De eID op de werkvloer

Iedere Belg heeft een (elektronische) identiteitskaart. Vroeger werd de identiteitskaart enkel gebruikt voor administratieve verplichtingen op het gemeentehuis en bij de politie, maar met de elektronische identiteitskaart (de eID) is het ook mogelijk om documenten elektronisch te ondertekenen en toegang te krijgen tot allerhande online toepassingen.

Identiteitskaart alstublieft

Je identiteit mag je met alle mogelijke middelen aantonen, behalve wanneer de wet voorschrijft dat je identiteitskaart moet worden gebruikt. De identiteitskaart is echter de meest handige manier om je te identificeren. Daarom wordt meestal naar die kaart gevraagd.

De eID bevat een aantal administratieve gegevens over de houder – zowel afgedrukt op de kaart als in een elektronisch bestand op de chip. Het gaat onder meer om naam, voornamen, nationaliteit, geboortedatum en –plaats, geslacht, foto, rijksregisternummer. Het adres staat enkel op de chip.

In het dagelijkse leven gebeurt het ook steeds vaker dat  winkeliers, banken, bibliotheken en ook werkgevers, de eID willen lezen, en in veel gevallen nemen zij ook een papieren of elektronische kopie van de identiteitskaart. We staan er niet bij stil dat dit een probleem zou kunnen zijn voor de bescherming van onze persoonsgegevens. Daarom nam de Autoriteit het initiatief om een aantal vuistregels te formuleren voor een privacyvriendelijk gebruik van de identiteitskaart.

Een werkgever mag naar de eID van een (kandidaat-) werknemer vragen wanneer hij daarvoor een goede reden heeft. Tijdens de aanwervingsprocedure is dit bijvoorbeeld wanneer de werkgever kandidaat-werknemers uitnodigt op basis van de resultaten behaald bij een toelatingsproef. De werkgever kan in dit geval vragen aan de kandidaat-werknemer om zijn identiteit te bewijzen, zodat er achteraf geen twijfel is over welke resultaten hij behaalde. In bepaalde gevallen is de werkgever verplicht na te gaan of de kandidaat-werknemer over bepaalde kwalificaties of werktoelatingen beschikt. In dit geval moet de werkgever de identiteit van de kandidaat-werknemer kennen en kunnen vergelijken met deze vermeld op de kwalificaties of werktoelatingen in kwestie. Een derde voorbeeld zijn de verplichtingen in verband met de sociale zekerheid die de werkgever naar aanleiding van het afsluiten van een arbeidscontract moet vervullen. Om deze verplichtingen correct te kunnen vervullen, moet de werkgever de identiteit van de werknemer kennen. In verband met deze verplichtingen van de sociale zekerheid moet ook opgemerkt worden dat de werkgever hiervoor het Rijksregisternummer van zijn werknemers moet kennen. Hij mag dit nummer echter enkel gebruiken voor de toepassing van de reglementering rond sociale zekerheid.

Ook uitzendkantoren mogen naar de eID van werkzoekenden vragen. Net als elke andere werkgever moet een uitzendkantoor allerlei verplichtingen van sociale zekerheid vervullen naar aanleiding van het afsluiten van een arbeidscontract. Bij uitzendarbeid is de tijd die verloopt tussen de selectie van een kandidaat voor een interimbaan en de indiensttreding vaak erg kort. Het uitzendkantoor mag daarom bij de inschrijving van de uitzendarbeider reeds zijn eID opvragen en uitlezen (inclusief rijksregisternummer).

Indien het uitzendkantoor geïnteresseerden de gelegenheid geeft zich aan te melden via hun website, dan mogen zij op dit moment al de nodige persoonsgegevens opvragen – met uitzondering van het rijksregisternummer. Van enige indiensttreding is op dit moment immers nog lang geen sprake.

Aanmelden en ondertekenen van documenten via de eID

De eID werd ontwikkeld om burgers een middel te geven zich op betrouwbare wijze te authenticeren én om in staat te zijn documenten in digitale vorm te ondertekenen.

De overheid koos voor een systeem dat voldoet aan zeer strenge wettelijke normen, zodat de bewijswaarde van een digitale handtekening gecreëerd met een eID groot is. Het is dan ook begrijpelijk dat werkgevers van dit middel gebruik wensen te maken.

De eID bevat op de chipkaart twee afzonderlijke sleutels die de houder van de kaart toelaten:

  • zijn identiteit te bewijzen naar derden toe (authenticatiesleutel);
  • zijn identiteit te bewijzen én de inhoud van een document te ondertekenen (digitale handtekeningsleutel).

Voor het gebruik van beide certificaten moet de houder van de eID zijn pin-code intoetsen.

Belangrijk om weten is dat bij elke sleutel een certificaat hoort. Dit certificaat is een bestand dat onder andere de naam, voornamen, het rijksregisternummer van de betrokkene en een aantal technische gegevens over de sleutel bevat.

Het digitale handtekeningscertificaat wordt meegestuurd met elk digitaal ondertekend document. Hiermee kan de ontvanger van een digitaal ondertekend document twee zaken nagaan:

  • wie ondertekende het document?
  • Is de digitale handtekening geldig?

Met het certificaat dat bij de authenticatiesleutel hoort, kan een toepassing controleren wie toegang probeert te krijgen. De FOD Financiën gebruikt dit certificaat bijvoorbeeld om toegang te verlenen tot de toepassing Tax-On-Web.

Een werkgever kan de eID gebruiken om werknemers toegang te geven tot de informaticasystemen van het bedrijf. Voorwaarde hiervoor is dat de werkgever een goede reden heeft om de eID te gebruiken als identificatiemiddel voor de informaticasystemen van het bedrijf. Daarenboven moet de werkgever de werknemer ook altijd vooraf informeren als hij gebruik maakt van de eID.

Ook werkgevers in de privésector mogen dus de eID gebruiken als authenticatiemiddel voor hun informaticaystemen. Let wel op: in de onderliggende processen mogen zij zich niet baseren op het rijksregisternummer van de betrokken werknemer, bijvoorbeeld om daaraan gebruikers- en toegangsrechten te koppelen. Werkgevers in de privésector mogen hiervoor wel gebruik maken van de andere serienummers vermeld op de eID (bijvoorbeeld het identiteitskaartnummer).

De opdracht om documenten met de eID te ondertekenen mag enkel gegeven worden voor documenten die tot het takenpakket van de betrokken werknemer behoren. Verder heeft het ook geen zin digitale ondertekening met de eID te vragen van documenten die niet ondertekend hoeven te worden.  Hetzelfde geldt voor documenten waarvoor een eenvoudigere elektronische handtekening (bijvoorbeeld naamsvermelding onderaan een e-mail, scan van een handgeschreven handtekening) of een digitale tijdsstempel uitgaande van de onderneming of instantie volstaat.

Kortom, de werkgever moet uitzoeken of een digitale handtekening met grote bewijswaarde wel noodzakelijk is.

Omdat de werkgever de verantwoordelijke voor de verwerking is voor de persoonsgegevens die verwerkt worden bij het plaatsen van een elektronische handtekening met de eID, moet hij de gepaste technische en organisatorische maatregelen nemen voor de bescherming van de persoonsgegevens van zijn werknemers die hun eID gebruiken om professionele documenten te ondertekenen. Concreet moet de werkgever voldoende middelen inzetten om zijn informaticasystemen af te schermen van malware die erop gericht is mensen in de val te lokken door hen documenten te laten onderteken zonder dat zij zich daarvan bewust zijn of met een andere inhoud dan verwacht.