Kan ik nu eindelijk mijn personeel MDM software opdringen?

Een lezer vroeg me:

Ik las je blog van maandag over een boete bij een bedrijf omdat personeel WhatsApp-chats wiste. Dat lijkt me het perfecte argument om alle werknemers gewoon mobile phone beheersoftware (MDM) op te leggen, ook op hun privételefoon. Als je als werkgever zúlke schade kunt oplopen door gewiste gesprekken, dan is je belang toch evident? Of zit de AVG hier ook weer tegen in de weg?

Recent werd een bedrijf beboet door de ACM wegens het wissen van bewijs tijdens een inval op verdenking van kartelvorming. Dat bewijs bestond uit WhatsApp-chats en lidmaatschap van zekere groepen, en het wissen kon gebeuren doordat medewerkers snel dit hun telefoon konden regelen en er geen centrale logs of backups waren van die gegevens.

Mobile Device Management of MDM is een algemene naam voor software waarmee bedrijven centraal beheer uitoefenen op telefoons (en andere mobiele apparaten) van medewerkers. De bekendste MDM feature is het wissen op afstand bij diefstal van de telefoon, maar er is veel meer mogelijk. Onder meer het centraal bewaren van backups van bijvoorbeeld chats, of het blokkeren van bepaalde applicaties: je zou WhatsApp kunnen weren en uitsluitend Telegram afdwingen als chatapplicatie, waarbij je de logs dan op andere wijze bewaart.

Het ‘probleem’ met MDM begint wanneer men dit wil opleggen aan privételefoons die werknemers meenemen, meestal omdat die als “bring your own device” apparaat worden ingezet. De zakelijke logica is eenvoudig: je wilt de zakelijke data en belangen beschermen, dus moet er beheersoftware op. Maar die software kan ook bij privézaken (de spreekwoordelijke foto’s op zaterdag of chats met de partner) en niet ieder personeelslid heeft daar dus trek in.

Dat MDM veel vervelends kan voorkomen, zoals bij bovenstaand bedrijf, is daarbij niet echt een argument vrees ik. Het blijft een feit dat je op iemands privételefoon toegang hebt tot alle data. Dat kun je alleen verantwoorden als je duidelijk en aantoonbaar rekening houdt met de privacy van je personeel, bijvoorbeeld met helder beleid wie wanneer welke data uitleest, hoe dat veilig wordt gelogd en hoe dat wordt gemeld en uitgelegd aan het personeel. Als dat soort zekerheid er zijn, dan pas ga je praten over waarom het eigenlijk nodig is.

Arnoud

21 reacties

  1. Los van de mogelijk juridisch interessante discussie: ik vind dat een werkgever die niet een paar tientjes per maand wil uitgeven aan een mobiel telefoonabonnement per werknemer (plus 80 euro voor een simpele bel/whatsapp smartphone waar je 4 jaar mee doet) niet moet gaan zeuren over MDM.

    1. Maar dat maakt niet veel uit.

      Of hij nu een telefoon van het werk heeft of niet, de werknemer kan, en zal, zijn vrije-markt verpestende afspraken met de concurrentie gewoon met zijn privetelefoon doen. Dus alle werknemers een telefoon geven (en die kosten zijn inderdaad niet hoog) helpt niets.

      De werknemers die het doen weten ook wel dat het niet hoort, en zullen proberen hun acties niet te documenteren. Ze zullen het verbergen voor de authoriteiten, maar ook voor hun management.

      1. Mijn insteek was dat als werkgevers gewoon een telefoon beschikbaar stellen ze daar MDM op kunnen zetten, maar jouw scenario dat werknemers dan nog steeds via hun privé telefoon verboden afspraken maken is inderdaad een andere. Maar als de werknemer een telefoon van de zaak heeft is er geen enkele noodzaak om af te dwingen dat MDM alsnog ook op privé telefoons wordt gezet, de volgende stap is dat ze bij je thuis camera’s willen installeren om te zien of je niet stiekem thuis achter je PC afspraken zit te maken.

        Mogelijk is dit te ondervangen in het arbeidscontract: als je heimelijk verboden afspraken maakt met andere bedrijven krijg je een staande-voetje.

        1. Helaas kun je niet contractueel afspreken welke fouten leiden tot staande voet ontslag. En meer algemeen blijf je zitten met het probleem dat je als bedrijf gewoon een boete krijgt, omdat de fout nu eenmaal in verband staat met het werk. Jij had dit niet mogen laten gebeuren, en dat pareer je niet met enkel een mooie volzin in het arbeidscontract. Actief trainen, bedrijfscultuur verbeteren en raar gedrag monitoren en dan mensen inderdaad op staande voet ontslaan als blijkt dat ze grote prijsafspraken hebben gemaakt, dat zou wel helpen om boetes af te weren.

  2. Dit lijkt mij een prima geval waarin de werkgever gewoon een smartphone ter beschikking moet stellen. Als het bedoeld isom zakelijk te communiceren via Facebook, dan moeten ze daar ook maar de middelen voor ter beschikking stellen. Dan kun je als werkgever ook prima eisen dat er MDM software wordt gebruikt omdat dit toestel uitsluitend voor zakelijk gebruik is.

    Andersom lijkt het mij bijna nooit te verdedigen. Ik heb van horen -eggen dat er enkele werkgevers zijn in Nederland die dit wel eisen van hun personeel, maar dan gaat het over inlichtingendiensten en militaire onderaannemers.

    1. Dit lijkt mij een prima geval waarin de werkgever gewoon een smartphone ter beschikking moet stellen.
      Dat biedt geen enkele garantie dat de privé-telefoon niet meer gebruikt wordt voor dergelijke zaken. En het verbieden van privé-telefoon voor dergelijke zaken is ook praktisch niet te doen. Als in: het verbieden wel, maar het handhaven niet; men doet die dingen namelijk stiekem.

      1. Zelfs al zou je dit met deze argumentatie ook op de privetelefoon verplichten, dan nog kom je er niet. Immers “men doet die dingen namelijk stiekem”, zorgt er dan wel voor dat men een tweede privetelefoon koopt om dit soort heimelijke afspraken te maken.

  3. Bij het bedrijf waar ik lang gewerkt heb was het toegestaan om zakelijke mail op je prive-telefoon in te stellen.

    Echter pushte de Exchange-server een policy die encryptie van het toestel vereiste. Op sommige Android devices was dit niet alleen onomkeerbaar maar leidde het ook tot een batterij-slurpende en langzame (prive!-)telefoon. Dit terwijl de ICT-beheerders expliciet hadden verklaard dat e.e.a. totaal geen kwaad zou kunnen.

  4. Ik vraag mij sowieso af of een boete aan een bedrijf wel kan als medewerkers data op hun privé-apparatuur wissen.

    Maar ik vraag mij ook af of de ACM bij medewerkers thuis zo naar binnen mag gaan om daar computers in beslag te nemen omdat medewerkers mogelijk ook thuis werken en dus informatie op hun eigen computers hebben staan. Als dat mag dan zou dat best een probleem kunnen zijn voor thuiswerkers…

    1. Voor het binnentreden van een privé woning gelden de normale wetten. De ACM kan en mag hier geen uitzondering op zijn. Maar wanneer zij verwachten er iets te kunnen vinden, zullen ze zeker zorgen voor de juiste stappen. Aan de ene kant is het goed dat dit gebeurt, aan de andere kant zit je altijd met het probleem, wat is privé. Persoonlijk zou ik, als ik zoiets zou willen doen, nooit doen op een systeem waar ik sporen achterlaat. Maar via een VPN en de browser op in-private, kan je veel doen in GMail en co, zonder dat ze het makkelijk kunnen traceren. Tenminste, daar ben ik bang voor.

    1. De grond is dat je als bedrijf dat onderzocht wordt alle informatie moet geven die de ACM redelijkerwijs kan vorderen in het kader van het onderzoek. Of dat op een privételefoon staat doet er niet toe. Is het redelijkerwijs relevant voor dit onderzoek? Dan afgeven. Een chatlog van een gesprek waarin verboden prijsafspraken werden gemaakt is natuurlijk relevant.

        1. Dan moet hij eerst als verdachte zijn aangemerkt of zich zelf als zodanig hebben opgesteld. Maar dan had de ACM wellicht gezegd, u krijgt immuniteit voor uw betrokkenheid als u de telefoon nu ontgrendelt want we willen het bedrijf pakken, niet u. Die werknemer heeft toch geen geld voor de boete en bovendien zijn het bedrijven die de markt verpesten, niet individuele werknemers.

          Als het echt om de werknemer gaat en die weigert, dan geldt hetzelfde als in het strafrecht. Hij hoeft niet mee te werken, maar krijgt men de zaak dan alsnog rond, dan zal in de strafmaat meewegen dat hij niet meeewerkte.

          1. De boeiende vraag voor mij is denk ik wat er gebeurt als een werknemer zegt “ik ben niet betrokken, hier is mijn werktelefoon, maar op mijn privételefoon staan mijn pikante fotos en die krijg je niet, vette pech voor je onderzoek”. Als de werknemer niet direct persoonlijk verdacht is, kan de werkgever dan een heftige boete krijgen als de werknemer dit standpunt aanhoudt?

  5. BYOD is als bedrijf een slechte keuze mits toegang tot alle bedrijfsinformatie alleen mogelijk is met VDI. Als bedrijf MDM toepassen metof zonder containerization en encryptie op BYOD of COPE devices zal altijd discussies opleveren met medewerkers t.a.v. privacy en beheer.

  6. Waarom proberen we ethiek en gedrag met tech op te lossen? Er zijn zat bedrijven waar je een code of conduct hebt waarbij je erop gewezen wordt dat je bijvoorbeeld niet de verkeerde gesprekken mag voeren met conculega’s op beurzen enzo.. wat in dit geval gebeurde in whatsap, gebeurt in het echt ook aan de bar.

    1. Goed punt. Je moet het inderdaad oplossen met een betere bedrijfscultuur. Mensen moeten dit niet willen, en ook niet zich gedwongen voelen omdat ze anders hun bonus missen, ontslagen worden of gepasseerd worden bij een promotie. Je moet dus stevig aan de bak. Een code of conduct is het begin, die actief uitdragen en waarmaken de veel moeilijkere volgende stap. Een COC en dan mensen alsnog aanspraken op niet gehaalde omzet “kan me niet schelen hoe je het doet maar volgend kwartaal is je omzet verdubbeld” blijft natuurlijk een probleem.

  7. Ik liep hier recent tegenaan bij een opdrachtgever (als ZZP-er). Ik gebruik mijn telefoon voor meerdere opdrachtgevers. Een opdrachtgever eiste dat ik beheersoftware moest installeren voordat ik een bedrijfsspecifieke app mocht installeren. Maar dan kunnen ze niet alleen bij de informatie die ik voor hen gebruik, maar ook bij de informatie van andere klanten, die ik geheimhouding verschuldigd ben. Dat weiger ik dus. Het gevolg is dat ik de app van die opdrachtgever niet op mijn telefoon mag installeren en mijn werk minder efficient kan doen, maar dat is volgens mij onvermijdelijk.

    1. Dit herken ik wel. Ik werk veel in het sociaal domein en opdrachtgevers daar eisen ook dat hun eigen MDM geïnstalleerd wordt vanwege “de AVG” en “beveiliging” en “omdat het ons beleid is”. Terwijl de medewerkers die ik ondersteun ook een telefoon krijgen van hun werkgever met MDM software. Resultaat is dat we medewerkers hebben met 2 telefoons.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.