Mag mijn werkgever toegang eisen tot mijn BYOD telefoon?

| AE 8909 | Ondernemingsvrijheid | 29 reacties

telefoon-smartphone-kinderen-schoolEen lezer vroeg me:

Ons bedrijf heeft onlangs een Bring-Your-Own-Device beleid uitgerold waarbij je je eigen smartphone mag gebruiken voor werkzaken. Daarin vielen me twee dingen op. Allereerst moet ik een stukje software installeren waarmee men op afstand de telefoon kan overnemen en wissen. En ten tweede ben ik verplicht de telefoon af te geven als het bedrijf dat nodig acht in het kader van een rechtszaak. Kunnen ze dat zo eisen?

Dat wissen op afstand zie ik vaker bij BYOD policies (beleiden? beleids?). Het idee is dat als er bedrijfsdata op zo’n telefoon staat, en die telefoon gestolen of verloren raakt, de werkgever de schade kan beperken door de inhoud te wissen. Op zich logisch, en bij een zakelijke telefoon niet meer dan normaal denk ik. Maar bij een BYOD telefoon raakt dat natuurlijk óók privédata van de werknemer.

Het afgeven van de telefoon is een stukje conservatisme volgens mij. In met name de VS is het een ding dat je bij rechtszaken een discovery-procedure kunt krijgen, waarbij alle relevante documenten moeten worden afgegeven aan de wederpartij. Dat omvat ook elektronische documenten, dus dat kunnen ook bestanden op een BYOD-telefoon zijn.

In principe zullen die bestanden kopieën bevatten van gegevens van bedrijfsservers zijn, het hele punt is natuurlijk dat je dingen daar downloadt en gebruikt. Maar het is niet uit te sluiten dat er data op maar één plek staat (die telefoon), en dan moet de inhoud van die telefoon worden afgegeven. Dus dan komt er een stukje in het beleid dat je daaraan moet meewerken.

Daarnaast is er natuurlijk de mogelijkheid dat Justitie of een toezichthouder inzage eist in bedrijfsdata, en ook dan geldt dat die inzage er moet komen. Ook als dat bij een medewerker thuis ligt. Je hebt dan een medewerkingsplicht. Bij een fysiek dossier zal niemand dat gek vinden, die doos moet dan naar kantoor. Maar bij een BYOD telefoon voelt het ineens een stuk complexer.

Wat is dat toch, dat dingen ineens moeilijker zijn omdat er ICT in zit? Waarom is inzage in een fysiek dossier thuis niet gek en inzage in een telefoon wel?

Arnoud

Deel dit artikel

  1. Als justitie bij een medewerker een huiszoeking doet zullen ze waarschijnlijk alleen die zaken meenemen die voor het onderzoek belangrijk zijn, het genoemde dossier. Het fotoalbum laten ze met rust. Als ze die telefoon meenemen krijgen ze de beschikking over heel veel zeer persoonlijke informatie.

    Bovendien staan op veel telefoons auteursrecht schendende mp3’s. Waarschijnlijk niet iets wat je aan justitie wil geven.

  2. Ik vind de vergelijking met een papier dossier niet opgaan. Het is meer als thuiswerken en je werkgever eist vervolgens de mogelijkheid om op willekeurige momenten een huisbezoek te kunnen doen en zelfs je huis te kunnen doorzoeken. En daarbij misschien niet eens expliciet beperkt tot je werkkamer.

    En ze mogen je huis in de fik steken 🙂

  3. Voor mij reden om twee telefoons bij me te hebben: privé en zakelijk. Het pakket wat wij op kantoor gebruiken voor mobiele e-mail kan overigens keurig het onderscheid maken tussen zichzelf en de rest van de telefoon, maar het voelt gewoon niet goed. Tevens is het dataverkeer van dusdanige aard dat een behoorlijke hap uit de bundel pakt, waar je dan geen vergoeding oid voor krijgt. Ergo: een werktelefoon die alleen voor werk wordt gebruikt en privé een andere (meer krachtige) telefoon voor eigen zaken en apps.

    Is bij uit dienst gaan ook een stuk makkelijker: gewoon die werktelefoon inleveren en dat was het dan.

  4. Lijkt me nogal een problematische manier van werken, waar ik als werknemer niet akkoord mee zou gaan.

    Is het niet mogelijk om tegen je werkgever te zeggen “leuk idee hoor, dat BYOD, maar koop jij maar zo’n ding voor mij”? Bij normaal werknemerschap moet de werkgever toch gereedschap en andere werk-middelen aanschaffen? Dan kan je best twee telefoons hebben: een privé-telefoon en een werk-telefoon. Van de werk-telefoon mag de werkgever dan alles eisen wat ‘ie wil op gebied van software, inzage van data, inleveren en dergelijke. De privé-telefoon blijft buiten schot.

    Bijkomend voordeel is dat de werk-telefoon gewoon in de la op het werk kan blijven als je naar huis gaat of op vakantie gaat. Misschien vindt de werkgever dat niet leuk, maar normaal gesproken vind ik dat de werkgever dat gewoon zou moeten accepteren. Bij beroepen waarbij je vanwege noodsituaties altijd oproepbaar moet zijn moet de werkgever maar regelen dat er vervangend personeel is; dat is sowieso aan te raden voor de continuïteit van de bedrijfsvoering.

  5. Ik vind dit ronduit belachelijk. Bring your own device, en vervolgens wil de werkgever dat device kunnen behandelen alsof het van de werkgever is. Als het mijn apparaat (telefoon, laptop) is, kan mijn werkgever wel van mij verlangen dat ik er voor zorg dat de bedrijfsdata die erop staan goed beschermd zijn en dat ik daarom ook zorgvuldig met het apparaat omga, maar niet om daar vervolgens onbeperkt over te beschikken. Dan zorgt mijn werkgever maar voor een apparaat “van de zaak”.

    Om de vergelijking met fysieke dossiers door te trekken, alsof je een dossier thuis in jouw kluis legt, maar je werkgever de mogelijkheid biedt om op afstand de gehele inhoud van die kluis te vernietigen. Of dat er een valluik onder zit, waardoor de kluis op een transportband kan vallen die ‘m linea recta naar mijn werkgever vervoert, waarbij mijn werkgever ook de code van de kluis nog kent. Natuurlijk verandert het verhaal als Justitie of een toezichthouder inzicht eist, maar ook dan lijkt het mij, zeker in eerste instantie, voldoende om het dossier (de file) aan te leveren, en niet je gehele kluis — of apparaat.

  6. Dit moet toch op te lossen zijn met twee profielen oop je telefoon aan te maken? Ik zou nooit de toestemming geven aan het bedrijf om zonder mijn explicitiete toestemming mijn telefoon over te nemen of een factory reset te doen. Enkel als je het recht hebt om neen te zeggen tegen de helpdesk of IT-boys.

    Als je bedrijf het zo belangrijk vindt om geheimzinnig te kunnen doen en hun data te beveiligen maar jouw data e n recht op privacy niet respecteert, dat ze dan maar een telefoon kopen. Dat ze dan een basis model kopen, die zijn tegenwoordig zeker goed genoeg voor de meeste professionele use cases.

  7. Wat stelt die factory reset nu eigenlijk voor? Een bekende van me had een toestel dat hij na uitdiensttreding moest laten resetten (en daarvoor speciaal bij IT langs moest komen). Vervolgens dat hele riedeltje doorlopen, handtekening gezet, en bij thuiskomst wordt de backup uit de cloud weer terug gezet en kun je weer verder werken op je eigen device. Natuurlijk waren de mailwachtwoorden wel uitgezet, maar zonder dat je OOK de backups (al dan niet lokaal gemaakt) als werkgever gaat wissen, is dit beleid toch een wassen neus?

  8. Ik vergelijk het even met Bring-Your-Own-Car waarbij een werknemer geen lease-auto heeft maar gewoon met zijn eigen auto naar de zaak gaat. Zeker als je diezelfde auto ook namens je werk gebruikt voor het bezoeken van klanten. Hoeveel aanspraak kunnen werkgevers vervolgens maken op de auto?

    En hoe zit het eigenlijk met Freelance medewerkers, die vaak hun eigen mobiel en laptop gebruiken bij hun werk? Welke eisen kan een opdrachtgever dan opleggen?

  9. Elke telefoon (Apple/Android) waar Exchange email op geïnstalleerd wordt, of het nou via de standaard mail app of via de Outlook app is, kan door een beheerder met een druk op de knop op afstand volledig naar factory default worden terug gezet. Het terugzetten van de backup is dan wel mogelijk, maar zodra de email weer gaat syncen dan gebeurd hetzelfde weer opnieuw, de enige optie is mail gelijk deinstalleren voordat je online bent. Wij hebben in de personeels reglementen laten opnemen, dat wij bij het recht hebben bij misbruik de telefoon te wissen. De andere keuze is om geen mail te installeren of om web mail te gebruiken, het blijft dus de keuze van de medewerker.

    • Complicerende factor: dit gaat niet alleen om e-mail. Dit speelt ook als je alleen maar je eigen agenda met de Outlookgegevens bijgewerkt wil zien. Daarbij is het organisatierisico op datalekken, privacyincidenten, uitlekken van bedrijfsgeheimen etc. kleiner. Tegelijkertijd is bij agendatoepassingen de verwevenheid van zakelijk met, of de invloed van zakelijk op, privé nog groter.

  10. Eigenlijk zouden ze daarvoor BlackBerry 10-telefoons moeten gebruiken i.c.m. BES. Dan heeft de eindgebruiker namelijk 2 ‘ruimten’ op de telefoon: 1 persoonlijke en 1 zakelijke. Een BES-admin kan dan, indien nodig, de zakelijke ruimte wissen zonder dat de persoonlijke ruimte wordt aangetast. BES kan zelfs zo worden ingesteld dat de zakelijke ruimte op de telefoon alleen te gebruiken is op bepaalde locaties, bijv. alleen als je in het gebouw bent waar je werkt. Niet om reclame te maken ofzo, maar dat zou het probleem in kwestie wél oplossen. De werkgever kan dan immers niet bij je persoonlijke gegevens terwijl de zakelijke gegevens op enig moment met één klik op afstand kunnen worden gewist.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS