Mag je als werkgever bepalen wat er op een BYOD laptop geïnstalleerd wordt?

| AE 12537 | Ondernemingsvrijheid, Security | 18 reacties

Een lezer vroeg me:

Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en de werkgever het bedrag vergoedt via de werkkostenregeling. Nu zeggen collega’s dat ze dus op hun eigendom alles mogen installeren dat ze willen, inclusief applicaties die adminrechten nodig hebben. Dat zie ik als security officer als een groot risico, maar hoe zit het juridisch met deze positie?
Je kunt inderdaad werknemers een vergoeding via de werkkostenregeling geven voor de aanschaf van apparatuur zoals een laptop. Maar dat is inderdaad dan ook een privélaptop, waar de werknemer mee mag doen wat zhij wil. Inclusief installeren van gare software met adminrechten.

Als werkgever kun je dan natuurlijk zeggen dat die laptop niet veilig genoeg is om het werk mee te doen. Dat is je goed recht, alleen moet de werknemer dan wel een andere laptop krijgen om mee te kunnen werken.

Er is een uitzondering, en die heet de gerichte vrijstelling: als de laptop voor 90% of meer zakelijk gebruikt wordt, dan kun je de werknemer deze geven en gaat het bedrag niet uit deze regeling. Wel moet het dan noodzakelijk zijn:

‘Noodzakelijk’ betekent dat de werknemer zonder de voorziening zijn dienstbetrekking niet goed kan uitoefenen. Dat houdt in dat de werknemer de voorziening voor zijn werk nodig heeft en gebruikt. De mate van dat zakelijke gebruik is daarbij niet doorslaggevend.
In die situatie kun je de laptop als werklaptop zien en behandelen, inclusief veiligheidsrestricties die redelijkerwijs nodig zijn. Echt privé is de laptop dan niet: bij uitdiensttreden moet deze teruggegeven worden aan de werkgever.

Arnoud

Kan ik nu eindelijk mijn personeel MDM software opdringen?

| AE 11674 | Ondernemingsvrijheid, Privacy | 21 reacties

Een lezer vroeg me:

Ik las je blog van maandag over een boete bij een bedrijf omdat personeel WhatsApp-chats wiste. Dat lijkt me het perfecte argument om alle werknemers gewoon mobile phone beheersoftware (MDM) op te leggen, ook op hun privételefoon. Als je als werkgever zúlke schade kunt oplopen door gewiste gesprekken, dan is je belang toch evident? Of zit de AVG hier ook weer tegen in de weg?

Recent werd een bedrijf beboet door de ACM wegens het wissen van bewijs tijdens een inval op verdenking van kartelvorming. Dat bewijs bestond uit WhatsApp-chats en lidmaatschap van zekere groepen, en het wissen kon gebeuren doordat medewerkers snel dit hun telefoon konden regelen en er geen centrale logs of backups waren van die gegevens.

Mobile Device Management of MDM is een algemene naam voor software waarmee bedrijven centraal beheer uitoefenen op telefoons (en andere mobiele apparaten) van medewerkers. De bekendste MDM feature is het wissen op afstand bij diefstal van de telefoon, maar er is veel meer mogelijk. Onder meer het centraal bewaren van backups van bijvoorbeeld chats, of het blokkeren van bepaalde applicaties: je zou WhatsApp kunnen weren en uitsluitend Telegram afdwingen als chatapplicatie, waarbij je de logs dan op andere wijze bewaart.

Het ‘probleem’ met MDM begint wanneer men dit wil opleggen aan privételefoons die werknemers meenemen, meestal omdat die als “bring your own device” apparaat worden ingezet. De zakelijke logica is eenvoudig: je wilt de zakelijke data en belangen beschermen, dus moet er beheersoftware op. Maar die software kan ook bij privézaken (de spreekwoordelijke foto’s op zaterdag of chats met de partner) en niet ieder personeelslid heeft daar dus trek in.

Dat MDM veel vervelends kan voorkomen, zoals bij bovenstaand bedrijf, is daarbij niet echt een argument vrees ik. Het blijft een feit dat je op iemands privételefoon toegang hebt tot alle data. Dat kun je alleen verantwoorden als je duidelijk en aantoonbaar rekening houdt met de privacy van je personeel, bijvoorbeeld met helder beleid wie wanneer welke data uitleest, hoe dat veilig wordt gelogd en hoe dat wordt gemeld en uitgelegd aan het personeel. Als dat soort zekerheid er zijn, dan pas ga je praten over waarom het eigenlijk nodig is.

Arnoud

Mag je bij ontslag je zakelijke laptop geformatteerd inleveren?

| AE 10527 | Ondernemingsvrijheid | 12 reacties

Wanneer je als werknemer op non-actief wordt gesteld, moet je op verzoek je telefoon en laptop inleveren. Dat deed een werknemer in deze rechtszaak dan ook, zij het dat hij alle data van de laptop en bijbehorende externe schijf had gewist. Dat was voor zijn privacy gaf hij aan, maar de werkgever zag dat als vernieling van bedrijfsgegevens, omdat niet de gehele laptop automatisch werd gebackupt door het bedrijf. Daarom werd ontslag op staande voet uitgesproken. Een complicatie: de laptop was ooit privé gekocht en er stonden dus ook privébestanden en -software op. Hoe daarmee om te gaan?

De werknemer was in 2015 in dienst getreden bij het bedrijf in de functie van developer/marketingmedewerker. Helaas blijkt uit het vonnis niet waarom, maar in oktober 2016 werd hij op non-actief gesteld. Hij heeft op 12 november 2016 zijn leaseauto en laptop ingeleverd en op 2 december 2016 zijn telefoon en externe harddisk. Die bleken vervolgens alleen volledig geformatteerd, zodat volgens het bedrijf “werkaantekeningen, gespreksverslagen met klanten en derden, ontwerpen voor software en mogelijk door u reeds gemaakte software” verloren zou zijn gegaan omdat er geen automatische dagelijkse backup van de gehele laptop werd gemaakt. Reden voor ontslag op staande voet.

Kan dat zomaar? Voor staande voet gelden strenge eisen, omdat het héle zware consequenties heeft voor de werknemer. Je verliest immers je recht op een uitkering en je krijgt geen vergoeding mee. Dan moet er wel iets heel serieus gebeurd zijn. Aan de werkgever dus om te bewijzen wat er misgegaan is en waarom dat zó erg is dat de werknemer deze keiharde sanctie moet ondergaan.

En dat gaat natuurlijk meteen al mis: wat er op die laptop stond, dat weet je natuurlijk niet als je hem geformatteerd terugkrijgt. Omkeren van de bewijslast zou betekenen dat de werknemer moet bewijzen dat er géén bedrijfsgevoelige informatie op de laptop stond, wat nóg lastiger is. En dat is helemaal niet eerlijk als het gevolg van dit te bewijzen punt is dat je ontslag op staande voet krijgt. Daarom krijgt de werkgever dit in het gezicht terug.

De achterliggende reden voor het formatteren leest als plausibel. De werknemer had de laptop in eerste instantie privé aangeschaft en toen gebruikt voor het werk. Logisch dus dat er ook privébestanden en software op stond, en ik begrijp het als hij zegt, als de arbeidsrelatie verslechtert dan wil ik zeker weten dat de werkgever daar niet aan gaat komen. Ook lijkt het onwaarschijnlijk dat er werkelijk zeer gevoelige en unieke informatie op die laptop stond:

Volgens [verweerder] stond op zijn laptop software die hij zelf had aangeschaft (Office, Photoshop en Coda) en heeft hij geen software van [werkgever] gekregen. Hij heeft eenmalig geprobeerd om op zijn eigen laptop, dus lokaal te werken, maar dat is niet gelukt. [verweerder] heeft ter onderbouwing van dit betoog verwezen naar een e-mail van [collega van verweerder] van 7 maart 2017, waarin is bevestigd dat niemand in het team een lokale werkomgeving had, behalve [collega van verweerder] zelf.

Uiteindelijk blijft er dan ook niets over van vermeende kwade bedoelingen van de werknemer, en de verslechterde arbeidsrelatie geeft dan ook reden voor de werknemer om te vrezen voor zijn privacy. Daarom mocht hij deze formatteeractie uitvoeren. Van het staande-voet-ontslag blijft dus niets over, en de werknemer krijgt een slordige 10.000 euro aan ontslagvergoeding mee.

Arnoud

Mag mijn werkgever toegang eisen tot mijn BYOD telefoon?

| AE 8909 | Ondernemingsvrijheid | 29 reacties

Een lezer vroeg me: Ons bedrijf heeft onlangs een Bring-Your-Own-Device beleid uitgerold waarbij je je eigen smartphone mag gebruiken voor werkzaken. Daarin vielen me twee dingen op. Allereerst moet ik een stukje software installeren waarmee men op afstand de telefoon kan overnemen en wissen. En ten tweede ben ik verplicht de telefoon af te geven… Lees verder

Mag de werkgever je privételefoon gebruiken voor tweefactorauthenticatie?

| AE 8323 | Ondernemingsvrijheid, Security | 56 reacties

Een lezer vroeg me: Vanwege de Wet datalekken is bij ons bedrijf de security aangescherpt. We moeten nu altijd met tweefactorauthenticatie inloggen: na aanmelden met wachtwoord krijg je een SMS met een code die je dan ook moet invoeren. Maar mensen die geen bedrijfstelefoon hebben, moeten nu hun privé-06-nummer opgeven. Mag ik dat weigeren? Ik… Lees verder

Mag een werkgever je verbieden op de werkvloer een mobiele telefoon bij je te hebben?

| AE 6456 | Ondernemingsvrijheid, Security | 14 reacties

Een lezer vroeg me: Mag een werkgever je verbieden op de werkvloer een mobiele telefoon bij je te hebben? Als reden geeft mijn werkgever op dat hier securityrisico’s aan zitten, omdat je met dergelijke telefoons bedrijfsgeheimen kunt fotograferen of kopiëren naar een intern geheugen (usb). Het rare is dat je wel je zakelijke telefoon mee… Lees verder

Mag een werkgever verloren of gestolen BYOD-apparaten op afstand wissen?

| AE 5917 | Ondernemingsvrijheid, Security | 32 reacties

Een lezer vroeg me: Steeds meer bedrijven hebben regels over Bring your own device (BYOD). Een opvallende regel daarbij is het op afstand mogen schoonvegen van verloren of gestolen mobiele apparaten. Begrijpelijk voor het bedrijf, maar mag een bedrijf dit eigenlijk wel doen bij privéapparaten? Een werkgever mag in principe eenzijdig regels stellen over hoe… Lees verder

Microsoft verbiedt Office op Windows RT voor werk

| AE 4573 | Intellectuele rechten, Ondernemingsvrijheid | 27 reacties

Wie een tablet met daarop Windows RT aanschaft, mag de Office RT-applicaties die daarop standaard aanwezig zijn, niet zomaar in zakelijke omgevingen gebruiken. Dat meldde Tweakers (ahh nieuw design). Eerder had ZDnet ontdekt dat de licentie inderdaad “use in commercial, nonprofit, or revenue-generating activities” verbiedt. Handig bedacht van Microsoft, want ze weten dat mensen die… Lees verder