Vorige week werd ik gebeld door een kennis uit het dorp die in een vervelende discussie met zijn werkgever was beland. Zijn werkgever wilde dat hij een authenticatorapp op zijn privémobiel zou installeren. Mijn kennis had geen zin zijn gsm daarvoor ter beschikking te stellen. Plat gezegd kwam zijn vraag erop neer of hij mocht weigeren.

Veel werkomgevingen zijn tegenwoordig digitaal. E-mails, documenten, vergaderingen en betalingen, alles vindt online plaats. Bedrijfsgegevens, klantinformatie en financiële transacties worden opgeslagen in de cloud of op interne systemen. Dit maakt werken efficiënt, maar ook kwetsbaar. Hackers en datalekken vormen een reëel risico. Daarom zijn goede beveiligingsmaatregelen –denk aan sterke wachtwoorden– essentieel.

En omdat veiligheid een absolute must is, willen veel werkgevers dat hun werknemers niet alleen inloggen met gebruikersnaam en wachtwoord, maar dat als een extra beveiligingsfactor een code via de mobiele telefoon moet worden ingevoerd, een zogenaamde tweefactorauthenticatie. En daarvoor is op de mobiel een authenticatorapp nodig. Maar wat als je zo’n app niet wilt installeren?

In Nederland –en eigenlijk in heel de Europese Unie– zijn privacy en de persoonlijke levenssfeer een groot goed. We hebben regelingen die ervoor zorgen dat werkgevers niet zomaar alles van hun medewerkers kunnen eisen en die het privéleven beschermen. En laten we eerlijk zijn: de telefoon is voor velen een soort digitale huiskamer, een onderdeel van de persoonlijke levenssfeer. Niemand wil zomaar dat anderen daarover zeggenschap krijgen.

En dan kennen we ook nog privacywetgeving en gegevensbescherming.  Daaruit maken we kort gezegd op dat als je werkgever een app op je privételefoon wil zetten, hij moet aantonen dat er geen andere optie is. En om eerlijk te zijn: in veel gevallen zijn er wél andere opties.

Wat ook van belang is: werkgevers mogen instructies geven over hoe je je werk doet.  Maar daar zitten grenzen aan: de instructies moeten redelijk zijn. En natuurlijk is het niet zo dat massa’s werknemers bezwaar tegen zo’n app hebben, maar stel dat je dat bezwaar wel hebt: valt de verplichting om zo’n app te installeren dan onder dit instructierecht? In veel gevallen niet.

Wees ook redelijk: veiligheid is superbelangrijk

Samenvattend: over het algemeen kun je niet verplicht worden de app te installeren. Maar wat als die tweefactorauthenticatie echt nodig is? Er zijn alternatieven.

Een simpel alternatief is om een code per (ouderwetse) sms te versturen. Niet het meest waterdicht, maar voor veel bedrijven prima. Een usb-token is ook een optie. Kortom: je telefoon is en blijft van jou.

Maar wees ook redelijk: veiligheid is superbelangrijk. En dat is een gedeelde verantwoordelijkheid. Bedenk eerlijk hoe groot het probleem voor je is om zo’n app te installeren. En als je werkgever een alternatief aanbiedt –zoals een werktelefoon of een usb-sleutel– is het wel zo netjes en verantwoord om daarin mee te denken.

De auteur is coördinator arbeidsvoorwaardenbeleid bij de RMU.