image

Is de werkgever aansprakelijk na verplichte installatie 2FA app op mijn privételefoon?

woensdag 2 juni 2021, 11:00 door Arnoud Engelfriet, 63 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto's, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.

Antwoord: De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo'n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van "doe dat gewoon even, kom op nou" oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou ook niet direct weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto's bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (63)
02-06-2021, 11:09 door Anoniem
De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...
02-06-2021, 11:21 door Anoniem
FYI, MS documenteert de reden voor de permissie aanvragen die het (kan) doen op deze pagina: https://docs.microsoft.com/en-us/azure/active-directory/user-help/user-help-auth-app-faq
02-06-2021, 11:23 door Anoniem
Ik gebruik de Authenticator App van Microsoft op mijn Android toestel. Om even een angel uit het verhaal te halen, die heeft als enige recht toegang tot de camera. Die toegang is nodig om de QR code te scannen tijdens het eerste gebruik. Andere permissies worden niet gebruikt.

Daarnaast gebruiken diverse webdiensten tegenwoordig ook 2FA, denk aan hotmail.com, outlook.com en bijvoorbeeld Tweakers.net. Voor dat soort doeleinden heb je toch al een Authenticator App nodig dus ik zie het probleem niet zo om ook de werkgever erop aan te sluiten.

Helaas leven we in een ikke ikke ikke maatschappij waarbij de thuiswerkers verwachten dat de werkgever ook het WC papier en de koffie vergoed. Dus er zal altijd bezwaar zijn.
02-06-2021, 11:25 door Anoniem
Gebruik dan een andere app zoals FreeOTP. Bij Microsoft kun je ook TOTP instellen als je doorklikt.
02-06-2021, 11:28 door Anoniem
Waarom moet de app weten waar ik ben en mijn foto's bekijken alvorens een authenticatiecode af te geven?

Waarom weten waar je bent
- Inloggen vanuit China en authentiseren op je telefoon in Nederland zijn details welke je wilt gebruiken om te beoordelen of toegang tot informatie wel of niet wordt toegestaan.

Waarom foto's bekijken
- Het instellen van MFA kan soms via het scannen van een QR-Code wat de toegang tot de camera kan verklaren.
02-06-2021, 11:34 door Anoniem
Wel moet gezegd worden dat in de NL juridische praktijk typisch alleen aantoonbare financiële schade vergoed wordt.

smartengeld vanwege je psyschische gevoel dat Microsoft je foto's gezien heeft doet men hier niet aan.

Dus de schade moet ten eerste aantoonbaar het gevolg zijn van de app die je van je werkgever moest installeren
En ten tweede - er moet gewoon een concreet financiëel nadeel zijn .

Voor dingen als 'privé auto voor werk gebruiken' zijn schade zaken vrij makkelijk te verzinnen , maar ik moet zeggen dat ik niet zo snel een plausibele schade kan verzinnen voor iets als een authenticator app op een privé telefoon.
02-06-2021, 11:37 door majortom - Bijgewerkt: 02-06-2021, 11:40
Betekent dit dan ook dat de werkgever je kan verplichten om een smartphone met bepaald OS aan te schaffen? Dat wordt qua kosten dan al een stuk minder klein.
02-06-2021, 11:47 door DDK
Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer.

@Arnoud, als de werkgever verantwoordelijk is voor de keuze van een product, zoals deze authenticator, is het dan niet de werkgever die een DPIA uit behoort te voeren ? Ik zou als eerste terug gaan naar de werkgever en vragen waarom de keuze is gevallen op dit product en of er een DPIA is uitgevoerd (en waarom niet :-)).

Met betrekking tot aansprakelijkheid is het wellicht juridisch correct, maar dat geld "tijdens werk". Als buiten de tijden van het werk deze app toch schade toe brengt dan lijkt mij de werkgever nog steeds een bepaalde verantwoordelijkheid hebben ? En hoe zit het dan met de bewijslast; een werknemer moet dan aantonen dat de door de werkgever opgedrongen applicatie schade heeft veroorzaakt?

Het kan aan mij liggen; goed werkgeverschap is natuurlijk van belang en het vinden van een balans is soms lastig, maar in dit geval zou ik de werkgever om een telefoon hebben gevraagd. Als de werkgever met een auhtenticator aan komt zetten die alleen maar codes genereert en verder geen informatie verzameld/deelt zou ik daar ook geen problemen in zien.

DDK
02-06-2021, 12:14 door Anoniem
We collect required diagnostics to keep the ...... bla bla bla. Dat is data collectie.
We also collect optional usage data to improve .... bla bla bla. Data collectie maar opt out is mogelijk.

Op mijn iPhone alleen een camera request om QR codes te scannen verder niks nodig.

Vanavond eens met een MITM proxy kijken wat ze allemaal doen.
02-06-2021, 12:45 door Briolet
Door Anoniem: Ik gebruik de Authenticator App van Microsoft op mijn Android toestel. Om even een angel uit het verhaal te halen, die heeft als enige recht toegang tot de camera.…

Als je de link gelezen had in de posting net boven je, dan wist je dat dit niet klopt. Er staat dat de betreffende website ook kan eisen dat er locatiegegevens doorgegeven worden. Dit om de mogelijkheid te creëren om alleen inlog vanuit specifieke landen/locaties toe te staan. Dat jij die rechten niet hebt hoeven te verlenen is omdat de sites waarvoor je de app gebruikt dat niet eisen.
02-06-2021, 13:12 door majortom
Door Briolet:
Door Anoniem: Ik gebruik de Authenticator App van Microsoft op mijn Android toestel. Om even een angel uit het verhaal te halen, die heeft als enige recht toegang tot de camera.…

Als je de link gelezen had in de posting net boven je, dan wist je dat dit niet klopt. Er staat dat de betreffende website ook kan eisen dat er locatiegegevens doorgegeven worden. Dit om de mogelijkheid te creëren om alleen inlog vanuit specifieke landen/locaties toe te staan. Dat jij die rechten niet hebt hoeven te verlenen is omdat de sites waarvoor je de app gebruikt dat niet eisen.
Gelukkig zijn locatiegegevens eenvoudig te faken. Dit introduceert enkel schijnveiligheid. Iemand die echt kwaad wil zal hier niet door tegengehouden worden.
02-06-2021, 13:27 door Anoniem
Voor 99 euro heb je een Nokia 2.4 met android 10, die nog 3 jaar mee kan...
Dat is goedkoper dan een RSA keyfob/dongel.

Als dat bedrijf dan toch 2FA als een pro wil doen maar kneuterig is als scrooge, laat ze dan lekker iedereen een Nokia geven die geen telefoon van de zaak heeft.

Er is geen abbo nodig volgens de topic starter, dus dat is ruim voldoende als 2FA fob.
Het oeverloos gezeik hierover kost als het meer dan 1 FTE per uur is al meer dan zo'n foon.
02-06-2021, 13:54 door Anoniem
Door Anoniem: Ik gebruik de Authenticator App van Microsoft op mijn Android toestel. Om even een angel uit het verhaal te halen, die heeft als enige recht toegang tot de camera. Die toegang is nodig om de QR code te scannen tijdens het eerste gebruik. Andere permissies worden niet gebruikt.

https://reports.exodus-privacy.eu.org/en/reports/com.azure.authenticator/latest samengevat: je hebt spyware geïnstalleerd.

Als je geen problemen ziet in het gebruik van dit soort applicaties, krap dan alsjeblieft nog eens achter de oren.
02-06-2021, 14:10 door Anoniem
Door Anoniem: De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...

Met andere woorden, als jij je ziek wilt melden dat moet je baas eerst maar een telefoon voor je regelen. De WhatsApp groep met collega's kan ook alleen met een telefoon van de zaak. Ik mis echt een stukje nuance in je reactie
02-06-2021, 14:14 door Anoniem
Door Anoniem:
Helaas leven we in een ikke ikke ikke maatschappij waarbij de thuiswerkers verwachten dat de werkgever ook het WC papier en de koffie vergoed. Dus er zal altijd bezwaar zijn.


Bij mij kwam de installatie van een vergelijkbare app niet alleen waar ik na het aflopen van mijn tweede jaarcontract een gelockt iPhone 11 en een iPad Pro liggen waar ik niks meer mee kan!

Voormalige werkgever waar ik met veel plezier en tot tevredenheid gewerkt hebt hier op aangesproken waar ik ingeleend was of de lock er af kan op mijn prive eigendommen. Mijn (zoveelste) contact persoon bij de uitzendorganisatie zegt dit erg verdelend te vinden, maar deze bedrijfs- eigendom dienen onmiddellijk teruggeven te worden op straffe van een dwangsom en aangifte van goederen.

Vorige week mijn laatste waarschuwing ontvangen van een nieuweling op afdeling waar ik ingeleend was dat ik onmiddellijk "de restwaarde" diende te vergoeden! Wacht af op het moment dat werkgever, deurwaarder langs komt en of rechtszaak komt met rechtsbijstand van mijn Bond.


ikke ikke ikke maatschappij, mijn kosten iPad pro, iPhone 11 en kosten eventueel kort geding?
Als een toekomstige werkgever dat nu weer zou vragen zou ik ergens een nieuwe verouderde Android kopen op Alibaba.
De beveiliging van dit toestel zou mij dan echt geen ruk uitmaken als werkgever geen goed alternatief kan bieden .

Door DDK: Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer.
DDK
In mijn geval hoop ik dat de werkgever mijn data nog heeft van mijn prive items?
02-06-2021, 14:15 door Anoniem
Locatiegegevens kunnen gebruikt worden om bijvoorbeeld te bepalen dat je in een veilige zone zit, waardoor er lagere eisen worden gesteld aan de beveiliging. Overigens kan dat ook op basis van IP-adres.

De MS Authenticator app geeft je de mogelijkheid om met een pushbericht te bevestigen dat je wilt inloggen. Voor wie de app niet wil installeren, geven wij SMS als alternatieve mogelijkheid.
Maar ga dan niet op Facebook klagen dat je werkgever je privacy aantast (nog los van de tientallen andere apps die je locatie en gedrag monitoren).
02-06-2021, 14:35 door Anoniem
Door Anoniem:
Waarom foto's bekijken
- Het instellen van MFA kan soms via het scannen van een QR-Code wat de toegang tot de camera kan verklaren.
Tot de camera ja. Dat kan ie ook gebruiken om gezichtsherkenning te doen.
Maar waarom de foto's? Daar kan ik me ook niks bij voorstellen.
02-06-2021, 14:39 door Anoniem
Door DDK:
Met betrekking tot aansprakelijkheid is het wellicht juridisch correct, maar dat geld "tijdens werk". Als buiten de tijden van het werk deze app toch schade toe brengt dan lijkt mij de werkgever nog steeds een bepaalde verantwoordelijkheid hebben ? En hoe zit het dan met de bewijslast; een werknemer moet dan aantonen dat de door de werkgever opgedrongen applicatie schade heeft veroorzaakt?
Als jij met een eigen vervoermiddel naar je werk komt, en dit wordt tijdens je werk gestolen of door iemand beschadigd,
dan is je werkgever daar ook niet aansprakelijk voor. Zelfs niet als je werkgever aangeeft dat je een bepaald vervoermiddel
moet gebruiken (maar dit niet beschikbaar stelt).
02-06-2021, 14:44 door Arnoud Engelfriet
Door DDK: Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer.

@Arnoud, als de werkgever verantwoordelijk is voor de keuze van een product, zoals deze authenticator, is het dan niet de werkgever die een DPIA uit behoort te voeren ? Ik zou als eerste terug gaan naar de werkgever en vragen waarom de keuze is gevallen op dit product en of er een DPIA is uitgevoerd (en waarom niet :-)).
Een DPIA hoeft alleen bij een verwerking met verhoogd risico van persoonsgegevens. Ik zie niet hoe een authenticator-app een dergelijk hoog risico op datalekken of misbruik van persoonsgegevens met zich meebrengt? Los daarvan, stel hij zegt "ja hebben we gedaan, hier is een kopie" en je krijgt 12 pagina's keurige analyse, wat zou dat voor jou dan impliceren?

Met betrekking tot aansprakelijkheid is het wellicht juridisch correct, maar dat geld "tijdens werk". Als buiten de tijden van het werk deze app toch schade toe brengt dan lijkt mij de werkgever nog steeds een bepaalde verantwoordelijkheid hebben ?
Het is een misverstand dat werkdingen aangaan om 8:30 bij het inklokken en stoppen om 17:00 bij het de poort verlaten. Aansprakelijkheid van de werkgever in ieder geval geldt voor alles dat door het werk kwam ("de kans is vergroot door het werk", zoiets is de juridische jargonformulering). Waar je was, maakt niet uit. RSI door thuiswerken in het weekend kun je gewoon claimen.

En hoe zit het dan met de bewijslast; een werknemer moet dan aantonen dat de door de werkgever opgedrongen applicatie schade heeft veroorzaakt?
Ja, dat wel. Vaak is dat eenvoudig: een collega gooide koffie over je nette pak heen, een klant schraapte je auto, je kreeg kanker van giftige stoffen die in de opslag lagen, et cetera. Ik kan me voorstellen dat dit bij schade aan je telefoon door een exploit op de authenticator app wat lastiger is, maar juridisch blijft de regel hetzelfde.
02-06-2021, 15:55 door Anoniem
Door Anoniem: Gebruik dan een andere app zoals FreeOTP. Bij Microsoft kun je ook TOTP instellen als je doorklikt.

Dit is de beste tip. Je HOEFT die troep van Microsoft Authenticator of Google Authenticator niet te gebruiken. Als je gebruik maakt van TOTP (dat wordt ook ondersteund om bij Microsoft in te loggen, wel even zoeken om deze alternatieve optie te vinden), dan kun je ook gewoon open source apps gebruiken op je telefoon (of zelfs in een password manager als KeePass(XC)) op je computer.

Vergeet niet een backup te maken van je QR-code (of code in tekst) om de 2nd factor eventueel weer te herstellen in het geval dat je je telefoon kwijtraakt of de app opnieuw geïnstalleerd wordt.
02-06-2021, 16:09 door DDK
@Arnoud - dank voor je terugkoppeling.

Als een product mijn locatie vastlegt, toegang heeft tot mijn foto's en wat mogelijk nog niet meer , dan zie ik daar wel een risico in (met name die onduidelijkheid is listig vind ik).

Wellicht niet spannend, maar wel 1 die de werkgever uit zou moeten leggen. Als het alleen om een code gaat die gegenereerd wordt is het een ander verhaal, maar daarvan lijkt hier geen sprake, dus om dit per definitie weg te zetten als een laag risico gaat mij, zonder analyse wat ver; maar wie ben ik :-)

En idd; een 12 pagina tellende analyse overhandigen aan een werknemer zonder dat die weet hoe dat te lezen werkt ook niet. Toch heeft niet alleen de werknemer de taak om goed werknemerschap te vertonen, hetzelfde geld voor de werkgever. En die laatste zou op zijn minst een informatieplicht hebben naar zijn werknemers om in Jip en Janneke taal uit te leggen waarom dat product op die manier wordt gebruikt
02-06-2021, 17:04 door Anoniem
Door Anoniem:

[..]
Vorige week mijn laatste waarschuwing ontvangen van een nieuweling op afdeling waar ik ingeleend was dat ik onmiddellijk "de restwaarde" diende te vergoeden! Wacht af op het moment dat werkgever, deurwaarder langs komt en of rechtszaak komt met rechtsbijstand van mijn Bond.

man man man .

Natuurlijk ken ik jou - of de achtergrond niet - maar als je normaal volwassen reageert lopen dit soort dingen zelden zo hoog op

Heb je al gewoon gereageerd dat het jouw devices zijn, en dat je hun stelling bestrijd dat het bedrijfseigendommen zijn. Dat stelt dat ze niet in staat zijn om hun stelling te onderbouwen met een door jou ondertekend bewijs van ontvangst op moment dat de 'bedrijfseigendommen ter hand gesteld zouden zijn' . En dat je jouw eigendom ervan kunt bewijzen.

Als de zaak zo zwart-wit ligt als je hier de indruk wekt is dat heel simpel. Het wordt lastiger als het wel bedrijfseigendommen zijn - en jij je claim baseert op een vage toezegging van een ex-chef "als je weggaat mag je die dingen houden" .

Ik heb overigens de indruk dat rechters niet heel veel zin hebben in zeikstralen die een misverstand expres op een zaak laten aankomen om de tegenpartij te jennen, en dan pas op de zitting hun aankoopbon naar voren toveren . Je zult er niet onterecht veroordeeld op worden, maar de rechter heeft bijvoorbeeld een zekere vrijheid in het verdelen van de kosten van de rechtszaak. "verliezer betaalt' is geen garantie.
Je vakbondsjurist zal ook wel blij zijn dat z'n tijd zo nuttig besteed wordt met een 'lekker jennen zaakje' gegroeid vanuit een misverstandje.


ikke ikke ikke maatschappij, mijn kosten iPad pro, iPhone 11 en kosten eventueel kort geding?

Als je inderdaad bewust een misverstand niet wil helpen rechtzetten maar het lekker op zaak laat aankomen, hoop ik van harte dat je dan inderdaad de kosten in je mik krijgt.

Maar goed, wie weet ligt het anders. Maar je post klinkt niet meteen alsof je handig acteert.



Als een toekomstige werkgever dat nu weer zou vragen zou ik ergens een nieuwe verouderde Android kopen op Alibaba.
De beveiliging van dit toestel zou mij dan echt geen ruk uitmaken als werkgever geen goed alternatief kan bieden .

Als je die telefoon voor niks anders dan een authenticator app gebruikt maakt dat ook heel weinig uit.
02-06-2021, 17:32 door johanw
Tenzij je een heel erg antieke telefoon hebt (Android 5 of ouder en niet geroot) kun je in Android gewoon de applicatie de toegang tot locatiedata en andere rechten ontzeggen.
02-06-2021, 17:53 door Anoniem
Eigenlijk wil ik het omdraaien.

Ik kan niet garanderen aan mijn werkgever dat mijn telefoon niet door een andere app wordt gecompromitteerd.
Vervolgens kunnen derden met deze inloggegevens aan de haal.

Zou ik dan aansprakelijk zijn ten opzichte van mijn werkgever?
02-06-2021, 19:03 door Anoniem
Door Anoniem: We collect required diagnostics to keep the ...... bla bla bla. Dat is data collectie.
We also collect optional usage data to improve .... bla bla bla. Data collectie maar opt out is mogelijk.

Op mijn iPhone alleen een camera request om QR codes te scannen verder niks nodig.

Vanavond eens met een MITM proxy kijken wat ze allemaal doen.

Host
: authenticator-azureidentity-tas.msedge.net
X-MSEdge-ClientId
: 2EAB01180Exxxxxxxx9678DA3DB20555C
User-Agent
: Microsoft%20Authenticator/6.5.63 CFNetwork/1240.0.4 Darwin/20.5.0
Connection
: keep-alive
Proxy-Connection
: keep-alive
Accept
: */*
Accept-Language
: en-us
X-Azure-Identity-Platform
: iOS
Accept-Encoding
: gzip, deflate
X-MSEdge-Market
: en-NL

Er wordt wel degelijk een verbinding gemaakt met
authenticator-azureidentity-tas.msedge.net:80

Ik heb alleen de App gestart, verder niks.
02-06-2021, 19:50 door Anoniem
Door johanw: Tenzij je een heel erg antieke telefoon hebt (Android 5 of ouder en niet geroot) kun je in Android gewoon de applicatie de toegang tot locatiedata en andere rechten ontzeggen.
Klik bij die instellingen eens rechtsboven op het menu. En ja dat is schrikken, die instellingen zeggen feitelijk helemaal niets dus.
02-06-2021, 21:33 door Erik van Straten
Door Anoniem: Gebruik dan een andere app zoals FreeOTP. Bij Microsoft kun je ook TOTP instellen als je doorklikt.
Microsoft Authenticator is ondertussen uitgebouwd tot veel meer dan alleen maar TOTP. Wat als de werkgever expliciet vereist dat je Microsoft Authenticator gebruikt? Bijvoorbeeld om een of meer van de volgende redenen:

Using the location condition in a Conditional Access policy
https://docs.microsoft.com/azure/active-directory/conditional-access/location-condition
Bron: https://www.zdnet.com/article/microsofts-new-security-feature-locks-hackers-out-with-gps/
P.S. volslagen idioot natuurlijk, een aanvaller die zich wil voordoen als jou kan jouw GPS-coördinaten spoofen (hij weet van Facebook of LinkedIn waar je woont en werkt), maar MS marketing zal dit wel als een briljante innovatie aanprijzen, en weet jouw werkgever veel.

Even if you use another authenticator app for most services, I recommend using Microsoft Authenticator for use with your Microsoft Account.
[...]
An added bonus is that the Microsoft Authenticator app can be used for passwordless sign-in as well as verification.
https://www.zdnet.com/article/how-to-lock-down-your-microsoft-account-and-keep-it-safe-from-outside-attackers/

Last year Microsoft revealed that 90% of its employees were using a passwordless authentication system. Two key passwordless technologies are Windows Hello biometrics for accessing Azure Active Directory (Azure AD) networks, and apps that support Microsoft Authenticator app and FIDO2-based security keys. According to Microsoft, 150 million people are using Microsoft passwordless systems each month. Microsoft's next efforts to say goodbye to passwords include new tools to manage FIDO2 security keys that will help customers build ways for users to manage their own authentication methods, such as phone numbers and email addresses. According to Microsoft, the use of passwordless mechanisms in Azure Active Directory has grown by 50% for Windows Hello for Business, Microsoft Authenticator, and FIDO2 security keys.
https://www.zdnet.com/article/microsoft-2020-was-the-year-we-almost-said-goodbye-to-passwords/

Microsoft Authenticator brings password autofill to mobile devices
https://www.bleepingcomputer.com/news/microsoft/microsoft-authenticator-brings-password-autofill-to-mobile-devices/
02-06-2021, 22:09 door Anoniem
Eenzijdig Arnoud. De maatschappelijke tendens rondom privacy is met de komst van de AVG duidelijk richting meer rechten voor burgers aan het bewegen. En goed werkgeverschap gebied in dit geval ook de werknemer een losse authenticator ter beschikking te stellen wanneer hij/zij de app niet op de privé mobiel wil installeren. (En/of geen geschikte mobiel heeft)

Rotsmoel
03-06-2021, 00:53 door Anoniem
Raar zeg, dat een app als authenticator toegang heeft tot je camera, voor het inscannen van QR Codes. Verder wordt de camera niet voor andere zaken gebruikt.

Ken je enig praktijk voorbeeld van iemand die schade ondervindt, door Microsoft Authenticator ? ;)
03-06-2021, 01:24 door Anoniem
Door Anoniem:
Door Anoniem:
Helaas leven we in een ikke ikke ikke maatschappij waarbij de thuiswerkers verwachten dat de werkgever ook het WC papier en de koffie vergoed. Dus er zal altijd bezwaar zijn.


Bij mij kwam de installatie van een vergelijkbare app niet alleen waar ik na het aflopen van mijn tweede jaarcontract een gelockt iPhone 11 en een iPad Pro liggen waar ik niks meer mee kan!

Voormalige werkgever waar ik met veel plezier en tot tevredenheid gewerkt hebt hier op aangesproken waar ik ingeleend was of de lock er af kan op mijn prive eigendommen. Mijn (zoveelste) contact persoon bij de uitzendorganisatie zegt dit erg verdelend te vinden, maar deze bedrijfs- eigendom dienen onmiddellijk teruggeven te worden op straffe van een dwangsom en aangifte van goederen.

Vorige week mijn laatste waarschuwing ontvangen van een nieuweling op afdeling waar ik ingeleend was dat ik onmiddellijk "de restwaarde" diende te vergoeden! Wacht af op het moment dat werkgever, deurwaarder langs komt en of rechtszaak komt met rechtsbijstand van mijn Bond.


ikke ikke ikke maatschappij, mijn kosten iPad pro, iPhone 11 en kosten eventueel kort geding?
Als een toekomstige werkgever dat nu weer zou vragen zou ik ergens een nieuwe verouderde Android kopen op Alibaba.
De beveiliging van dit toestel zou mij dan echt geen ruk uitmaken als werkgever geen goed alternatief kan bieden .

Door DDK: Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer.
DDK
In mijn geval hoop ik dat de werkgever mijn data nog heeft van mijn prive items?

lastige,
Als ik het goed lees werkgever heeft iemand uitgeleend aan een bedrijf X.
Bedrijf X heeft gevraagd om al dan niet tijdelijk uw eigen "Tools" te gebruiken.

Deze "Tools" zij "gelokt" omdat het bedrijf waar aan uw bent uitgeleend meent dat het van hun is door slechte of foutieve hardware registratie. De detacheerder krijgt nu het verwijt inlener heeft "bedrijfs-eigendommen" niet terug gegeven kunnen we even afrekenen, beide partijen verwijzen naar elkaar.

Als u een maandelijkse vergoeding heeft gehad voor het gebruik van uw eigen "Tools" zou het kunnen zijn dat de inlener dat ziet als hun eigendom.Verder is er omdat u niet bent ontslagen maar het contact niet verleng is, er natuurlijk geen "vaststellingsovereenkomst"* is.

Dit is iets wat ik wel vaker heb vernomen, komt vooral voor bij starters op de arbeidsmarkt en bij start-ups.
Om verschillende redenen neemt de werknemer prive "tools" mee of in gebruik zonder dat dit vastgelegd is.
Valt gewoon onder persten op de werkvloer meen dat Erik Bais hier over een presentatie op NLNOG gegeven.

Behoorlijk onprofessionele reactie van de werkgevers, zij bewijzen zichzelf geen dienst: jammer dat het zo gelopen is bij uw werkgever, na een jarenlange prettige samenwerking, vooral dat vervelende einde blijft hangen.

Ook ik ben van mening dat u zich over een rechtszaak geen zorgen hoedt te maken gelet op dat uw bewijsmateriaal heeft
Om dit verhaal kort te maken: neem eens contact op met www.juridischloket.nl
P.s. een goede advocaat zal mogelijk voor u een nog een eventuele vergoeding geregeld kunnen krijgen gelet op de houding van de werkgevers.


* (In de vaststellingsovereenkomst wordt vermeld over welke eigendommen het gaat en op welk moment, bij wie en waar je deze weer moet inleveren)
03-06-2021, 06:53 door Anoniem
Dan hoort het blijkbaar bij je werk, je eigen telefoon mee te nemen. Dat kan. Staat vast wel in je contract. Dan worden het dus 2 toestellen. Het gaat echt niet gebeuren dat er software voor mijn werkgever op mijn prive toestel wordt gezet.
03-06-2021, 08:52 door Anoniem
Is de werkgever aansprakelijk na verplichte installatie 2FA app op mijn privételefoon?

Een verplichte installatie van een 2FA app op je prive telefoon bestaat niet; dat kan enkel met jouw toestemming. Indien je de app installeert, ben jij degenen die akkoord gaat met de permissies. Heeft je werkgever weinig mee te maken, als jij op het verzoek in gaat. Overigens niks gevaarlijks aan, deze app.
03-06-2021, 10:07 door Anoniem
Tegenwoordig is een smartphone niet zo duur.

De werkgever kan geen goedkope smartphone geven aan de werknemer ?
03-06-2021, 10:55 door Anoniem
Door Anoniem: De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...

Man man, neen, jij bent dus zo'n werknemer die alleen maar wil nemen en geen fuck wil geven...
Lees het antwoord nog eens.... Goed WERKNEMERschap is niet goed WERKGEVERschap...
03-06-2021, 11:04 door botbot
Door Anoniem:
Door Anoniem: De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...

Met andere woorden, als jij je ziek wilt melden dat moet je baas eerst maar een telefoon voor je regelen. De WhatsApp groep met collega's kan ook alleen met een telefoon van de zaak. Ik mis echt een stukje nuance in je reactie

Als ziek zijn in je arbeidscontract als functieomschrijving is meegenomen dan wel ja. Als de whatsappgroep een essentiel onderdeel is van je werkzaamheden en je zonder die whatsappgroep je in je arbeidscontract omschreven functie niet kunt uitvoeren, dan wel ja. Tenzij je zo dom bent om een contract te tekenen waar niet in staat dat de werkgever zorg draagt voor de benodigde middelen om genoemde functies uit te kunnen voeren.
03-06-2021, 11:06 door botbot - Bijgewerkt: 03-06-2021, 11:09
Door Anoniem:
Is de werkgever aansprakelijk na verplichte installatie 2FA app op mijn privételefoon?

. Overigens niks gevaarlijks aan, deze app.

Dat weet je van te voren en voor altijd? Jij weet wat de app allemaal gaat doen na de volgende tig updates? Jij weet van te voren welke bugs per ongeuk geintroduceert worden? Het is een principekwestie ten eerste. Als ik op mijn privetelfoon ook andere gevoelige zaken heb staan. Prive gegevens die niemand iets aan gaan, internetbankieren, mijn stock-exchangesoftware, mijn bitcoin wallet, voor mij part de naaktfoto's van mijn vrouw. Dan wil ik niet dat er geen software op komt waar ik niet expliciet voor heb gekozen. Dan wil ik niet dat een ander mij verplicht om software te installeren die ik er niet op wil hebben.
03-06-2021, 11:12 door botbot - Bijgewerkt: 03-06-2021, 11:13
Door Anoniem:
Is de werkgever aansprakelijk na verplichte installatie 2FA app op mijn privételefoon?

Een verplichte installatie van een 2FA app op je prive telefoon bestaat niet; dat kan enkel met jouw toestemming. Indien je de app installeert, ben jij degenen die akkoord gaat met de permissies. Heeft je werkgever weinig mee te maken, als jij op het verzoek in gaat. Overigens niks gevaarlijks aan, deze app.

Verplichte installatie bestaat niet. Ja dat is net zo'n dooddoener als die coronavacinatie die optioneel is. Het hoeft niet, maar as je het niet doet kun je straks elke 2 dagen aan de andere kant van de stad voor 12,50 per keer een wattenstaaf in je neus laten rossen voordat je nar de bakker kunt, maar verplicht is het niet hoor. Geen app op je telefoon, hoeft niet, kun je alleen je werk niet doen, en wordt bij de volgende evaluatieronde op je werk medegedeelt dat je contract niet verlecngt wordt. Maar verplicht is het niet hoor...
03-06-2021, 11:25 door botbot - Bijgewerkt: 03-06-2021, 11:55
Door Anoniem: Dan hoort het blijkbaar bij je werk, je eigen telefoon mee te nemen. Dat kan. Staat vast wel in je contract. Dan worden het dus 2 toestellen. Het gaat echt niet gebeuren dat er software voor mijn werkgever op mijn prive toestel wordt gezet.

Precies. Dus zorg ervoor dat je voordat je je contract ondertekend daarin vermeld wordt dat middelen die nodig zijn om je werkzaamheden uit te kunnen voeren worden verzorgt door de werkgever. Kun je nog over onderhandelen. Spullen onder de 25 euro regel je zelf. Bijvoorbeeld. Maar je kunt gewoon onderhandelen dat als je werkgever eist dat je een telefoon hebt om bereikbaar te zijn, je die zelf regelt. Maar dat als het een telefoon moet zijn met allerlei software van de werkgever hij dat regelt.

Een vriend van mij zit in eenzelfde situatie. Hij moet thuis werken x dagen per week. De werkgever zorgt niet voor een laptop/computer dus moet hij zelf zijn eigen laptop gebruiken om in te loggen op de remote desktop omgeving van zijn werk. Nu wil het geval dat hij op zijn eigen laptop wat nieuwe dingen wil doen, Linux erop zetten bijvoorbeeld. Kan niet meer, omdat hij het risico loopt dat de spullen voor zijn werk dan niet meer goed werken. Of op zijn minst niet op tijd goed werken, omdat de installatie en configuratie allemaal langer duurt dan verwacht.

Of hij heeft een virus op zijn privelaptop gekregen waardoor hij zijn werkzaamheden niet kan uitvoeren omdat zijn eigen privelaptop niet meer goed werkt. Dat zou normaal geen probleem zijn, alleen lastig, een privalptop zonder virussen. Maar nu moet hij dus tegen wil en dank extra antivirussoftware aanschaffen, herinstallatie doen etc. Zelf digibeet, moet het ook nog eens gedaan worden bij de computerzaak. Uit eigen zak betaald.

Bovendien verliest hij de mogelijkheid om lekker zelf op zijn eigen laptop op allerlei onveilige linkjes te klikken op voor mij part allerlei vage russische pornosites. Allemaal zijn eigen zaak. Die kon hij doen als hij wilde. Maar omdat zijn eigen laptop, betaald uit zijn eigen zak, waar hij zijn eigen dingen, naar eigen inzicht op kon doen als hij dat wilde, verpicht wordt ingezet door de baas om die laptop ook te gebruiken voor de bedrijfssoftware, komt het er dus in feite op neer dat zijn werkgever de laptop die hij prive heeft gekocht heeft toegeeigend, of op zijn minst allerlei vrijheden die hij eerst had op zijn eigen spullen heeft afgenomen. Dat vind ik een foute zaak.

PS: Hetzelfde geld trouwens met een telefoon. Als ik op mijn eigen betaalde telefoon, die ik prive heb aangechaft een custom rom wil zetten of er allerlei andere zaken mee wil doen die het mogelijk maken dat mijn telefoon (tijdelijk) onbruikbaar is. Wat mijn eigen zaak is. Dan kan dat niet meer. Ergo mijn baas heeft zich de controle over mijn priveeigendommen tegeeeigend.
03-06-2021, 12:03 door botbot
Door Anoniem:
Door Anoniem: De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...

Man man, neen, jij bent dus zo'n werknemer die alleen maar wil nemen en geen fuck wil geven...
Lees het antwoord nog eens.... Goed WERKNEMERschap is niet goed WERKGEVERschap...

Nee maar beide moeten wel in vehouding zijn. Of vind je dat de werkgever mag nemen, nemen en nemen. Mijn telefoon met verplichte software kan ik niet meer risicoloos gebruiken om een custom rom op te gooien. Op mijn prive betaalde telefoon. In mijn eigen vrije tijd. Omdat de kans bestaat dat ie maandag niet goed werkt. Mijn werkgever ontneemt mij de controle over mijn eigen spullen. Laptop/computer. Ik heb hem betaald. Van mijn spaargeld. Voor mij part ook nog van het spaargeld dat ik bij een vorige werkgever hebt verdient. Ik wil daar Linux op zetten. Maarja, de bedrijfssoftware werkt niet onder Linux. De werkgever ontneemt mij de vrijheid en controle over mijn priveeigendommen. En werknemer die alleen maar neemt, neemt en neemt.
03-06-2021, 12:10 door _R0N_
Je kunt ook een authenticator app in je browser installeren om 2FA codes te genereren.
Hoef je niet sop je telefoon te zetten .
03-06-2021, 12:44 door Anoniem
Deze hele discussie laat zien dat ons land naar de klote gaat...
Er is ook zoiets als goed werknemerschap, niet enkel goed werkgeverschap...

Ikke ikke... weet je, je kan ook dezelfde functie ergens anders uitvoeren waar je 250 euro per maand minder krijgt maar wel een telefoon. Ik pak dan wel mijn prive telefoon hoor, bovendien, als het goed is, gebruik je zelf ook al MFA, wtf is het hele punt dan?!

Ik zet een internet en email whitelist aan, mensen gaan klagen ik wil wel mijn vrouw kunnen mail, ik wil in mijn pauze op FB en weet ik veel wat ... maar oh wee als je een simpele authenticator app op je telefoon moet zetten....

Weet je wat het erge is, de praktijk!
Voor mensen die zeuren over eis een werktel, gebruik je dan ook je prive tel NIET op je werk, gewoon NIET? Hypocrietjes zijn jullie...
Of, real life story... Je rolt MFA uit, geeft iedereen een Hard token (om van deze hele discussie af te zijn) en dan komen de klachten, ik vind dit maar irritant want extra apparaatje, ik wil graag mijn tel kan dat? Zucht...

Nog los van alle onzin, heeft iemand 1 voorbeeld waar een autnenticaor app een telefoon comprimeerde? Lul toch niet zo'n onzin OF kom met een onderbouwing (link, voorbeeld, enz).

Ik wil thuis werken want dat scheeld me 1 uur reistijd per dag.
Prima. Hey, ik werk thuis dus wil wel koffie vergoeding he. Of internet vergoeding... of.... maar wacht, jij wilde toch thuis werken omdat dat voor jou allemaal voordelen had?

Dit soort shit bestaat enkel in NL.
03-06-2021, 12:45 door Anoniem
Door _R0N_: Je kunt ook een authenticator app in je browser installeren om 2FA codes te genereren.
Hoef je niet sop je telefoon te zetten .

Je kan MFA dan net zo goed uitzetten... het hele doel van MFA is naja laat ook maar.
03-06-2021, 12:47 door Anoniem
Door botbot:
Door Anoniem:
Door Anoniem: De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...

Man man, neen, jij bent dus zo'n werknemer die alleen maar wil nemen en geen fuck wil geven...
Lees het antwoord nog eens.... Goed WERKNEMERschap is niet goed WERKGEVERschap...

Nee maar beide moeten wel in vehouding zijn. Of vind je dat de werkgever mag nemen, nemen en nemen. Mijn telefoon met verplichte software kan ik niet meer risicoloos gebruiken om een custom rom op te gooien. Op mijn prive betaalde telefoon. In mijn eigen vrije tijd. Omdat de kans bestaat dat ie maandag niet goed werkt. Mijn werkgever ontneemt mij de controle over mijn eigen spullen. Laptop/computer. Ik heb hem betaald. Van mijn spaargeld. Voor mij part ook nog van het spaargeld dat ik bij een vorige werkgever hebt verdient. Ik wil daar Linux op zetten. Maarja, de bedrijfssoftware werkt niet onder Linux. De werkgever ontneemt mij de vrijheid en controle over mijn priveeigendommen. En werknemer die alleen maar neemt, neemt en neemt.

Prima joh, stuur je dan ook NOOIT (meer) een prive email, surf je NOOIT meer voor eigen doeleinde via bedrijfscomputers/telefoons, ga je nooit meer iets posten op security.nl tijdens je werktijd... Want ja, nemen nemen nemen he...
03-06-2021, 13:09 door Anoniem
Een vriend van mij zit in eenzelfde situatie. Hij moet thuis werken x dagen per week. De werkgever zorgt niet voor een laptop/computer dus moet hij zelf zijn eigen laptop gebruiken om in te loggen op de remote desktop omgeving van zijn werk. Nu wil het geval dat hij op zijn eigen laptop wat nieuwe dingen wil doen, Linux erop zetten bijvoorbeeld. Kan niet meer, omdat hij het risico loopt dat de spullen voor zijn werk dan niet meer goed werken. Of op zijn minst niet op tijd goed werken, omdat de installatie en configuratie allemaal langer duurt dan verwacht.

Er bestaat zoiets als goed werkgeverschap. De werkgever dient goede tools te verspreiden zodat iedereen zijn werk juist kan doen. Ook een telefoon hoort daarbij, al denk ik dat iedereen gelijk voor een top model zal gaan wat ook weer niet nodig is.
Het zou wat zijn dat als je bijv. als bakker je oven mee moet nemen naar je werk maar de werkgever bepaalt wat er gebakken word in jou oven....en hoe het gebakken word.... raar.
03-06-2021, 13:10 door Reinder
Door Anoniem: De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...

Dit is dus niet meer zo. Zoals Arnoud al terecht aangeeft; aangezien het tegenwoordig echt volkomen normaal is dat mensen een smartphone hebben, is het een valide argument dat zoiets als dit onder goed werknemerschap valt. TIen jaar geleden zou je een punt hebben, toen was het zeker nog niet zo normaal als het nu is dat mensen die werken (d.w.z geen minderjarigen of hoogbejaarden zijn) een smartphone hebben. Of het gevraagd kan worden, wat de nuances zijn, wat je doet als de werknemer niet wil e.d. zijn allemaal nog steeds discussiepuinten, maar een non-discussie is het zeer zeker niet gelet op het goed werknemerschap argument.
03-06-2021, 13:14 door Anoniem
Door botbot:
Door Anoniem:
Door Anoniem: De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...

Man man, neen, jij bent dus zo'n werknemer die alleen maar wil nemen en geen fuck wil geven...
Lees het antwoord nog eens.... Goed WERKNEMERschap is niet goed WERKGEVERschap...

Nee maar beide moeten wel in vehouding zijn. Of vind je dat de werkgever mag nemen, nemen en nemen. Mijn telefoon met verplichte software kan ik niet meer risicoloos gebruiken om een custom rom op te gooien. Op mijn prive betaalde telefoon. In mijn eigen vrije tijd. Omdat de kans bestaat dat ie maandag niet goed werkt. Mijn werkgever ontneemt mij de controle over mijn eigen spullen. Laptop/computer. Ik heb hem betaald. Van mijn spaargeld. Voor mij part ook nog van het spaargeld dat ik bij een vorige werkgever hebt verdient. Ik wil daar Linux op zetten. Maarja, de bedrijfssoftware werkt niet onder Linux. De werkgever ontneemt mij de vrijheid en controle over mijn priveeigendommen. En werknemer die alleen maar neemt, neemt en neemt.


Ik gun je een prikklok tot en met het toilet .
En een productiviteits toetsenteller op de WERKcomputer.
03-06-2021, 16:15 door Anoniem
Helaas is het antwoord hier gegeven iets te kortaf. Ook spijtig te lezen dat de meeste comments volledig uit context zijn. Wellicht dat de meeste mensen het helaas noodzakelijk kwaad van een goede authenticator app nog steeds niet begrijpen. Iedere werkgever zou een vergeljikbare functie/ tool moeten verplicht stellen om digitale werkzaamheden te kunnen verrichten.

Ook zeer spijtig te lezen dat privacy en zorgen om de rechten van een authenticator app te pas en te onpas wordt gebruikt. Zonder ieder te kennen die commentaar heeft op het niet installeren omdat de werkgever dan maar x, y of z moet regelen zal eerst eens moeten kijken hoe de telefoon prive wordt gebruikt. Het zal dan zeker opvallen dat je met prive apps een veel groter privacy risico loopt dan met een authenticator app. Maar omdat de werkgever iets noodzakelijks verlangt is het ineens een probleem.

De stelling zou moeten zijn: als je noodzakelijke beveiligingsfuncties weigert te installeren moet je dan ergens anders gaan werken?
03-06-2021, 16:55 door Anoniem
Door Reinder:
Door Anoniem: De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...

Dit is dus niet meer zo. Zoals Arnoud al terecht aangeeft; aangezien het tegenwoordig echt volkomen normaal is dat mensen een smartphone hebben, is het een valide argument dat zoiets als dit onder goed werknemerschap valt. TIen jaar geleden zou je een punt hebben, toen was het zeker nog niet zo normaal als het nu is dat mensen die werken (d.w.z geen minderjarigen of hoogbejaarden zijn) een smartphone hebben. Of het gevraagd kan worden, wat de nuances zijn, wat je doet als de werknemer niet wil e.d. zijn allemaal nog steeds discussiepuinten, maar een non-discussie is het zeer zeker niet gelet op het goed werknemerschap argument.

Dus veranderende noties over wat "normaal" zou zijn, zonder dat er enige wet hoeft te worden aangepast, leveren volgens jou nieuwe plichten op voor burgers en werknemers. Omdat de meeste mensen nu een smartphone hebben, is dat dus "normaal" geworden en dat schept "dus" een verplichting voor werknemers om als "goed werknemer" niet alleen smartphone te hebben, maar het beheer daarover feitelijk ook nog eens over te dragen aan een werkgever, als die dat wil.

Dus als het over twintig jaar "normaal" is dat je een chip in hersenpan laat implanteren, verlies je ook je recht om dat te weigeren? Jij (en helaas misschien ook Arnoud Engelfriet) hebt de basisbeginselen van de rechtsstaat niet begrepen. Of in Arnouds geval, hij is ze blijkens zijn tekst sinds 2018 een beetje "vergeten" (hij zegt dan dat hij zich sinds 2018 iets "gerealiseerd" heeft, maar het klinkt meer alsof hij niet meer wil beseffen wat hij vroeger besefte), want ja, hij wil/moet ook met de waan van de dag mee om een boterham te blijven verdienen.

Het gaat echt fout wanneer mensen het besef verliezen van wat mijn en dijn is, en zich slaafs onderwerpen aan "werkgevers" die zich als feodale heersers gedragen. De smartphone is het nieuwe "droit de seigneur". (Vroeger mocht een feodale heer in sommige gevallen een nacht met de bruid van een horige doorbrengen, in ruil voor zijn toestemming voor het huwelijk.)

Welkom, nieuwe Middeleeuwen!
03-06-2021, 17:00 door Anoniem
Je kan ook een hardware token gebruiken.

https://www.protectimus.com/slim-mini/index.php

Ikzelf heb deze, en kan er heel makkelijk gebruik van maken.
04-06-2021, 08:41 door Anoniem
Door Anoniem: Dus veranderende noties over wat "normaal" zou zijn, zonder dat er enige wet hoeft te worden aangepast, leveren volgens jou nieuwe plichten op voor burgers en werknemers.
Echt niet alles wat gangbaar is is in wetten verankerd. Wetten worden gemaakt als reactie op iets dat niet vanzelf goed blijkt te gaan.

Het gaat nog verder. Wetgeving refereert zelfs aan wat gebruikelijk is zonder uit te werken wat wel en niet precies mag. Kijk eens hoe het burgerlijk wetboek (boek 6, artikel 162) een onrechtmatige daad definieert (nadruk door mij toegevoegd):
Als onrechtmatige daad worden aangemerkt een inbreuk op een recht en een doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en ander behoudens de aanwezigheid van een rechtvaardigingsgrond.
Daar staat gewoon dat als je iets flikt dat nergens zwart op wit verboden is maar dat volgens de geldende normen en waarden niet acceptabel is het een onrechtmatige daad kan zijn.
04-06-2021, 12:36 door Anoniem
Door Anoniem:
Door Anoniem: Dus veranderende noties over wat "normaal" zou zijn, zonder dat er enige wet hoeft te worden aangepast, leveren volgens jou nieuwe plichten op voor burgers en werknemers.
Echt niet alles wat gangbaar is is in wetten verankerd. Wetten worden gemaakt als reactie op iets dat niet vanzelf goed blijkt te gaan.

Inderdaad. En er gaat iets "niet goed" als werkgevers werknemers verplichten om op eigen kosten elektrische apparaten (bv. smartphones) aan te schaffen omdat de werkgever daar iets mee wil, waarbij die werknemers wordt aangepraat dat ze anders niet langer beschouwd kunnen worden als "goede werknemer".

Het gaat nog verder. Wetgeving refereert zelfs aan wat gebruikelijk is zonder uit te werken wat wel en niet precies mag. Kijk eens hoe het burgerlijk wetboek (boek 6, artikel 162) een onrechtmatige daad definieert (nadruk door mij toegevoegd):
Als onrechtmatige daad worden aangemerkt een inbreuk op een recht en een doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en ander behoudens de aanwezigheid van een rechtvaardigingsgrond.
Daar staat gewoon dat als je iets flikt dat nergens zwart op wit verboden is maar dat volgens de geldende normen en waarden niet acceptabel is het een onrechtmatige daad kan zijn.

Je stelt hiermee het NIET aanschaffen van een smartphone gelijk aan "iets flikken". Als ik straks weiger om me te laten oormerken met een chip-implantaat, "flik" ik dan ook iets onrechtmatigs?

Een beetje zoals Afrikanen die zich niet vrijwillig als slaaf met een ketting om hun enkel lieten verschepen naar Amerika, "iets flikten" en daarom geëxecuteerd mochten worden? Graag nadere uitleg hoe je dit precies ziet.
04-06-2021, 12:52 door Anoniem
Door Anoniem: Je kan ook een hardware token gebruiken.

https://www.protectimus.com/slim-mini/index.php

Ikzelf heb deze, en kan er heel makkelijk gebruik van maken.
Lastig, onhandig, duurder, inflexible. Minder veiligheid mogelijkheden.
05-06-2021, 08:05 door Anoniem
Door Anoniem: Je stelt hiermee het NIET aanschaffen van een smartphone gelijk aan "iets flikken".
Welnee, ik gaf een voorbeeld van hoe een wettekst refereert aan wat gangbaar is, als reactie op iemand die leek te denken dat alles tot in detail uitgewerkt is in wetgeving. Ik bedoelde niet dat dit specieke geval daartoe gerekend moet worden, alleen dat wat al dan niet gebruikelijk soms mee kan wegen.
05-06-2021, 09:09 door Anoniem
Door Anoniem: Je kan ook een hardware token gebruiken.

https://www.protectimus.com/slim-mini/index.php

Ikzelf heb deze, en kan er heel makkelijk gebruik van maken.

Het voordeel van het gebruik van de telefoon als token is dat de mensen die niet vergeten. Als je een hardware token
gebruikt dan ligt die altijd thuis, is kwijt, zit in hun andere jaszak, enz enz.
Dit maakt echt gigantisch verschil is onze ervaring.

Ook kun je hiermee voorkomen dat mensen hun token uitlenen als bijv een collega op vakantie is ofzo. Dan moet je wel
het installeren van de tokens onder controle hebben natuurlijk, als je de mensen zelf hun QR code voor het installeren
geeft dan kunnen ze die ook even op een andere telefoon zetten en dan ben je dat voordeel kwijt.
05-06-2021, 11:24 door Anoniem
Door Anoniem:
Door Anoniem: Je stelt hiermee het NIET aanschaffen van een smartphone gelijk aan "iets flikken".
Welnee, ik gaf een voorbeeld van hoe een wettekst refereert aan wat gangbaar is, als reactie op iemand die leek te denken dat alles tot in detail uitgewerkt is in wetgeving. Ik bedoelde niet dat dit specieke geval daartoe gerekend moet worden, alleen dat wat al dan niet gebruikelijk soms mee kan wegen.

Dus je wilde dat ik jouw voorbeeld los zag van de context waarin je het gaf, alleen zei je dat er niet bij. Hmmm... Maar goed, dan nog refereert wetgeving niet alleen aan wat gangbaar is, maar ook aan wat gangbaar moet zijn. Met andere woorden, wetgeving volgt niet wat ergens op een bepaald moment "normaal" wordt gevonden (want dan zou er eigenlijk geen wet nodig zijn, dan is een volksgericht genoeg), maar bepaalt wat "normaal" mag worden gevonden.

Het in de wet vastgelegde eigendomsrecht (van wie is die smartphone - van degene die hem privé heeft gekocht, of van diens werkgever?) geeft aan dat het niet normaal of gangbaar mag worden dat werkgevers zichzelf de eigendommen van hun werknemers toeëigenen.
05-06-2021, 12:44 door Anoniem
Door Anoniem: Ook kun je hiermee voorkomen dat mensen hun token uitlenen als bijv een collega op vakantie is ofzo. Dan moet je wel het installeren van de tokens onder controle hebben natuurlijk, als je de mensen zelf hun QR code voor het installeren geeft dan kunnen ze die ook even op een andere telefoon zetten en dan ben je dat voordeel kwijt.

Jij denkt alleen maar aan het controleren van mensen en het bouwen van een "maatschappij" waarin er geen vertrouwen meer is, maar alles en iedereen voortdurend met digitale middelen wordt gecontroleerd en gestuurd.

Wie is de "je" in jouw tekst? Uiteindelijk alleen de baas van een groot tech-bedrijf, die al zijn onderdanen ("de mensen") wil aansturen alsof het radertjes zijn in zijn machine.
06-06-2021, 08:43 door Anoniem
Door Anoniem:
Door Anoniem: De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...

Man man, neen, jij bent dus zo'n werknemer die alleen maar wil nemen en geen fuck wil geven...
Lees het antwoord nog eens.... Goed WERKNEMERschap is niet goed WERKGEVERschap...
Het heeft niks met goed werknemerschap te maken. Goed werknemerschap is prive en zakelijk gescheiden houden. Telefoon is prive. Dus gebeurt er niks zakelijks op. Als de baas wil dat ik zelf een zakelijke telefoon mee neem: prima. Daar gebeurt dan niks prive op. Maar geen zakelijke dingen op mijn prive telefoon. Geen prive dingen op zakelijke apparatuur.
06-06-2021, 22:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...

Man man, neen, jij bent dus zo'n werknemer die alleen maar wil nemen en geen fuck wil geven...
Lees het antwoord nog eens.... Goed WERKNEMERschap is niet goed WERKGEVERschap...
Het heeft niks met goed werknemerschap te maken. Goed werknemerschap is prive en zakelijk gescheiden houden. Telefoon is prive. Dus gebeurt er niks zakelijks op. Als de baas wil dat ik zelf een zakelijke telefoon mee neem: prima. Daar gebeurt dan niks prive op. Maar geen zakelijke dingen op mijn prive telefoon. Geen prive dingen op zakelijke apparatuur.
Jij bent daarin een uitzondering. Als de werkgever een mobiel of laptop verstrekt zie je heel vaak dat mensen hun eigen apparatuur langzaam uitfaseren. 2 telefoons bij zich dragen vinden ze alleen maar lastig.
07-06-2021, 09:47 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...

Man man, neen, jij bent dus zo'n werknemer die alleen maar wil nemen en geen fuck wil geven...
Lees het antwoord nog eens.... Goed WERKNEMERschap is niet goed WERKGEVERschap...
Het heeft niks met goed werknemerschap te maken. Goed werknemerschap is prive en zakelijk gescheiden houden. Telefoon is prive. Dus gebeurt er niks zakelijks op. Als de baas wil dat ik zelf een zakelijke telefoon mee neem: prima. Daar gebeurt dan niks prive op. Maar geen zakelijke dingen op mijn prive telefoon. Geen prive dingen op zakelijke apparatuur.
Jij bent daarin een uitzondering. Als de werkgever een mobiel of laptop verstrekt zie je heel vaak dat mensen hun eigen apparatuur langzaam uitfaseren. 2 telefoons bij zich dragen vinden ze alleen maar lastig.

Wat ik als IT manager erg vervelend vind is dat mensen graag nee zeggen tegen een extra beveiliging. Zichzelf ook 80% van de tijd niet digitaal beveiligen, en de werkgever dus tevreden moet zijn met een risicovolle medewerker?

Als je eist dat je werkgever een telefoon verstrekt om alleen een authenticator app te gebruiken, ga je er dan ook mee akkoord dat je je prive telefoon absoluut niet meer mag gebruiken onder werktijd? Probeer je eens in te lezen in beveiliging en accepteer dat deze apps nu eenmaal gebruikt worden. Als je jezelf inleest kom je er ook achter dat je de MS app niet HOEFT te gebruiken maar ook een andere app KAN gebruiken. Misschien ook handig voor alle andere toepassingen die je prive gebruikt?

Zouden mensen DigiD ook vragen om een telefoon als ze de app ervan willen gebruiken?

zucht..... het zit hoog bij me ;-)
07-06-2021, 11:38 door Anoniem
"en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid" ??
Is een essentieel onderdeel van het voorkomen van problemen, dus geen roekeloosheid? Ik denk dat je dit verkeerd ziet.
07-06-2021, 12:20 door Anoniem
de vraag is eerder kan dewerkgever aansprakelijkheid gesteld worden door die verplichte installatie en wanneer er hierdoor iets gebeurd buiten de werksfefer activiteiten..of kan dat niet ?
07-06-2021, 13:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: De eerste fout is dat de baas wat wil en dat het op jouw apparaat staat.

Als de baas iets wil, dan zorgt-ie ook maar voor de telefoon daarvoor. Daarmee is de hele discussie eigenlijk een non-discussie...

Man man, neen, jij bent dus zo'n werknemer die alleen maar wil nemen en geen fuck wil geven...
Lees het antwoord nog eens.... Goed WERKNEMERschap is niet goed WERKGEVERschap...
Het heeft niks met goed werknemerschap te maken. Goed werknemerschap is prive en zakelijk gescheiden houden. Telefoon is prive. Dus gebeurt er niks zakelijks op. Als de baas wil dat ik zelf een zakelijke telefoon mee neem: prima. Daar gebeurt dan niks prive op. Maar geen zakelijke dingen op mijn prive telefoon. Geen prive dingen op zakelijke apparatuur.
Jij bent daarin een uitzondering. Als de werkgever een mobiel of laptop verstrekt zie je heel vaak dat mensen hun eigen apparatuur langzaam uitfaseren. 2 telefoons bij zich dragen vinden ze alleen maar lastig.

Wat ik als IT manager erg vervelend vind is dat mensen graag nee zeggen tegen een extra beveiliging. Zichzelf ook 80% van de tijd niet digitaal beveiligen, en de werkgever dus tevreden moet zijn met een risicovolle medewerker?

Als je eist dat je werkgever een telefoon verstrekt om alleen een authenticator app te gebruiken, ga je er dan ook mee akkoord dat je je prive telefoon absoluut niet meer mag gebruiken onder werktijd? Probeer je eens in te lezen in beveiliging en accepteer dat deze apps nu eenmaal gebruikt worden. Als je jezelf inleest kom je er ook achter dat je de MS app niet HOEFT te gebruiken maar ook een andere app KAN gebruiken. Misschien ook handig voor alle andere toepassingen die je prive gebruikt?

Zouden mensen DigiD ook vragen om een telefoon als ze de app ervan willen gebruiken?

zucht..... het zit hoog bij me ;-)

Als mensen hun privé-telefoon willen "uitfaseren" zodra ze een telefoon van de baas hebben, dan moeten ze voor privé-gebruik van hun werktelefoon eerst toestemming hebben van de baas. En wat mij betreft mag de baas monitoren of de werktelefoon echt alleen voor werkdoelen wordt gebruikt. Of ze in de TIJD van de baas ook privé mogen bellen (met hun privé-toestel), is een andere vraag. Daar kunnen separaat wel of juist geen afspraken over worden gemaakt tussen baas en medewerker. Ik neem aan dat een humane baas het geen probleem zal vinden als iemand met een kind in een ziekenhuis één of twee keer per werkdag privé naar dat ziekenhuis belt om te horen hoe het gaat. Maar niet twintig keer.

De kreet "accepteer hoe deze apps nu eenmaal gebruikt worden" vind ik onzin, een dooddoener. De tech-industrie heeft heel veel mensen verleid om apps op onacceptabele manieren te gebruiken, in de hoop dat dat de norm wordt. Wat mij betreft dus gewoon grenzen stellen aan de tech-industrie en de mensen die zich daar al aan verslaafd hebben gemaakt. De normen van de rechtsstaat moeten prioriteit krijgen boven de normen van de tech-industrie en app-verslaafden.

Wat DigiD betreft, ik gebruik die niet, met een beroep op mijn privacy. Ik doe dingen nog via papier zolang er geen echt privacy-vriendelijk alternatief is. Dat gaat nog steeds (ook al proberen sommige overheden te doen alsof het "niet kan"). En anders zouden die overheidsinstanties in mijn geval te maken krijgen met een juridische procedure. Het argument dat we "moeten vertrouwen" dat het met overheids-IT wel goed zit qua privacy, is inmiddels door overheden zelf natuurlijk al afgeserveerd door middel van al die privacy-schandalen, de function creep die telkens optreedt, etc.

IT-managers willen graag dat we allemaal afhankelijk worden van IT. Wij van WC-eend adviseren WC-eend... Ze missen het voorstellingsvermogen dat dingen ook zonder IT-kunnen, en ook zonder IT moeten kunnen zolang IT nog niet werkelijk privacy-vriendelijk is en zolang het privacy-vriendelijke gebruik van IT nog niet adequaat wordt gewaarborgd. Een IT-deskundige zei nog niet zo lang geleden tegen me dat IT (een digitaal systeem) een gebruiker nooit echte controle kan bieden over diens eigen persoonsgegevens. Ik antwoordde: "Is dat dan misschien een reden om IT kritischer en selectiever toe te passen?" Daar had die deskundige geen antwoord op. Die wilde gewoon "verder met IT".

Dat is vergelijkbaar met hoe oliebedrijven "gewoon verder willen met olie", ook al gaat het milieu dan naar de filistijnen. Daar moeten we dus grenzen aan stellen. En we moeten alternatieven in stand houden en opbouwen. IT is niet "alternativlos".
26-07-2021, 09:47 door Anoniem
Door botbot:
Door Anoniem:
Is de werkgever aansprakelijk na verplichte installatie 2FA app op mijn privételefoon?

Een verplichte installatie van een 2FA app op je prive telefoon bestaat niet; dat kan enkel met jouw toestemming. Indien je de app installeert, ben jij degenen die akkoord gaat met de permissies. Heeft je werkgever weinig mee te maken, als jij op het verzoek in gaat. Overigens niks gevaarlijks aan, deze app.

Verplichte installatie bestaat niet. Ja dat is net zo'n dooddoener als die coronavacinatie die optioneel is. Het hoeft niet, maar as je het niet doet kun je straks elke 2 dagen aan de andere kant van de stad voor 12,50 per keer een wattenstaaf in je neus laten rossen voordat je nar de bakker kunt, maar verplicht is het niet hoor. Geen app op je telefoon, hoeft niet, kun je alleen je werk niet doen, en wordt bij de volgende evaluatieronde op je werk medegedeelt dat je contract niet verlecngt wordt. Maar verplicht is het niet hoor...

Dat is nu de spijker op zijn kop slaan, Je wordt indirect verplicht tot de installatie van die software. Krijg zelf een telefoonvergoeding voor bereikbaar te zijn en af toe te bellen naar collega's en dan willen ze dit daar onder scharen. Als die app echter eisen gaat stellen aan de telefoon moet ik mogelijk upgraden voordat ik dat wil. Al met al zit hier veel meer aan dat even snel een antwoord geven.
De Microsoft Authenticator kan (afhankelijk van toepassing) een 2-weg communicatie nodig hebben, hierdoor is deze niet altijd te vervangen door een open tool. Het klikken op je push bericht koppeld in dit geval terug dat jij hierop gedrukt hebt en is hiermee 2-weg.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.