Tag: Byod

About Byod

Subscribe Feeds

Mag je als werkgever bepalen wat er op een BYOD laptop geïnstalleerd wordt?

Geplaatst op in Ondernemingsvrijheid, Security, 18 reacties

Een lezer vroeg me:

Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en de werkgever het bedrag vergoedt via de werkkostenregeling. Nu zeggen collega’s dat ze dus op hun eigendom alles mogen installeren dat ze willen, inclusief applicaties die adminrechten nodig hebben. Dat zie ik als security officer als een groot risico, maar hoe zit het juridisch met deze positie?
Je kunt inderdaad werknemers een vergoeding via de werkkostenregeling geven voor de aanschaf van apparatuur zoals een laptop. Maar dat is inderdaad dan ook een privélaptop, waar de werknemer mee mag doen wat zhij wil. Inclusief installeren van gare software met adminrechten.

Als werkgever kun je dan natuurlijk zeggen dat die laptop niet veilig genoeg is om het werk mee te doen. Dat is je goed recht, alleen moet de werknemer dan wel een andere laptop krijgen om mee te kunnen werken.

Er is een uitzondering, en die heet de gerichte vrijstelling: als de laptop voor 90% of meer zakelijk gebruikt wordt, dan kun je de werknemer deze geven en gaat het bedrag niet uit deze regeling. Wel moet het dan noodzakelijk zijn:

‘Noodzakelijk’ betekent dat de werknemer zonder de voorziening zijn dienstbetrekking niet goed kan uitoefenen. Dat houdt in dat de werknemer de voorziening voor zijn werk nodig heeft en gebruikt. De mate van dat zakelijke gebruik is daarbij niet doorslaggevend.
In die situatie kun je de laptop als werklaptop zien en behandelen, inclusief veiligheidsrestricties die redelijkerwijs nodig zijn. Echt privé is de laptop dan niet: bij uitdiensttreden moet deze teruggegeven worden aan de werkgever.

Arnoud

Kan ik nu eindelijk mijn personeel MDM software opdringen?

Geplaatst op in Ondernemingsvrijheid, Privacy, 21 reacties

Een lezer vroeg me:

Ik las je blog van maandag over een boete bij een bedrijf omdat personeel WhatsApp-chats wiste. Dat lijkt me het perfecte argument om alle werknemers gewoon mobile phone beheersoftware (MDM) op te leggen, ook op hun privételefoon. Als je als werkgever zúlke schade kunt oplopen door gewiste gesprekken, dan is je belang toch evident? Of zit de AVG hier ook weer tegen in de weg?

Recent werd een bedrijf beboet door de ACM wegens het wissen van bewijs tijdens een inval op verdenking van kartelvorming. Dat bewijs bestond uit WhatsApp-chats en lidmaatschap van zekere groepen, en het wissen kon gebeuren doordat medewerkers snel dit hun telefoon konden regelen en er geen centrale logs of backups waren van die gegevens.

Mobile Device Management of MDM is een algemene naam voor software waarmee bedrijven centraal beheer uitoefenen op telefoons (en andere mobiele apparaten) van medewerkers. De bekendste MDM feature is het wissen op afstand bij diefstal van de telefoon, maar er is veel meer mogelijk. Onder meer het centraal bewaren van backups van bijvoorbeeld chats, of het blokkeren van bepaalde applicaties: je zou WhatsApp kunnen weren en uitsluitend Telegram afdwingen als chatapplicatie, waarbij je de logs dan op andere wijze bewaart.

Het ‘probleem’ met MDM begint wanneer men dit wil opleggen aan privételefoons die werknemers meenemen, meestal omdat die als “bring your own device” apparaat worden ingezet. De zakelijke logica is eenvoudig: je wilt de zakelijke data en belangen beschermen, dus moet er beheersoftware op. Maar die software kan ook bij privézaken (de spreekwoordelijke foto’s op zaterdag of chats met de partner) en niet ieder personeelslid heeft daar dus trek in.

Dat MDM veel vervelends kan voorkomen, zoals bij bovenstaand bedrijf, is daarbij niet echt een argument vrees ik. Het blijft een feit dat je op iemands privételefoon toegang hebt tot alle data. Dat kun je alleen verantwoorden als je duidelijk en aantoonbaar rekening houdt met de privacy van je personeel, bijvoorbeeld met helder beleid wie wanneer welke data uitleest, hoe dat veilig wordt gelogd en hoe dat wordt gemeld en uitgelegd aan het personeel. Als dat soort zekerheid er zijn, dan pas ga je praten over waarom het eigenlijk nodig is.

Arnoud

Mag je bij ontslag je zakelijke laptop geformatteerd inleveren?

Geplaatst op in Ondernemingsvrijheid, 12 reacties

Wanneer je als werknemer op non-actief wordt gesteld, moet je op verzoek je telefoon en laptop inleveren. Dat deed een werknemer in deze rechtszaak dan ook, zij het dat hij alle data van de laptop en bijbehorende externe schijf had gewist. Dat was voor zijn privacy gaf hij aan, maar de werkgever zag dat als vernieling van bedrijfsgegevens, omdat niet de gehele laptop automatisch werd gebackupt door het bedrijf. Daarom werd ontslag op staande voet uitgesproken. Een complicatie: de laptop was ooit privé gekocht en er stonden dus ook privébestanden en -software op. Hoe daarmee om te gaan?

De werknemer was in 2015 in dienst getreden bij het bedrijf in de functie van developer/marketingmedewerker. Helaas blijkt uit het vonnis niet waarom, maar in oktober 2016 werd hij op non-actief gesteld. Hij heeft op 12 november 2016 zijn leaseauto en laptop ingeleverd en op 2 december 2016 zijn telefoon en externe harddisk. Die bleken vervolgens alleen volledig geformatteerd, zodat volgens het bedrijf “werkaantekeningen, gespreksverslagen met klanten en derden, ontwerpen voor software en mogelijk door u reeds gemaakte software” verloren zou zijn gegaan omdat er geen automatische dagelijkse backup van de gehele laptop werd gemaakt. Reden voor ontslag op staande voet.

Kan dat zomaar? Voor staande voet gelden strenge eisen, omdat het héle zware consequenties heeft voor de werknemer. Je verliest immers je recht op een uitkering en je krijgt geen vergoeding mee. Dan moet er wel iets heel serieus gebeurd zijn. Aan de werkgever dus om te bewijzen wat er misgegaan is en waarom dat zó erg is dat de werknemer deze keiharde sanctie moet ondergaan.

En dat gaat natuurlijk meteen al mis: wat er op die laptop stond, dat weet je natuurlijk niet als je hem geformatteerd terugkrijgt. Omkeren van de bewijslast zou betekenen dat de werknemer moet bewijzen dat er géén bedrijfsgevoelige informatie op de laptop stond, wat nóg lastiger is. En dat is helemaal niet eerlijk als het gevolg van dit te bewijzen punt is dat je ontslag op staande voet krijgt. Daarom krijgt de werkgever dit in het gezicht terug.

De achterliggende reden voor het formatteren leest als plausibel. De werknemer had de laptop in eerste instantie privé aangeschaft en toen gebruikt voor het werk. Logisch dus dat er ook privébestanden en software op stond, en ik begrijp het als hij zegt, als de arbeidsrelatie verslechtert dan wil ik zeker weten dat de werkgever daar niet aan gaat komen. Ook lijkt het onwaarschijnlijk dat er werkelijk zeer gevoelige en unieke informatie op die laptop stond:

Volgens [verweerder] stond op zijn laptop software die hij zelf had aangeschaft (Office, Photoshop en Coda) en heeft hij geen software van [werkgever] gekregen. Hij heeft eenmalig geprobeerd om op zijn eigen laptop, dus lokaal te werken, maar dat is niet gelukt. [verweerder] heeft ter onderbouwing van dit betoog verwezen naar een e-mail van [collega van verweerder] van 7 maart 2017, waarin is bevestigd dat niemand in het team een lokale werkomgeving had, behalve [collega van verweerder] zelf.

Uiteindelijk blijft er dan ook niets over van vermeende kwade bedoelingen van de werknemer, en de verslechterde arbeidsrelatie geeft dan ook reden voor de werknemer om te vrezen voor zijn privacy. Daarom mocht hij deze formatteeractie uitvoeren. Van het staande-voet-ontslag blijft dus niets over, en de werknemer krijgt een slordige 10.000 euro aan ontslagvergoeding mee.

Arnoud

Mag mijn werkgever toegang eisen tot mijn BYOD telefoon?

Geplaatst op in Ondernemingsvrijheid, 29 reacties

telefoon-smartphone-kinderen-schoolEen lezer vroeg me:

Ons bedrijf heeft onlangs een Bring-Your-Own-Device beleid uitgerold waarbij je je eigen smartphone mag gebruiken voor werkzaken. Daarin vielen me twee dingen op. Allereerst moet ik een stukje software installeren waarmee men op afstand de telefoon kan overnemen en wissen. En ten tweede ben ik verplicht de telefoon af te geven als het bedrijf dat nodig acht in het kader van een rechtszaak. Kunnen ze dat zo eisen?

Dat wissen op afstand zie ik vaker bij BYOD policies (beleiden? beleids?). Het idee is dat als er bedrijfsdata op zo’n telefoon staat, en die telefoon gestolen of verloren raakt, de werkgever de schade kan beperken door de inhoud te wissen. Op zich logisch, en bij een zakelijke telefoon niet meer dan normaal denk ik. Maar bij een BYOD telefoon raakt dat natuurlijk óók privédata van de werknemer.

Het afgeven van de telefoon is een stukje conservatisme volgens mij. In met name de VS is het een ding dat je bij rechtszaken een discovery-procedure kunt krijgen, waarbij alle relevante documenten moeten worden afgegeven aan de wederpartij. Dat omvat ook elektronische documenten, dus dat kunnen ook bestanden op een BYOD-telefoon zijn.

In principe zullen die bestanden kopieën bevatten van gegevens van bedrijfsservers zijn, het hele punt is natuurlijk dat je dingen daar downloadt en gebruikt. Maar het is niet uit te sluiten dat er data op maar één plek staat (die telefoon), en dan moet de inhoud van die telefoon worden afgegeven. Dus dan komt er een stukje in het beleid dat je daaraan moet meewerken.

Daarnaast is er natuurlijk de mogelijkheid dat Justitie of een toezichthouder inzage eist in bedrijfsdata, en ook dan geldt dat die inzage er moet komen. Ook als dat bij een medewerker thuis ligt. Je hebt dan een medewerkingsplicht. Bij een fysiek dossier zal niemand dat gek vinden, die doos moet dan naar kantoor. Maar bij een BYOD telefoon voelt het ineens een stuk complexer.

Wat is dat toch, dat dingen ineens moeilijker zijn omdat er ICT in zit? Waarom is inzage in een fysiek dossier thuis niet gek en inzage in een telefoon wel?

Arnoud

Mag de werkgever je privételefoon gebruiken voor tweefactorauthenticatie?

Geplaatst op in Ondernemingsvrijheid, Security, 56 reacties

mobieltje-sms-bellen-06.pngEen lezer vroeg me:

Vanwege de Wet datalekken is bij ons bedrijf de security aangescherpt. We moeten nu altijd met tweefactorauthenticatie inloggen: na aanmelden met wachtwoord krijg je een SMS met een code die je dan ook moet invoeren. Maar mensen die geen bedrijfstelefoon hebben, moeten nu hun privé-06-nummer opgeven. Mag ik dat weigeren? Ik wil niet dat die telefoon voor zakelijke dingen wordt gebruikt.

Hoofdregel is dat de werkgever de “gereedschappen” waarmee het werk wordt uitgevoerd (art. 7:658 BW) beschikbaar moet stellen. Hij bepaalt immers hoe het werk wordt uitgevoerd, dus hij moet ook de spullen leveren. De werkgever maakt ook de keuze: wel of geen laptop, wel of niet flexwerken, et cetera. Of in dit geval: we gaan met tweefactorauthenticatie werken, dus je typt gewoon die sms codes in vanaf nu.

Het is mogelijk af te spreken dat werknemers zelf voor bepaalde hulpmiddelen zorgen. Denk aan bedrijfskleding die mensen liever zelf kopen omdat ze dan zelf voor iets passends kunnen shoppen. Een bring-your-own-device constructie kan dus hierop worden gebaseerd.

Een dergelijke afspraak kan echter alleen als dit in het arbeidscontract is opgenomen (of een CAO) dan wel als het een zeer gebruikelijke afspraak in de branche is. Dat je van een chefkok verwacht dat hij zijn eigen messen meeneemt, lijkt me bijvoorbeeld heel normaal. Maar van een ‘gewone’ medewerker dat hij een privételefoon meeneemt voor werk, vind ik daarmee niet vergelijkbaar.

Daar staat tegenover dat je anno 2016 mag verwachten dat een werknemer een mobiele telefoon bij zich heeft waar hij sms-berichten op kan ontvangen. Vanuit dat perspectief is het een uiterst kleine moeite voor de werknemer om de daarop ontvangen code over te typen. In alle redelijkheid kun je dan moeilijk zeggen “koop maar voor iedere werknemer een telefoon met abonnement van X euro per maand” lijkt me. Dus specifiek voor die situatie denk ik dat je het wel kunt verlangen.

Uiteraard moet de werkgever iets anders verzinnen als de werknemer geen telefoon heeft of om zwaarwegende redenen weigert zijn 06-nummer te geven. En het 06-nummer mag natuurlijk niet meteen ook voor de bedrijfs-whatsapp of gewoon werkoverleg worden ingezet.

Arnoud

Mag een werkgever je verbieden op de werkvloer een mobiele telefoon bij je te hebben?

Geplaatst op in Ondernemingsvrijheid, Security, 14 reacties

sms-belasting-telefoon.pngEen lezer vroeg me:

Mag een werkgever je verbieden op de werkvloer een mobiele telefoon bij je te hebben? Als reden geeft mijn werkgever op dat hier securityrisico’s aan zitten, omdat je met dergelijke telefoons bedrijfsgeheimen kunt fotograferen of kopiëren naar een intern geheugen (usb). Het rare is dat je wel je zakelijke telefoon mee mag nemen waarmee precies datzelfde ook kan…

Een werkgever heeft een instructiebevoegdheid: hij bepaalt hoe het werk wordt uitgevoerd en welke gereedschappen en uitrusting je daarbij mag en moet gebruiken. Deze bevoegdheid is eenzijdig; instemming van de werknemer is in principe niet nodig. Wil de werkgever dat je onder Windows werkt, dan heb je als MacOS-fan helaas pech.

Natuurlijk moeten instructies wel redelijk zijn. Ze moeten een bedrijfsbelang dienen, maar ook rekening houden met de redelijke belangen van de werknemer.

Een werkgever mag privételefoontjes bijvoorbeeld niet 100% verbieden, want dat houdt geen rekening met de redelijke privacybelangen van de werknemer. Maar hij kan wel verlangen dat je die niet op de werkvloer doet, want dat stoort collega’s.

Ook kan de werkgever privéopslagapparatuur verbieden omdat daarmee de bedrijfsdataveiligheid in gevaar kan komen. Maar dat verbod zou dan beperkt moeten zijn tot de werkvloer waar bedrijfsgeheimen verwerkt worden. En hij moet dan een veilige plek bieden (kluisjes of lockers) voor die telefoons of opslagapparatuur.

En die zakelijke telefoons? Tsja. Misschien denkt de werkgever dat hij die goed dichtgetimmerd heeft, of heeft hij logging geinstalleerd waardoor hij kan zien wat er wordt gefotografeerd of gekopieerd. En misschien denkt hij wel gewoon niet goed na, dat is altijd een optie bij (bedrijfs-)beleid.

Arnoud

Mag een werkgever verloren of gestolen BYOD-apparaten op afstand wissen?

Geplaatst op in Ondernemingsvrijheid, Security, 32 reacties

Een lezer vroeg me:

Steeds meer bedrijven hebben regels over Bring your own device (BYOD). Een opvallende regel daarbij is het op afstand mogen schoonvegen van verloren of gestolen mobiele apparaten. Begrijpelijk voor het bedrijf, maar mag een bedrijf dit eigenlijk wel doen bij privéapparaten?

Een werkgever mag in principe eenzijdig regels stellen over hoe het werk moet worden uitgevoerd, en wat hij van de werknemer verwacht op de werkvloer en in de omgang met collega’s (art. 7:660 BW). Zo mag de werkgever eisen dat je een stropdas draagt of dat alleen de PR-mensen mogen praten met de pers.

ICT-reglementen zijn meestal op deze instructiebevoegdheid gebaseerd, en dat is dus legaal (ook zonder dat je ervoor getekend hebt) mits men maar binnen de grenzen van de wet blijft. Daarbij is de redelijkheid een belangrijke grond. Meer algemeen zijn er nog de privacy en de godsdienstvrijheid, denk aan een verbod op hoofddoekjes of een eis dat je aan het lichaam wordt gefouilleerd na elke werkdag.

De vraag is dus: is het rédelijk dat de werkgever zegt “we wissen je BYOD apparaat als deze gestolen wordt”? Natuurlijk, hij heeft een belang om bedrijfsdata te beschermen maar niet elke maatregel die dat belang dient, is toegestaan. Zeker niet als er óók belangen van de werknemer in het geding zijn.

Er moet dan ook een afweging komen tussen de belangen van de werkgever en die van de werknemer. Bij een gestolen apparaat lijkt de case evident: de telefoon is weg dus hoe maakt een remote wipe het dan erger? Maar wat nu als het toestel alleen maar kwijt is, en later teruggevonden wordt? Of als IT besluit vanwege een potentiële databreach álle BYOD apparaten te wipen (onder het motto: je weet maar nooit waar het heen gelekt is)?

Aansprakelijkheid van de werkgever is niet uit te sluiten bij fouten in zulke situaties, dus je moet daar écht goed over nadenken. Ik zou zeggen dat het eigenlijk alleen kan met toestemming van de werknemer of bij héle zware bedrijfsgeheimen die bij onthulling zulke grote schade opleveren dat de werknemer het verlies van zijn vakantiefoto’s en privéadministratie maar voor lief moet nemen. Maar misschien kan het wel alleen als de werkgever vervolgens het herstellen van die privégegevens vergoedt.

En het blijft me verbazen dat werkgevers als het om ICT gaan zúlke botte maatregelen invoeren onder het motto van “security”. In het kader van “breng je eigen aktetas” is er toch ook nooit de regel gesteld dat het bedrijf er een afstandbedienbaar explosief in mag aanbrengen voor het geval deze gestolen wordt?

Arnoud

Microsoft verbiedt Office op Windows RT voor werk

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 27 reacties

office-rt.pngWie een tablet met daarop Windows RT aanschaft, mag de Office RT-applicaties die daarop standaard aanwezig zijn, niet zomaar in zakelijke omgevingen gebruiken. Dat meldde Tweakers (ahh nieuw design). Eerder had ZDnet ontdekt dat de licentie inderdaad “use in commercial, nonprofit, or revenue-generating activities” verbiedt.

Handig bedacht van Microsoft, want ze weten dat mensen die tablets kopen, die graag meenemen naar het werk en daar in willen zetten als bring-your-own-device. En in dat geval behoort de device dus voor revenue-generating activities gelicentieerd te zijn.

Oké, dus de werkgever moet de duurdere versie aanschaffen. Maar wat nu als hij dat niet doet, bijvoorbeeld omdat hij niet doorheeft dat er mensen aan het byod’en zijn? Dan zou de BSA eens op de thee kunnen komen en leuke boetes kunnen claimen .

Als bedrijf heb je dan best een probleem. Maar dit afschuiven op je werknemer, oftewel de boete verhalen, kun je vergeten. De werknemer is naar de werkgever toe nooit aansprakelijk, tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid (art. 7:611 BW).

Of compleet niets met het werk te maken heeft, maar enkel “de werkgever gaf er geen opdracht toe” of “het was niet onder werktijd” is niet genoeg. Zo werd de werkgever aansprakelijk gehouden toen een groep werknemers bij een personeelsuitje lampolie op de barbecue gooiden, waardoor het partycentrum afbrandde

Dit geldt ook naar derden toe (art. 6:170 BW) – als een glazenwasser bij mij een vaas omschopt, is het bedrijf aansprakelijk voor mijn schade en niet die specifieke glazenwassende medewerker als persoon. Net zo is de werkgever aansprakelijk als een werknemer een auteursrecht schendt tijdens het werk.

Van opzet of bewuste roekeloosheid is zelden sprake. Je moet dan als werknemer concreet hebben gewéten dat je fout bezig was, maar bewijs dat maar eens als werkgever. Het negeren van instructies of waarschuwingen is dan ook nog eens niet per se genoeg:

Van bewust roekeloos handelen door Pollemans zou eerst sprake zijn, indien deze zich tijdens het verrichten van zijn onmiddellijk aan het ongeval voorafgaande gedraging, te weten het naast de aanwezige beveiliging lopen, van het roekeloos karakter van die gedraging daadwerkelijk bewust zou zijn geweest.’ Voor dat oordeel is niet voldoende, ‘… dat Pollemans van de zijde van Hoondert herhaaldelijk en in krachtige termen ervoor is gewaarschuwd niet bui­ten de steigerdelen te lopen.

Je vraagt je dan af wat wél genoeg zou zijn. Een reglement waarin gewoon staat “Werknemer is aansprakelijk bij BYOD” of “Alle schade door onjuiste licenties op een BYOD apparaat wordt verhaald op werknemer” is in ieder geval niet genoeg: de wet bepaalt dat een van de wet afwijkende afspraak alleen mag als de werknemer daarvoor verzekerd is (art. 7:661 lid 2 BW).

Het snelste ben je klaar als werkgever door gewoon die extra licenties te kopen. En dat is natuurlijk precies waar Microsoft op hoopt.

Arnoud<br/> PS: willen jullie allemaal even mijn broer Richard feliciteren? Hij is jarig vandaag 🙂

Aansprakelijk voor Bring your own device?

Geplaatst op in Ondernemingsvrijheid, 68 reacties

bring-your-own.jpgRegelmatig krijg ik vragen over het fenomeen “Bring your own device”. Het idee is kort gezegd dat je als werkgever toestaat dat werknemers hun eigen apparaten gebruiken op het werk of voor het werk, omdat die mensen zelf beter de spullen kunnen uitzoeken dan jij. Plus, ze gebruiken ze ook thuis dus je hebt meteen een handige thuiswerkregeling. Maar zoals dat gaat bij nieuwe ICT-dingen: iemand roept “mag dat eigenlijk wel” en de juridische vragen (en congressen à 699 euro) zijn niet van de lucht.

De vraag die ik over BYOD het meeste krijg, is “wie is aansprakelijk bij problemen”. Want dat lijkt de grootste angst te zijn: werknemers nemen smartphones vol met malware mee, ze zetten klantenlijsten op USB-sticks die ze kwijtraken in de Albert Heijn of ze gaan werken op een laptop met illegale software en dan zul je zien dat net dan de BSA zich aan de balie meldt. Graag zouden werkgevers daar de werknemer voor aansprakelijk houden, of hoe zit dat?

Werknemers aansprakelijk houden voor wat dan ook is juridisch erg moeilijk. De werkgever bepaalt hoe het werk wordt uitgevoerd en kan daarbij werkinstructies geven waar de werknemer zich aan moet houden. Voor ICT wordt dat vaak in een reglement of policy uitgewerkt. Het is daarbij een misverstand dat je dit moet accorderen of dat zulke regels in je arbeidsovereenkomst moeten staan. Het reglement bevat instructies over hoe het werk uit te voeren, en dat is gewoon de bevoegdheid van de werkgever.

Omdat de werkgever zo veel zeggenschap heeft, is hij dan ook in principe altijd de verantwoordelijke partij voor problemen. Zo bepaalt de wet dat de werkgever de “gereedschappen” waarmee het werk wordt gedaan, zo moet inrichten dat de werknemer daar redelijkerwijs geen schade door zou kunnen lijden. Dit geldt ook voor het bedrijfsnetwerk, en daarmee is de werkgever dus aansprakelijk als virussen of andere rommel het BYOD van de werknemer schade berokkent. Mits de werkgever redelijkerwijs had kunnen voorkomen dat deze schade zou optreden.

Omgekeerd is de werknemer naar de werkgever toe nooit aansprakelijk, tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid. Een laptop die ‘gewoon’ een virus heeft, is dus het probleem van de werkgever. Zou de werknemer opzettelijk malware loslaten, dan is hij natuurlijk wél aansprakelijk. Dit geldt ook naar derden toe – als een glazenwasser bij mij een vaas omschopt, is het bedrijf aansprakelijk voor mijn schade en niet die specifieke glazenwassende medewerker als persoon. Idem voor de klant die zijn geheime informatie verspreid ziet door een BYOD-gebruikende werknemer. Die klant kan alleen de werkgever aansprakelijk stellen.

Dit soort dingen zijn dwingend recht, dus je kunt er niet eenvoudig van afwijken met een ICT-reglement of “BYOD policy”. Niet dat dat veel bedrijven zal tegenhouden; reken maar dat er heel wat “BYOD is op risico werknemer” of “Werknemer is ten volle aansprakelijk voor alle schade die werkgever lijdt door onjuist ingezette BYOD middelen” clausules geschreven gaan worden de komende tijd.

Wie werkt er nu al met BYOD? Zijn er regels, of heb je een slimme werkgever die het gewoon technisch dichttimmert?

Arnoud