Ah, ik begreep het antwoord van Arnoud op de stelling al niet helemaal, maar vond het wel een erg interessant antwoord. Ik laat m'n nu off-topic vragen toch nog maar even staan (gequote hieronder), wie weet leidt het alsnog tot een discussie ;)

Abusievelijk was het antwoord van een andere vraag als antwoord geplaatst, dat is nu verholpen.

"Natuurlijk zitten er ook risico's aan, zowel technisch als juridisch. Een belangrijk juridisch risico is bijvoorbeeld dat het OS of software op zo'n tablet of ander eigen device niet per se voor zakelijk gebruik gelicentieerd is."

Wat dacht je van het plaatsen van bedrijfsinformatie op een device dat geen eigendom van de werkgever is. Je verliest op die manier als werkgever controle over je eigen bedrijfsinformatie, en bovendien kan je lastig een security policy afdwingen op apparatuur welke niet jouw eigendom is.

"Een belangrijk juridisch risico is bijvoorbeeld dat het OS of software op zo'n tablet of ander eigen device niet per se voor zakelijk gebruik gelicentieerd is. En het bedrijf is daarvoor verantwoordelijk, niet de werknemer. "

Mijn werkgever wordt verantwoordelijk voor software op mijn smartphone, wanneer ik mijn smartphone mee naar kantoor neem ? Volgens mij ben ik als eigenaar verantwoordelijk.

Tegenwoordig wordt er door leveranciers meer nagedacht over inzet in het bedrijfsleven dan voorheen. We hebben een paar jaar terug een test gedaan met een HTC S701 en de eerste iPhone. Je kunt vanuit Exchange verschillende regels in instellingen pushen die bijvoorbeeld stellen dat je een pincode moet opgeven en meer van dien.

Destijds slikte de iPhone het leeuwendeel van die regels niet zodat onze Security Officer de iPhone niet kon goedkeuren. Dit tot groot verdriet van de directie. Een jaar later had Apple het wel voor elkaar dus konden ze los met hun speeltjes.

Juist omdat je als bedrijf verantwoordelijk bent voor je data kun je niet blind je gebruikers toegang verschaffen tot bedrijfsdata op elk willekeurig apparaat wat dat toevallig kan. Het is ook makkelijk dat je overal bij je mail kan, maar als dat er toe leidt dat de hele wereld jouw bedrijfsmail kan lezen lijkt het me niet helemaal de bedoeling.

Elke idioot heeft tegenwoordig zo'n apparaat! Slechts enkelen kunnen er goed mee omgaan. Als het dan gaat om wie er uiteindelijk verantwoordelijk is, dan lijkt het me een goede zaak om niet al te snel toe te geven aan de grillen van de gebruiker.

"Steeds vaker zie je dat werknemers hun privé tablets of smartphones gebruiken voor werken in het bedrijf. Dit heet BYOD (Bring Your Own Device). Mag dat zomaar?"

Wettelijk gezien mag dat natuurlijk zonder meer. De wetgever heeft niets te zeggen over de vraag of jij al dan niet je tablet of smartphone mee mag nemen naar je werk.

Wat je ook in de gaten moet houden is wat gebeurt er met het device als hij gestolen dan verloren wordt? Heeft een bedrijf het recht om dan een remote wipe op het toestel los te laten? Het is nml. niet toegestaan om een device van een medewerker te wipen i.v.m. privacy wetgeving.

Dit zal dus eerst besproken moeten worden eer men BYOD kan doen.

Persoonlijk ben ik van mening dat de regels voor het meenemen van een eigen device binnen een bedrijfsomgeving en aansluiten op deze omgeving moet worden vastgelegd in regelgeving binnen het bedrijf zelf.

Op zich lijkt het altijd onschuldig dat mensen eigen devices meenemen, maar er zitten de nodige consequenties aan vast welke vele mensen ontgaan. Natuurlijk is ICT zodanig in te richten dat alles zo veilig is als het maar kan, maar niet ieder bedrijf heeft daar of de kennis niet voor of het geld niet voor.

Daarnaast zijn er een aantal complicaties:
1. Zit iemand te wachten op een bedrijfs beleid voor bijvoorbeeld pincode gebruik, automatisch wissen bij diefstal door de zaak op een "prive" device. "Prive" zegt al genoeg, dus wil je daar geen invloed op hebben vanuit de "zaak".
2. Zit een bedrijf te wachten op "prive" devices in hun lokale netwerk omgeving waarop zij geen controle hebben maar vol kan staan met virussen en andere gevaarlijke software. Lijkt mij niet.

Alleen al de bovenstaande punten maken het onmogelijk om "prive" devices toe te staan op het lokale netwerk anders dan deze devices te benaderen als "thuiswerkplek" en is alleen mogelijk om toegang secuur aan te bieden op een eigen "openbaar" netwerk binnen de bedrijfspanden en deze te behandelen als zijnde onveilig Internet.

Daarnaast moet men zich afvragen hoe mensen met data om gaan op zo een "prive" device. Zelf ben ik er voorstander van dat men een dergelijk device kan gebruiken als "domme terminal" om in te loggen op een "managed" omgeving zoals bijvoorbeeld een Citrix Desktop, waarbij het onmogelijk wordt gemaakt om data uit het netwerk te onttrekken anders dan schermafhandeling en lokaal opslaan van data bij beleid totaal af te schermen. Het zelde voor inbrengen van data, waarbij alleen muisafhandelingen en toetsenbord aanslagen zijn toegestaan.

Ik zou zelf als ICT'er namelijk ook niet verantwoordelijk willen zijn voor problemen die optreden doordat ik mijn "prive" in het netwerk van een klant heb gebruikt. Bijvoorbeeld een virus wat door mij niet opgemerkt is maar toch even een netwerk van een klant plat legt.

Daarnaast bestaat er ook nog iets anders wat veel mensen vergeten. Zakelijke data is eigendom van de zaak en de zaak is er verantwoordelijk voor. Zolang de zaak niet kan bepalen of de opslag veilig is en niet kan bepalen hoe een device is geconfigureerd en het "prive" device als "unmanaged" device wordt gebruikt is het gewoon een stricte "nee".

In de huidige wereld van "cloud" opslag, on-line services voor data, on-line archiveren van data (zoals SkyDrive, Google, DropBox etc.) zou ik als werknemer niet eens willen dat bijvoorbeeld een P&O medewerker gegevens over mij op een "prive" device heeft staan met alle risico's van dien dat het ook bij MS, Google, DropBox, Apple etc. terecht komt. Dat is namelijk voor mij persoonlijk een directe inbreuk in mijn prive. Daarnaast is het ook nog eens wettelijk zo dat een bedrijf er alles aan moet doen om te voorkomen dat informatie "ongeautoriseerd" bij derden terecht komt.

Daarnaast komt het geregeld voor dat er werknemers zijn welke "informatie" stelen, dooverkopen, etc. Het is natuurlijk kat op het spek binden en iemand de middelen geven om dit te vereenvoudigen door toe te staan "prive" devices te gebruiken om bedrijfs "informatie" op te slaan en mee te nemen uit de bedrijfsomgeving.

@ Wim-Bart : chapeau voor je betoog !

Helemaal mee eens.

"Wat je ook in de gaten moet houden is wat gebeurt er met het device als hij gestolen dan verloren wordt? Heeft een bedrijf het recht om dan een remote wipe op het toestel los te laten?"

Nee, het bedrijf heeft geen zeggenschap over het device. Men kan de werknemer verzoeken dat te doen, maar men kan hem niets verplichten. BYOD is mijns inziens overigens een policy waar je als werkgever niet aan moet beginnen vanwege beveiligingsproblemen, en waar je als werknemer niet aan moet beginnen omdat het enkel tot doel heeft om bedrijfskosten af te wentelen op de werknemer. Wil je werkgever dat je een smartphone of laptop hebt voor bedrijfsdoeleinden, laat hem dan ook de kosten betalen.

Langzamerhand begint er meer awareness te komen door onze discussies op security.nl; dat is ook mijn bedoeling. Zie : http://www.security.nl/artikel/38843/1/Bring_Your_Own_device%3A_een_goede_of_slechte_ontwikkeling%3F.html

Ik denk dat medewerkers, managers en andere verantwoordelijken inmiddels al begrepen hebben dat er meer bij komt kijken dan deze prive-gadgets klakkeloos op de bedrijfsnetwerken aan te sluiten, ook al denken sommige CEO's zelfs dat dit allemaal kan.

Wat te bedenken zullen klanten er van vinden dat dit gebeurt op hun omgevingen, clienten met hun privacy-gevoelige data en ga zo maar door. ik zie de juridische processen al voor mijn ogen: medewerker / BYOD -> bedrijf -> klant -> client

Bedrijven zouden in hun BYOD-protocollen clausules moeten opnemen dat bij onoordeelkundig gebruik, misbruik danwel het niet opvolgen van de ICT-bedrijfsregels mbt security de medewerker ten volle zal kunnen worde aangesproken voor de (gevolg-)schade die al snel in de tienduizenden euro's zal kunnen gaan lopen.
De medewerker zal zich graag hiervan willen vrijwaren, zeker als hij weet dat hij niet voldoende controle kan hebben over zijn eigen apparaat. Hij zal zich snel beroepen op ' Ich habe es nicht gewuszt'...

Door het gebruik van 'vreemde' BYOD's zullen de legale 'audit' goedgekeurde bedrijfsmiddelen worden ondermijnd.

Ik voorspel binnenkort, zodra deze BYOD-devices 'onvoldoende' gecontroleerd aan de netwerken van bedrijven worden gehangen,
er veel werk voor juristen zal komen en de tarieven in de markt voor consumenten, welke die diensten afnemen, daardoor weer duurder zullen worden. De voordelen zijn dan voor de bedrijven en de nadelen voor de consument/klant.

Bezint eer ge begint is mijn motto dan ook, hoe graag ik zelf ook (veel) met mijn Android aan het spelen ben.