image

Juridische vraag: mag bedrijf privéapparaat op afstand wissen?

woensdag 25 september 2013, 10:23 door Arnoud Engelfriet, 36 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Steeds meer bedrijven hebben regels over Bring your own device (BYOD). Een opvallende regel daarbij is het op afstand mogen schoonvegen van verloren of gestolen mobiele apparaten. Begrijpelijk voor het bedrijf, maar mag een bedrijf dit eigenlijk wel doen bij privéapparaten?

Antwoord: Een werkgever mag in principe eenzijdig regels stellen over hoe het werk moet worden uitgevoerd, en wat hij van de werknemer verwacht op de werkvloer en in de omgang met collega’s (art. 7:660 BW). Zo mag de werkgever eisen dat je een stropdas draagt of dat alleen de PR-mensen mogen praten met de pers.

ICT-reglementen zijn meestal op deze instructiebevoegdheid gebaseerd, en dat is dus legaal (ook zonder dat je ervoor getekend hebt) mits men maar binnen de grenzen van de wet blijft. Daarbij is de redelijkheid een belangrijke grond. Meer algemeen zijn er nog de grenzen vanuit privacy en de godsdienstvrijheid, denk aan een verbod op hoofddoekjes of een eis dat je aan het lichaam wordt gefouilleerd na elke werkdag. Deze zijn niet hard, maar vereisen wel een stevige motivatie - de werkgever moet niet anders kúnnen dan de privacy schenden of verwijdering van het hoofddoekje eisen.

De vraag is dus: is het rédelijk, beter gezegd is het nou écht nodig dat de werkgever zegt “we wissen je BYOD apparaat als deze gestolen wordt”? Natuurlijk, hij heeft een belang om bedrijfsdata te beschermen maar niet elke maatregel die dat belang dient, is toegestaan. Zeker niet als er óók belangen van de werknemer in het geding zijn. Kan dat echt niet een onsje minder?

Er moet dan ook een afweging komen tussen de belangen van de werkgever en die van de werknemer. Bij een gestolen apparaat lijkt de case evident: de telefoon is weg dus hoe maakt een remote wipe het dan erger? Maar wat nu als het toestel alleen maar kwijt is, en later teruggevonden wordt? Of als IT besluit vanwege een potentiële databreach álle BYOD apparaten te wipen (onder het motto: je weet maar nooit waar het heen gelekt is)?

Aansprakelijkheid van de werkgever is niet uit te sluiten bij fouten in zulke situaties, dus je moet daar écht goed over nadenken. Ik zou zeggen dat het eigenlijk alleen kan met toestemming van de werknemer of bij héle zware bedrijfsgeheimen die bij onthulling zulke grote schade opleveren dat de werknemer het verlies van zijn vakantiefoto’s en privéadministratie maar voor lief moet nemen. Maar misschien kan het wel alleen als de werkgever vervolgens het herstellen van die privégegevens vergoedt.

En het blijft me verbazen dat werkgevers als het om ICT gaan zúlke botte maatregelen invoeren onder het motto van “security”. In het kader van “breng je eigen aktetas” is er toch ook nooit de regel gesteld dat het bedrijf er een afstandbedienbaar explosief in mag aanbrengen voor het geval deze gestolen wordt?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (36)
25-09-2013, 10:40 door Anoniem
Ik vind dat er ook wel een blame ligt bij de fabrikanten van de devices.
Zij zijn er mee gekomen dat het hele apparaat (en alleen het hele apparaat) gewiped kan worden.
De bedrijven maken alleen maar gebruik van die functionaliteit omdat die er is.

Als men dit beter wil aanpakken dan moeten eerst de fabrikanten komen met selectiever wipen.
Bijvoorbeeld als er een mailaccount van een bedrijf op de telefoon geinstalleerd is (met bijbehorende caching van
berichten) dan wil ik best het bedrijf toestemming even om dat hele account te wipen.

Maar niet de andere (prive) gegevens op de telefoon. Dat gaat te ver.
Ik begreep dat er tegenwoordig wel oplossingen zijn waarbij dit wel mogelijk is.
25-09-2013, 10:47 door Anoniem
Wat mij blijft verbazen dat je je werkgever uberhaupt de mogelijkheid geeft om iets te wipen. Eisen ze dat? Nou, dan geef je me ook het device maar. Werkgevers hebben niks op devices die JIJ gekocht hebt te zoeken.
25-09-2013, 11:03 door D0rus - Bijgewerkt: 25-09-2013, 11:04
25-09-2013, 11:04 door Preddie
Helder stuk Arnoud, dank daarvoor

Ik denk dat vanuit security perspectief BYOD het liefst buiten de deur wil houden. Op juridisch vlakken zitten er zoveel haken en ogen aan het een werkgever, dat het risico niet in overeenstemming is met de eventuele winst van BYOD (als deze er überhaupt is).

Wat ik zelf merk is dat veel werkgevers zich niet eens bewust zijn van de risico's die BYOD met zich mee brengt, bijv. een werknemer die illegale software op zijn machine heeft staan die hij voor zijn werk gebruikt. Of een werknemer die zegt dat zijn machine beschadigd is door toedoen van het bedrijfsnetwerk.....
Wie is er aansprakelijk als de werknemer door zijn werk niet of niet goed kan doen omdat hij eigen device niet aansluit bij die van het bedrijf? Moet de werkgever dit faciliteren?

Met eigen uitgegeven apparatuur loop je minder juridisch risico, heb je meer rechten en mogelijkheden als werkgever en beheerder en kunnen gebruikers gewoon direct ondersteuning verwachten van het beheer. BYOD is na mijn idee niks meer dan een commerciële hype die wordt voorgetrokken door partijen die producten verkopen om BYOD mogelijk te maken, ik ben tot nu toe geen enkele organisatie tegengekomen die aantoonbaar kan maken dat BYOD hen meer oplevert.....
25-09-2013, 11:15 door schele
Tja, via Microsoft exchange toepassing op android koppeling maken met werk account geeft op de smartphone vaak al de vraag "geef toestemming voor de volgende rechten van de account" en daar staat dan bij dat alles remote gewiped kan worden.
Is dat dan voldoende, wetende dat de helft van de mensen het niet leest?
25-09-2013, 11:16 door Anoniem
Je zou haast zeggen dat BYOD wellicht toch niet zo'n supergeweldig ideetje is.
25-09-2013, 12:04 door Anoniem
Ik vind dit verhaal nogal onzin.

Want hoe komt een werkgever er achter of een apparaat van een werknemer kwijt of gestolen is?
Antwoord: dit wordt gemeld door de werknemer zelf, dus die neemt zelf het initiatief om het te melden.
Als hij niet wil dat het apparaat gewiped wordt, dan meld hij het toch niet aan de werkgever...

Overigens kan een gebruiker zelf ook via OWA zijn apparaat wipen (als die weg is).
25-09-2013, 12:07 door Anoniem
interessant wordt het wanneer er geen sprake is van verlies, maar van ontslag....

Mag een werkgever het device wissen van een mederwerker die uit dienst gaat?
25-09-2013, 12:47 door Anoniem
Een ander potentieel probleem dat ik wel eens hoor is dat het bedrijf de telefoon van een ex-medewerker wil wissen voor het geval hij stiekum gegevens mee heeft gesmokkeld. Waar je dan vroeger bij het verlaten van het kantoor van je chef je bedrifjstelefoon moest inleveren, geeft de chef nu opdracht aan de IT afdeling om de telefoon te wissen.

Ik denk dat vanuit security perspectief BYOD het liefst buiten de deur wil houden.

Deze angst zie ik voornamelijk bij bedrijven die alles aan de deur willen blokkeren en denken dat er nog niets onveiligs in hun interne netwerk zit. Je moet er tegenwoordig gewoon vanuit gaan iedere machine gevaarlijk kan zijn en je beveililging daar op instellen.

ik ben tot nu toe geen enkele organisatie tegengekomen die aantoonbaar kan maken dat BYOD hen meer oplevert.....

Het klopt dat het zeer lastig om zoiets aan te tonen. Wat ik bij ons zie is dat gebruikers veel eerder geneigd zijn om tijdens woon-werk verkeer, in bijvoorbeeld de trein, toch nog even de laatste mailtjes te behandelen omdat ze het toestel op dat moment toch gebruiken om alvast wat prive zaken voor te bereiden voor als ze straks thuis zijn.

Andere medewerkers voelen zich prettiger met hun eigen device dan het (vaak zeer oude) apparaat dat hun baas hen levert. Het is niet voor niets dat heel veel mensen per ongeluk hun iPhone in de toilet laten vallen zodra er een nieuw type op de markt komt (dat laatste is trouwens wel met cijfers aan te tonen). Men is veel zuiniger op eigen devices. Daarnaast heeft het bedrijf natuurlijk de kosten voor die devices niet.

Een initiele kostenpost is wel vaak het opzetten van de webapplicaties conform (open) standaarden. Als je maar een type device hebt, kun je daar op programmeren en hoef je geen rekening te houden met andere browsers e.d. Maar waar dat toe leidt, kun je zien met het IE6 debacle. Of Java 6, zoals bij ons. Oracle ondersteunt op de eigen webapplicaties nog geen Java 7 dus moeten we ervoor proberen te zorgen dat men niet met Java 6 naar buiten gaat.

Die initiele kostenpost is weg als je de leverancier van de devices plotseling besluit open standaarden te gaan ondersteunen i.p.v. die van zichzelf.

Peter
25-09-2013, 13:27 door User2048
Door Anoniem: Wat mij blijft verbazen dat je je werkgever uberhaupt de mogelijkheid geeft om iets te wipen. Eisen ze dat? Nou, dan geef je me ook het device maar. Werkgevers hebben niks op devices die JIJ gekocht hebt te zoeken.
In dat geval heb jij met je privé-device ook niets te zoeken op het netwerk van je werkgever. Inderdaad is het dan de beste oplossing dat je baas jou een apparaat ter beschikking stelt.
25-09-2013, 13:34 door Anoniem
"Er moet dan ook een afweging komen tussen de belangen van de werkgever en die van de werknemer. Bij een gestolen apparaat lijkt de case evident: de telefoon is weg dus hoe maakt een remote wipe het dan erger?"

Ik zie niet in wat dat uitmaakt. Het is *mijn* device, dus indien deze gestolen wordt bepaal *ik* of er een remote wipe plaats vind. Indien mijn werkgever dat wil bepalen dat zou ik zeggen - Bring Your Own Device instead of Mine.

"ICT-reglementen zijn meestal op deze instructiebevoegdheid gebaseerd, en dat is dus legaal (ook zonder dat je ervoor getekend hebt) mits men maar binnen de grenzen van de wet blijft."

De baas kan van alles en nog wat in zijn ICT regelement zetten, dat doet niets af aan de zaak dat hij niet gaat over de vraag wat er met mijn device gebeurt. De inhoud van dat regelement is volslagen irrelevant.

"De vraag is dus: is het rédelijk, beter gezegd is het nou écht nodig dat de werkgever zegt we wissen je BYOD apparaat als deze gestolen wordt ?"

Nee, ik zou wel de toezegging willen geven dat *ik* mijn device wis indien deze gestolen wordt indien er bedrijfsinformatie op zou staan. De afspraak maken dat je een remote wipe doet, wil niet zeggen dat je het uitvoeren daarvan uit handen hoeft te geven.

"Ik zou zeggen dat het eigenlijk alleen kan met toestemming van de werknemer of bij héle zware bedrijfsgeheimen die bij onthulling zulke grote schade opleveren dat de werknemer het verlies van zijn vakantiefoto’s en privéadministratie maar voor lief moet nemen. "

Waarom kijk je niet naar de vraag wie een remote wipe uit moet voeren, afgezien van de vraag of deze moet worden uitgevoerd ?
25-09-2013, 13:36 door User2048
Een betere oplossing vind ik CYOD (Choose your own device). De werkgever stelt het device als bedrijfsmiddel ter beschikking, maar biedt de werknemer wel de keus uit een aantal smaken. Zo kan de werknemer kiezen of hij een iPhone of een Galaxy wil, maar blijft het device eigendom van de werkgever.
25-09-2013, 13:47 door Preddie
Door Anoniem: Ik vind dit verhaal nogal onzin.

Want hoe komt een werkgever er achter of een apparaat van een werknemer kwijt of gestolen is?
Antwoord: dit wordt gemeld door de werknemer zelf, dus die neemt zelf het initiatief om het te melden.
Als hij niet wil dat het apparaat gewiped wordt, dan meld hij het toch niet aan de werkgever...

Overigens kan een gebruiker zelf ook via OWA zijn apparaat wipen (als die weg is).

Dit is vrij simpel, als je baas je om maandag ochtend probeert te bereiken en krijgt jou na veelvuldig bellen niet alleen de lijn wil hij natuurlijk wel graag weten wat daar de reden van is.

Als je zelf een andere simkaart regelt en vervolgens je toestel aanmeld op een MDM-server kunnen daar alle alarmbellen gaan rinkelen omdat je dat kunt detecteren. Ik denk dat het moeilijker is dan gedachte om een dergelijk verlies voor de werkgever verborgen te houden, in sommige organisatie wordt dit gezien als het bewust niet melden van een beveiligingsincident. In specifieke situaties kan dit zelfs leiden tot consequenties op het arbeidscontract.
25-09-2013, 14:13 door Preddie
Door Anoniem:
Ik denk dat vanuit security perspectief BYOD het liefst buiten de deur wil houden.

Deze angst zie ik voornamelijk bij bedrijven die alles aan de deur willen blokkeren en denken dat er nog niets onveiligs in hun interne netwerk zit. Je moet er tegenwoordig gewoon vanuit gaan iedere machine gevaarlijk kan zijn en je beveililging daar op instellen.

Dit is geen angst, maar reële werkelijk gebaseerd op cijfers uit het verleden. Geen enkel intern 100% veilig, dit kan ook niet, maar je mag er logischerwijs vanuit gaan dat op een intern netwerk met bekende en beheerde stations de risico's kleiner zijn dan wanneer je hier geen controle op uit kan oefenen. Zoal je al aangeeft kan iedere machine gevaarlijk zijn, echter schat ik in dat het risico lager is bij een machine die door opgeleide beheerders wordt beheert, waarbij je je eigen security beleid kunt voeren en afdwingen en vervolgens ook nog de mogelijkheid hebt om dit steekproefgewijs te controleren middels audits.
Wanneer je je beveiliging moet instellen op 100 verschillende gebruikers, met verschillende hardware en verschillende OS zullen exponentieel de kosten voor je beveiliging oplopen en de uitdaging tot compatibiliteit steeds groter worden. De diversiteit kans als voordeel worden gezien, echter door het gebrek aan degelijk beheer is dit relatief.


ik ben tot nu toe geen enkele organisatie tegengekomen die aantoonbaar kan maken dat BYOD hen meer oplevert.....

Het klopt dat het zeer lastig om zoiets aan te tonen. Wat ik bij ons zie is dat gebruikers veel eerder geneigd zijn om tijdens woon-werk verkeer, in bijvoorbeeld de trein, toch nog even de laatste mailtjes te behandelen omdat ze het toestel op dat moment toch gebruiken om alvast wat prive zaken voor te bereiden voor als ze straks thuis zijn.

Andere medewerkers voelen zich prettiger met hun eigen device dan het (vaak zeer oude) apparaat dat hun baas hen levert. Het is niet voor niets dat heel veel mensen per ongeluk hun iPhone in de toilet laten vallen zodra er een nieuw type op de markt komt (dat laatste is trouwens wel met cijfers aan te tonen). Men is veel zuiniger op eigen devices. Daarnaast heeft het bedrijf natuurlijk de kosten voor die devices niet.

Een initiele kostenpost is wel vaak het opzetten van de webapplicaties conform (open) standaarden. Als je maar een type device hebt, kun je daar op programmeren en hoef je geen rekening te houden met andere browsers e.d. Maar waar dat toe leidt, kun je zien met het IE6 debacle. Of Java 6, zoals bij ons. Oracle ondersteunt op de eigen webapplicaties nog geen Java 7 dus moeten we ervoor proberen te zorgen dat men niet met Java 6 naar buiten gaat.

Die initiele kostenpost is weg als je de leverancier van de devices plotseling besluit open standaarden te gaan ondersteunen i.p.v. die van zichzelf.

Peter

Dat gebruikers zuiniger zijn op hun eigen device is inderdaad aangetoond. Echter zie je een stijging in de beheerskosten en verschillende oplossingen op BYOD mogelijk maken, vaak wegen deze kosten niet op tegen de baten die je hebt door geen bedrijfsapparatuur meer te leveren.
Gebruikers raken gefrustreerd wanneer ze niet geholpen kunnen worden, een helpdesk heeft vaak niet een specialist voor windows, android, ios, windows phone enz. enz.

Kort door de bocht gezegd levert BYOD extra beveiligingsrisico's voor het bedrijf op heb ik tot nu toe nog geen voorbeelden gezien waarbij BYOD tot een reductie van IT-kosten leid., helaas al wel voorbeelden gezien waarbij de kosten gestegen zijn en de productiviteit achteruit is gegaan. Dit laatste is mede te verklaren doordat medewerker direct toegang hebben tot privé zaken, men is eerder geneigd in de tijd van de baas te gaan whatsappen, surfen, en mailen. Iets wat ook minder controleerbaar is in het geval van BYOD.

Problemen die jij beschrijft (de debalces) zijn moeilijk te voorkomen zoals leveranciers hun eigen standaard blijven hanteren en blijven ontwikkelen. Echter worden dit soort problemen in het geval van BYOD bij de gebruiker neergelegd, terwijl deze andere terecht komen bij de meer specialistische medewerker zoals systeem- en netwerkbeheerders. In het geval van JAVA 6 kun je deze problemen en risico's nog tijdig constateren omdat je ze in eigen beheer hebt, maar als iedereen een eigen apparaat heeft wordt het moeilijk om te bepalen hoeveel mensen er nog met JAVA6 werken...
25-09-2013, 14:55 door Anoniem
"Antwoord: dit wordt gemeld door de werknemer zelf, dus die neemt zelf het initiatief om het te melden. Als hij niet wil dat het apparaat gewiped wordt, dan meld hij het toch niet aan de werkgever..."

Omdat ik meld dat *mijn* device gestolen is, mag mijn werkgever mijn device wissen ? Hoe komt je er op.

Indien ik mijn werkgever vertel dat mijn prive auto, met GPS chip erin, gestolen is, dan mag hij toch ook niet mijn auto gaan tracken ofzo, zelfs indien in die auto documenten van het werk lagen ? Iets vertellen aan je werkgever geeft hem nog geen toestemming om te bepalen wat er met jouw, al dan niet gestolen, bezittingen zou moeten gebeuren.

Indien mijn device gestolen wordt, met company data erop, dan kan ik dat toch ook melden, en zelf een remote wipe doen. Ik heb geen systeembeheerder nodig om die aktie voor mij uit te voeren. De benodigde toegang daarvoor zal ik hem ook niet verschaffen indien hij meent bij diefstal het hele device te mogen wissen.
25-09-2013, 15:18 door Anoniem
Door Predjuh:
Door Anoniem:
Ik denk dat vanuit security perspectief BYOD het liefst buiten de deur wil houden.

Deze angst zie ik voornamelijk bij bedrijven die alles aan de deur willen blokkeren en denken dat er nog niets onveiligs in hun interne netwerk zit. Je moet er tegenwoordig gewoon vanuit gaan iedere machine gevaarlijk kan zijn en je beveililging daar op instellen.

Dit is geen angst, maar reële werkelijk gebaseerd op cijfers uit het verleden. Geen enkel intern 100% veilig, dit kan ook niet, maar je mag er logischerwijs vanuit gaan dat op een intern netwerk met bekende en beheerde stations de risico's kleiner zijn dan wanneer je hier geen controle op uit kan oefenen. Zoal je al aangeeft kan iedere machine gevaarlijk zijn, echter schat ik in dat het risico lager is bij een machine die door opgeleide beheerders wordt beheert, waarbij je je eigen security beleid kunt voeren en afdwingen en vervolgens ook nog de mogelijkheid hebt om dit steekproefgewijs te controleren middels audits.

Ik zie heel vaak dat men vervolgens langzaam maar zeker minder aandacht aan beveiliging van de belangrijke delen (en informatie) van het bedrijf gaat besteden. Het geeft snel een verminderd gevoel van urgentie t.a.v. beveiliging. Je ziet gelukking steeds meer zero-trust-achtige omgevingen. Alleen vind ik het jammer dat daar nu weer zo'n hyp van wordt gemaakt dat iedere leverancier van een iets anders werkende firewall zero-trust certified zegt te zijn.

Wanneer je je beveiliging moet instellen op 100 verschillende gebruikers, met verschillende hardware en verschillende OS zullen exponentieel de kosten voor je beveiliging oplopen en de uitdaging tot compatibiliteit steeds groter worden. De diversiteit kans als voordeel worden gezien, echter door het gebrek aan degelijk beheer is dit relatief.

Je stelt de beveiliging in op de plaatsen waar het belangrijk is: bij de gevoelige informatie. Je gaat er vanuit dat niet 100% van de beheerder werkplekken veilig is. Dus moet je voldoende beveiliging inbouwen om ervoor te zorgen dat de werkplekken, die niet veilig zijn, geen problemen kunnen veroorzaken. Als je dat doet voor de 1% (of 5% of 10%) van de werkplekken, moet je beveiliging net zo goed zijn als dat je het doet voor 99% van de werkplekken. Anders heb je er niets aan. Als je dus de informatie zelf goed genoeg hebt beveiligd, maakt het niet uit of die 5% onveilige werkplekken beheerder werkplekken zijn waar een virus er tussendoor is geslipt of dat het een BYOD is.

Andere medewerkers voelen zich prettiger met hun eigen device dan het (vaak zeer oude) apparaat dat hun baas hen levert. Het is niet voor niets dat heel veel mensen per ongeluk hun iPhone in de toilet laten vallen zodra er een nieuw type op de markt komt (dat laatste is trouwens wel met cijfers aan te tonen). Men is veel zuiniger op eigen devices. Daarnaast heeft het bedrijf natuurlijk de kosten voor die devices niet.

Een initiele kostenpost is wel vaak het opzetten van de webapplicaties conform (open) standaarden. Als je maar een type device hebt, kun je daar op programmeren en hoef je geen rekening te houden met andere browsers e.d. Maar waar dat toe leidt, kun je zien met het IE6 debacle. Of Java 6, zoals bij ons. Oracle ondersteunt op de eigen webapplicaties nog geen Java 7 dus moeten we ervoor proberen te zorgen dat men niet met Java 6 naar buiten gaat.

Die initiele kostenpost is weg als je de leverancier van de devices plotseling besluit open standaarden te gaan ondersteunen i.p.v. die van zichzelf.

Dat gebruikers zuiniger zijn op hun eigen device is inderdaad aangetoond. Echter zie je een stijging in de beheerskosten en verschillende oplossingen op BYOD mogelijk maken, vaak wegen deze kosten niet op tegen de baten die je hebt door geen bedrijfsapparatuur meer te leveren. [/quote]
Voor die BYOD heb je in feit niet veel beheerskosten. Je hoeft vervolgens minder werkplekken (of mobiele devices) te beheren, wat de beheerskosten verlaagt. Verder beveilig je de gegevevens waar het nodig is, dus kunje volstaan met minder strikt beheer op de gewone werkplekken. Dat levert ook weer een besparing op.

Gebruikers raken gefrustreerd wanneer ze niet geholpen kunnen worden, een helpdesk heeft vaak niet een specialist voor windows, android, ios, windows phone enz. enz.

Dat is een mogelijk probleem. Maar met de juiste documentatie kom je een heel eind. Ja, je moet iets meer handleidingen schrijven (of kopieren). Veel gebruikers accepteren het ook dat je als bedrijf niet voor ieder prive toestel alle ondersteuning kan leveren.

Ik zie zelfs iets vergelijkbaars met devices die door het bedrijf worden geleverd. Daar houdt men vaak vast aan oude versies omdat er niemand is die ingewerkt kan worden in nieuwe devices.

Peter
25-09-2013, 16:20 door Anoniem
En wat doen we met de backups die je thuis hebt moeten die ook gewiped worden.
25-09-2013, 16:51 door Anoniem
Door Anoniem: Wat mij blijft verbazen dat je je werkgever uberhaupt de mogelijkheid geeft om iets te wipen. Eisen ze dat? Nou, dan geef je me ook het device maar. Werkgevers hebben niks op devices die JIJ gekocht hebt te zoeken.
Beetje kort door de bocht allemaal. Waarom wordt BYOD omarmt? Omdat zowel werkgever als werknemer er beter van worden. Waarom wordt een werknemer er beter van? Omdat hij, vaak vanuit zijn/haar eigen overweging, ook zakelijke e-mail, agenda's enz wil gebruiken op zijn eigen smartphone. Dat daar als bedrijf vervolgens bepaalde eisen aan worden gesteld, dat lijkt me dan evident.

Verder, het is ook nog eens zo dat er tegenwoordig helemaal geen full wipe noodzakelijk is. Ook selectieve wipe is prima mogelijk dus de discussie is m.i. een stuk genuanceerder.
25-09-2013, 23:12 door Anoniem
Er zijn goede alternatieven in de vorm van apps die sandboxed en encrypted op je telefoon draaien, en je telefoon splitsen in een werkomgeving en prive-omgeving. De werkomgeving is van de 'werkgever', daar mag bedrijfsinformatie op komen, en mag door de werkgever worden gewist. Je prive-omgeving blijft je eigen verantwoordelijkheid. Als werkgever zou ik geen informatie op devices willen hebben waar het bedrijf niet kan wissen, en waar de data niet encrypted is.
26-09-2013, 09:02 door Anoniem
Ik denk dat dit bedrijf zich geen zorgen meer moet maken over de beveiliging als iets kwijt is. Het is al heel fout gegaan qua beveiliging, toen ze privé en zakelijk gingen mixen door BYOD.
26-09-2013, 22:56 door Anoniem
Even reageren op de mensen die "BYOD" als volledig nutteloos omschrijven en het als een potentiële bedreiging ervaren.

Ooit eens gehoord van een inspirerend spreker: "Werktijd is dat deel van de dag dat je werkt met oude technologie". Misschien iets te zwart-wit, maar voor velen van ons oh zo herkenbaar. Begrijp me niet verkeerd: dat doet niets af aan de knappe staaltjes informatietechnologie waarmee de operationele bedrijfsprocessen vaak uitgerust zijn. In grote productie omgevingen kun je ook niet anders, daar wordt juist het geld verdiend door uniforme processen en werkwijzen te implementeren.

Maar voor de specialisten, consultants of managers die continu op zoek zijn naar informatie, waarbij het vakmanschap juist bestaat uit het op eigen en creatieve wijze komen tot inzichten, is de vrijheid om eigen tools te kiezen oh zo belangrijk. Die vrijheid inperken is vergelijkbaar met de ambachtelijk timmerman niet zijn eigen hamer te laten kiezen, de kapster niet haar eigen schaar en de visser niet zijn eigen tuig.

Mensen in bepaalde beroepsgroepen niet hun eigen gereedschap en hun eigen werkmethoden laten kiezen doodt mijns inziens de creativiteit. En dus is BYOD inderdaad geen wondermiddel, maar gewoon noodzaak.

En of je werkgever het apparaat mag wissen? Dat is wat mij betreft een overeenkomst tussen jou en je werkgever. Ik hoop alleen niet dat we over 20 jaar met allerhande neuro-devivces te maken krijgen en de werkgever dat recht dan nog steeds heeft....

Peter Nouwen.
27-09-2013, 13:04 door Anoniem
"Deze angst zie ik voornamelijk bij bedrijven die alles aan de deur willen blokkeren en denken dat er nog niets onveiligs in hun interne netwerk zit. Je moet er tegenwoordig gewoon vanuit gaan iedere machine gevaarlijk kan zijn en je beveililging daar op instellen."

Beveiliging gaat over het reduceren van risico's, en niet over onkwetsbaar worden, hoe mooi dat ook zou zijn. Ten eerste kan het niet, en ten tweede moet je bij beveiliging de kosten van dreigingen afwegen tegen de kosten van de beveiliging tegen die dreigingen, en daar de juiste balans in vinden.

"Maar voor de specialisten, consultants of managers die continu op zoek zijn naar informatie, waarbij het vakmanschap juist bestaat uit het op eigen en creatieve wijze komen tot inzichten, is de vrijheid om eigen tools te kiezen oh zo belangrijk. "

Die vrijheid heeft niet veel van doen met de vraag wie eigenaar is van een device. Dat gaat meer over de vraag wat voor type device je kan gebruiken, en welke rechten je daarop hebt.
27-09-2013, 14:22 door Anoniem
Door Anoniem: "Deze angst zie ik voornamelijk bij bedrijven die alles aan de deur willen blokkeren en denken dat er nog niets onveiligs in hun interne netwerk zit. Je moet er tegenwoordig gewoon vanuit gaan iedere machine gevaarlijk kan zijn en je beveililging daar op instellen."

Beveiliging gaat over het reduceren van risico's, en niet over onkwetsbaar worden, hoe mooi dat ook zou zijn. Ten eerste kan het niet, en ten tweede moet je bij beveiliging de kosten van dreigingen afwegen tegen de kosten van de beveiliging tegen die dreigingen, en daar de juiste balans in vinden.

Er zijn veel branches waar het personeel voor de eigen devices zorgt. De timmerman, zelfs als hij nog geen zzp-er is geworden, heeft zijn eigen hamer en zaag. De kok heeft zijn eigen messen. Het is een kwestie van goede afspraken met die medewerkers dat ze hun devices goed onderhouden. Ook als die timmerman de hamer niet onderhoudt en de kop vliegt los en raakt een collega, is de werkgever aansprakelijk. Waarom is het voor IT devices dan anders dan bouw devices?

Omdat het gemakkelijker is om er meer tegelijk kapot te maken?
Maar de ernst van een fout is (in de meeste gevallen) nog steeds veel minder dan bij een timmerman.

Men vergeet vaak dat risico het product is van kans en impact. Men raakt in paniek als de impact groot is, zelfs als de kans nihil is. En men raakt in paniek als de kans groot is, zelfs als de impact nihil is.

Dit laat natuurlijk niet onverlet dat er bepaalde delen van een bedrijf extra bescherm moeten worden. Een aannemer zorgt ook zelf voor de bouwlift. Die brengt niet iedere bouwvakker zelf mee van huis.

We klagen altijd over het feit dat de overheid speciale regels opstelt voor IT, alsof die branche zo anders is. Als we zelf regels gaan opstellen, dan wijzen we er steeds op dat IT zo anders is dan iedere andere branche. We moeten gewoon accepteren dat IT ondertussen een normale branche is geworden met gewone mensen en gewone regels.

Peter
27-09-2013, 15:05 door Anoniem
Door User2048: Een betere oplossing vind ik CYOD (Choose your own device). De werkgever stelt het device als bedrijfsmiddel ter beschikking, maar biedt de werknemer wel de keus uit een aantal smaken. Zo kan de werknemer kiezen of hij een iPhone of een Galaxy wil, maar blijft het device eigendom van de werkgever.

Een leuk idee maar niet echt kostenefficiënt, de grote motor achter BYOD, in mijn ervaring althans zijn net de gebruikers zelf, die geen bedrijfsblackberry willen gebruiken maar hun eigen iphone of android. (Ik merk het ook bij mezelf, ik gebruik mijn blackberry enkel voor het werk, maar omdat het zo'n oud toestel is, gebruik ik voor mezelf mijn eigen iphone.)
Als je als bedrijf toch moet betalen voor de devices ga je willen de kosten drukken qua aankoop en ondersteuning door bij één fabrikant en achterliggende infrastructuur te werken.

BYOD lijkt mij vooral handig als je als bedrijf duidelijk bent tov de werknemer over wat de gevolgen zijn (risico op remote-wipe, extra encrypte en ww-complexiteit policies).
Als iedereen duidelijk en redelijk is, denk ik niet dat er veel mensen een probleem gaan hebben met de remote wipe, toestellen waar dit op kan hebben vrijwel allemaal ook een cloud-synch systeem waarbij je na de wipe redelijk makkelijk kunt herstellen.
30-09-2013, 11:26 door Anoniem
Er zijn tegenwoordig oplossingen die een 'Selective Wipe' kunnen uitvoeren, dus alleen de bedrijfs gegevens worden dan gewist. Daarnaast kan men met oplossingen van tegenwoordig ook selecteren welke Apps beveiligd dienen te zijn en welke niet.
30-09-2013, 13:33 door Anoniem
Juist gezien die "regeling" dat de data "eigendom" wordt van mijn werkgever heb ik er vanaf gezien mijn eigen telefoon en tablet in te zetten voor het werk. Dit heeft consequenties voor de werkgever, maar dat is dan maar zo.
Ik vond het belang dat de werkgever op MIJN device(s) kreeg veel hoger als mijn, beprekte, voordelen.
Geval van jammer en gemiste kans.


Door Anoniem: "Er moet dan ook een afweging komen tussen de belangen van de werkgever en die van de werknemer. Bij een gestolen apparaat lijkt de case evident: de telefoon is weg dus hoe maakt een remote wipe het dan erger?"

Ik zie niet in wat dat uitmaakt. Het is *mijn* device, dus indien deze gestolen wordt bepaal *ik* of er een remote wipe plaats vind. Indien mijn werkgever dat wil bepalen dat zou ik zeggen - Bring Your Own Device instead of Mine.

"ICT-reglementen zijn meestal op deze instructiebevoegdheid gebaseerd, en dat is dus legaal (ook zonder dat je ervoor getekend hebt) mits men maar binnen de grenzen van de wet blijft."

De baas kan van alles en nog wat in zijn ICT regelement zetten, dat doet niets af aan de zaak dat hij niet gaat over de vraag wat er met mijn device gebeurt. De inhoud van dat regelement is volslagen irrelevant.

"De vraag is dus: is het rédelijk, beter gezegd is het nou écht nodig dat de werkgever zegt we wissen je BYOD apparaat als deze gestolen wordt ?"

Nee, ik zou wel de toezegging willen geven dat *ik* mijn device wis indien deze gestolen wordt indien er bedrijfsinformatie op zou staan. De afspraak maken dat je een remote wipe doet, wil niet zeggen dat je het uitvoeren daarvan uit handen hoeft te geven.

"Ik zou zeggen dat het eigenlijk alleen kan met toestemming van de werknemer of bij héle zware bedrijfsgeheimen die bij onthulling zulke grote schade opleveren dat de werknemer het verlies van zijn vakantiefoto’s en privéadministratie maar voor lief moet nemen. "

Waarom kijk je niet naar de vraag wie een remote wipe uit moet voeren, afgezien van de vraag of deze moet worden uitgevoerd ?
30-09-2013, 14:32 door SimonS
Door Anoniem: "Antwoord: dit wordt gemeld door de werknemer zelf, dus die neemt zelf het initiatief om het te melden. Als hij niet wil dat het apparaat gewiped wordt, dan meld hij het toch niet aan de werkgever..."

Omdat ik meld dat *mijn* device gestolen is, mag mijn werkgever mijn device wissen ? Hoe komt je er op.

Indien ik mijn werkgever vertel dat mijn prive auto, met GPS chip erin, gestolen is, dan mag hij toch ook niet mijn auto gaan tracken ofzo, zelfs indien in die auto documenten van het werk lagen ? Iets vertellen aan je werkgever geeft hem nog geen toestemming om te bepalen wat er met jouw, al dan niet gestolen, bezittingen zou moeten gebeuren.

Indien mijn device gestolen wordt, met company data erop, dan kan ik dat toch ook melden, en zelf een remote wipe doen. Ik heb geen systeembeheerder nodig om die aktie voor mij uit te voeren. De benodigde toegang daarvoor zal ik hem ook niet verschaffen indien hij meent bij diefstal het hele device te mogen wissen.

Zou je ook zo reageren wanneer jou persoonlijke gegevens op die manier op straat zouden komen te liggen?
Het kan voorkomen dat gegevens van onze klanten, en dat zijn prive personen, in het device van onze buitendienst medewerkers staat. Als dat jou gegevens waren wil je dan niet dat wij als bedrijf er alles aan doen om die gegevens veilig te houden? Inclusief een remote wipe? En zeg nou niet dat die gegevens niets op dat device te maken hebben want het kan altijd gebeuren.
Waarbij ik niet wil zeggen dat een IT afdeling niet HEEL zorgvuldig met het middel remote wipe moet omgaan! Het is nogal een maatregel omdat te doen.
Overigens heb ik ook al iemand aan mijn bureau gehad die mij vroeg of ik zijn (prive)device voor hem kon wissen omdat ze gestolen was. Helaas voor hem had hij zijn device nooit aan ons bedrijfsnetwerk gekoppeld.
30-09-2013, 15:49 door Anoniem
Artikel en reacties zijn een weergave van hetgeen deskundigen reeds bij voorbaat waarschuwden.
De gebruikelijke management-speak die nu kostbaar weer overwaait.

In mijn woorden : 'BYOD' stinkt aan alle kanten, houdt zoveel mogelijk je handen er af.

Als het niet anders kan probeer vanaf secure-stick te werken.
Of werk met verschillende partities.

___________________________

Wat wissen op afstand van een BYOD betreft : dit is is in beginsel gewoon strafbaar.

Artikel 138ab lid 1 : "Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan."

Artikel 350a lid 1 : "Hij die opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, verandert, wist, onbruikbaar of ontoegankelijk maakt, "

Wissen op afstand van een BYOD is dus alleen rechtmatig indien met instemming van een bevoegde persoon c.q. eigenaar.
Maar er zijn genoeg opdrachtgevers die het niet zo nauw nemen met de wet. Dat hoor óók bij de management-grootspraak.
30-09-2013, 15:49 door PJW9779 - Bijgewerkt: 30-09-2013, 15:51
Artikel en reacties zijn een weergave van hetgeen waarvoor deskundigen reeds bij voorbaat waarschuwden.
De gebruikelijke management-speak die nu kostbaar weer overwaait.

In mijn woorden : 'BYOD stinkt aan alle kanten', houdt zoveel mogelijk je handen er af.

Als het niet anders kan probeer vanaf secure-stick te werken.
Of werk met verschillende partities.

___________________________

Wat wissen op afstand van een BYOD betreft : dit is is in beginsel gewoon strafbaar.

Artikel 138ab lid 1 : "Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan."

Artikel 350a lid 1 : "Hij die opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, verandert, wist, onbruikbaar of ontoegankelijk maakt, "

Wissen op afstand van een BYOD is dus alleen rechtmatig indien met instemming van een bevoegde persoon c.q. eigenaar.

Maar er zijn genoeg opdrachtgevers die het niet zo nauw nemen met de wet.
Dat hoort óók bij de management-grootspraak.
30-09-2013, 16:14 door Anoniem
In het kader van “breng je eigen aktetas” is er toch ook nooit de regel gesteld dat het bedrijf er een afstandbedienbaar explosief in mag aanbrengen voor het geval deze gestolen wordt?
Eigenlijk best een goed idee. Vooral voor die vergeten tassen bij het OM en de rechtbanken. :)
30-09-2013, 18:25 door Anoniem
"Een leuk idee maar niet echt kostenefficiënt, de grote motor achter BYOD, in mijn ervaring althans zijn net de gebruikers zelf, die geen bedrijfsblackberry willen gebruiken maar hun eigen iphone of android."

Er zijn bergen met geld gestoken in het hypen van BYOD door bedrijven als Gartner. Dit soort bedrijven werken voor werkgevers, niet voor werknemers. De meeste werkgevers zal het ook een rotzorg wezen of hun werknemers hun eigen devices willen gebruiken zolang dit niet in het belang van de werkgever is.

De pretentie dat de BYOD hype is aangezwengeld door werknemers lijkt wat dat betreft niet echt correct.
30-09-2013, 19:24 door RPR84
Door Anoniem: Ik vind dat er ook wel een blame ligt bij de fabrikanten van de devices.
Zij zijn er mee gekomen dat het hele apparaat (en alleen het hele apparaat) gewiped kan worden.
De bedrijven maken alleen maar gebruik van die functionaliteit omdat die er is.

Als men dit beter wil aanpakken dan moeten eerst de fabrikanten komen met selectiever wipen.
Bijvoorbeeld als er een mailaccount van een bedrijf op de telefoon geinstalleerd is (met bijbehorende caching van
berichten) dan wil ik best het bedrijf toestemming even om dat hele account te wipen.

Dit probleem kan je niet bij de fabrikanten neerleggen. Dan krijg je bij zoveel verschillende fabrikanten weer zoveel verschillende oplossingen. Een bedrijf die belang stelt in het "veiligstellen" van gevoelige bedrijfsinformatie, doet er goed aan om eens te kijken naar bijvoorbeeld XenMobile Device Management. Zonder goede Mobile Device Management oplossing zal men dit nooit onder controle krijgen.
30-09-2013, 20:30 door Anoniem
"Dit probleem kan je niet bij de fabrikanten neerleggen. Dan krijg je bij zoveel verschillende fabrikanten weer zoveel verschillende oplossingen. Een bedrijf die belang stelt in het "veiligstellen" van gevoelige bedrijfsinformatie, doet er goed aan om eens te kijken naar bijvoorbeeld XenMobile Device Management."

Lol alsof fabrikanten dergelijke oplossingen niet kunnen integreren. Laat me raden, jij verkoopt XenMobile ? ;)
01-10-2013, 15:44 door Anoniem
"Juist gezien die "regeling" dat de data "eigendom" wordt van mijn werkgever heb ik er vanaf gezien mijn eigen telefoon en tablet in te zetten voor het werk. "

De company data waarom het gaat is al eigendom van de werkgever. Het gaat denk ik meer om de vraag of men bij een remote wipe alleen company data wist, of alle data. Een BYOD regeling maakt de werkgever nimmer eigenaar van prive data op jouw device.

"Zou je ook zo reageren wanneer jou persoonlijke gegevens op die manier op straat zouden komen te liggen?"

Ik snap je vraag niet. Immers gaf ik in mijn reactie aan dat het mij eerder gaat om de vraag *wie* de remote wipe uitvoert, en niet om de vraag of deze uitgevoerd moet worden. Overigens zijn de devices die ik gebruik al lang voorzien van de nodige encryptie, om te voorkomen dat zaken op straat komen te liggen.

"Waarbij ik niet wil zeggen dat een IT afdeling niet HEEL zorgvuldig met het middel remote wipe moet omgaan! Het is nogal een maatregel omdat te doen."

Indien er een goede scheiding is tussen mijn data, en bedrijfsdata, dan mogen beheerders de wipe uitvoeren, maar is die scheiding er niet, dan voer ik de wipe zelf uit, en niemand anders.
05-10-2013, 17:07 door Anoniem
Ik lees vele interessante en emotionele reacties naar aanleiding van je publicatie. Ik zou nog een tweetal andere elementen willen inbrengen.

Indien de informatie op de privé telefoon van een werknemer privacygevoelige informatie bevat (naam, adres, woonplaats, telefoonnummer) dan verwacht binnenkort de overheid (WBP) dat bij een datalek de betrokkenen van het lek op de hoogte worden gesteld. Als de informatie, eigendom van een werkgever, dus door een datalek (verlies of diefstal van mobiele telefoon) openbaar wordt dan is deze verplicht dit te melden bij het CBP en de betrokkenen hierover in kennis te stellen. Mijn advies aan iedere werknemer en werkgever is om uitsluitend bedrijfsdata door te geven als het device eigendom is van werkgever.

Het wypen van data op afstand van een mobiele telefoon is zeer niet betrouwbaar. Data op een datadrager als mobiele telefoon valt niet te wissen met software. Het is een illusie die door gebrek aan kennis van informatiedragers nog steeds wordt verkondigd.
05-10-2013, 17:10 door Paul K
Ik lees vele interessante en emotionele reacties naar aanleiding van je publicatie. Ik zou nog een tweetal andere elementen willen inbrengen.

Indien de informatie op de privé telefoon van een werknemer privacygevoelige informatie bevat (naam, adres, woonplaats, telefoonnummer) dan verwacht binnenkort de overheid (WBP) dat bij een datalek de betrokkenen van het lek op de hoogte worden gesteld. Als de informatie, eigendom van een werkgever, dus door een datalek (verlies of diefstal van mobiele telefoon) openbaar wordt dan is deze verplicht dit te melden bij het CBP en de betrokkenen hierover in kennis te stellen. Mijn advies aan iedere werknemer en werkgever is om uitsluitend bedrijfsdata door te geven als het device eigendom is van werkgever.

Het wypen van data op afstand van een mobiele telefoon is zeer niet betrouwbaar. Data op een datadrager als mobiele telefoon valt niet te wissen met software. Het is een illusie die door gebrek aan kennis van informatiedragers nog steeds wordt verkondigd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.