Regelmatig krijg ik vragen over het fenomeen “Bring your own device”. Het idee is kort gezegd dat je als werkgever toestaat dat werknemers hun eigen apparaten gebruiken op het werk of voor het werk, omdat die mensen zelf beter de spullen kunnen uitzoeken dan jij. Plus, ze gebruiken ze ook thuis dus je hebt meteen een handige thuiswerkregeling. Maar zoals dat gaat bij nieuwe ICT-dingen: iemand roept “mag dat eigenlijk wel” en de juridische vragen (en congressen à 699 euro) zijn niet van de lucht.
De vraag die ik over BYOD het meeste krijg, is “wie is aansprakelijk bij problemen”. Want dat lijkt de grootste angst te zijn: werknemers nemen smartphones vol met malware mee, ze zetten klantenlijsten op USB-sticks die ze kwijtraken in de Albert Heijn of ze gaan werken op een laptop met illegale software en dan zul je zien dat net dan de BSA zich aan de balie meldt. Graag zouden werkgevers daar de werknemer voor aansprakelijk houden, of hoe zit dat?
Werknemers aansprakelijk houden voor wat dan ook is juridisch erg moeilijk. De werkgever bepaalt hoe het werk wordt uitgevoerd en kan daarbij werkinstructies geven waar de werknemer zich aan moet houden. Voor ICT wordt dat vaak in een reglement of policy uitgewerkt. Het is daarbij een misverstand dat je dit moet accorderen of dat zulke regels in je arbeidsovereenkomst moeten staan. Het reglement bevat instructies over hoe het werk uit te voeren, en dat is gewoon de bevoegdheid van de werkgever.
Omdat de werkgever zo veel zeggenschap heeft, is hij dan ook in principe altijd de verantwoordelijke partij voor problemen. Zo bepaalt de wet dat de werkgever de “gereedschappen” waarmee het werk wordt gedaan, zo moet inrichten dat de werknemer daar redelijkerwijs geen schade door zou kunnen lijden. Dit geldt ook voor het bedrijfsnetwerk, en daarmee is de werkgever dus aansprakelijk als virussen of andere rommel het BYOD van de werknemer schade berokkent. Mits de werkgever redelijkerwijs had kunnen voorkomen dat deze schade zou optreden.
Omgekeerd is de werknemer naar de werkgever toe nooit aansprakelijk, tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid. Een laptop die ‘gewoon’ een virus heeft, is dus het probleem van de werkgever. Zou de werknemer opzettelijk malware loslaten, dan is hij natuurlijk wél aansprakelijk. Dit geldt ook naar derden toe – als een glazenwasser bij mij een vaas omschopt, is het bedrijf aansprakelijk voor mijn schade en niet die specifieke glazenwassende medewerker als persoon. Idem voor de klant die zijn geheime informatie verspreid ziet door een BYOD-gebruikende werknemer. Die klant kan alleen de werkgever aansprakelijk stellen.
Dit soort dingen zijn dwingend recht, dus je kunt er niet eenvoudig van afwijken met een ICT-reglement of “BYOD policy”. Niet dat dat veel bedrijven zal tegenhouden; reken maar dat er heel wat “BYOD is op risico werknemer” of “Werknemer is ten volle aansprakelijk voor alle schade die werkgever lijdt door onjuist ingezette BYOD middelen” clausules geschreven gaan worden de komende tijd.
Wie werkt er nu al met BYOD? Zijn er regels, of heb je een slimme werkgever die het gewoon technisch dichttimmert?
Arnoud
Het grootste probleem bij BYOD is dat veel bedrijven niet doorhebben dat het voor hen speelt. Ze hebben weinig tot geen zicht op de prive-apparaten die medewerkers meebrengen en volstoppen met bedrijfsinformatie.
Bij ons is er niet echt een policy, het is een beetje ontstaan dat mensen gewoon eigen spullen gingen gebruiken. Begon met telefoons, werkgever stelt een telefoon ter beschikking die onpraktisch, ongebruiksvriendelijk en onhandig is, dus vanzelf gaan mensen dan ergens anders een smartphone regelen en daar het simkaartje in stoppen. Inmiddels nemen mensen zelf iPads en andere tablets mee. Een BYOD policy is er nog niet. Geen slapende honden wakker maken denk ik, zolang ik fatsoenlijk met mijn zelf gekozen smartphone en tablet mijn werk kan doen.
Wij hebben een non-BYOD policy: Apparaten die je zelf meeneemt mogen niet aan het netwerk. We hebben ook voldoende computerwerkplekken binnen het bedrijf. Mensen die bij klanten langs gaan kunnen een laptop mee krijgen, degenen die regelmatig voor het bedrijf de deur uit gaan hebben een laptop en mobieltje van de zaak.
Technische maatregelen tegen datalekken zijn lastig te implementeren, zelfs zonder BYOD. De klant moet specificaties voor zijn machine goedkeuren, dus mag ze per e-mail toegestuurd krijgen. Zijn concurrent (2 letters andere domeinnaam) hoort ze echter niet te krijgen. Verzin hier maar eens een goede technische maatregel voor.
@MathFox
Faxen?
Sterk gerelateerd hieraan: hoe zit het met het doen van onderzoek op prive-apparaten die mensen gebruiken? Stel er is een sterk vermoeden van fraude, en de werkgever (of een door hem ingehuurd onderzoeksbureau) wil onderzoek doen op de laptop van een werknemer. De werknemer en eigenaar van de laptop weigert vervolgens zijn medewerking omdat het (ook) zijn prive laptop is. Kan de werkgever dan afdwingen dat de werknemer zijn laptop afstaat voor het doen van (forensisch) onderzoek?
@RML, Heb jij nooit een verkeerd telefoonnummer op de fax ingetikt?
Voor thuiswerken gebruik ik gewoon mijn prive-computer en kan ik eventueel via een Remote Desktop naar mijn werk-PC. Ik kan een laptop van de zaak krijgen maar dit is gewoon handiger omdat ik gewoon een stevige machine nodig heb voor mijn werk. Dit is dus al min of meer BYOD. Mijn werkgever heeft geen bezwaar tegen het gebruik van prive-apparaten en tijdens een cursus binnen het bedrijf zelf heb ik wel eens een eigen laptop meegenomen om niet te hoeven slepen met mijn werk-Desktop PC. Alleen, die prive-apparaten hangen niet in het bedrijfs-domein.
Maar hoe zit het met een bedrijf dat gebruik maakt van gedetacheerd personeel? Dus een bedrijf die ZZPers inhuurt voor bepaalde opdrachten. Wie is dan verantwoordelijk voor problemen die ontstaan door de hardware van de ingehuurde ZZPer?
Over het doorzoeken van een privé-laptop heeft Arnoud al eens iets geschreven. De werkgever zal met een heel goed verhaal aan moeten komen zetten wil een rechter doorzoeking gelasten. Als je de redenering van dat artikel doortrekt naar een ZZPer, op wiens laptop naast privégegevens ook gegevens van andere bedrijven kunnen staan dan zal het ook lastig zijn om een onderzoek op die laptop te forceren.
Na de uitspraak van de hoge raad (nu.nl) verwacht ik dat een opdrachtgever niet meer makkelijk schade kan verhalen op een ZZPer die als tijdelijke werkkracht is ingehuurd.
We hebben een wireless gast netwerk voor personen die een device meebrengen. Daarop kan je weinig maar is er bijvoorbeeld wel internet mogelijk naar buiten zodat je zonder dongle kunt werken op een laptop. Wel moet je een gast account aanvragen.
@hAl: Dat is leuk voor gasten maar dat werkt niet voor medewerkers lijkt me. Krijgen die niet eens webmail of web-based toegang tot CRM systeem of zo?
[…] ze gaan werken op een laptop met illegale software en dan zul je zien dat net dan de BSA zich aan de balie meldt. Ik meende inmiddels alle argumenten al eens gelezen of gehoord te hebben, maar deze is nieuw voor me. Hierdoor denk ik dat aan een FAQ inz BYOD beleid kan worden toegevoegd: wat te doen met BYOD als er instanties met echte opsporingsbevoegdheid zoals FIOD, ECD, NMA, OPTA en CA aan de balie staan? (BSA heeft dat afaik niet).
@Wim: Bij ons krijgen ingehuurde krachten een werkplek van het bedrijf, of eventueel een laptop. @MathFox: Gevoelige e-mail kun je encrypten met PGP. Dan is het iets minder erg als het mailtje per ongeluk in verkeerde handen komt. Volgens mij is een Fax te wiretappen.
Van de vorige keer dat iemand een device van thuis meenam, zit het virus nog steeds in het (NT4-draaiende) fotokopieerapparaat.
Variant: bring your own network. Bij een niet nader te noemen instantie waar ik wel eens over de vloer kwam en die hun netwerk en apparatuur zwaar hadden dichtgetimmerd, bleek een aantal
agentenmedewerkers een eigen ADSL-verbinding over hun faxlijn te hebben aangevraagd. Zo konden ze hunprocessen verbaaldocumenten gewoon naar hun Hotmail account mailen om zo ’s avonds thuis verder te kunnen werken.@6 MathFox Dan zit er niets anders op dan de stukken in persoon te gaan brengen. En dan nog kunnen de oh zo vertrouwelijke stukken in de handen van de verkeerde komen. Fouten uitsluiten is ten ene male onmogelijk.
@RML, Wat ik duidelijk wilde maken: 100% lekdichte technische maatregelen zijn onwerkbaar. Daar gaan mensen omheen werken (dank Richard@12).
Beveiligen is de balans vinden tussen technische en sociale maatregelen en een te accepteren risico dat het fout gaat. Met BYOD zul je kritisch moeten kijken naar je maatregelen, zowel technisch (beveiliging van je LAN) als sociaal (voorkom diefstal/verlies). Hoeveel extra risico kun je accepteren met de “””verhoogde productiviteit”””?
@Arnoud Medewerkers kunnen een vaste PC op een flex plek of bedrijflaptop in een dockinggstation op een mobile flexplek krijgen. Eigen laptops, tablet en smartphones worden gasten.
Webmail kan via het internet. Bepaalde remote toegang (soort thuiswerkplek client) kan ook via het internet maar niet rechtstreeks en daarbij kun je eigenlijk geen lokale software van de laptop of tablet meer gebruiken.
Is dat nog steeds zo als er ook vergoedingen voor aanschaf en/of gebruik van deze devices in dat reglement vastgelegd worden ?
@Eric: Jazeker. Dat zijn dan toch gewoon gedeclareerde onkosten? Of loon in natura. Hm, dat is wel intrigerend, als ik mijn werknemers een laptop van 1500 euro laat kopen ten behoeve van BYOD en ze 1500 euro vergoeding geef, dan is dat gewoon loon zou ik zeggen. Geen idee hoe dat zit eigenlijk.
Al veel geschreven over byod, en de schrijver geeft het probleem van illegale software aan, maar laat dat nu net het punt zijn waar hij niet specifieert wie verantwoordelijk is.
“Omgekeerd is de werknemer naar de werkgever toe nooit aansprakelijk, tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid.” Daarvan is géén sprake enkel omdat hij een stuk software inzette waarvan de licentie commercieel gebruik verbiedt (de Home-versie).
Bij gekráákte of gepiratebayte software kan ik me eerde voorstellen dat sprake is van (kwade) opzet. Daarbij behoort er toch enig belletje te gaan rinkelen.
Maar “de werknemer deed het zelf” of “hij had het kunnen navragen of het mocht” of zelfs “het is in strijd met het arbeidscontract/ICT-reglement” is NIET genoeg voor aansprakelijkheid. Er moet meer zijn om die kwade opzet of bewuste roekeloosheid aan te tonen.
@18: Geld geven aan een werknemer voor een laptop en zeggen: “Je mag hem ook op het werk gebruiken hoor!” is gewoon loon, en moet de werkgever bij de werknemer loonheffing hierover inhouden.
Geld geven en zeggen “Hiervoor moet je ICT spullen kopen om je werk mee te kunnen doen” misschien niet, maar dan valt het wel onder de werkkostenregeling, en betaalt de werkgever er in principe 80% eindheffing over (dus 1000 voor de medewerker om een laptop te kopen, 800 voor de fiscus).
Spullen die door de werkgever verstrekt worden, en bedoelt zijn voor gebruik in het bedrijfspand zijn uitgesloten van de werkkostenregeling, dus als de werkgever alleen een laptop, en geen desktop geeft, is die laptop belastingvrij (voor werknemer en werkgever).
Tussenvormen tussen deze 3 varianten bestaan, en het is handig die regelingen aan de inspecteur voor te leggen, om discussie achteraf te voorkomen. Het verschil tussen 1 en 2 is in sommige gevallen in totale kosten niet heel groot, maar administratief natuurlijk lastig achteraf te verrekenen. Daarnaast wil iedereen natuurlijk in de laatste variant vallen, want dan betaal je minder aan de belastingdienst.
@21: Jasper, zoals ik je begrijp kan de werkgever zeggen: Je hebt dit budget, kies maar een computer of smartphone uit, zet de rekening op naam van het bedrijf en laat het apparaat op de zaak bezorgen. P.S. Het apparaat is alleen voor zakelijk gebruik en als je ontslag neemt verwachten we dat je het apparaat inlevert. Op dat moment is het een “bedrijfsmiddel” en geen verkapt loon. (Ik voel trouwens geen behoefte om dagelijks met een laptop te lopen zeulen.)
Als ik iemand laat tekenen dat ie XYZ niet doet, en diegene is niet achterlijk, en diegene doet XYZ toch, dan is dat toch duidelijk?
@Arnoud en @23: En als diegene dan juridisch toch niet aansprakelijk is, is het dan wel eventueel reden voor ontslag als de financiële gevolgen groot genoeg zijn?
@Matthijs: Nee, want dat is gewoon bedrijfsrisico. Als jij een contract van 5 miljoen door de vingers laat glippen omdat de klant jou onbeleefd vindt, is dat ook geen reden voor ontslag.
@Richard: Ja, dan is dat duidelijk maar dat is nog géén kwade opzet dan. Het wordt als al te makkelijk gezien om in een reglement te zeggen “XYZ mag niet” en dan de werknemer persoonlijk aan te kunnen spreken. Het is gewoon de bedoeling dat de werkgever de aansprakelijkheid draagt.
Arnoud als ik handjes inhuur bij bedrijf R. en hun medewerker voert bij ons werkt uit op zijn BYOD waar ligt dan de verantwoording.
Of een ZZP’r met zijn eigen laptop?
@Arnoud #18
Onkostenvergoedingen zijn zaken die -uitzonderingen daargelaten- niet eenzijdig door de werkgever gewijzigd mogen worden. Dat het toekennen van een onkostenvergoeding over het algemeen weinig bezwaren zal opleveren en daardoor op een eenzijdige beslissing lijkt is natuurlijk wat anders. En (het toekennen van) een onkostenvergoeding onder de instructiebevoegdheid van de werkgever schuiven lijkt me ook nogal ver gaan.@MathFox #22 Leuke oplossing, maar heb je dan nog een BYOD situatie ?
@Franc: Bedrijf R is naar jou aansprakelijk, jij huurt R in immers. Jij zou in je inkoopvoorwaarden kunnen opnemen dat je geen BYOD gedoe wil op jouw werkvloer. Maar ongeacht waar het probleem van komt, jij mag R aanspreken. En het is R’s probleem of hij het kan verhalen op zijn werknemer die de fout begaat.
Bij een ZZP’er is deze zelf aansprakelijk want jij huurt hem in. (Bij een ZZP’er spreken van BYOD vind ik moeilijk trouwens, de Y is immers een werknemer en dat is per definitie niet het geval bij ZZP).
Algemeen: Waarom heeft iedereen toch de behoefte om claims bij werknemers neer te leggen? Die mensen hebben toch geen cent.
@28 thanks
Algemeen: Het is hullies schuld, ik ben niet vout 😉
@20 Arnoud Engelfriet: “Daarvan is géén sprake enkel omdat hij een stuk software inzette waarvan de licentie commercieel gebruik verbiedt (de Home-versie).”
Kan daar nog sprake van zijn als de thuiswerkende collega op een met deze versie uitgerust systeem verbinding maakt met een Citrix webportal? Het lijkt mij twijfelachtig. Hoe hebben grote partijen als Reuters die hun diensten ondermeer via een ICA-Web sessie aan overige bedrijven aanbieden dit dan afgevangen? Los daarvan is dergelijk gebruik volgens mij gewoon volstrekt niet controleerbaar en niet werkbaar. Niet door de werkgever ten tijde van het gebruik, niet door enige partij achteraf bij een audit op de juiste licentiering.
Het verhaal van iPads en iPhones wordt volgens mij wat lastiger, omdat in dat geval de data echt concreet op de gebruikers systemen terecht kan (en zal) komen. Wanneer de gebruiker een BYOD hiervoor inzet, is het voor de werkgever niet meer dan redelijk om dit af te gaan beveiligen door middel van een verplichte pin-code of anders zins. De werknemer kijgt dit voor de kiezen op moment van configureren. Dan heb je de keuze om er mee accoord te gaan, of om de data van de werkgever dan maar niet op het mobile device te laten synchroniseren.
Dit kan in de nabije toekomst met bijvoorbeeld een devicemanager als MobileFusion van RIM nog weer verder dicht te timmeren en te beveiligen. Heeft de werkgever daar recht toe als het een apparaat in eigendom van de werknemer is? Het lijkt mij wel, omdat de gebruiker met deze restricties zal moeten instemmen op het moment dat het device aan het bdrijfsnetwerk koppelt. Gaat de medewerker ui dienst, dan kunnen er passende maatregelen genomen worden, desnoods door van een iPad een stoeptegel te maken via een remote wipe. Ook dat is m.i. prima af te vangen in een schriftelijke afspraak vooraf. Wil je daar als medewerker niet aan meewerken, dan lijkt het me overigens wel weer vanzelfsprekend dat de werkgever een alternatief kan aanbieden in de vorm van een laptop of smartphone van de zaak, waar dat voor de werkzaamheden benodigd is – alleen dan mogelijk een net iets minder hoog gadget gehalte. Tsja…
Wat betreft virussen e.d., wanneer je een degelijke Network Access Control mechanisme ingesteld hebt, dan kun je een hoop voorkomen: Is je PC niet up to date? Staat de lokale client firewall niet aan, is er geen antivirus oplossing van merk x, y of z aanwezig? is er geen recente scan in de Antivirus uitgevoerd? -> Dan krijg je dus geen of slechts extreem beperkt toegang tot het bedrijfs netwerk (bijv. geen local drive access in citrix, geen clipboard sharing etc.)
Blijft het probleem staan: wie is verantwoordelijk voor de software en licenties hiervan op de BYOD. Indien het gaat om remote werken is een oplossing via Remote Desktop Services of Citrix XenApp simpel: met alleen het OS heb je genoeg op het device staan om je werk te kunnen doen. Dat moet legaal zijn, en alle overige software is onnodig voor werk doeleinden, en daarmee geheel de verantwoordelijkheid van de eigenaar. Daar kan m.i. geen BSA omheen.
@28 “Bij een ZZP???er is deze zelf aansprakelijk want jij huurt hem in. (Bij een ZZP???er spreken van BYOD vind ik moeilijk trouwens, de Y is immers een werknemer en dat is per definitie niet het geval bij ZZP).”
Ben ik niet met je eens. Ook een ZZP-er (of Consultant van een groter bedrijf) kan bijv. zijn eigen laptop meenemen – bijvoorbeeld omdat deze zijn/haar ontwikkeltools met zich mee brengt om de door deze persoon geschreven software te onderhouden. Y is dus niet per definitie een medewerker. Het kan ook een klant, leverancier of adviseur zijn. – Maargoed, wat is het probleem van een geisoleerd (gasten) netwerk met internet access waar je heel specifiek voor een bepaalde activiteit toegang tot het bedrijfsnetwerk kan open stellen nadat je het systeem op jouw randvoorwaarden hebt gecontroleerd? (virus scanner, updates, client firewall etc.)
Je zult het dus altijd het risico moeten beperken door een stapeling van oplossingen. Technisch, via een afdwingbare policy en afspraken tussen werkgever en werknemer.
Heeft de BSA uberhaupt opsporingsbevoegdheid? Op de site van BSA (www.bsa.org/netherlands; alleen http://www.bsa.org intikken werkt niet(!)) geeft een zoekopdracht naar dat woord precies nul hits. Natuurlijk kan ik ’t BSA zelf vragen, maar ik wil geen slapende honden wakker maken :). Indien ze geen opsporingsbevoegdheid hebben, kan je ze toch gewoon weigeren je apparaten te laten doorzoeken?
Ze hebben geen wettelijke bevoegdheid. Vaak staat echter in de licentievoorwaarden wél een auditclausule. En als je bij licentie-afname afspreekt dat de BSA je mag komen auditten, dan hebben ze wel een bevoegdheid. Afspraak is afspraak.
Maar dan moet BSA wel weten welke software je draait. (Verklikkers even uitgesloten; ik praat dus over reguliere random controles.) Anders kan BSA toch ook niet weten aan welke licentievoorwaarden je moet voldoen? Ik heb bij licentie-afnames (in de begeleidende brieven en normale contacten die over en weer gaan m.b.t. software) nog nooit iets gelezen over audit-clausules m.b.t. BSA. Of zouden die diep verstopt zitten in de standaardlicentievoorwaarden die niemand leest? 🙂 Ik geloof niet dat we illegale software hebben draaien, maar toch… Om zomaar BSA op je PC’s en servers toe te laten…
Natuurlijk kan de BSA ook een partijtje blufpoker gaan spelen. Ze komen dan langs met de mededeling dat ze een onderzoek doen naar illegale software binnen een bedrijf en proberen het daarbij te doen lijken alsof het beter is voor het bedrijf indien ze hieraan meewerken. Vragen staat immers vrij en als iemand hen dan vervolgens toestemming geeft… Pech. Dit werkt natuurlijk alleen indien een afdeling al een beetje onderbezet is en de baas afwezig. De toestemming kan namelijk van iedere werknemer komen, tot het moment dat een hogere in rang vragen gaat stellen. Zoek de zwakste schakel binnen een bedrijf en probeer zo binnen te komen. Dat werkt niet alleen voor hackers, maar ook voor de BSA. 🙂
En ja, vandaag de dag is de meest simpele hack om toegang te krijgen tot een locatie waar je geen toegang toe hebt nog steeds hetzelfde: vraag er gewoon om!
Maar dat geldt dan alleen voor legale software. Als ik alles illegaal heb, ben ik dus niet akkoord gegaan met de voorwaarden en mogen ze dus niet autitten 🙂 (ik gebruik overigens alleen open source software op 1 gekocht pakket na).
Ik ben niet heiliger dan de paus en heb dus ook wel eens software geïnstalleerd zonder licentie (tegenwoordig is ’t vooral freeware dat ik gebruik), maar vaak zit de licentieovereenkomst er dan nog wel gewoon in.
Als je tijdens installatie van de illegale software op het knopje “Accoord” hebt geklikt waar je de gebruikers-overeenkomst kunt lezen dan ben je -ook bij illegale software- dus wel akkoord gegaan met de licentie. Je hebt er alleen niet voor betaald. 🙂 Daarnaast, als jij een werkgever bent en je bent even niet op het bedrijf en de secretaresse opent de deur voor de BSA-inspecteurs, denk je dan dat ze zal beseffen dat ze deze mensen geen toegang moet geven tot jouw computer-systemen, ook al presenteren ze zich als wettelijke inspecteurs? Of denk je dat ze overrompeld wordt door deze “belangrijke opsporings-ambtenaren” en hen volledig toegang biedt?
“denk je dan dat ze zal beseffen dat ze deze mensen geen toegang moet geven tot jouw computer-systemen?” Een wachtwoord geven is i.i.g. niet goed; maar of je verder mee moet werken (laten zien welke software er is geïnstalleerd zoals via het configuratiescherm of de map Program Files), is toch nog steeds een beetje een vraag voor mij. Als ik Arnoud goed begrijp, hoef je niet persé mee te werken… tenzij ze een huiszoekingsbevel hebben?
Nee, medewerking is niet noodzakelijk, maar weet de medewerker die de deur voor de BSA opendoet dit wel? Feit is dat in 99% van alle situaties, de gebruiker de meest zwakke schakel is. Malware installeert zich omdat b.v. mensen op een foute link klikken. Spyware installeert zich doordat mensen b.v. een spel illegaal downloaden, waarbij de hacker van dat spel extra spyware heeft ingebouwd. Er zijn mensen die veel geld verliezen doordat hun pinpas wordt gejat en een half uur later belt “een medewerker van de bank” die vraagt of de persoon een pas met nummer xxxxxxx is verloren. Zo ja, dan willen ze even controleren of de pas inderdaad van jou is en daarvoor hebben ze je pincode nodig. xxxx? Ja, prima. De pas werkt en U kunt hem op komen halen bij filiaal xxx. (En ondertussen is je bankrekening leeg geplunderd…) En een bedrijf binnenkomen? Heb wel eens gezien dat iemand met een dwijl in de ene hand en een volle emmer sop in de andere hand kwam aanlopen bij de voordeur van een bedrijf, waar je alleen met pinpas binnenkwam. Even iemand die naar binnen wil vriendelijk vragen of ze de deur kunnen openhouden zodat de schoonmaak-spullen mee naar binnen konden en poef! Toegangs-controle was omzeild! Nee, binnenkomen in een bedrijf hoeft geen groot probleem te zijn voor de BSA. En als ze zo bewijs weten te verzamelen dan is er een grote kans dat het wordt toegelaten in een rechtzaak, zelfs indien deze op illegale wijze is verkregen. Alleen justitie en politie moeten zich aan de wet houden als het gaat om het verzamelen van bewijs. Ieder ander kmag dit ook illegaal doen, maar krijgt dan wel straf voor de illegale handelingen.
“Malware installeert zich omdat b.v. mensen op een foute link klikken. Spyware installeert zich doordat mensen b.v. een spel illegaal downloaden, waarbij de hacker van dat spel extra spyware heeft ingebouwd” Maar het is wel jammer (en m.i. ook grotendeels overbodig) dat het OS dat allemaal zomaar toelaat. Maar goed, da’s een andere discussie :).
Ehm, zie dit artikel. Andere besturings-systemen worden momenteel ook steeds vaker het slachtoffer van malware. Of dit artikel waarin gesproken wordt over een half miljoen geinfecteerde Apple OS-X computers, dankzij een kwetsbaarheid in de Java software. De enige relatie tussen de hoeveelheid malware en een besturings-systeem is de populariteit ervan. Populairdere besturings-systemen trekken ook veel meer malware aan. Ook de iPad is steeds kwetsbaarder aan het worden. En de belangrijkste reden waarom Linux nog weinig malware aantrekt is omdat Linux niet echt populair is voor op de desktop. Maar de Apache web server software is ook regelmatig doelwit van hackers. Er is zelfs malware die zich richt op meerdere besturings-systemen door via Java-code het besturings-systeem te bepalen om zo de meest toepasselijke malware voor dat systeem te downloaden. Alleen, Linux wordt relatief weinig gebruikt en trekt dus ook relatief weinig malware aan. In principe is Linux nu nog veilig genoeg en zal dat vast nog wel een tijdje blijven.
En dat betekent dus ook dat als je eigen device geen Windows maar iets anders gebruikt, je dus nog steeds kwaadaardige malware het bedrijfsnetwerk binnen kunt brengen. Daarnaast kun je b.v. op Linux een virtuele Windows-machine gebruiken of gebruik maken van WINE om daarmee Windows-applicaties te gebruiken. Dus ook applicaties waar je een licentie voor moet kopen. En voor OS-X, de iPad en Android zijn er gewoon massaal commerciele applicaties te koop via de App-stores.
Maar goed, op dit moment geeft het gebruik van een ander besturings-systeem dan Windows de illusie van veiligheid maar dat kan in de toekomst veranderen…
Dat is appels met peren vergelijken.
De appel is in dit geval de spyware/malware die zich installeert doordat de gebruiker op een verkeerde link klikt, cracks downloaden, etcetera. Dus effectief gebruikers die via social engineering overgehaald worden om het verkeerde stukje software uit te voeren.
De peer in dit geval is een lek in het besturingssysteem zelf, waardoor een virus/worm zich zonder tussenkomst van de gebruiker kan installeren op het systeem, en daar vervolgens malafide dingen kan ondernemen.
Het is evident dat gebruikers die dagelijks als administrator/root ingelogd zijn, veel meer last zullen hebben van die rotte appels. Als je geen admin/root bent, kun je sowieso al niks installeren. Met andere woorden: Windows is veel gevoeliger voor rotte appels.
Waar jij het over hebt zijn de rotte peren, terwijl je reageert op iemand die het duidelijk over rotte appels hebt. Is dus geen vergelijking.
Dat valt best wel mee met die appels en peren. Op de vele tablets zijn de meeste gebruikers ook ingelogd met administrator-rechten. Daarnaast zijn bij de iPad en Android tablets veel malware applicaties “vermomd” als handige tools en is de kwaadaardige code verborgen achter ongevaarlijk uitziende apps. Bij Apple’s OS-X zouden gebruikers inderdaad niet als administrators ingelogd moeten zijn, net als onder Linux, maar het blijkt dat OS-X desondanks nog veel kwetsbaarheden kent die misbruikt kunnen worden door malafide software. De tijd dat je op OS-X zonder virusscanner kunt werken is ondertussen ook al voorbij, hoewel het aantal virussen voor OS-X nog steeds ver onder dat van Microsoft ligt. En je vergeet dat je onder Windows ook gewoon als standaard gebruiker aktief kunt zijn, waarbij er een popup komt zodra er een administratieve handeling nodig is. Dit betekent dat iemand die Windows correct gebruikt ook eigenlijk niet veel last van malware zou moeten hebben, tenzij deze malware zich zonder administrator-rechten weet te installeren. Het excuus dat Windows onveilig is omdat de gebruiker een Admin is, is allang niet meer van toepassing. (Want ook onder Unix kan een gebruiker dom genoeg zijn om als root te werken.
“Ehm, zie dit artikel. Andere besturings-systemen worden momenteel ook steeds vaker het slachtoffer van malware. ” Andere dan welke? Ik heb helemaal geen besturingssysteem genoemd ;).
” De enige relatie tussen de hoeveelheid malware en een besturings-systeem is de populariteit ervan. ” Dan zouden ontwerpverschillen in het OS geen verschil maken. Dat is natuurlijk onjuist. Maar gezien het gigantische grote aantal lekken in het meest gebruikte OS, is ’t allesbehalve vreemd dat men het verwacht dat elke PC die problemen in ongeveer dezelfde mate heeft. Wat pertinent onjuist is.
“Dit betekent dat iemand die Windows correct gebruikt ook eigenlijk niet veel last van malware zou moeten hebben” Dat betekent ’t nu net niet; juist omdat er zoveel veiligheidsgaten in Windows zelf zitten. Heel veel malware draait ook prima met alleen gebruikers-rechten onder Windows. Dat moet ik bij Linux nog zien.
Android is ook een Linux variant en daarop is malware wel degelijk populair en groeit die malware ook hard
Het ontwerp van Windows 95/98/ME stond erom bekend dat deze vol beveiligings-gaten zat, maar deze besturings-systemen waren eigenlijk ook nooit bedoeld geweest om deel te nemen aan netwerken. Microsoft heeft op dat punt het gehele Internet deels genegeerd. Bij Windows NT en 2000 waren er al enige verbeteringen maar ook hier was Microsoft eigenlijk te kortzichtig als het om beveiliging ging. Dat werd iets beter nadat Windows XP op de markt kwam en vanaf Windows Vista is de beveiliging van Windows al een stuk beter. Hoe je dat kunt zien is door de veranderende aanvals-vectoren van diverse malware. Daar waar eerst vooral het besturings-systeem werd aangevallen ligt de focus nu op kwetsbaarheden in specifieke applicaties en toepassingen. Zo blijkt de Adobe Acrobat software nog vrij kwetsbaar, zijn bepaalde third-party device drivers kwetsbaar en is ook Java redelijk kwetsbaar. Voor een besturings-systeem is het onmogelijk als kwaadaardige software via kwetsbaarheden in third-party software binnenkomt. Je zou dan via een centrale App-store dergelijke kwetsbare applicaties kunnen blokkeren tot de maker ervan de software heeft verbeterd, waarna diezelfde App store meteen updates uitrolt naar de gebruikers. En dat zie je momenteel al gebeuren bij Apple en Android en vanaf Windows 8 dus ook bij Microsoft. Kennelijk zijn het producenten van third-party toepassingen die zich minder druk maken om beveiliging.
Een ander probleem met malware is natuurlijk dat veel personen software vanuit illegale bronnen downloaden in plaats van dat deze via de officiele kanalen wordt gekocht. Het gaat hierbij vooral om spellen voor de PC, maar ook illegale versies van ontwikkel-tools en Office software. Er zijn zelfs bedrijven die Windows software op de markt aanbieden maar deze bewust besmetten met malware om hun gebruikers te kunnen bespioneren. En ik moet nog steeds terugdenken aan de Sony rootkit, die op veel CD’s van Sony werd geplaatst in een poging het illegaal kopieren van CD’s te blokkeren, maar waarin zulke grote kwetsbaarheden zaten zodat deze meteen als malware bestempeld kon worden. De schuld zit dus niet alleen in het besturings-systeem maar ook in de thiord-party software en vooral ook bij de gebruiker, die onbetrouwbare bronnen opzoekt voor software en ander materiaal.
Hoe ziet het met het volgende, wie is er verantwoordelijk voor schade aan het BYOD apparaat? Stel de werknemer laat onder werktijd zijn Iphone vallen terwijl hij een zakelijke mail aan het lezen/zenden is. Wie draait dan voor de schade op aan dit apparaat de werkgever of werknemer zelf?
Lijkt mij vergelijkbaar met als je jas op je werk wordt gestolen… Je werkplek levert dan schade op. Alleen kan de werkgever dit vervolgens weer proberen te verhalen op de medewerker die de schade heeft veroorzaakt. Het zal dan ook verschil uitmaken of jij de iPhone liet vallen, of jouw collega…
Het is zinvol voor een BYOD bedrijf omdat met een bedrijfsverzekering op te lossen of met een (belastingvrije) vergoeding aan de medewerker voor de verzekering van het device.
Ik liet mijn BYOD apparaat vallen terwijl ik bezig was zakelijke mail te lezen/schrijven. Draai ik dan op voor de vervangingskosten of de werkgever?
Als je het apparaat voor je werk nodig hebt zal je werkgever een vervangend toestel beschikbaar moeten stellen, anders kun je je werk niet meer doen. Maar dat blijft dan eigendom van je werkgever. Natuurlijk kun je zelf weer een nieuw apparaat kopen zodat je dit bruikleen-apparaat weer terug kunt geven. Het kan ook zijn dat je het apparaat niet nodig hebt om te functioneren. Okay, je kan dan misschien niet thuiswerken dus zul je naar de zaak moeten komen. Dat is aan je werkgever om te beoordelen. Maar BYOD is bedoeld voor werknemers die niet twee telefoons of twee laptops willen meeslepen naar waar ze maar heen gaan. Het is in je eigen voordeel dus je eigen verantwoordelijkheid om vervanging te regelen indien je werkgever je geen bruikleen-apparaat geeft.
Waar je die nieuwe telefoon weer van betaalt hangt weer af van hoe en wanneer de schade is ontstaan. Mogelijk kun je de schade verhalen op je werkgever of een collega die hem heeft laten vallen. Misschien dekt je eigen verzekering de schade. Maar daar gaat het even niet om. Het gaat erom wie voor een vervangend toestel moet zorgen, en die vraag is alleen van belang indien dat toestel voor je werk van belang is.
Dank voor de toelichting.
Aansluitend aan de vraag van Robert hierboven zou ik willen weten of de werkgever mij kan verplichten mijn eigen verzekering aan te spreken als ik schade heb aan het door het bedrijf verstrekte device. Het scherm van m’n tablet is ergens tegenaan gestoten (ja het was mijn eigen schuld) en moet nu gerepareerd worden. Het bedrijf heeft hiervoor geen verzekering en heeft aangegeven dat ik de kosten bij m’n eigen verzekering moet indienen. Is dit gebruikelijk? In de gebruikersovereenkomst zijn hierover geen afspraken gemaakt. Kan een werkgever dit ook “eisen” bij schade aan een laptop of een mobieltje.
Tenzij er sprake is van opzet of grove nalatigheid, denk ik van niet. Als je al een verzekering hebt gaat deze hoogstwaarschijnlijk niets betalen. Tenzij het bedrijf jou dit apparaat cadeau heeft gedaan en het is nu jouw eigendom, maar dan hebben ze weer niets te eisen. Tenzij jij contractueel verplicht bent om een of ander mobiel apparaat te hebben om je werkzaamheden op uit te voeren, maar ik weet niet of dat mag.
Geen afspraken, dus tijdens werktijd zijn dergelijke ongelukken het risico van je werkgever. Heb je het apparaat mee naar huis genomen en is het in je vrije tijd beschadigd dan kun je wel aansprakelijk gesteld worden. Maar denk ook even na over hoe je relatie met je werkgever is. Als je goed bent verzekert en de schade declareren bij je eigen verzekering heeft geen verdere gevolgen voor jou, financieel gezien, waarom dan niet? Is je werkgever blij en jij wordt er niet slechter van. Daarbij kan het zijn dat je verzekering namens jou je werkgever in duidelijke woorden zal vertellen dat deze schade voor rekening van de werkgever zijn, en zij dus niet betalen. Het kan dus geen kwaad om het duidelijk aan je verzekering voor te leggen. Dan mogen zij het uiteindelijk bepalen en grote kans dat ze hun middelvinger naar je werkgever uitsteken. Maar de relatie tussen jou en je werkgever heeft dan wel de minste spanning.
Maar goed, je kunt het proberen bij je verzekering natuurlijk. Je hebt dan wel weer kans dat als de verzekering niet betaalt, je werkgever jou voor de kosten laat opdraaien. Je eigen verzekering inschakelen zie ik namelijk als een soort schuldbekentenis. Spreek anders van tevoren met je werkgever af wat er gebeurt als de verzekering niet wil betalen.
De vraag is dan ook of de werkgever in dat geval nalatigheid verweten kan worden indien een van zijn kinderen de laptop laat vallen. Of als hij hem in de auto laat liggen en hij wordt gejat. Of hij werkt thuis en gooit per ongeluk een glas wijn erover.
Overigens is het inschakelen van een verzekering nog geen schuldbekentenis. Je doet dit namelijk voor juridisch advies en de verzekering zorgt er dan voor dat alles netjes wordt afgehandeld. Verzekeringen zijn sowieso niet makkelijk met uitbetalen dus de kans bestaat dat de verzekering gewoon een nette brief in het Juridisch naar de werkgever stuurt die uiteindelijk op een dikke middelvinger neerkomt. Hoe de werkgever daarop reageert zie je dan wel maar hij kan de schade dan niet meer bij jou claimen omdat de verzekering hem heeft uitgelegd waarom dat zo is.
Ofwel, probeer dit soort kwesties naar de professionals door te schuiven. 🙂
Huh? Als een verzekering niet betaald, betekend het NIET, dat je niet aansprakelijk bent, alleen dat de verzekering het niet dekt. Wat nou, als de betreffende medewerker geen WA of inboedelverzekering heeft? Het afsluiten van zo’n verzekering is niet verplicht in Nederland hoor! Zou wel mooi zijn, als je roept : Mijn verzekering betaald niet, dus ik ben niet aanprakelijk. Integendeel. Als ik met voetballen de ruit van mijn buurman intrap, ben ik aansprakelijk, ongeacht of ik een aansprakelijkheidsverzekering heb, of mijn buurman een glasverzekering.
Hmm, ik snap wat je bedoelt. Maar eigenlijk vraagt die werkgever gewoon aan jou om met de poen op de proppen te komen. Of je dat nou doet door een verzekering in te schakelen of niet, eigenlijk zegt die werkgever gewoon dat jij aansprakelijk bent. Punt. En mijn reactie is dan, eerst maar eens zien of ik echt aansprakelijk ben, en als we eruit zijn dat ik moet betalen, dan schakel ik mijn verzekering wel in. Maar het hele zaakje riekt. Die werkgever moet gewoon verzekerd zijn. Ik neem aan dat ze nog meer inboedel hebben, of zitten ze daar in een kale kamer op sinaasappelkistjes hun werknemers apparaten uit te delen waar ze hun werk op moeten doen? En als je als werkgever niet verzekerd bent, en er gaat iets stuk, dan draag je als werkgever dat risico. Tenzij er grove nalatigheid of opzet in het spel is. Als mijn baas zegt “hiero heb je een zak diamanten, jouw werk is om er thuis naar te kijken, maar als ze zoekraken moet je dokken” dan zeg ik “dank u de koekoek”. Ik vraag me ook af of Koppiekoppie ermee akkoord was gegaan als hij van tevoren had geweten dat hij aansprakelijk was voor eventuele schade. Ik niet iig.
Het gaat mij er meer om dat dit mobiele apparaten zijn die bedoeld zijn om ergens anders dan op de werkplek te gebruiken. De tablet is zelfs uitgegeven omdat er voor die werkzaamheden geen werkplek beschikbaar is, thuiswerken of mobiel (in de auto of bij een client thuis) werken is dan ook een must. De tablet “op de zaak” laten liggen is geen optie. Met het nieuwe werken wordt er niet meer tussen 900-1700 uur gewerkt, vaststellen dat schade in werk- of privetijd gebeurt is lastig, als je nu.nl aan het lezen bent op de tablet van de baas, is dat dan privetijd en als je tijdens het tv kijken nog even wat mail beantwoord op de tablet is dat dan werktijd? Ik vroeg mij af of er jurisprudentie op dit vlak is of dat het een kwestie is van er samen uitkomen.
Schade aan een apparaat dat door de baas is verstrekt aan jou zodat je buiten je werk-plek of tijd nog kunt werken is in principe voor de baas. (m.u.v. opzet en grove nalatigheid.) Wanneer je het apparaat leent (of “leent”) voor niet-werkgerelateerd gebruik heeft de baas wel een grond om schadevergoeding te vragen.
Variant op het thema. Werknemer heeft thuiswerkregeling en daarvoor een laptop ter beschikking gekregen (in de e-werk regeling staat bepaling dat werkgever een laptop ter beschikking stelt). Bij vervanging IT zijn desktops aangeschaft. Werknemer heeft gewezen op de laptop voor thuiswerk maar daarvoor zou eigen computer/laptop in vervolg moeten worden gebruikt. Werknemer is daarmee op praktische gronden akkoord. Echter (incidenteel) wordt op locatie gewerkt (tijdens congressen bijvoorbeeld), ook in het buitenland. Kan de werkgever eisen dat de werknemer hiervoor ook zijn privé computer inzet? Collega’s uit de kleine organisatie hebben hier overigens (in het verleden) geen moeite mee, zodat deze werknemer in dat opzicht alleen staat.
Een beetje bedrijf heeft “leen-laptops” die werknemers kunnen gebruiken wanneer ze bij klanten op bezoek gaan. Anders neem ik mijn netbook met grote Debian stikker mee!
Dit bedrijf heeft dus geen leen-laptops (nou ja, met XP erop)
De vraag is niet of de werkgever de werknemer hiertoe kan dwingen maar of de werkgever een extra laptop beschikbaar moet stellen. Het lijkt mij sowieso lastig om een presentatie te geven zonder laptop, dus als werknemer moet je enigszins creatief een oplossing vinden. Leen-laptops voor dergelijke zaken zijn lastig omdat men misschien een beperkt aantal beschikbaar heeft waarvan mogelijk de batterij niet meer werkt en waar een oud besturings-systeem op staat. Onderhoud ervan zal ook lange tijd niet zijn gebeurd, simpelweg omdat het bedrijf wel belangrijkere dingen te doen heeft dan oude hardware onderhouden. Maar goed, als die oude hardware er is dan heb je als werknemer dus wel een alternatief. Vast niet ideaal maar het werkt, en dat is waar het bij een presentatie om gaat. En ja, XP erop? Zolang de laptop niet het Internet op gaat is er geen risico. Ga je er wel mee internetten dan moet je eigenlijk alleen veilige sites bezoeken en liever nog zo min mogelijk het Internet op gaan. Maar je kunt zo’n systeem nog prima gebruiken met PowerPoint of zo. Een andere optie is gewoon Windows op die laptop vervangen door een Linux distributie. Moet je wel durven en je moet ook kennis hebben van Linux maar dan heb je voor demo’s en presentaties nog steeds een prima systeem. Zeker als je web applicaties gaat demonstreren is het mooi als je deze kunt weergeven in een andere omgeving dan Internet Explorer! Als er met de oude laptops echt niets te beginnen valt dan moet je als werknemer een andere, creatieve oplossing bedenken. Je kunt een aanvraag indienen voor een nieuwe laptop voor deze doeleinden maar als de werkgever dit afkeurt dan wordt het lastig. Je eigen laptop alsnog gebruiken kan dan extra respect opleveren bij je baas. De presentatie dan maar niet geven of door een ander laten doen zal hij niet op prijs stellen. De werkgever hoeft dus helemaal niet te eisen dat je je eigen laptop gebruikt. Maar als hij geen alternatief biedt dan moet je als werknemer daar een oplossing voor bedenken. Als je dat kunt dan levert dat bonuspunten. 🙂
De werkgever is verantwoordelijk voor de ‘gereedschappen’ waarmee het werk moet worden vervuld. Men kan dus niet eisen dat de privélaptop wordt ingezet voor werk, men kan dat hooguit toestaan (of verbieden) als de werknemer vraagt of het mag.
Als er een lopende regeling is dat de werknemer de privélaptop mag gebruiken voor werk en daarom er geen werklaptop voor hem is, dan lijkt het me redelijk dat de privélaptop nu ook naar werk op locatie mee gaat. Behoudens bijzondere omstandigheden zoals vergrote kans op breuk of diefstal.
Die bijzondere omstandigheden zijn niet zo heel bijzonder. Ik kan me heel goed voorstellen dat je een prima regeling hebt met je werkgever dat je thuis mag werken met je eigen PC of laptop, maar dat je niet graag je eigen laptop (of leuker, je desktop, ze zien je al aankomen) meeneemt naar een congres of een klant (op vreemde netwerken, krioelend met virussen). Er wordt ook specifiek over een thuiswerkregeling gesproken, en daar vallen IMO alle andere plekken dan thuis buiten. De leen-laptop met Windows XP lijkt me de enige optie (al zou ik mijn werkgever proberen te overtuigen een ander OS te installeren).