Juridische vraag: werkgever wil toegang tot mijn iPhone
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Twee weken terug was je ingegaan op Bring Your Own Device en met name wie daar verantwoordelijk voor was. Ik had een andere vraag: mag de werkgever eisen dat jij toegang geeft tot alle data op je BYOD wanneer je dat wilt gebruiken? Men zegt dat ze dit mogen doen vanwege de operationele security en dat ik op het werk geen privacy mag verwachten. Bovendien hóef ik niet aan BYOD mee te doen.
Antwoord: Vaste lezers kennen mijn mantra: ook op het werk heb je recht op privacy, en een werkgever mag dus niet zomaar jouw privémail, privébestanden of privéapparatuur doorzoeken. Dat geldt voor de bedrijfsmail op zijn eigen server, en dus ook voor de data op je BYOD.
Niet zomaar, want er kunnen goede redenen zijn. Als de werkgever die kan aantonen én de privacy wordt niet nodeloos geschaad, dan mag het. Zo mag een werkgever een collega in je mailbox laten als jij langdurig ziek bent, het werk moet immers door. Die collega moet wel uit de map "Privé" blijven, en als hij per abuis toch een privémail onder ogen krijgt dan moet hij zijn mond daarover houden. En bij vermoedens van misstanden mag men de mailbox doorzoeken, waar dan ook weer protocollen aan vast kunnen zitten, maar dat is iets voor een andere keer.
Bij BYOD klinkt het redelijk om te zeggen "we moeten de security policies handhaven dús gaan we al je privédata doorsnuffelen" maar dat is het niet. Waarom moet dat? Hoezo meteen alles en zonder enige specifieke aanleiding? "Vanwege de security" is hierin net zo'n vage opmerking als "vanwege het bedrijfsbelang" en met dat laatste kom je écht niet weg bij de rechter.
Wél kan ik me voorstellen dat men extra software zou willen installeren (of eisen dat je dat zelf installeert) alvorens het device als BYOD geaccepteerd wordt. Een adequate firewall of een monitording dat oplet dat er geen bedrijfsdata lekt, lijkt me juridisch geen probleem. Er is immers nooit sprake van privacyschending als alleen een stuk software monitort en naar jou toe piept dat je iets niet goed doet. Software die naar de baas piept, dat is een privacyprobleem.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Heb het al een paar keer gezien zowel echt weg als toch weer gevonden. In het laatste geval zijn alle foto's van de baby weg.
En hoe zit het met toegang door huisgenoten (niet af te dwingen)?
Diezelfde monitoring tool zal dan waarschijnlijk ook prive data monitoren die vanaf datzelfde device verstuurd wordt, en waarbij de privacy wel degelijk in het geding is. Wat dat betreft is je conclusie volgens mij twijfelachtig. Hoe zit het dan met een prive apparaat dat je thuis (ook) voor zakelijke doeleinden gebruikt.
Mag ook dat device volgens jou in monitoring worden opgenomen om te controleren dat je geen bedrijfsdata lekt ? En is je uitspraak enkel van toepassing op het moment dat je apparaat gekoppeld is aan het bedrijfsnetwerk, of ook wanneer je deze 's avonds thuis gebruikt ? Immers kan het lekken van data gebeuren op het moment dat het device niet aan het bedrijfsnetwerk hangt.
Volgens mij is de hele BYOD hype vanuit beveiligingsperspectief ongewenst, omdat daarmee bedrijfsdata per definitie staat op apparaten die geen eigendom zijn van het bedrijf, en waarover je uiteindelijk geen controle hebt. Verder kan je een werknemer lastig verbieden om zaken die je op zijn prive device hebt gezet te deinstalleren, omdat het prive eigendom is en blijft.
Het feit dat de werkgever uit kosten besparing de werknemer aanmoedigt om hardware te kopen die vervolgens gebruikt worden voor zakelijke doeleinden maken de werkgever niet tot (mede-) eigenaar van het device.
Waarom vinden mensen de botste middelen ineens volstrekt akkoord als het gaat om digitale situaties?
Frans.
@Anoniem 14:11 Inderdaad, hoewel een beetje schroevendraaier elke consumenten-grade koffer openkrijgt.
en thuis NIET aan het prive netwerk hangen.
immers, er kan software opstaan die je LAN kan doorzoeken, paranoide, mischien.
zo heb ik jaren een GSM gehad zonder dat mijn werkgever mijn nummer had, als hij wilde dat ik voor het bedrijf berijkbaar was, moest hij me maar een toestel geven.
Een werkgever mag eisen stellen aan de gereedschappen die je gebruikt om je werk te doen, of die gereedschappen nou eigendom zijn van de werkgever of werknemer. Zeker in het geval je bedrijfseigendom (gegevens) op dat gereedschap zet.
Het controleren van het bedrijfseigendom kan effect hebben op het prive gebruik, dat geldt trouwens ook voor de PC op je werkplek die je gebruikt voor prive doeleinden.
Als deze besmet raakt met een virus kan de werkgever besluiten de PC volledig te wissen om verdere verspreiding te voorkomen. Als het eerst veiligstellen van prive data geen redelijke optie is dan ben je je prive data kwijt.
Dat zelfde geldt voor een bank die uitgaande emails controleert op rekening gegevens. Als je een prive mail verstuurt met rekening gegevens zal het content monitoring systeem daarvan ook een alert naar beveiliging sturen. Zolang de werkgever dat monitoren vooraf heeft gemeld is het een acceptabele bijwerking van de beveiligingsmaatregelen.
Mits je als medewerker bij BYOD de keuze hebt wel of niet mee te doen en de werkgever de consequenties van deelname goed communiceert kan ook hier de automatische controle op informatie en het van afstand wissen bij verlies resulteren in een aantasting van de persoonlijke levernssfeer als bijwerking van beveiligingsmaatregelen geaccepteerd zijn. Het is in dat geval de medewerker die deze bijwerkingen vrijwillig accepteert.
Als de werknemer vanwege de strakke beveiligingseisen voor bepaalde informatie totaal geen verwachting van privacy mag hebben op zijn eigen device dan hoort dat soort informatie niet in een BYOD thuis.
Daarbij komt dat een bedrijf dit vaak niet zo hoog zal laten opspelen omdat imagoschade hier ook een rol kan gaan spelen.
Frans.
Is informatie waardevol, of moet het voldoen aan een wetgeving (WBP), dan dient het transport veilig en controleerbaar te zijn. Zelfs zonder aanleiding moeten er steekproeven mogelijk zijn.
Dus, als het bedrijf toegang eist tot je BYOD om zo controle te houden op de naleving van hun policies, dan hebben ze daar het volste recht toe. Ben je het daar niet mee eens, gebruik apparatuur van je werkgever, niet je eigen ... en gebruik het niet prive als privacy belangrijk voor je is ... net zo belangrijk als de privacy van de informatie die je op je eigen device hebt gezet.
Bij BYOD mis ik die proportionaliteit. Ja, je mag je eigen apparaat meenemen en gebruiken, maar oh wacht we gaan wél het volle arsenaal botte IT-middelen inzetten om dat apparaat te managen. En heus niet alleen bij bedrijven die staatsgeheimen moeten beheren; nee ik zie het ook bij de meest triviale data en toepassingen.
Als je als werkgever zó veel controle wilt uitoefenen op wat werknemers met hun hulpmiddelen doen, dan moet je je echt afvragen of je BYOD wel wilt. BYOD impliceert minder controle, net zoals je minder controle hebt op de presentatie van je mensen als je iedereen toestaat om zelf zijn kleding uit te zoeken.
Ik heb dus grote moeite met veel controle én BYOD, omdat ze principieel niet te verenigen zijn. Je zet mensen op het verkeerde been op die manier. Je kunt niet enerzijds mensen hun eigen tassen laten meenemen en anderzijds het recht bedingen deze op afstand op te kunnen blazen als je vermoedt dat er geheimen mee naar buiten gesmokkeld worden. Geef ze dan inderdaad een stalen koffer van het werk en laat ze hun boterhammen apart vervoeren.
@rookie: Dat mag, zolang het werk er niet onder lijdt. Een goed werkgever heeft te accepteren dat er enige privéactiviteiten onder werktijd gebeuren, net zoals een goed werknemer moet accepteren dat hij soms onbetaald overwerkt of in het weekend iets uitzoekt.
Verder spelen de verwachtingen een grote rol. Als jij privacy mag verwachten (zeg, op de wc) dan mag de werkgever daar niet doorheen, ook niet met een zwaarwegend bedrijfsbelang (zeg, filmen op de wc omdat er wel eens gestolen wordt en men denkt dat dit op de wc in de kleding wordt verstopt). Je zult als werkgever eerst die privacyverwachting moeten reduceren.
Bij BYOD is de verwachting dat je met je eigen apparatuur werkt, en in de eigen omgeving is privacy sterk. De werkgever kan dus niet zomaar op die eigen apparatuur maatregelen treffen, net zo min als ze in jouw huis beveiligingsmaatregelen mogen treffen. (Ergenisje als werkgever: ik moet wél zorgen dat mijn mensen een ARBO-werkplek thuis hebben maar ik mag níet kijken of ze die werkelijk gebruiken.) Dus je komt er niet met "ik heb een zwaar bedrijfsbelang en daarom installeer ik spy/wipe-ware op je BYOD".
Juridisch is het dus geen optie dat "men gebruikt toch privé middelen en accepteert dat wanneer het fout gaat dat zij gestraft kunnen worden door het bedrijf". Men kan niet gestraft worden als men mocht denken dat privémiddelen mochten worden gebruikt (de HR-dame die vrolijk roept "jaa wij zijn hip en we doen BYOD") en daarna blijkt dat het fout ging. De werkgever kan op grond van de wet de werknemer niet aanspreken op schade of slecht werknemerschap. Dat mag je scheef vinden maar juridisch is het echt zo.
Wil je als bedrijf dus BYOD invoeren, dan móet je rekening houden met lekken en gebrekkige beveiliging. Wil je daar maatregelen tegen nemen dan móet je evalueren hoe zich dat verhoudt tot de privacy van de werknemer.
Dus dat betekent dat ALLE data gewist kan worden, inclusief je privéfotos, apps, contacten, en natuurlijk ook je bedrijfsmail en bedrijfsapplicaties.
Dit geldt voor ALLE smartphones.
BlackBerry toestel managed door een BlackBerry Enterprise Server hebben vanaf een bepaald OS niveau (OS 7 meen ik) de optie voor het wipen van enkel Organizational Data. In dit opzicht (BYOD) een sterk punt.
Zodra een gebruiker zijn telefoon met Exchange laat verbinden heb je als Exchange beheerder de volledige controle over de telefoon. Via policies kun je instellen wat wel en niet mag. Als ik wil dat mijn collega's de camera niet meer kunnen gebruiken, is dat binnen een paar minuten in te stellen.
Veel gebruikers laten de telefoon door een IT medewerker instellen en krijgen de melding nooit te zien. Ze hebben dan ook geen idee dat de werkgever de complete controle over de telefoon heeft.
Het op afstand leeg maken van een toestel hebben we getest met zowel iPhone, Android en Blackberry en dat werkt heel goed.
Het is wel een lastig punt als iemand uit dienst gaat. Als werkgever wil je niet dat zo'n iemand alle contacten en mails mee neemt. Het leeg maken van een prive toestel is iets wat je ook liever niet doet. Daar zouden eigenlijk afspraken/contracten voor moeten zijn maar ik ken geen enkel (MKB) bedrijf wat daar afspraken over maakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
