De eID op de werkplek
Elke Belg heeft een (elektronische) identiteitskaart. Vroeger werd de identiteitskaart uitsluitend gebruikt voor administratieve verplichtingen tegenover de gemeente en de politie, maar met de elektronische identiteitskaart (de eID) is het ook mogelijk officiële documenten te ondertekenen en controles uit te voeren.
De eID is een elektronisch identiteitsbewijs dat kan worden gebruikt voor identificatie- en authenticatiedoeleinden. De kaart bevat gevoelige gegevens die zowel op de kaart worden afgedrukt als op de chip worden opgeslagen in een elektronisch bestand. De gegevens omvatten o.a. de naam, voornamen, nationaliteit, geboortedatum en -plaats, geslacht, foto en rijksregisternummer. Ondertussen bevat de identiteitskaart ook de digitale vingerafdrukken van de kaarthouder. De GBA heeft zich meerdere malen uitgesproken over dit onderwerp.
Onze identiteitskaart bevat persoonsgegevens die beschermd moeten worden.
Een werkgever kan de eID van een (kandidaat-)werknemer vragen als hij daar een goede reden voor heeft. Tijdens het aanwervingsproces zal dat bv. gebeuren:
- wanneer de werkgever kandidaat-werknemers uitnodigt op basis van de resultaten van een toelatingstest. In dit geval kan de werkgever de kandidaat-werknemer vragen zijn identiteit te bewijzen zodat er geen twijfel kan bestaan over de resultaten die hij heeft behaald.
- de situatie waarin de werkgever moet controleren of de werknemer over bepaalde kwalificaties of werkvergunningen beschikt. Hij moet dan de identiteit van de kandidaat-werknemer kennen en deze kunnen vergelijken met de identiteit die op de desbetreffende kwalificaties of werkvergunningen wordt vermeld.
Ook uitzendbureaus kunnen de eID van werkzoekenden vragen. Net als elke andere werkgever moet een uitzendbureau na het sluiten van een arbeidsovereenkomst voldoen aan allerlei socialezekerheidsverplichtingen. In het geval van uitzendwerk zit er vaak heel weinig tijd tussen de selectie van een kandidaat voor een uitzendbaan en zijn indiensttreding. Het uitzendbureau kan de eID (inclusief het rijksregisternummer) van de uitzendkracht dus opvragen en uitlezen zodra deze is ingeschreven, met het oog op zijn indiensttreding.
De eID is ontworpen om burgers betrouwbaar te authenticeren en documenten in digitale vorm te ondertekenen.
Het is dan ook begrijpelijk dat werkgevers deze mogelijkheid willen gebruiken. De chip in de eID heeft twee aparte sleutels waarmee de houder van de kaart:
- zijn identiteit aan derden kan bewijzen (authenticatiesleutel);
- zijn identiteit kan bewijzen en de inhoud van een document kan ondertekenen (sleutel voor digitale handtekeningen).
Om beide certificaten te kunnen gebruiken, moet de eID-houder zijn pincode invoeren.
Merk op dat elke sleutel wordt geleverd met een certificaat. Dit certificaat is een bestand met onder andere de naam, de voornamen en het rijksregisternummer van de betrokkene, samen met een aantal technische gegevens gerelateerd aan de sleutel.
De werkgever kan de eID gebruiken om werknemers toegang te verschaffen tot de computersystemen van het bedrijf. De werkgever moet echter een goede reden hebben om de eID te gebruiken als identificatiesleutel voor de informaticasystemen van het bedrijf. Bovendien moet hij de werknemer altijd vooraf informeren over het gebruik van de eID door de werkgever.
De instructie documenten met behulp van de eID te ondertekenen kan alleen worden gegeven voor documenten die binnen het kader van de taken van de betrokken werknemer vallen en enkel als een eenvoudige handtekening niet volstaat.
Vermits de werkgever de verwerkingsverantwoordelijke is voor de persoonsgegevens die worden verwerkt wanneer een elektronische handtekening met behulp van de eID wordt aangebracht, moet hij passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beschermen van zijn werknemers die hun eID gebruiken om professionele documenten te ondertekenen. Dit betekent concreet dat de werkgever voldoende middelen moet inzetten om zijn computersystemen te beschermen tegen kwaadaardige software (malware) die bedoeld is om mensen te verleiden tot het ondertekenen van documenten zonder hun medeweten of waarvan de inhoud niet is wat ze denken.