Privacy - Wat niemand over je mag weten

Werkgever bewaart kopieen legitimatiebewijzen in een (met wachtwoord beveiligd) webportaal

30-06-2019, 00:41 door Anoniem, 27 reacties
Beste community,

Mijn werkgever heeft een webportaal (publieke url) waar medewerkers kunnen inloggen met een wachtwoord om hun loonstook te downloaden. Dit portaal is uitbesteed aan een organisatie die HR en Payroll software levert in de cloud (maar wordt mogelijk on premise gehost). Het is een logische afweging tussen veiligheid en gemak. Loonstrookjes wil je relatief gemakkelijk beschikbaar kunnen stellen aan medewerkers. Tegelijkertijd staan er wel privacygevoelige gegevens op als salaris, naam, adres en BSN-nummer, waarvan je niet wilt dat deze in verkeerde handen vallen, maar je zou van mening kunnen zijn dat dit afdoende beveiligd is in het portaal.

Naast een wachtwoord is er ook een filter op IP-adres. Als je vanuit een nieuw IP-adres wilt inloggen, dan moet je dit eerst eenmalig bevestigen via e-mail (in de meeste gevallen je e-mailaccount van het bedrijf). Echter, iemand die toegang heeft tot het e-mailaccount kan dus zowel het wachtwoord resetten en IP-addressen whitelisten om toegang te krijgen.

Het probleem dat zich nu voordoet is dat de medewerkers van HR hebben besloten dat het handig is om de hele persooneelsadministratie in dit webportaal op te slaan. Dat betreft niet allen de loonstroken, maar daarnaast onder meer de beoordelingen, uitgebreide persoonsgegevens en de volledige kopieen van de id-kaart of paspoort en het rijbewijs die verstrekt zijn aan de werkgever. Elke medewerker kan via het webportaal bij zijn of haar gegevens.

Dit vind ik een zeer kwalijke zaak. Zoals eerder genoemd is de beveiliging redelijk voor het beschikbaar stellen van loonstroken, maar zeker niet afdoende voor het toegankelijk maken van volledig (onafgedekte) kopieen van legitimatiebewijzen. Daarnaast is het natuurlijk helemaal niet nodig, dat ik als medewerker "gemakkelijk" mijn kopie van mijn legitimatie beschikbaar heb via een webportaal. De afweging tussen gemak en veiligheid die ik hierboven beschreef gaat hier dus niet op.

Ik ben van mening, dat kopieen van legitimatiebewijzen niet thuishoren in een webportaal. Deze hoeven alleen beschikbaar te zijn voor een kleine groep medewerkers van de administratie als het bedrijf een controle krijgt bijvoorbeeld. Daarnaast is het ook niet zo, dat alleen de HR-medewerkers toegang hebben tot de legitimatiebewijzen in het webportaal. Als medewerker kun je je eigen kopieen downloaden uit het portaal. Dit kan dus ook iemand anders die onbedoeld je wachtwoord in handen heeft gekregen of ingebroken heeft in je e-mailaccount.

Uiteraard heb ik dit besproken met de HR-medewerkers, maar daar kon ik op weinig begrip rekenen. Hoe kijken jullie hier tegenaan?
Reacties (27)
30-06-2019, 09:29 door Anoniem
Dit moet je uiteraard niet bespreken met de HR medewerkers maar met de functionaris gegevensbescherming (data protection officer) van je bedrijf.
Ik herken dit beeld wel hoor, HR medewerkers dat zijn meestal niet de grootste lichten op dit gebied en daarom moet er binnen een bedrijf ook tegendruk zijn vanuit de functionaris gegevensbescherming om wat de HR mensen "gemakkelijk" vinden toch tegen te kunnen houden.
(het pakket kan vast wel beperkingen opleggen aan wie er allemaal wat mag, maar het is "veel gemakkelijker" om een standaardprofiel "iedereen mag al zijn eigen gegevens zien" te selecteren)
30-06-2019, 18:06 door Anoniem
Door Anoniem: Dit moet je uiteraard niet bespreken met de HR medewerkers maar met de functionaris gegevensbescherming (data protection officer) van je bedrijf.

Dit is ook gebeurd. Al is er binnen de organisatie niet één persoon duidelijk aangewezen als functionaris gegevensbescherming. Dit zou wellicht moeten, gezien de omvang van de organisatie. Echter, ik merk dat er toch terughoudend gereageerd wordt. Dit komt enerzijds doordat niet duidelijk doordringt wat het risico is dat hier gelopen wordt en anderzijds doordat het blijkbaar toch lastig is binnen een organisatie om elkaar te moet aanspreken op een werkwijze die niet deugt.
01-07-2019, 08:51 door Anoniem
Uberhaubt,. hoe is de beveiliging van dat webportaal gedaan?

Is het wel https?
Zit er 2FA op?
Hebben alle medewerkers toegang tot het portaal?
Zit er een automatische lock beveiliging op als je 3x een fout password ingeeft?
01-07-2019, 09:47 door Anoniem
Dit kan dus ook iemand anders die onbedoeld je wachtwoord in handen heeft gekregen of ingebroken heeft in je e-mailaccount.

Tja, een fictieve breach is niet echt een super argument. Dan mag er ook geen kopie in een kluis, want een inbreker kan 's nachts binnen komen, en de kluis open breken. De rechten lijken goed geregeld; betrokken HR medewerkers + jijzelf.

Verder is je werkgever wettelijk verplicht om te beschikken over een kopie van jouw ID, inclusief je BSN nummer.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs#wat-mag-de-inlener-of-aannemer-voor-wie-ik-werk-met-mijn-identiteitsbewijs-doen-5152

Indien je je werkgever verwijt, dat ze voldoen aan wettelijke verplichtingen, dan zal je weinig bereiken.

Ik ben van mening, dat kopieen van legitimatiebewijzen niet thuishoren in een webportaal. Deze hoeven alleen beschikbaar te zijn voor een kleine groep medewerkers van de administratie als het bedrijf een controle krijgt bijvoorbeeld.

Ehm, gezien de wijze waarop jij het omschrijft zijn de legitimatie bewijzen beschikbaar voor een kleine groep HR medewerkers, + jijzelf.

maar zeker niet afdoende voor het toegankelijk maken van volledig (onafgedekte) kopieen van legitimatiebewijzen

Leg uit, wat wil jij afschermen wat je werkgever niet wettelijk verplicht is om te registreren ?

Naast een wachtwoord is er ook een filter op IP-adres.

Goede beveiligingsmaatregel om kans op niet geautoriseerde toegang te verkleinen; jij probeert er een probleem van te maken.

Veel succes met het aanschoppen tegen de wijze waarop loonstrook administratie anno 2019 geregeld wordt, bij vrijwel iedere werkgever.
01-07-2019, 09:48 door Anoniem
Mijn werkgever heeft een webportaal (publieke url) waar medewerkers kunnen inloggen met een wachtwoord om hun loonstook te downloaden.
Persoonlijk vind ik dit al niet kunnen: De wet zegt dat de werkgever je je loonstrook moet doen toekomen, niet dat ze 'm ergens in een hoekje aan de wand mogen prikken en zie 'm zelf maar op te halen. Niet dat de overheid dat zelf snapt, aangezien ze met hun "mijnoverheid" precies dezelfde onzin uitvreten.

Dit portaal is uitbesteed aan een organisatie die HR en Payroll software levert in de cloud (maar wordt mogelijk on premise gehost).
Je werkgever doet het dus wel zelf? Mijn ervaring is dat zeker kleine(re) werkgevers nogal gemakkelijk een payroll-bureautje inhuren die vervolgens de payroll uitbesteden aan een vierde partij. Met een brakke website. Een onduidelijke serie organisaties die als je serieus eisen gaat stellen (bijvoorbeeld "ik moet een GPG-sleutel op kunnen geven en die gebruiken jullie dan om mijn loonstrookje veilig te versleutelen voor jullie 'm op de mail zetten") allemaal niet thuis geven.

Het is een logische afweging tussen veiligheid en gemak.
Binnen zeer, zeer beperkte denkraam-kaders.

Loonstrookjes wil je relatief gemakkelijk beschikbaar kunnen stellen aan medewerkers.
Wiens gemak? Als het om mijn gemak gaat zeg ik, stuur ze maar op. Dat kan zelfs volautomatisch. Zodra ik eerst moet inloggen vereist het systeem dat ik er meer aandacht aan moet besteden en er meer moeite voor moet doen dan maandelijks vaststellen dat ik weer een loonstrook gekregen heb. Oftewel, deze vorm van "automatiseren" is de-automatisering aan mijn kant en daarmee contraproductief. Oftewel de premisse van "gemak" snijdt geen hout.

Tegelijkertijd staan er wel privacygevoelige gegevens op als salaris, naam, adres en BSN-nummer, waarvan je niet wilt dat deze in verkeerde handen vallen, maar je zou van mening kunnen zijn dat dit afdoende beveiligd is in het portaal.
Dat weet ik niet. "Portaal" zegt niet zoveel.

"BurgerService Nummer-nummer"?

Voor de rest kun je je afvragen of al die shit online moet staan. Hier zou de GPG-truuk alweer uitkomst kunnen bieden: Je versleutelt de data met de opgegeven publieke sleutel, zodat de werknemer er altijd bij kan, maar verder niemand.

Niet iedereen heeft GPG maar dat is nou net het mooie van "automatisering": Als je het goed doet is het triviaal meerdere mogelijkheden te bieden. Briefje uitdraaien, versleutelde email sturen met methode een, twee, of drie, "webportaal", een "app" op je smartphone, en weet ik wat we volgende week of volgende maand verzinnen. Een maandelijkse podcast die de nummertjes opleest, weet ik het. Het kan zomaar.

Gezien dat allemaal niet gebeurt en er bij vragen altijd geroepen wordt "het is te duur", wordt er nog maar weinig echt goed geautomatiseerd. En dat terwijl het toch al ruim een halve eeuw een ding is. Wat zeg ik, ruim een eeuw.

Het probleem dat zich nu voordoet is dat de medewerkers van HR hebben besloten dat het handig is om de hele persooneelsadministratie in dit webportaal op te slaan.
Wat is de motivatie? Zowel in z'n geheel als stuk-voor-stuk over alle gegevens die zo behandeld moeten worden. Daarnaast een uitgebreide risicoanalyse. En dan een houtsnijdende afweging. Waarom is dit een goede balans tussen gemak (voor wie?!?), veiligheid en privacy? En dan eens een opinie van CBP/AP vragen. (Niet dat ik die ambtenarentent nou zo vertrouw, ze zijn zelf ook nogal eens te makkelijk.)

Ik ben van mening, dat kopieen van legitimatiebewijzen niet thuishoren in een webportaal. Deze hoeven alleen beschikbaar te zijn voor een kleine groep medewerkers van de administratie als het bedrijf een controle krijgt bijvoorbeeld.
Zelfs niet eens medewerkers. De belastinginspectie, verder niemand. Je kan die scans rustig uitdraaien en in een kluis stoppen en er verder nooit meer naar omkijken. Of als het electronisch moet: Je geeft een publieke sleutel aan de medewerkers, die versleutelen de scans ermee en zetten de versleutelde scans in een archief. Bij controle vist de chef de bijbehorende private sleutel uit de kluis en kan zo de scans beschikbaar maken voor de belastingdienst. En verder hoeft er niemand bij.

Daarnaast is het ook niet zo, dat alleen de HR-medewerkers toegang hebben tot de legitimatiebewijzen in het webportaal. Als medewerker kun je je eigen kopieen downloaden uit het portaal. Dit kan dus ook iemand anders die onbedoeld je wachtwoord in handen heeft gekregen of ingebroken heeft in je e-mailaccount.
Dat is wel het gevolg ja.

Uiteraard heb ik dit besproken met de HR-medewerkers, maar daar kon ik op weinig begrip rekenen. Hoe kijken jullie hier tegenaan?
Naast dat ik weinig respect heb voor HR-medewerkers in het algemeen, gaat het hier om hunnie eigenste gemak, zichzelf toegerekend zonder voldoende begrip van de materie. Dus dat ze het niet snappen dat is niet raar.


Door Anoniem:
Door Anoniem: Dit moet je uiteraard niet bespreken met de HR medewerkers maar met de functionaris gegevensbescherming (data protection officer) van je bedrijf.
Dit is ook gebeurd. Al is er binnen de organisatie niet één persoon duidelijk aangewezen als functionaris gegevensbescherming. Dit zou wellicht moeten, gezien de omvang van de organisatie.
Ook in een klein bedrijfje zou iemand die pet in z'n portefuille moeten hebben.

Echter, ik merk dat er toch terughoudend gereageerd wordt.
Omdat ze het niet snappen, je plannen probeert te torpederen, wellicht omdat het grote bergen geld lijkt te kosten voor geen winst.

Dit komt enerzijds doordat niet duidelijk doordringt wat het risico is dat hier gelopen wordt en anderzijds doordat het blijkbaar toch lastig is binnen een organisatie om elkaar te moet aanspreken op een werkwijze die niet deugt.
Maar eens met de baas gaan babbelen dat dataprotectie een ding is, dat het bruut geld kan kosten daar niets aan te doen (recent verschillende bedrijven die al hun data kwijtgeraakt zijn, wat tientallen miljoenen of zelfs het hele bedrijf gekost heeft). Dat het bedrijf dus een (evt. C-level) functionaris security-en-privacy nodig heeft. Die dan onder andere dit probleem mag oplossen.

HR zit ook maar gewoon zit te spelen met hun kompjoetertjes en weten zij veel, het was toch om het gemak te doen? Nou dan. Maar helaas pindakaas werkt het gewoon niet zo, ook al bieden allerlei fly-by-night "payroll"-bedrijfjes wel allerlei "cloud"-diensten die "gemak" voor de HR-poppetjes moet opleveren. Dat het risico vervolgens geheel op de werknemer wordt afgeschoven, ach, niet hun probleem. Die tweedeling maakt dat het tot een lastige kluif om het goed op te lossen, als in bij de volgende scheet kan hetzelfde in een ander jasje weer misgaan. Dan heb je dus echt iemand nodig die de materie wel snapt.
01-07-2019, 09:57 door Anoniem
Dit komt enerzijds doordat niet duidelijk doordringt wat het risico is dat hier gelopen wordt en anderzijds doordat het blijkbaar toch lastig is binnen een organisatie om elkaar te moet aanspreken op een werkwijze die niet deugt.

Da's jouw mening; als ik kijk naar wat je verder schrijft, lijkt het dat er wel degelijk wordt nagedacht over beveiliging. En 100% veiligheid bestaat niet. Je trapt aan tegen de wijze waarop salaris verwerkers, conform wettelijke eisen, omgaan met gegevens vandaag de dag. En verwacht dan dat je werkgever t.b.v. jou deze werkwijze gaat aanpassen.

Ik wens je veel succes.
01-07-2019, 10:20 door Anoniem
Door Anoniem: Uberhaubt,. hoe is de beveiliging van dat webportaal gedaan?

Is het wel https?
Zit er 2FA op?
Hebben alle medewerkers toegang tot het portaal?
Zit er een automatische lock beveiliging op als je 3x een fout password ingeeft?
Wat ik hier nog mis: wordt 2FA ook afgedwongen? 2FA aanbieden maar niet afdwingen zorgt er voor dat juist de zwakste schakels het niet gaan gebruiken.
01-07-2019, 10:44 door Bitje-scheef
Dit vind ik een zeer kwalijke zaak. Zoals eerder genoemd is de beveiliging redelijk voor het beschikbaar stellen van loonstroken, maar zeker niet afdoende voor het toegankelijk maken van volledig (onafgedekte) kopieen van legitimatiebewijzen. Daarnaast is het natuurlijk helemaal niet nodig, dat ik als medewerker "gemakkelijk" mijn kopie van mijn legitimatie beschikbaar heb via een webportaal. De afweging tussen gemak en veiligheid die ik hierboven beschreef gaat hier dus niet op.

Ja en Nee. De ondernemer draagt hier samen met de leverancier zorg voor een goede afscherming van jou gegevens.
De mate van beveiliging moet behoorlijk op orde zijn, anders zijn zij gewoonweg aansprakelijk. Wettelijk wordt niet bepaald waar de gegevens worden opgeslagen, alleen dat het goed afgeschermd moet zijn, dus de werkgever mag besluiten dit zo te doen.

Ben het met je eens dat de makkelijkheidsfactor vooral bij de werkgever ligt. En in iets mindere mate bij de werknemer.

Zoals al eerder genoemd: https, regelmatig ww moeten aanpassen, goed gekozen wachtwoord met de bekende kriteria, eventueel 2FA, goede afscherming van gegevens in de portal zelf.
01-07-2019, 11:25 door MathFox
Uberhaubt,. hoe is de beveiliging van dat webportaal gedaan?
Een van de vragen die je aan je werkgever en zijn salaris-administrateur kunt stellen is: Mag ik een onderzoek (laten) doen naar de beveiliging van mijn gegevens op het portal?
En als het antwoord een bot nee is: Als de veiligheid van het portal niet getest mag worden is het kennelijk onvoldoende!

Je maakt je hiermee niet populair bij je baas.
01-07-2019, 12:29 door Anoniem
De werkgever is verwerkingsverantwoordelijke in de zin van de AVG en dient passende beveiligingsmaatregelen te treffen voor de verwerking van persoonsgegevens. De gevoeligheid van de gegevens is zodanig dat je kunt beargumenteren dat voor het ophalen van je salarisstrook als 2FA noodzakelijk is.
De overige genoemde gegevens opslaan op en beschikbaar stellen via een portaal past ook niet bij 'passende' beveiliging. Je kunt dit bij je werkgever aankaarten of desgewenst direct een klacht indienen bij de Autoriteit Persoonsgegevens.
Voordat je dat doet zou je dan wel zeker moeten weten dat de gegevens inderdaad binnen het webportaal staan en niet binnen het personeelsinformatiesysteem dat op veiliger wijze bij de dezelfde verwerker is ondergebracht.
01-07-2019, 12:49 door Anoniem
Persoonlijk vind ik dit al niet kunnen: De wet zegt dat de werkgever je je loonstrook moet doen toekomen, niet dat ze 'm ergens in een hoekje aan de wand mogen prikken en zie 'm zelf maar op te halen. Niet dat de overheid dat zelf snapt, aangezien ze met hun "mijnoverheid" precies dezelfde onzin uitvreten.

Omschrijf dan eens hoe het *wel* moet, en waarom jouw methode beter/veiliger is. Als je dat kan.
01-07-2019, 12:52 door Anoniem
Een van de vragen die je aan je werkgever en zijn salaris-administrateur kunt stellen is: Mag ik een onderzoek (laten) doen naar de beveiliging van mijn gegevens op het portal?

Nee, natuurlijk niet. Dat is jouw taak niet.

En als het antwoord een bot nee is: Als de veiligheid van het portal niet getest mag worden is het kennelijk onvoldoende!

Er is nogal een verschil tussen de vraag of die veiligheid getest mag worden, en of *jij* dat mag doen.
01-07-2019, 13:06 door Anoniem
Door Anoniem: De werkgever is verwerkingsverantwoordelijke in de zin van de AVG en dient passende beveiligingsmaatregelen te treffen voor de verwerking van persoonsgegevens. De gevoeligheid van de gegevens is zodanig dat je kunt beargumenteren dat voor het ophalen van je salarisstrook als 2FA noodzakelijk is.
Dat maakt het vooral nog meer werk en nog onhandiger voor de werknemer. Bovendien bewijst het niets. Voor je het weet staat heel de zooi als een onbeveiligde backup in een s3-bucket of blijkt het backend een open mongodb of kun je met simpel de url aanpassen toch weer overal bij of weetikhet. Ook weet je niets van het toegangsbeleid van het dienstverlendende bedrijf. Mischien ontslaan ze wel iemand maar vergeten ze z'n login uit te zetten en hij, in tegenstelling tot alle klantjes, kan wel overal bij. Je weet het niet.

Het is dus zo niet te zien of er "passende maatregelen" getroffen zijn. Je weet wel dat heel je doopzeel "online" staat, waarvan je je moet afvragen waarom dan. "Gemak"? Wiens gemak? Het enige dat je als werknemer nodig hebt is je maandelijkse loonstrook. Die je vluchtig doorkijkt en eens per jaar gebruikt voor je aangifte. Dat hoeft dus niet allemaal "in de cloud" gestopt te worden "zodat je er altijd bij kan". Dit is vrij belangrijk voor de noodzaak- en proportionaliteitsafweging.

De overige genoemde gegevens opslaan op en beschikbaar stellen via een portaal past ook niet bij 'passende' beveiliging. Je kunt dit bij je werkgever aankaarten of desgewenst direct een klacht indienen bij de Autoriteit Persoonsgegevens.
Voordat je dat doet zou je dan wel zeker moeten weten dat de gegevens inderdaad binnen het webportaal staan en niet binnen het personeelsinformatiesysteem dat op veiliger wijze bij de dezelfde verwerker is ondergebracht.
Ho wacht nee. Jij stelt de vraag en daar horen duidelijke antwoorden op te komen. Als niet, dan klacht. Als verkeerde antwoorden, dan ook klacht. "Zeker weten" is geen vereiste om vragen te mogen stellen. "Zeker weten" dat het een goed idee is zou wel een vereiste moeten zijn om het systeem zo op te tuigen. Dus dat er hier met het grootste gemak gaten in de beschrijving worden geschoten betekent eigenlijk al dat het systeem wat uit te leggen heeft. Minstens.
01-07-2019, 13:19 door Anoniem
Naast dat ik weinig respect heb voor HR-medewerkers in het algemeen, gaat het hier om hunnie eigenste gemak, zichzelf toegerekend zonder voldoende begrip van de materie. Dus dat ze het niet snappen dat is niet raar.

Wat een argumentatie..... Waarom moeten mensen respect hebben voor jou ? En uit je relaas blijkt niet dat zij het niet snappen; er blijkt uit dat je een betweter bent. Dit soort portals van salaris verwerkers zijn de norm anno 2019.

Of de veiligheid is getest, en wat de uitkomsten daarvan zijn, dat weet jij niet. Gaat je ook niets aan, omdat het niet jouw omgeving is, en omdat jij ook geen zakelijke klant bent van dit bedrijf. Enig bewijs dat deze portal *niet* veilig is, lever je ook in het geheel niet.

Veel gejank, weinig inhoud. Met weinig respect & fatsoen, richting je eigen collega's.
01-07-2019, 13:20 door Anoniem
Je kunt dit bij je werkgever aankaarten of desgewenst direct een klacht indienen bij de Autoriteit Persoonsgegevens.

Huilie huilie. Mijn werkgever maakt gebruik van salarisverwerker, en die biedt loonstrookjes aan via een portal. De AP zal met zo'n ''klacht'' weinig kunnen doen.
01-07-2019, 15:41 door Bitwiper - Bijgewerkt: 01-07-2019, 15:45
Als het bedrijf een OR heeft, zou ik hen vragen dit aan te kaarten. Anders (zoals anderen ook al schreven) voorleggen aan de privacy officer, als die niet bestaat aan de security officer, en als die niet bestaat, de directie.

Veel te vaak worden bedrijven (waaronder HRM cloud providers en hosters) gehacked, gooien boze medewerkers (van genoemde bedrijven) gegevens op straat of verkopen deze, of worden gegevens in onbeveiligde S3-buckets o.i.d. bewaard of gebackupped.

Hoewel zelfs een kopie/scan van een paspoort, waarop geen informatie is afgeschermd, niets waard zou moeten zijn, kan er -helaas- eenvoudig identiteitsfraude mee worden gepleegd. Daarom is het voor de "eigenaar" van dat paspoort essentieel dat (met name een volledige) kopie ervan niet in verkeerde handen valt; de werkgever, HRM cloud leverancier en hoster lopen daarbij vooralsnog nauwelijks tot geen risico.

Daarnaast is er geen enkele reden voor jou (of iemand die zich voordoet als jou) om die paspoortkopie zelf te zien; immers jij weet wel hoe jouw ID-bewijs eruit ziet. Overigens hoeft deze kopie niet te worden vervangen zodra je een nieuw identiteitsbewijs ontvangt (tenzij je geen EU ingezetene bent), waarmee ook dat (bij EU-ers dus) geen reden is om snel te checken of de kopie geüpdated moet worden. Het risico voor de medewerker gaat wel wat omlaag zodra het betreffende identiteitsbewijs is verlopen, maar je kunt niet uitsluiten dat het identiteitsfraudeurs lukt om ontvangers, m.b.v. social engineering en/of door de verloopdatum te wijzigen, te overtuigen van de "echtheid" van het kopietje.

Ook mag de werkgever (volgens de wet) niets met die volledige kopie doen, anders dan deze aan eventuele overheidsinpecteurs overleggen die daar om vragen - iets dat in de praktijk (voor zover ik weet) zelden gebeurt (tenzij een bedrijf het niet zo nauw neemt met zwartwerkers of op andere wijze belasting ontduikt).

In https://www.mannaertsappels.nl/nieuwe-werknemer-kopietje-paspoort-werkgevers-opgelet/ lees ik:
Door Sharon de Rijder, 30-04-2018: Maakt u als werkgever een kopie van een identiteitsbewijs, ga hier dan zorgvuldig mee om. Verwerk het identiteitsbewijs inclusief BSN en pasfoto uitsluitend in de loonadministratie en maak het niet toegankelijk voor andere afdelingen. Gebruik het BSN niet voor andere doelen, zoals het koppelen van dit nummer aan uw personeelsadministratie. Als u het BSN verkeerd verwerkt of deze gebruikt voor andere doeleinden, kan de Autoriteit Persoonsgegevens u hiervoor een hoge boete opleggen.
Door kopietjes-paspoort in de cloud te bewaren, maak je het toegankelijk voor (medewerkers van) afdelingen van andere bedrijven - waarbij je geen idee hebt wie, hoe tevreden zij zijn en terwijl jij hen niet zelf kunt sanctioneren. Daarbij is een HRM provider bij uitstek een verzamelplaats van veel vertrouwelijke persoonsgegevens en dus bijzonder interessant voor criminelen (en mogelijk staten) die naar dat soort gegevens op zoek zijn (bijv. Visma zou tussen november 2017 en september 2018 gehacked zijn door de APT10 groep, zie https://go.recordedfuture.com/hubfs/reports/cta-2019-0206.pdf).

Kortom, er bestaat voor een werkgever geen dringende noodzaak (anders dan gemak/kostenbesparing) om volledige-kopietjes-paspoort in de cloud te bewaren, terwijl medewerkers daardoor een vergroot risico lopen (wellicht kleine kans op identiteitsfraude, maar al snel een zeer grote impact). Als je jouw werkgever er niet van kunt overtuigen dat volledige kopietjes paspoort in een fysieke kluis moeten worden bewaard (of versleuteld in de cloud, maar dan wel beheerd door mensen die snappen wat ze doen en aansprakelijk gesteld worden als het toch misgaat), wordt het tijd dat de AP dat soort werkgevers eens flink gaat beboeten.

M.b.t. loonstroken: jouw werkgever moet schriftelijk toestemming van jou hebben om jou deze in digitale vorm te verstrekken (zie bijv. https://www.emerce.nl/best-practice/welke-eisen-gelden-digitale-loonstrook, met een interessante vraag van ene Jacqueline op 30 januari 2019, momenteel de onderste bijdrage aldaar).
01-07-2019, 15:43 door Anoniem

Huilie huilie. Mijn werkgever maakt gebruik van salarisverwerker, en die biedt loonstrookjes aan via een portal. De AP zal met zo'n ''klacht'' weinig kunnen doen.

Het gaat er niet om dat de loonstrookjes worden aangeboden in een webportaal, maar dat voor het "gemak" kopieen van legitimatiebewijzen worden bewaard en beschikbaar gesteld in een webportaal dat daarvoor niet adequaat is beveiligd. Bovendien hoeven deze helemaal niet "gemakkelijk" beschikbaar te zijn in een webportaal. Medewerkers worden dus onnodig blootgesteld aan risico's.
01-07-2019, 16:09 door Anoniem
@Bitwiper:

Als het bedrijf een OR heeft, zou ik hen vragen dit aan te kaarten. Anders (zoals anderen ook al schreven) voorleggen aan de privacy officer, als die niet bestaat aan de security officer, en als die niet bestaat, de directie.

Wat moet de topic starter dan aankaarten ?

Dat hij, zonder enige onderbouwing, bang is voor een breach, minachtend is naar collega's, en helemaal niets weet over de beveiliging van, of eventuele pentesten op, de omgeving van de salaris verwerker.

Nergens blijkt dat er een daadwerkelijk (beveiligings) probleem is, behalve in het hoofd van de topic starter.

Iedere salaris verwerker levert anno 2019 zo'n portal, zodat medewerkers toegang kunnen krijgen tot hun salarisstroken en dergelijke.
01-07-2019, 17:24 door Bitwiper
Door Anoniem: @Bitwiper:

Als het bedrijf een OR heeft, zou ik hen vragen dit aan te kaarten. Anders (zoals anderen ook al schreven) voorleggen aan de privacy officer, als die niet bestaat aan de security officer, en als die niet bestaat, de directie.

Wat moet de topic starter dan aankaarten ?
Het onderwerp van deze thread luidt "Werkgever bewaart kopieen legitimatiebewijzen in een (met wachtwoord beveiligd) webportaal" en daar maakt de TS (Topic Starter) duidelijk bezwaar tegen. In mijn bijdrage licht ik verder toe hoe de TS richting haar of zijn werkgever kan aankaarten en onderbouwen waarom het opslaan van kopietjes-paspoort in de cloud onverstandig en nergens dringend voor nodig is.

Door Anoniem: Dat hij, zonder enige onderbouwing, bang is voor een breach, minachtend is naar collega's, en helemaal niets weet over de beveiliging van, of eventuele pentesten op, de omgeving van de salaris verwerker.
Ik ben het volstrekt eens met de TS, en in de bovenste bijdrage zie ik helemaal geen minachting naar collega's (of bijdragen onder de bovenste van de TS zijn, weet ik niet aangezien de TS anoniem heeft gepost). Overigens is het ook mijn ervaring dat vele soorten medewerkers security-risico's niet (willen) zien; als iedereen voldoende privacy- en security-aware was, had security.nl geen bestaansrecht.

Door Anoniem: Nergens blijkt dat er een daadwerkelijk (beveiligings) probleem is, behalve in het hoofd van de topic starter.
De praktijk is dat werkgevers HRM cloud providers op hun blauwe ogen vertrouwen dat de beveiliging wel goed geregeld zal zijn, terwijl er (o.a. op deze site) legio voorbeelden te vinden zijn van situaties waarin toch gegevens werden gelekt (niet zelden grote hoeveelheden). Werkgevers kunnen risico's van hun werknemers eenvoudig verlagen door kopietjes van hun paspoorten niet (onversleuteld) in de cloud op te slaan.

Door Anoniem: Iedere salaris verwerker levert anno 2019 zo'n portal, zodat medewerkers toegang kunnen krijgen tot hun salarisstroken en dergelijke.
En dus is dat per definitie veilig?
01-07-2019, 19:06 door Anoniem
Door Anoniem:
Persoonlijk vind ik dit al niet kunnen: De wet zegt dat de werkgever je je loonstrook moet doen toekomen, niet dat ze 'm ergens in een hoekje aan de wand mogen prikken en zie 'm zelf maar op te halen. Niet dat de overheid dat zelf snapt, aangezien ze met hun "mijnoverheid" precies dezelfde onzin uitvreten.
Omschrijf dan eens hoe het *wel* moet, en waarom jouw methode beter/veiliger is. Als je dat kan.
Precies wat ik zei: Doen toekomen betekent mij in de hand drukken. Dus bijvoorbeeld een uitdraai aanreiken. Of per post als persoonlijk contact te moeilijk is. Of per email, versleuteld volgens een door mij opgegeven methode, bijvoorbeeld GPG. Of desnoods een API waartegen ik gegarandeerd volautomatisch (en gegarandeerd op tijd beschikbaar) een ophaal-vraag kan uitvoeren, volautomatisch gescript vanuit crontab bijvoorbeeld. En dat dan volgens *mijn* keuze.

Dus ja, dat omschrijven kan ik *wel*. En had ik trouwens al gedaan. Beter omdat het niet mij ongevraagd allerlei extra werk oplevert. Veiliger omdat je niet afhankelijk bent van een enkel brak portaal dat daar maar zit te wachten tot er ongenode gasten langskomen. En omdat bijvoorbeeld email versturen niet vereist omdat al die data constant "in de cloud" publiekelijk beschikbaar is. Je kan dan alle data op een off-line systeem aanhouden en een keer in de maand een payroll uitvoeren, de emails verschepen, en gedaan. Zijn zulke redeneringen echt zo moeilijk voor je?

Kennelijk is dat "gemak" najagen vooral intellectuele luiheid, wellicht vanuit een schrijnend gebrek aan domeinkennis. Je hebt zoveel mogelijkheden, en zonder uitzonderingen bouwen die payroll-knutselaars, net als de overheid, alleen maar "brakke website". Kennelijk het beste wat ze kunnen. Helaas pindakaas, als dat alles is wat je kan ben je niet goed genoeg voor een nuttige bijdrage aan de samenleving.
01-07-2019, 19:18 door Anoniem
Ik zie hier twee aspecten in:

1. Het is inderdaad waar dat de werkgever wettelijk verplicht is om een kopie van het ID te hebben, inclusief BSN. Dat ontslaat ze echter nog steeds niet van het nemen van passende technische en organisatorische maatregelen om deze kopie (die inderdaad ID-fraude gevoelig is) te beschermen. Je hebt een redelijk goede kans van slagen met een klacht bij de Autoriteit Persoonsgegevens, niet over het hebben van het kopie ID, maar over het slecht beveiligen (overtreding artikel 32 en overtreding van het principe van Integriteit en Vertrouwelijkheid).

2. Bovendien vermoed ik dat er geen watermerk of andere manier van beschrijving op de kopie ID staat voor wie die bedoeld is, wanneer die gemaakt is en met welk doel. Mits de gegevens leesbaar blijven (met de huidige stand der techniek zeer wel mogelijk), dan mag men een beschreven kopie niet weigeren (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs#mag-een-organisatie-een-beschreven-kopie-van-mijn-identiteitsbewijs-weigeren-6705). Je kan dus eisen dat men de kopie vervangt door een beschreven kopie.

Voor de goede orde, je gaat wel op de stoel van een FG zitten, maar je hebt niet de bijbehorende ontslagbescherming (voor wat die waard is). Het kan dus wel tot problemen in de arbeidsrelatie leiden, afhankelijk van hoe goed je verstandhouding met je werkgever is (sommigen kunnen wat krachtig weerwoord wel waarderen kan ik uit ervaring zeggen).
01-07-2019, 19:23 door Anoniem
Door Anoniem:
Naast dat ik weinig respect heb voor HR-medewerkers in het algemeen, gaat het hier om hunnie eigenste gemak, zichzelf toegerekend zonder voldoende begrip van de materie. Dus dat ze het niet snappen dat is niet raar.
Wat een argumentatie..... Waarom moeten mensen respect hebben voor jou ?
Je haalt hier moedwillig dingen doorelkaar. Maar als je het wil weten: Een bedrijf heeft er OHA geen belang bij dat een overheadclubje als HR de rest van de werknemers schoffeert, bijvoorbeeld door iedereen met extra werk op te zadelen voor hun eigen gemakske.

En uit je relaas blijkt niet dat zij het niet snappen; er blijkt uit dat je een betweter bent.
Dat is wat jij er in wil lezen. Als puur op de man gespeeld tegenargument maakt het geen indruk. Inhoudelijk is het niet.

Dit soort portals van salaris verwerkers zijn de norm anno 2019.
Anno 1945 tot medio de 80er jaren was asbest de norm. Dus ook een "anno $jaar"-argument maakt geen indruk. Alweer: Niet inhoudelijk.

Of de veiligheid is getest, en wat de uitkomsten daarvan zijn, dat weet jij niet. Gaat je ook niets aan, omdat het niet jouw omgeving is, en omdat jij ook geen zakelijke klant bent van dit bedrijf. Enig bewijs dat deze portal *niet* veilig is, lever je ook in het geheel niet.
Ik maak geen claim dat "het veilig zou zijn". Degene die dat wel doet heeft die maar gestand te doen.

Als je het op de "je hebt er niets mee te maken"-toer wil spelen: TS heeft geen keus dan er wel mee te werken en heeft dus zeker een redelijk belang op eerlijke en inhoudelijke antwoorden. Ook al is hij zelf geen directe zakelijke klant van het bedrijf!

Verder is jouw argumentatie niet meer dan proberen zand in radertjes te strooien en niet productief of constructief. Klachten dat anderen dat niet zouden zijn verwijs ik eerst naar jezelf terug: Laat maar zien dat je het zelf wel kan en pas daarna spreek je anderen op hun gebreken aan. En laat dan drogredenen achterwege.

Veel gejank, weinig inhoud. Met weinig respect & fatsoen, richting je eigen collega's.
Ik zie stapels aannames die je hier doet waarvan je zelf niet eens kan weten of ze correct zijn, mijnheer pot.
02-07-2019, 07:12 door Anoniem
Of de veiligheid is getest, en wat de uitkomsten daarvan zijn, dat weet jij niet. Gaat je ook niets aan, omdat het niet jouw omgeving is, en omdat jij ook geen zakelijke klant bent van dit bedrijf.

Aangezien ze mijn privegegevens hebben die gebruikt kunnen worden voor dingen als identiteitsfraude etc gaat het mij zeker wel aan.

Enig bewijs dat deze portal *niet* veilig is, lever je ook in het geheel niet.

Dat gebeurd andersom ook niet. Ik moet maar op hun mooie blauwe ogen geloven dat alles veilig is?

Veel gejank, weinig inhoud.

Totdat straks alle gegevens op straat liggen. Maar dan "hebben we dit allemaal niet zien aankomen".
Er is geen enkele reden om deze dingen aan te bieden via een webportaal dat aan het publieke internet hangt. Punt. Dat dit anno 2019 "nou eenmaal zo gaat" is nonsense. Databreaches zijn schering en inslag in 2019.

Ze zouden die kopieen minstens moeten voorzien van een digitaal watermerk waarbij gebruik door derden onmogelijk moet is gemaakt.
02-07-2019, 09:51 door Anoniem
Dat gebeurd andersom ook niet. Ik moet maar op hun mooie blauwe ogen geloven dat alles veilig is?

Jij gaat zeker ook een penetration test laten uitvoeren op de systemen van je bank, om te verifieren hoe veilig ze zijn. Of op DigiD, of andere digitale systemen.

Totdat straks alle gegevens op straat liggen. Maar dan "hebben we dit allemaal niet zien aankomen".

Het risico op een data breach zal altijd bestaan; zolang ze maar de maatregelen nemen om het risico te minimaliseren. Overigens moeten ze ook aan allerlij regelgeving voldoen, om aan te tonen dat ze deze maatregelen hebben genomen.

Er is geen enkele reden om deze dingen aan te bieden via een webportaal dat aan het publieke internet hangt. Punt. Dat dit anno 2019 "nou eenmaal zo gaat" is nonsense.

Jups, en je salaris strook op papier, in de post, kan niet onderschept worden. In je huis kan ook niet worden ingebroken. Risico's bestaan altijd.

Aangezien ze mijn privegegevens hebben die gebruikt kunnen worden voor dingen als identiteitsfraude etc gaat het mij zeker wel aan.

Probeer jij maar de toestemming te krijgen om de beveiliging te testen van ieder systeem waar jou informatie in voor komt. Gaat je niet lukken, en is niet jouw verantwoordelijkheid. Droom lekker verder.

Het feit dat *jij* dergelijke testen niet uitvoert, wil in het geheel niet zeggen dat ze niet plaats vinden. Maar jij zal wel de enige zijn met verstand van zaken, op deze aardbol. Als jij het hebt getest, is het natuurlijk goed en onkwetsbaar.
02-07-2019, 09:52 door Anoniem
Je haalt hier moedwillig dingen doorelkaar. Maar als je het wil weten: Een bedrijf heeft er OHA geen belang bij dat een overheadclubje als HR de rest van de werknemers schoffeert, bijvoorbeeld door iedereen met extra werk op te zadelen voor hun eigen gemakske.

Kijk eens in de spiegel, hoe jij mensen schoffeert. Die mensen doen hun werk, net als jij en ik.
02-07-2019, 09:53 door Anoniem
Door Anoniem:Of de veiligheid is getest, en wat de uitkomsten daarvan zijn, dat weet jij niet. Gaat je ook niets aan, omdat het niet jouw omgeving is, en omdat jij ook geen zakelijke klant bent van dit bedrijf. Enig bewijs dat deze portal *niet* veilig is, lever je ook in het geheel niet.

De "gaat je niets aan" vlieger gaat niet op. De rechten onder de AVG zijn in relatie tussen betrokkene (zie artikel 4 AVG lid 1) en verwerkingsverantwoordelijke (zie artikel 4 lid 7). Omdat werkgever gegevens verwerkt en daarbij doel en middelen vaststelt, komt deze relatie in het spel. En dus heeft men alle verantwoordelijkheden zoals beschreven in de AVG tegenover de betrokkene. Of het wel of niet de omgeving van de betrokkene is, en of deze wel of niet een zakelijke klant is, is niet relevant.

Een kreet als: "bewijs maar dat de portal niet veilig is" is op twee punten fout. Ten eerste het beginsel van de verantwoordingsplicht (artikel 5 lid 2), die het waard is hier in zijn geheel te citeren: "De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”)." Oftewel, de bewijslast ligt bij de verwerkingsverantwoordelijke. Ten tweede kan dit zich als een boemerang tegen de verwerkingsverantwoordelijke keren. Betrokkene kan proberen zelf in wat dan nog over is van de goede sfeer onderzoek te doen, of een klacht indienen bij de Autoriteit Persoonsgegevens, waarop die onderzoek komt doen. En de AP heeft voor dat onderzoek enkele krachtige bevoegdheden (zie artikel 58 lid 1), onder anderen:

- Auditrecht (artikel 58 lid 1b).
- Toegang tot alle informatie van de controller om haar taak uit te voeren (artikel 58 lid 1e).
- Binnentredingsrecht (artikel 58 lid 1f).

Bovendien is een eventuele uitspraak vanuit die kant bindend, en kan nog als bewijs meegenomen worden in een eventuele rechtszaak. Dat lijkt me geen ideale escalatie voor een verwerkingsverantwoordelijke om uit te lokken.
02-07-2019, 17:41 door Anoniem
Door Anoniem:
Dat gebeurd andersom ook niet. Ik moet maar op hun mooie blauwe ogen geloven dat alles veilig is?
Jij gaat zeker ook een penetration test laten uitvoeren op de systemen van je bank, om te verifieren hoe veilig ze zijn. Of op DigiD, of andere digitale systemen.
Je kan ze zeker wel vragen hoe ze zorgdragen voor "veiligheid" en of je bijvoorbeeld de meest recente pentestrapporten mag inzien.

Totdat straks alle gegevens op straat liggen. Maar dan "hebben we dit allemaal niet zien aankomen".
Het risico op een data breach zal altijd bestaan; zolang ze maar de maatregelen nemen om het risico te minimaliseren.
Zoals daar zijn niet alle data gewoon maar zo in de cloud proppen want "wel makkelijk". DIe kopietjes identiteitsbewijs horen offline opgeslagen, alleen toegankelijk voor de belastingdienst en niemand anders. Want niemand anders mag er iets mee.

"In de cloud" bij, met milde maar zeker niet onrealistische hyperbool, een derde partij (payroll bedrijf), vierde partij (payroll-as-a-service leverancier), vijfde partij (hosting-as-a-service), zesde partij (hardwarehoster in een datacentrum) of zelfs zevende partij (datacentrumuitbater) en dus toegankelijk voor hun mensen is nou niet echt "risico minimaliseren". Maar dat data elders stallen, toegankelijk over het publieke internet, is wel wat er gebeurt.

Overigens moeten ze ook aan allerlij regelgeving voldoen, om aan te tonen dat ze deze maatregelen hebben genomen.
"Maar we hebben ons helemaal aan alle regeltjes gehouden hoor!" koop je precies niets voor als je gegevens toch op straat zijn komen te liggen.

Er is geen enkele reden om deze dingen aan te bieden via een webportaal dat aan het publieke internet hangt. Punt. Dat dit anno 2019 "nou eenmaal zo gaat" is nonsense.
Jups, en je salaris strook op papier, in de post, kan niet onderschept worden. In je huis kan ook niet worden ingebroken. Risico's bestaan altijd.
Vroeger was die bescherming een stuk beter, want het postbedrijf was een staatsbedrijf en de postbezorger een ambtenaar en daardoor qq betrouwbaar, en dat vertrouwen schenden was een Grote Schande. Dat is niet meer zo, dus zie je ook vaker dat er met de post gerommeld wordt. Het ligt er een beetje aan waar je woont; een gallerijflat met brievenbussen beneden of op de overloop, of een polenhotel is een ander verhaal dan in een middenstands- of villawijk. Maar dat is redelijk goed in te schatten.

Op het open internet is die inschatting meestal luchtfietserij en als het misgaat gaat het ook goed mis. Niet een enkele loonstrook maar gelijk de hele historie van een hele stapel bedrijven en honderden of duizenden medewerkers. Plus nog een hele grote bak andere data meer.

De werkgever kan je trouwens ook je loonstrook persoonlijk (of door HR) in de hand drukken. Wat is het risico daarvan?

Aangezien ze mijn privegegevens hebben die gebruikt kunnen worden voor dingen als identiteitsfraude etc gaat het mij zeker wel aan.
Probeer jij maar de toestemming te krijgen om de beveiliging te testen van ieder systeem waar jou informatie in voor komt. Gaat je niet lukken, en is niet jouw verantwoordelijkheid. Droom lekker verder.
Dit is nou niet echt een constructief antwoord op een evident probleem. Probeer het nog eens.

Het feit dat *jij* dergelijke testen niet uitvoert, wil in het geheel niet zeggen dat ze niet plaats vinden. Maar jij zal wel de enige zijn met verstand van zaken, op deze aardbol. Als jij het hebt getest, is het natuurlijk goed en onkwetsbaar.
Dat maak je er zelf van. Ik denk dat er zeker wel gevraagd mag worden en dat je daar zelfs goede antwoorden op mag verwachten. Krijg je die niet dan moet je veiligheidshalve aannemen dat het dus niet goed geregeld is en daarnaar handelen. Bijvoorbeeld door langzamerhand maar een andere werkgever te vinden.

Je mag hier best wel kritisch zijn en stevig doorvragen. Als niemand erover nadenkt verandert er zeker niets. En het is nergens voor nodig te wachten tot de boel ontploft voordat erover nagedacht begint te worden. Dus hou je sarcasme maar voor je en doe eens iets constructiefs.


Door Anoniem:
Je haalt hier moedwillig dingen doorelkaar. Maar als je het wil weten: Een bedrijf heeft er OHA geen belang bij dat een overheadclubje als HR de rest van de werknemers schoffeert, bijvoorbeeld door iedereen met extra werk op te zadelen voor hun eigen gemakske.

Kijk eens in de spiegel, hoe jij mensen schoffeert. Die mensen doen hun werk, net als jij en ik.
Sterk argument. Sterke onderbouwing ook. Anders nog iets te melden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.