Mag mijn werkgever toegang eisen tot mijn BYOD telefoon?

telefoon-smartphone-kinderen-schoolEen lezer vroeg me:

Ons bedrijf heeft onlangs een Bring-Your-Own-Device beleid uitgerold waarbij je je eigen smartphone mag gebruiken voor werkzaken. Daarin vielen me twee dingen op. Allereerst moet ik een stukje software installeren waarmee men op afstand de telefoon kan overnemen en wissen. En ten tweede ben ik verplicht de telefoon af te geven als het bedrijf dat nodig acht in het kader van een rechtszaak. Kunnen ze dat zo eisen?

Dat wissen op afstand zie ik vaker bij BYOD policies (beleiden? beleids?). Het idee is dat als er bedrijfsdata op zo’n telefoon staat, en die telefoon gestolen of verloren raakt, de werkgever de schade kan beperken door de inhoud te wissen. Op zich logisch, en bij een zakelijke telefoon niet meer dan normaal denk ik. Maar bij een BYOD telefoon raakt dat natuurlijk óók privédata van de werknemer.

Het afgeven van de telefoon is een stukje conservatisme volgens mij. In met name de VS is het een ding dat je bij rechtszaken een discovery-procedure kunt krijgen, waarbij alle relevante documenten moeten worden afgegeven aan de wederpartij. Dat omvat ook elektronische documenten, dus dat kunnen ook bestanden op een BYOD-telefoon zijn.

In principe zullen die bestanden kopieën bevatten van gegevens van bedrijfsservers zijn, het hele punt is natuurlijk dat je dingen daar downloadt en gebruikt. Maar het is niet uit te sluiten dat er data op maar één plek staat (die telefoon), en dan moet de inhoud van die telefoon worden afgegeven. Dus dan komt er een stukje in het beleid dat je daaraan moet meewerken.

Daarnaast is er natuurlijk de mogelijkheid dat Justitie of een toezichthouder inzage eist in bedrijfsdata, en ook dan geldt dat die inzage er moet komen. Ook als dat bij een medewerker thuis ligt. Je hebt dan een medewerkingsplicht. Bij een fysiek dossier zal niemand dat gek vinden, die doos moet dan naar kantoor. Maar bij een BYOD telefoon voelt het ineens een stuk complexer.

Wat is dat toch, dat dingen ineens moeilijker zijn omdat er ICT in zit? Waarom is inzage in een fysiek dossier thuis niet gek en inzage in een telefoon wel?

Arnoud

29 reacties

  1. Bij een papieren dossier kan heel makkelijk alleen dat ene dossier gepakt worden. Bij inzage in je telefoon pakken ze gelijk al je prive data. Die sollicitatie die je net verstuurd hebt, of die website die je wel bezoekt, maar niet over vertelt tijdens de lunchpauze.

        1. Als jij een papieren dossier hebt en je krabbelt op wat blaadjes ook persoonlijke notities, dan zullen ze dat toch echt gewoon meenemen.

          Maar ik heb geen idee hoe dat in de praktijk gaat. Op TV wordt bij zo’n huiszoeking het hele huis ondersteboven gekeerd en zijn ze met 6 agenten alles aan het inspecteren. Lijkt me niet helemaal werkbaar.

          1. Het hangt een beetje af van het belang van de zaak en hoe zwaar ze jouw rol inschatten. Bij een ‘gewoon’ onderzoek naar bijvoorbeeld belastingontduiking zullen werknemers niemand aan de deur krijgen. Misschien de boekhouder. Maar als jij directeur bent en verdacht wordt van bijvoorbeeld levering van wapentechnologie aan Iran, dan zie ik ze wel een shovel meenemen voor in de achtertuin zeg maar.

            Is het niet ook zo bij veel bedrijven dat er van papieren dossiers een paper trail is wie die heeft? Dan kun je als werkgever gewoon zeggen, Piet jij hebt dossier X, morgen meenemen want dan gaat de FIOD erin kijken.

        1. Helemaal duidelijk wordt het bij gebruik van “beleidsregel” wat aangeeft dat er over het te voeren beleid een beslissing is genomen en die vervolgens in een document is vastgelegd. Bij de overheid zijn daaraan ook vormvereisten verbonden.

  2. Als justitie bij een medewerker een huiszoeking doet zullen ze waarschijnlijk alleen die zaken meenemen die voor het onderzoek belangrijk zijn, het genoemde dossier. Het fotoalbum laten ze met rust. Als ze die telefoon meenemen krijgen ze de beschikking over heel veel zeer persoonlijke informatie.

    Bovendien staan op veel telefoons auteursrecht schendende mp3’s. Waarschijnlijk niet iets wat je aan justitie wil geven.

  3. Ik vind de vergelijking met een papier dossier niet opgaan. Het is meer als thuiswerken en je werkgever eist vervolgens de mogelijkheid om op willekeurige momenten een huisbezoek te kunnen doen en zelfs je huis te kunnen doorzoeken. En daarbij misschien niet eens expliciet beperkt tot je werkkamer.

    En ze mogen je huis in de fik steken 🙂

  4. Voor mij reden om twee telefoons bij me te hebben: privé en zakelijk. Het pakket wat wij op kantoor gebruiken voor mobiele e-mail kan overigens keurig het onderscheid maken tussen zichzelf en de rest van de telefoon, maar het voelt gewoon niet goed. Tevens is het dataverkeer van dusdanige aard dat een behoorlijke hap uit de bundel pakt, waar je dan geen vergoeding oid voor krijgt. Ergo: een werktelefoon die alleen voor werk wordt gebruikt en privé een andere (meer krachtige) telefoon voor eigen zaken en apps.

    Is bij uit dienst gaan ook een stuk makkelijker: gewoon die werktelefoon inleveren en dat was het dan.

  5. Lijkt me nogal een problematische manier van werken, waar ik als werknemer niet akkoord mee zou gaan.

    Is het niet mogelijk om tegen je werkgever te zeggen “leuk idee hoor, dat BYOD, maar koop jij maar zo’n ding voor mij”? Bij normaal werknemerschap moet de werkgever toch gereedschap en andere werk-middelen aanschaffen? Dan kan je best twee telefoons hebben: een privé-telefoon en een werk-telefoon. Van de werk-telefoon mag de werkgever dan alles eisen wat ‘ie wil op gebied van software, inzage van data, inleveren en dergelijke. De privé-telefoon blijft buiten schot.

    Bijkomend voordeel is dat de werk-telefoon gewoon in de la op het werk kan blijven als je naar huis gaat of op vakantie gaat. Misschien vindt de werkgever dat niet leuk, maar normaal gesproken vind ik dat de werkgever dat gewoon zou moeten accepteren. Bij beroepen waarbij je vanwege noodsituaties altijd oproepbaar moet zijn moet de werkgever maar regelen dat er vervangend personeel is; dat is sowieso aan te raden voor de continuïteit van de bedrijfsvoering.

    1. BYOD komt ook vaak met een vergoeding voor de betreffende devices. Dus dan zou je in theorie toch gewoon voor die 50 euro telefoonvergoeding een abonnement met toestel kunnen afsluiten die je alleen voor werk gebruikt? Heb je nog steeds het probleem omzeild en blijft jouw privedata lekker prive.

  6. Ik vind dit ronduit belachelijk. Bring your own device, en vervolgens wil de werkgever dat device kunnen behandelen alsof het van de werkgever is. Als het mijn apparaat (telefoon, laptop) is, kan mijn werkgever wel van mij verlangen dat ik er voor zorg dat de bedrijfsdata die erop staan goed beschermd zijn en dat ik daarom ook zorgvuldig met het apparaat omga, maar niet om daar vervolgens onbeperkt over te beschikken. Dan zorgt mijn werkgever maar voor een apparaat “van de zaak”.

    Om de vergelijking met fysieke dossiers door te trekken, alsof je een dossier thuis in jouw kluis legt, maar je werkgever de mogelijkheid biedt om op afstand de gehele inhoud van die kluis te vernietigen. Of dat er een valluik onder zit, waardoor de kluis op een transportband kan vallen die ‘m linea recta naar mijn werkgever vervoert, waarbij mijn werkgever ook de code van de kluis nog kent. Natuurlijk verandert het verhaal als Justitie of een toezichthouder inzicht eist, maar ook dan lijkt het mij, zeker in eerste instantie, voldoende om het dossier (de file) aan te leveren, en niet je gehele kluis — of apparaat.

    1. Bij een kluis die je in je huis hebt geldt dit iets minder natuurlijk, het risico dat daar iets uit verdwijnt is niet heel groot. Dat ding blijft immers in je huis staan en het is ook nog eens lastig om dat zomaar mee te nemen. Anders wordt het als het een kluis zou zijn die in je auto zit. Of een beveiligd vak in je rugtas.

  7. Dit moet toch op te lossen zijn met twee profielen oop je telefoon aan te maken? Ik zou nooit de toestemming geven aan het bedrijf om zonder mijn explicitiete toestemming mijn telefoon over te nemen of een factory reset te doen. Enkel als je het recht hebt om neen te zeggen tegen de helpdesk of IT-boys.

    Als je bedrijf het zo belangrijk vindt om geheimzinnig te kunnen doen en hun data te beveiligen maar jouw data e n recht op privacy niet respecteert, dat ze dan maar een telefoon kopen. Dat ze dan een basis model kopen, die zijn tegenwoordig zeker goed genoeg voor de meeste professionele use cases.

      1. Dat is iets anders vind ik. Als het op vraag van de werknemer is, tja… De werknemer zegt dan eigenlijk ‘ik verkies het gemak van mijn eigen telefoon ondanks de voorwaarden’ . Als je echt de keuze hebt ,dan moet je niet mekkeren.

  8. Wat stelt die factory reset nu eigenlijk voor? Een bekende van me had een toestel dat hij na uitdiensttreding moest laten resetten (en daarvoor speciaal bij IT langs moest komen). Vervolgens dat hele riedeltje doorlopen, handtekening gezet, en bij thuiskomst wordt de backup uit de cloud weer terug gezet en kun je weer verder werken op je eigen device. Natuurlijk waren de mailwachtwoorden wel uitgezet, maar zonder dat je OOK de backups (al dan niet lokaal gemaakt) als werkgever gaat wissen, is dit beleid toch een wassen neus?

  9. Ik vergelijk het even met Bring-Your-Own-Car waarbij een werknemer geen lease-auto heeft maar gewoon met zijn eigen auto naar de zaak gaat. Zeker als je diezelfde auto ook namens je werk gebruikt voor het bezoeken van klanten. Hoeveel aanspraak kunnen werkgevers vervolgens maken op de auto?

    En hoe zit het eigenlijk met Freelance medewerkers, die vaak hun eigen mobiel en laptop gebruiken bij hun werk? Welke eisen kan een opdrachtgever dan opleggen?

  10. Elke telefoon (Apple/Android) waar Exchange email op geïnstalleerd wordt, of het nou via de standaard mail app of via de Outlook app is, kan door een beheerder met een druk op de knop op afstand volledig naar factory default worden terug gezet. Het terugzetten van de backup is dan wel mogelijk, maar zodra de email weer gaat syncen dan gebeurd hetzelfde weer opnieuw, de enige optie is mail gelijk deinstalleren voordat je online bent. Wij hebben in de personeels reglementen laten opnemen, dat wij bij het recht hebben bij misbruik de telefoon te wissen. De andere keuze is om geen mail te installeren of om web mail te gebruiken, het blijft dus de keuze van de medewerker.

    1. Complicerende factor: dit gaat niet alleen om e-mail. Dit speelt ook als je alleen maar je eigen agenda met de Outlookgegevens bijgewerkt wil zien. Daarbij is het organisatierisico op datalekken, privacyincidenten, uitlekken van bedrijfsgeheimen etc. kleiner. Tegelijkertijd is bij agendatoepassingen de verwevenheid van zakelijk met, of de invloed van zakelijk op, privé nog groter.

  11. Eigenlijk zouden ze daarvoor BlackBerry 10-telefoons moeten gebruiken i.c.m. BES. Dan heeft de eindgebruiker namelijk 2 ‘ruimten’ op de telefoon: 1 persoonlijke en 1 zakelijke. Een BES-admin kan dan, indien nodig, de zakelijke ruimte wissen zonder dat de persoonlijke ruimte wordt aangetast. BES kan zelfs zo worden ingesteld dat de zakelijke ruimte op de telefoon alleen te gebruiken is op bepaalde locaties, bijv. alleen als je in het gebouw bent waar je werkt. Niet om reclame te maken ofzo, maar dat zou het probleem in kwestie wél oplossen. De werkgever kan dan immers niet bij je persoonlijke gegevens terwijl de zakelijke gegevens op enig moment met één klik op afstand kunnen worden gewist.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.