Een lezeres mailde me laatst met de volgende vraag. Ze gebruikt haar privé telefoon op haar werk om een SMS met een code te ontvangen waarmee ze in kan loggen op kantoorsoftware.  Ze vroeg zich af of dit wel mocht van de AVG en of het wel veilig is. Er zijn zeker een aantal privacy aspecten bij twee factor authenticatie.

Deze zogenaamde twee factor authenticatie zien we steeds vaker. Inloggen gebeurt in 2 stappen. De eerste stap is met gebruikersnaam en wachtwoord de tweede stap is met een code die naar de mobiel wordt gestuurd.  Die code wordt door het systeem vaak via SMS verstuurd naar een van tevoren opgegeven mobiel telefoonnummer.

Veiligheid van verificatie met een SMS

Naast de privacy aspecten bij twee factor authenticatie speelt ook de vraag of dit veilig is. Een kort rondje langs security officers leerde dat er bedenkingen zijn over de veiligheid van SMS. De reacties waren over het algemeen dat “iets beter is dan niets”.  Beter een tweede stap met een code via SMS dan geen tweede stap.

Het gerespecteerde Amerikaanse National Institute of Standards and Technology (NIST) heeft in haar guidelines voor software ontwikkelaars aan gegeven dat zij het versturen van SMS codes niet meer als veilig genoeg ziet.

De reden waarom SMS niet als veilig wordt beschouwd zijn van verschillende aard.  Allereerst zijn Sms-berichten eenvoudig zonder dure apparatuur te onderscheppen.  De berichten “reizen” bovendien over verschillende, ongecontroleerde en slecht beveiligde kanalen. De NIST noemt daarbij expliciet de VoIP services (Voice over IP: bellen en SMS-en via internet).

Daar komt nog eens bij dat tijdens het versturen Sms-berichten niet encrypted zijn, zoals bijvoorbeeld wel het geval is bij de whatsapp berichten. Bij encryptie worden berichten tijdens de verzending versleuteld. Bij aankomst wordt het bericht weer gedecodeerd zodat het lees- en zichtbaar is. Bij SMS berichten gebeurt dit niet.

In plaats van SMS is het daarom beter om één van de vele apps te gebruiken die tegenwoordig beschikbaar zijn om de codes uit te wisselen.

  

Vergeten privacy aspecten bij het gebruik van een (privé) telefoon voor werk

Los van de veiligheidsaspecten van het gebruik van SMS voor twee factor authenticatie, zijn er een aantal vaak vergeten privacy aspecten bij twee factor authenticatie die een rol spelen bij het gebruik van de privé telefoon voor het ontvangen van de code.

De werkgever zal vaak beschikken over het mobiele telefoonnummer van een medewerker. Dit telefoonnummer wordt gebruikt in het kader van de arbeidsrelatie. Bijvoorbeeld om contact op te kunnen nemen bij een ziekmelding.  Het doel van het vragen van het mobiele telefoonnummer is om te kunnen communiceren met de medewerker.

Op het moment dat een medewerker zijn privé mobiel gebruikt voor de twee factor authenticatie dient dit een ander doel. Het doel is niet meer communicatie tussen werkgever en werknemer maar het doel is nu toegang krijgen tot de door het bedrijf gebruikte software.

De AVG kent de zogenaamde doelbinding: opgevraagde persoonsgegevens, zoals in dit geval het mobiele nummer, mogen alleen gebruikt worden voor het doel waarvoor ze gevraagd zijn. De gegevens zijn verstrekt met als doel communicatie met de medewerker. Het gebruik van het privé nummer als middel voor twee factor authenticatie dient een ander doel.

Nu het doel gewijzigd is, zal de werkgever naar mijn mening toestemming moeten vragen voor dit gebruik van het telefoonnummer. Daarbij natuurlijk wel de kanttekening dat toestemming in de relatie tussen werkgever en werknemer altijd een lastige is. De AVG eist dat de toestemming in volledige vrijheid gegeven wordt. De vraag is in hoeverre in een arbeidsrelatie sprake is van volledige vrijheid. En toestemming kan altijd ingetrokken worden.  Hoe regelen we dan de tweede stap van de authenticatie?

Een ander privacy aspect is dat de leverancier van de software de beschikking krijgt over het privé telefoonnummer van een medewerker van zijn klant. Immers het nummer moet worden vastgelegd als “vertrouwd” telefoonnummer waar de code naartoe gestuurd mag worden.

Dat betekent dat het verwerken van het telefoonnummer opgenomen zal moeten worden in de verwerkersovereenkomst tussen de werkgever en de leverancier van de software. Deze laatste krijgt immers de beschikking over een persoonsgegeven van een medewerker van zijn klant.

Dat laatste geldt overigens ook als er sprake is van een telefoon die verstrekt is door het werk.

 

Samenvattend

Twee factor authenticatie verhoogd de veiligheid van software gebruik.  Vaak wordt SMS gebruikt om de code te verzenden. Dit kan veiliger door één van de speciaal hiervoor ontwikkelde apps te gebruiken.

Het gebruik van een privé telefoon voor de ontvangst van een code heeft een aantal privacy aspecten die nogal eens over het hoofd worden gezien. Met een paar simpele maatregelen kan ook dit compliant gemaakt worden aan de AVG.

Meer special topics uit de AVG lezen?

Download dan gratis de whitepapers over:

  • bewustwording creëren bij medewerkers
  • Cookies: wat mag en moet?
  • De Functionaris Gegevensbescherming: een merkwaardig figuur

Of schaf mijn boek Lean privacy, efficiënt werken met de AVG aan. Hier in beschrijf ik hoe organisaties efficiënt kunnen voldoen aan de AVG en tegelijkertijd klantvertrouwen en – waarde kunnen creëren met persoonsgegevens en privacy.

 

Geraadpleegde bron:

https://pages.nist.gov/800-63-3/sp800-63b.html

Gerelateerd