Basiskennis dossier byod

Samengesteld door: Kim Wolters, Henny Brullemans


Definitie

De term BYOD is niet meer weg te denken uit het moderne bedrijfsleven. Met de opmars van het flexwerken is ook BYOD sterk gegroeid. BYOD staat voor de Engelse term Bring your own device. Breng je eigen apparaat mee (naar het werk). Vaak is het zo dat de middelen waar een werkgever over beschikt, beperkter zijn dan de middelen en apparaten waar een medewerker doorgaans de voorkeur aan geeft, en deze al dan niet privé aanschaft. De eigen apparaten voelen vertrouwd aan en zijn vaak voorzien van de laatste software en de nieuwste technologieën.

Facilitair

BYOD wordt steeds vaker gebruikt binnen organisaties. We leven in een digitaal tijdperk en vaak zijn de apparaten die medewerkers zelf in huis hebben voorzien van betere software en werken vaak sneller dan dat wat hun werkgever aanbiedt. BYOD maakt deel uit van het proces om te digitaliseren en moet worden ingepast in de bestaande informatiesystemen. De informatieveiligheid moet worden gewaarborgd. Het beheer van de systemen, de veiligheid van het gebruik van BYOD is een samenwerkingsproces tussen ICT en FM.

BYOD op de werkvloer

In plaats van nieuwe mobiele devices aan te schaffen, kun je ook gebruikmaken van de reeds bestaande capaciteit. Bijna elke volwassen Nederlander heeft tegenwoordig op zijn minst een smartphone, en in zeker de helft van alle huishoudens is tenminste één laptop of tablet voorhanden. Deze privé-devices kunnen met instemming van de medewerkers meestal ook prima worden ingezet voor professionele doeleinden.

Vanwege de kostenbesparingen en het gebruiksgemak is BYOD populair onder bedrijven. Volgens onderzoek door technologie analist Gartner zullen in 2017 de helft van alle bedrijven wereldwijd van hun personeel verlangen dat zij hun eigen mobiele devices voor werkdoeleinden gebruiken. Daarbij tekent de analist overigens wel aan dat het met name gaat om grotere bedrijven in Amerika, India, China en Brazilië.  Europese bedrijven sluiten vooralsnog achteraan in de rij aan.

Voor- en nadelen BYOD

Voordelen:

Kostenbesparing;
Medewerkers verzoeken hun privélaptop of –smartphone voor het werk te gebruiken, scheelt fors in de kosten. Zeker als ook het onderhoud en zelfs abonnementen en andere bijkomende kosten voor rekening van de medewerkers gaan. In Amerika is dat bij de helft van alle bedrijven die een BYOD-strategie hanteren zo geregeld. Volgens een recent onderzoek door netwerkreus Cisco kan een onderneming op deze manier duizenden euro’s per werknemer per jaar besparen.

Werknemer is vertrouwd met apparaat; 
het gebruik van eigen apparatuur heeft als groot voordeel dat de medewerker daar reeds vertrouwd mee is, en de ins en outs van het besturingssysteem kent. Er zijn dus minder of helemaal geen aanloopproblemen waarbij werknemers tijdelijk langzamer gaan werken of bedrijfsprocessen vastlopen omdat medewerkers problemen hebben met de besturing van hun mobiele device.

Laptop en smartphone hoeft weinig onderhoud; 
een werknemer die  zijn eigen devices gebruikt, kijkt waarschijnlijk ook veel nauwkeuriger naar de noodzaak van onderhoud, softwareupdates en vervanging. Met name bij telefoons stappen veel gebruikers om de twee jaar over op een nieuw exemplaar. Dat betekent dat ze altijd in staat zijn met de laatste apps en software te werken. Bovendien zullen mensen toch altijd iets netter omgaan met hun eigen spullen, dan met een laptop of smartphone van de zaak. Zeker bij gevoelige elektronische apparatuur is dat geen sinecure.

Nadelen:

Veel verschillende devices op kantoor; 
Belangrijk nadeel van BYOD is dat het voor de IT-afdeling een grotere uitdaging wordt alle verschillende devices te managen. Dat kan met name leiden tot grotere beveiligingsrisico’s. Voor elke soort en type telefoon die toegang moet krijgen tot het bedrijfsnetwerk moet de IT-afdeling immers aparte voorzieningen treffen. En dat aantal verschillende types en soorten devices loopt al snel op. Zo wordt het Android-besturingssysteem gebruikt door veel verschillende smartphone-fabrikanten, die het systeem allen op hun eigen manier hebben aangepast. Hoewel ze beiden Android gebruiken, hebben HTC en Samsung daar bijvoorbeeld hun geheel eigen softwarelaag overheen gelegd.  Elke variant kent daardoor ook zijn eigen specifieke uitdagingen op beveiligingsgebied. 

Juridische complicaties; 
De beveiligingscomplicaties leiden direct tot een ander probleem. In het geval van verlies, een virus of een datalek roept het gebruik van een eigen device namelijk ook juridische complicaties op. Wie is er bijvoorbeeld verantwoordelijk? En mag de onderneming zijn ict-beleid onverkort handhaven op deze privéapparaten? Belangrijke vragen, zeker als de werknemer gevoelige bedrijfsinformatie op zijn device heeft staan. Een van de mogelijke maatregelen in geval van diefstal is bijvoorbeeld het op afstand wissen van de inhoud.  

Gevolgen bedrijfsgeheimen en privéschade;
Het op afstand wissen van data kan echter problemen opleveren als het gaat om het privébezit van de betrokken medewerker. Kan die worden gedwongen mee te werken aan een maatregel waar hij mogelijk ook privéschade van zal ondervinden, bijvoorbeeld als privéfoto’s of andere content met (gevoels)waarde worden gewist. Omdat BYOD een relatief nieuw fenomeen is, bevinden dit soort vragen zich nog in een grijs juridisch gebied. Dat betekent dus ook een grotere kans dat de op het device opgeslagen bedrijfsinformatie in verkeerde handen valt.

Variërende kosten;
De hiervoor beschreven complicaties maken dat de daadwerkelijke besparingen van een BYOD-strategie soms aanzienlijk minder hoog uitvallen dan in eerste instantie is berekend. Daar komen nog talrijke aanvullende details bij. Komen bijvoorbeeld de belkosten ook geheel voor rekening van de medewerker, of draagt de werkgever die kosten deels of volledig? En kan de werkgever in dat geval dezelfde gunstige inkoopkorting realiseren als wanneer hij zelf voor alle medewerkers één deal maakt met de telefoonmaatschappij? Uiteraard hebben al dit soort overwegingen directe impact op initieel gerealiseerde besparing door BYOD.

Soorten

BYOD, Bring your own device; medewerkers kunnen onbeperkt hun eigen apparaten gebruiken. Maar daardoor is er wel een wildgroei aan deze apparaten gekomen. Bedrijven hebben hierdoor geen zicht meer op de beveiliging van (gevoelige) bedrijfsinformatie. Daarbij komt dat er juridisch gezien ook aan veel dingen gedacht moet worden. Het gescheiden houden voor de medewerker van werk en privé wordt door de komst van BYOD ook moeilijker.

CYOD, Choose Your Own Device; de organisatie stelt een x aantal apparaten beschikbaar waaruit de gebruikers kunnen kiezen. Hiermee kan eerder worden voldaan aan enkele beveiligingseisen en men krijgt snel inzicht in de kosten en baten. Bedrijven kunnen deze apparaten gemakkelijk zelf beveiligen en beheren. Doordat medewerkers niet hun eigen apparaten gebruiken, zal het gebruik van de apparaten ook voor zakelijk gebruik zijn.

COPE, Corporate-Owned, Personally Enabled;  de medewerker kiest in dit geval bepaalde apparaten uit. Dit gebeurt vaak door middel van een goedgekeurde lijst met verschillende apparaten welke de werkgever aanbiedt. Er zijn veel verschillende opties qua keuzemogelijkheden. Het is goed te budgetteren en werkgevers kunnen het apparaat gemakkelijk beveiligen en beheren. De werkgever vergoedt de aanschaf van het apparaat en men kan zowel zakelijk als privé gebruik maken van het gekozen apparaat.

Tips en tricks

BYOD is een goed idee, op voorwaarde dat u vijf valkuilen vakkundig afschermt.

1. Laat de deur niet wagenwijd openstaan voor apps; veel iPhone-bezitters bezoeken regelmatig de App Store en downloaden daar allerlei soorten apps die mogelijk data kunnen lekken, malware injecteren of de productiviteit van uw medewerkers onderuithalen. Hanteer een streng app-beleid: maken witte en zwarte app-lijsten en stel beperkingen in op knippen en plakken in apps. 

2. Wees een verstandige Big Brother; als u wil vermijden dat er gevoelige informatie naar de buitenwereld gelekt wordt, kan u niet anders dan BYOD-tablets en smartphones monitoren. Medewerkers houden er sowieso niet van dat de baas mee gluurt in hun persoonlijke apparaten. Probeer een balans te vinden tussen het recht van een bedrijf om te monitoren en controleren en de verwachtingen van de medewerker ten aanzien van privacy. Vraag uw medewerkers om geofencing alleen te activeren onder werktijd. Garandeer hen dat het checken van hun doen en laten buiten kantooruren en het lezen van persoonlijke e-mail en SMS niet aan de orde is.  

3. Draai niet op voor privégesprekken; hou spraak, SMS, data en roaming-gebruik in de gaten gehouden, en vermijd zo dat u de privé-gespreksrekeningen van uw werknemers moet betalen. Hou de kosten goed in de gaten en grijp tijdig in.  

4. Laat geen gekraakte telefoons of tablets toe; laat niet zomaar elk apparaat op het netwerk toe. Laat geen apparaten toe van obscure fabrikanten, want zo stelt u de organisatie bloot aan malware en virusaanvallen. Vertrouw op toestellen van bekende merken als Apple en Samsung en bekijk de rest met een kritische blik.  

5.Schrijf een goede en evenwichtige BYOD-policy; schrijf uw beleid ten opzichte van BYOD uit in een uitgebreide policy. Medewerkers moeten duidelijk weten wat wel en niet gecontroleerd wordt, welke apps risico opleveren, welke devices en besturingssystemen worden toegestaan, wat er qua privacy geregeld is en wat er gebeurt bij het verlies van apparatuur.

Wet-en regelgeving

Aanverwant met ICT recht zijn onder meer de volgende wetten, juridische leerstukken en NEN-normen van toepassing.

  • Auteurswet, Databankwet, Rijksoctrooiwet, de Wet op topografiën van halfgeleiders (microchips), EU richtlijnen over die onderwerpen.  
  • Telecommunicatiewet 
  • Wet Bescherming Persoonsgegevens – privacy-recht 
  • Het ‘Cybercrime verdrag’
  • Burgerlijk Wetboek o.a. over: 
    ·         ICT-aansprakelijkheid; broncode escrow; verpanding (6:162; 7:600, 3:236 ev BW)
    ·         contracten recht; verkoop op afstand (e-commerce) (7:46 a-j BW)
    ·         aansprakelijkheid in het electronisch rechtsverkeer (6:196 b BW)
    ·         diensten voor de informatiemaatschappij (3:15d en 6:196 c BW) 

Nen-normen

  • NEN-ISO/IEC 27001: Managementsystemen voor informatiebeveiliging 
  • Eisen - NEN-ISO/IEC 27002: Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging 
  • NEN-ISO/IEC 27005: Information security risk management 
  • NEN-ISO/IEC 27013: Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 
  • NEN 7510: Informatiebeveiliging in de zorg

Aanverwante dossiers

Arbo, Beveiliging, Beveiligingssystemen, Communicatie, Digitale informatievoorziening, Kantoorapparatuur, Informatiebeheer, Het Nieuwe Werken, Facilitaire inkoop, Ergonomie, Mobiliteit en Telecommunicatie