Mag je als werkgever bepalen wat er op een BYOD laptop geïnstalleerd wordt?

| AE 12537 | Ondernemingsvrijheid, Security | 18 reacties

Een lezer vroeg me:

Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en de werkgever het bedrag vergoedt via de werkkostenregeling. Nu zeggen collega’s dat ze dus op hun eigendom alles mogen installeren dat ze willen, inclusief applicaties die adminrechten nodig hebben. Dat zie ik als security officer als een groot risico, maar hoe zit het juridisch met deze positie?
Je kunt inderdaad werknemers een vergoeding via de werkkostenregeling geven voor de aanschaf van apparatuur zoals een laptop. Maar dat is inderdaad dan ook een privélaptop, waar de werknemer mee mag doen wat zhij wil. Inclusief installeren van gare software met adminrechten.

Als werkgever kun je dan natuurlijk zeggen dat die laptop niet veilig genoeg is om het werk mee te doen. Dat is je goed recht, alleen moet de werknemer dan wel een andere laptop krijgen om mee te kunnen werken.

Er is een uitzondering, en die heet de gerichte vrijstelling: als de laptop voor 90% of meer zakelijk gebruikt wordt, dan kun je de werknemer deze geven en gaat het bedrag niet uit deze regeling. Wel moet het dan noodzakelijk zijn:

‘Noodzakelijk’ betekent dat de werknemer zonder de voorziening zijn dienstbetrekking niet goed kan uitoefenen. Dat houdt in dat de werknemer de voorziening voor zijn werk nodig heeft en gebruikt. De mate van dat zakelijke gebruik is daarbij niet doorslaggevend.
In die situatie kun je de laptop als werklaptop zien en behandelen, inclusief veiligheidsrestricties die redelijkerwijs nodig zijn. Echt privé is de laptop dan niet: bij uitdiensttreden moet deze teruggegeven worden aan de werkgever.

Arnoud

Deel dit artikel

  1. Ik ben het met je oneens Arnoud.

    Een werknemer die een laptop privé koopt en daarvoor een vergoeding krijgt van zijn werkgever hoeft die laptop niet over te dragen aan de werkgever bij zijn uitdiensttreding. Immers, wanneer er een koopovereenkomst tussen een winkel en consument tot stand komt, dan is die laptop het eigendom van de consument. Dat wordt niet anders op het moment dat die consument tevens werknemer is, die laptop voor 90% of meer voor het werk gebruikt en van zijn werkgever een onbelaste vergoeding krijgt. De belastingregels verplichten de werkgever om, wanneer de werknemer uit dienst gaat en de laptop nog niet is afschreven, hetzij de restwaarde van de laptop bij het loon optellen hetzij een vergoeding van de werknemer ontvangen. Als de werkgever de restwaarde wilt kunnen opeisen dan zal hij dat overeengekomen moet zijn met de werknemer.

    Een werknemer die door zijn werkgever gemachtigd is om een laptop op naam van het bedrijf te kopen en de laptop vervolgens ter beschikking heeft gekregen is verplicht om de laptop terug te geven aan de werknemer. Immers, in dit geval komt er een overeenkomst tussen de winkel en het bedrijf tot stand. In deze situatie is de laptop eigendom van de werkgever en kan die dat ook als zodanig behandelen. Dit is verreweg de eenvoudigste oplossing.

  2. Zowel voor de medewerker als het bedrijf lijkt dat een ongewenste werkwijze. De werknemer mag niets met de ‘eigen’ laptop anders dan werk, dan heb ik net zo lief dat de werkgever me een stuk gereedschap geeft. En vanuit de werkgever zijn er vele modellen, types, leeftijden te beheren en onderhouden (iets dat de werknemer schijnbaar niet kan/mag en dus door de werkgever moet gebeuren).

    Als security officer moet je sowieso geen BYOD en andere onbeheerde apparatuur op je netwerk willen dulden. Laat die lekker op het gastennetwerk en geef ze alleen toegang tot webbased systemen en iets als Citrix voor Windows tools.

  3. Maar waarom valt het buiten het instructierecht van de werkgever om te bepalen wat een werknemer met zijn apparaat doet binnen de kaders van zijn werknemerschap? Natuurlijk gaat valt wat hij er thuis mee doet daarbuiten, maar zodra hij ermee op werk verschijnt lijkt het me prima legitiem te verwachten dat hij zich aan de BYOD policy houdt en geen verhoogd risico voor het bedrijfsnetwerk veroorzaakt. Waarom zouden geen torrents op de werkvloer of alleen werken vanuit een versleutelde partitie waar admin restricties wel gelden dan niet binnen het instructierecht vallen?

    • Je zit met de controlebevoegdheid. Net zoals je niet thuis langs mag komen om te zien of de keukentafel wel ARBO proof is of dat men onder de vergadering zit te strijken, mag je niet op de privélaptop kijken of er tóch getorrend wordt of dat er gekraakte spelletjes met adminrechten geïnstalleerd zijn. Praktisch gezien kom je dan inderdaad uit bij volledig dichttimmeren, zeg maar je mag de remote desktop applicatie installeren en verder alles daarin doen. Maar die infrastructuur heeft men als werkgever vaak niet.

      • Thomas, ja, dat zou je wel kunnen zeggen als werkgever, maar als de werknemer zegt : ‘Ik ben maar een adminstratieve medewerker, geen IT-er, ik begrijp die policy niet eens, laat staan dat ik weet hoe ik hem kan toepassen’ heeft die werknemer dan niet ook een punt?

        En als die werknemer een fout maakt (wat heel realistisch is), kun je het hem dan kwalijk nemen? Of wat denk je dat het doet met de productiviteit als de werknemer half verlamd achter zijn computer zit omdat hij bang is een update te installeren ‘wie weet is dat wel tegen de BYOD policy’ ? Of continu de helpdesk belt omdat hij absoluut geen risico wil lopen om fouten te maken?

  4. Ik snap wel dat Security de laptop volledig wil dichttimmeren en de poortjes dicht wil kitten met epoxyhars. Maar dan is het geen Bring Your Own Device.

    Als ‘security’ zou je dan de werkgever toch moeten adviseren om iedereen van een veilige laptop (inclusief updates en antivirus) te voorzien; Of je werkt volledig in de cloud – dan is het risico van de laptop al véél kleiner. Of je eist dat er zo’n alles-bepalend programma op komt dat alsnog de hele laptop afsluit voor de eigenaar. Maar als eigenaar van de laptop zeg ik dan: Hier is de rekening, als je hem voor mij afsluit mag je hem ook betalen.

  5. Als Security Officer wordt je echter wel afgerekend als iemand een spelletje download en daarmee een Remote Access Tool installeerd. Zelfs benoemen als risico kan je uiteindelijk de kop kosten als er een verantwoordelijke moet worden aangewezen (natuurlijk nooit de CEO of security-onwijze medewerker).

    Technische oplossing is: Bring Your Own Device, Use Our Operating System and Network Connection/VPN. Bij opstarten dus selecteren van twee Virtual OS, een voor persoonlijk gebruik, en een voor zakelijk gebruik. De zakelijke OS heeft de VPN/Citrix schil, scherpe installatie restricties, mogelijk remote access voor IT administratie/helpdesk, en een waarschuwing dat al het persoonlijk verkeer gelogged wordt (voor security doeleinden), dus even andere OS gebruiken als je gaat porno browsen, online films bekijken met verplichte Flash.exe installatie, of gejatte applicaties torrenten. Wel kun je nog even chatten op Facebook (persoonlijk gebruik van zakelijk OS), maar is duidelijk waar de scheiding ligt, zo kan het OS remote gewissed worden, zonder de bookmarks of persoonlijke contacten of save games van de ontslagen medewerker te wissen.

    Juridisch lijkt het mij er toch af te hangen of er op het netwerk persoonlijk identificeerbare data is (verwerking van klantendata, of een HR systeem, is er al snel). Een zaak moet haar IT security goed op orde hebben, daar hebben ze jou voor ingehuurd. Een brakke BYOD policy, heeft natuurlijk lekken tot gevolg: die windows laptop wordt nooit geupdate, achtergelaten in de trein zonder HD encryptie, helemaal volgestouwd met malware en browserextensies, daar wordt een gestolen Photoshop op geinstalleerd in een bedrijf dat design-medewerkers heeft, die surfen naar allemaal obscure porno-sites met zelf geinstalleerde Internet Explorer. Als je juridisch verwacht wordt als bedrijf geen gaar wachtwoord met non-restrictieve admin-rechten te plaatsen, dan lijkt het me dat verwacht mag worden dat computers die op het gesloten netwerk inloggen ook geen gare applicaties met admin-rechten mogen plaatsen. Dan hacked zo’n applicatie natuurlijk de VPN/citrix gate, en ben je echt alles kwijt, zonder enig idee.

    • Tja, heb je wel eens software ontwikkeld op een dichtgetimmerde machine? Wat een nachtmerrie!

      Sommig werk leent zich niet voor een dichtgetimmerde machine. BYOD is het slechtste idee ooit bedacht als een werkgever het mij aan zou bieden bedank ik ervoor. Hij koopt hem maar en dan mag hij helemaal bepalen hoe hij ingericht wordt. Mijn prive zaken doe ik wel op mijn eigen apparatuur. De enige acceptabel inzet van ‘BYOD’ is de zzp-er die tijdelijk een team komt versterken en zijn eigen licenties meer brengt.

      • Ik kan me voorstellen dat IT Security vaak niet de “klant”-vriendelijkste oplossing voorstaat. Maar bij opstarten selecteren welk OS je selecteert, en je development OS is stricter ingesteld (niet per se dichtgetimmerd), werkt als een droom.

        BYOD gebeurd erg vaak, ook als er geen formele policy is. Men laat haar mobiele telefoon op het netwerk, installeerd Slack of Google Docs op een eigen device, leest emails op iPad op keukentafel. Zelfs daar waar BYOD niet gewenst is, is dus een duidelijke voorlichting nodig. Notificaties op mobiel? Geef een goedkope mobiel af. Lekken en helpdesk uiteindelijk toch duurder. En als je wat budget over hebt, liever geef je een iMac of Dell laptop met Ubuntu, puur voor development. Hoef je ook niet zoveel dicht te timmeren.

        Zolang de software kritische overheids- of persoonsinformatie bevat, zal er ontwikkeld moeten worden op een strak dichtgetimmerde machine. Het went. Heb je wel eens software ontwikkeld op een airgapped netwerk? Erg gaaf!

  6. BYOD is vaak niet een beleid waar de IT afdeling achterstaat, het is iets wat wordt afgedwongen door de politiek in de organisatie. Men vindt de bedrijfslaptops te zwaar, te traag of niet hip genoeg. En vaak zijn het niet eens devices van werknemers maar devices die managers buiten het normale aankoopproces hebben aangeschaft voor hun team, de beruchte schaduw-ict. Dus het dreigement “dan moet het bedrijf de werknemer een laptop verstrekken” werkt niet, dat is namelijk precies wat de IT afdeling wil en precies wat de werknemer niet wil. En dus krijg je de verplichte admin/security tooling zonder welke je geen toegang tot bedrijfsdata krijgt. Of je krijgt die zwaardere, tragere, niet hippe laptop waar ook die tooling op staat.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS