Bring Your Own Device
BYOD staat voor Bring Your Own Device en heeft betrekking op privé smartphones, tablets en laptops die door je personeel gebruikt worden voor zakelijke doeleinden.
Voordelen BYOD
Voor je bedrijf heeft het verschillende voordelen om je personeel een eigen apparaat te laten gebruiken:
- je hebt minder kosten wat betreft aanschaf, installatie en onderhoud van het apparaat
- je personeel is al bekend met het apparaat
- je personeel gaat voorzichtiger om met het apparaat met minder onderhoud en minder kans op schade of diefstal tot gevolg
Nadelen BYOD
Uiteraard brengt een beleid van BYOD ook nadelen met zich mee:
- er zijn binnen je bedrijf veel verschillende apparaten; dit brengt meer veiligheidsrisico's met zich mee omdat je voor elke soort en type apparaat aparte voorzieningen moet treffen
- de geschatte besparing op bedrijfskosten bij BYOD is niet altijd duidelijk aangezien de kosten zeer variabel zijn
- zakelijk en privé gebruik van de apparaten gaat door elkaar lopen waardoor privé en werk niet makkelijk meer te onderscheiden zijn
- je bedrijfsgegevens zijn minder veilig afgeschermd
Voor deze 2 laatste nadelen kan Mobile Device Management (MDM) overigens uitkomst bieden. MDM is software waarmee je alle mobiele apparaten binnen je bedrijf centraal beheert. Daar komt bij dat je in het geval van BYOD controle houdt over het privé apparaat waar de zakelijke applicatie op staat. Hierdoor kunnen bedrijfsgegevens niet buiten de grenzen van het afgeschermde netwerk terechtkomen. Zo kan een toegangscode voor het netwerk worden ingesteld, waardoor werk en privé meer gescheiden blijven.
Wie is aansprakelijk bij datalek, virus of verlies?
Ondanks dat je personeel met BYOD apparatuur voorzichtiger omgaat, blijft er natuurlijk een risico bestaan op schade. Het kan dan gaan om interne schade als een computervirus, externe schade aan het apparaat of zelfs verlies. Dan rijst de vraag wie daar verantwoordelijk voor is. Je werknemer is pas aansprakelijk om schade aan de apparatuur te vergoeden als er sprake is van opzet of bewuste roekeloosheid. In andere gevallen ligt de aansprakelijkheid bij jou als werkgever.
De reden hiervoor is dat jij bepaalt welke werkzaamheden je werknemer uitvoert en hoe hij dat moet doen. Jij hebt hierbij de plicht om hem te voorzien van de juiste voorzieningen om zijn werk veilig uit te voeren. Hieruit volgt dat de schade wel moet zijn ontstaan tijdens de uitvoering van de werkzaamheden, wil jij verantwoordelijk zijn. Dit is dus niet het geval als een laptop van een medewerker een virus oploopt door het downloaden van illegale software.
Eisen stellen aan BYOD
Maakt je personeel gebruik van eigen apparatuur, zorg dan voor een eenduidig BYOD beleid. Er is namelijk niet echt een wettelijke basis voor. Zo adviseren we in ieder geval duidelijk aan te geven:
-
wat voor soort apparaten je personeel mag gebruiken
-
voor welke doelen of werkzaamheden de apparaten gebruikt mogen worden
-
welke eisen je stelt aan de aan de beveiliging van het apparaat, zeker als een medewerker met vertrouwelijke bedrijfsinformatie te maken krijgt
Verdergaande maatregelen zoals het monitoren of wissen van data op de apparaten, zijn in de praktijk een stuk lastiger te realiseren. Monitoring van een werknemer is in verband met het recht op privacy normaal gesproken niet zomaar toegestaan. Het monitoren moet namelijk beperkt blijven tot wat strikt noodzakelijk is. In de praktijk betekent dit dat controle van wat je werknemer via zijn apparaat doet zoveel mogelijk anoniem moet gebeuren. Daarnaast gelden nog de volgende voorwaarden, waardoor monitoring in de praktijk niet snel mogelijk is:
- je moet een legitiem doel hebben en het belang van dit doel moet zwaarder wegen dan het privacybelang van je werknemer
- er zijn geen andere manieren om dit doel te bereiken die minder ingrijpend zijn voor de privacy van je werknemer
- je informeert je werknemer vooraf over de controle, hoe die controle plaatsvindt en wat je wel en niet mag controleren
- je houdt rekening met het recht op vertrouwelijke informatie bij de controle van mail
- je vraagt vooraf instemming aan de ondernemingsraad, indien die er binnen je organisatie is
Tip: selectief BYOD
Of je wel of niet BYOD binnen je organisatie wilt hanteren, hangt niet alleen af van de voor- en nadelen ervan tegen elkaar af te wegen. Zo kun je er ook voor kiezen om het alleen voor bepaalde werknemers te laten gelden, namelijk die medewerkers die maar voor een korte periode aan je organisatie zijn verbonden. Denk hierbij aan een oproepkracht, stagiair of ZZP’er. Bovendien zijn er ook alternatieven voor BYOD.
Alternatieven voor BYOD: CYOD en COPE
Vind je dat er aan een BYOD beleid nog teveel risico's kleven, dan zijn er 2 alternatieven die je in de praktijk tegenkomt: CYOD (Choose Your Own Device) en COPE (Corporate Owned, Personally Enabled). Met CYOD kiest je personeel uit een vooraf bepaalde selectie apparaten die je samen met IT bepaalt. Hierdoor wordt de werkdruk van het device management verlaagd en kun je hogere veiligheidsmaatregelen treffen. Wel betaal je zelf de aanschafkosten.
COPE is een soort mix van BYOD en CYOD waarbij je personeel zelf een apparaat kiest dat aan hun eisen en voorkeuren voldoet, maar jij neemt de kosten ervan voor je rekening. Je mag daarbij eisen stellen zoals bepaalde modellen of technische prestaties, maar je mag geen restricties opleggen over privé gebruik.
De wet is complex en verandert vaak. Vraag een advocaat voor juridisch advies.