen probleem. Zo niet, dan niet.
16-04-2020, 18:18 door Anoniem
Door Anoniem: Mijn werkgever stelt het verplicht om de webcam de hele dag aan te hebben in Hangouts tijdens het thuiswerken. In het kader van "het teamgevoel hoog houden" en een "virtueel kantoor" creëren. Ik ben het hier uiteraard niet mee eens. Vind het een inbreuk op mijn privacy, ook aangezien mijn thuiswerkplek in de huiskamer is. Mijn collega's doen er braaf aan mee..

Mag een werkgever dit verplichten? Wat zouden jullie doen?

Lang verhaal kort: nee. Laat 'm desnoods concreet maken hoe de hele dag gefilmd worden onderdeel van je werkzaamheden zou zijn (hint: niet). Gefilmd worden is niet gelijk aan op kantoor zitten. Het lijkt er toch erg op dat er vertrouwensproblemen zijn en dat men je bij voorkeur de hele dag in de gaten houdt.

Als dit moeilijkheden oplevert zou ik uiteindelijk een plaatje maken van mijzelf hard aan het werk, voor een laken of iets, en dat vervolgens voor de webcam plakken of projecteren, als een vorm van ludiek protest. De webcam staat aan en je bent in beeld, precies zoals gevraagd.
05-05-2020, 22:48 door Anoniem
Door Anoniem: Mijn werkgever stelt het verplicht om de webcam de hele dag aan te hebben in Hangouts tijdens het thuiswerken. In het kader van "het teamgevoel hoog houden" en een "virtueel kantoor" creëren. Ik ben het hier uiteraard niet mee eens. Vind het een inbreuk op mijn privacy, ook aangezien mijn thuiswerkplek in de huiskamer is. Mijn collega's doen er braaf aan mee..

Mag een werkgever dit verplichten? Wat zouden jullie doen?
No way. Als-ie dat wil, dan stelt-ie ook het thuis-kantoor maar beschikbaar. Geen aparte werkkamer, dan ook geen video. Gaat geen enkele collega wat aan hoe jouw huiskamer eruit ziet.
Dat de rest er braaf aan mee doet, dat moet de rest weten. Niet mijn probleem. Je kijkt niet bij mij thuis. Punt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.