image

Juridische vraag: mag baas BYOD-gebruiker monitoren?

woensdag 27 februari 2013, 11:07 door Arnoud Engelfriet, 17 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Steeds meer bedrijven gebruiken mobile device management om BYOD of CYOD devices toegang te geven tot het bedrijfsnetwerk of data. Met mobile device management is het mogelijk om bedrijfsapplicaties te pushen, devices te wipen enz., maar het is ook mogelijk om te zien waar gebruikers zich bevinden. Mag dat nu allemaal zomaar?

Antwoord: Het is recht, dus nee dat mag niet zomaar. Niets mag zomaar; maar er is ook maar weinig dat gewoon níet mag. In feite komt het altijd neer op een belangenafweging.

Hoofdregel is dat de werknemer recht heeft op privacy, ook op het werk. De werkgever moet een eigen belang aandragen dat zwaarder weegt dan de privacy én de uitvoering zo inrichten dat de privacyschending minimaal is.

Wil hij bv. een werknemer altijd kunnen oproepen, dan is het logisch hem een GSM of pager te geven. Minder logisch is een GPS-apparaat geven zodat de werkgever zijn locatie kan opzoeken. Die laatste maatregel mag dan dus niet. Maar bij een pakketbezorger is een GPS-apparaat misschien weer wél verdedigbaar als je daarmee de klanten wilt informeren waar hun pakketjes zijn en hoe lang het nog duurt.

In deze rechtszaak werd een werknemer ontslagen nadat het GPS-systeem in het bedrijfsbusje had onthuld dat hij meer uren had geschreven dan hij had gewerkt. Maar de werknemer was niet verteld over dat GPS-systeem, dus werd daarmee zijn privacy niet geschonden?

Maar nee: Er kan daarenboven niet of nauwelijks gesproken worden van een ontoelaatbare inbreuk op de privacy van de werknemers, nu het betreffende systeem slechts registreerde waar de door de werknemers gebruikte bedrijfsauto's zich tijdens de werktijd bevonden. Veel meer dan de in veel bedrijven gehanteerde prikklok betreft het in casu derhalve niet.

En net zoals je met die prikklok mag nagaan of mensen binnen zijn, mag je met een GPS-systeem nagaan of een werknemer bij klant X is. Helemaal zuiver vind ik het niet om te zeggen "het gaat alleen om de auto" want waar de bedrijfsauto is, is gewoonlijk ook de werknemer lijkt me. Maar goed.

Er zijn geen specifieke uitspraken over GPS bij BYOD/CYOD. Maar persoonlijk zie ik niet waarom het anders zou zijn enkel omdat de werknemer het apparaat uitgekozen heeft. Wel blijft het belang van de werkgever essentieel: enkel dat de IT-backend de feature ondersteunt dat je van iedereen continu kunt zien waar ze zijn, betekent nog niet dat die feature ook aan mag staan.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (17)
27-02-2013, 11:20 door Anoniem
Wat ik frapant vind is de vergelijking tussen een prikklok en een GPS in een auto welk niet bekend was aan de werknemers. Immers als ik 's-morgens moet inklokken doe ik dat terwijl ik hier volkomen van bewust ben en bij de GPS was er geen sprake van bekendheid met dit systeem bij de ontslagen werknemer. (Ik wil hier trouwens niet mee zeggen dat het terecht is om de boel te belazeren) . Ik vind dit dan ook een merkwaardige redenering .
27-02-2013, 11:31 door spatieman
ik vind het maar griezelige shit met een BYOD dat de baas kan besluiten je prive laptop te wippen, dan betekend imho, dat dus ook prive spullen opeen een blackhole in verdwijnen..
27-02-2013, 11:52 door Anoniem
Persoonlijk vind ik het wel prettig om dit soort zaken netjes gescheiden te houden. Email op het werk doe ik geen privedingen mee, en vice versa. Wat dat betreft zou het goed zijn als ook tablets en telefoons dat ook netjes gescheiden kunnen houden, tot zelfs op-afstand-wistoestemming op het werkgeversdeel maar niet op het privedeel van het apparaat.
27-02-2013, 12:03 door Anoniem
Geen griezelige shit hoor. Werknemers vooraf duidelijk maken dat ze een stuk gereedschap (want meer is het niet) gebruiken dat aan bepaalde eisen moet voldoen.

Of een timmerman nu een zaag van de zaak gebruikt of liever zijn eigen zaag meeneemt, hij wordt vanuit wet- en regelgeving geacht met goedgekeurd materieel te werken.

Hetzelfde geldt voor BYOD/CYOD. Devices zijn alleen veilig zakelijk te gebruiken als ze aan bepaalde eisen voldoen, aan de werkgever de taak deze eisen vooraf duidelijk aan de gebruiker te communiceren en de mogelijke consequenties uit te leggen. Daar hoort ook het afsluiten van het netwerk of het verwijderen van de bedrijfsdata in geval van een virusbesmetting of gebruik buiten de gestelde afspraken. Tracing via GPS kan een discussie opleveren, maar ook voordelen voor de gebruiker: wie stelt er prive niet "find my device" in? Veel MDM pakketten laten trouwens alleen maar de laatst bekende locatie zien en hebben geen live trace functie.
27-02-2013, 12:04 door WhizzMan
Als jij er voor kiest om je werkgever toegang te geven tot jouw ICT-spulletjes, kies je er ook voor om de consequenties die je werkgever daar aan verbindt te accepteren. Omdat eigen ICT-spulletjes bijna niet meer aftrekbaar zijn voor de belasting, vind ik het zelf sowieso een vervelende ontwikkeling en kies ik er dan ook voor om al mijn prive-spullen lekker zelf te houden en niet aan m'n werkgever ter beschikking te stellen. Als ik iets nodig heb voor m'n werk, zorgen ze er maar voor dat ik dat ter beschikking krijg, niet?

Als werkgever moet je dit ook helemaal niet willen. De kosten van aanschaf van die spullen en de zogenaamde bezuiniging op beheerskosten vallen in het niet met het totaal opnieuw moeten ontwerpen en bouwen van je hele ICT omdat je er van uit moet gaan dat elk mogelijk stuk hardware er aan vast geknoopt wordt, dat daar de meest obscure versies software op draaien en dat al die devices ook nog eens gehacked zijn. Ontwerp maar eens een gevangenis zonder sloten, muren, prikkeldraad of slotgracht en houdt je gevangenen binnen. Dikke kans dat je weinig van je huidige gebouw kan blijven gebruiken...
27-02-2013, 13:41 door Anoniem
Het gaat om een personeelsvolgsysteem, en voor het gebruik van een dergelijk systeem is in elk geval instemming van de medezeggenschap nodig. Dat geldt zelfs voor het geval dat er wel kan worden gevolgd, maar de feature niet wordt gebruikt; alleen al als het systeem geschikt is om personeel te volgen heb je de instemming nodig. Art. 27 lid 1 sub l Wor. Om de instemming te verkrijgen zal duidelijk moeten zijn wat wordt vastgelegd, met welk doel, wie bij de gegevens mag, hoe wordt gerapporteerd etc., dus ook welke werkafspraken hierover worden gemaakt en bv in welke gevallen de werkgever het apparaat kan wipen.
27-02-2013, 13:44 door Arnoud Engelfriet
De kosten van aanschaf van die spullen en de zogenaamde bezuiniging op beheerskosten vallen in het niet met het totaal opnieuw moeten ontwerpen en bouwen van je hele ICT omdat je er van uit moet gaan dat elk mogelijk stuk hardware er aan vast geknoopt wordt, dat daar de meest obscure versies software op draaien en dat al die devices ook nog eens gehacked zijn.

Dat hangt van de organisatie af denk ik. Als al je diensten al in de cloud zitten (hosted mail, CRM) of via standaardprotocollen toegankelijk zijn dan valt dat toch wel mee met dat "hele ICT opnieuw bouwen"?

En is het niet sowieso verstandiger om te bouwen voor standaards in plaats van voor wat je nu toevallig hebt draaien? Het doet me denken aan al die organisaties die nu nog op IE6 zitten omdat daar bedrijfskritische applicaties voor gebouwd zijn.
27-02-2013, 15:03 door Anoniem
Door Arnoud Engelfriet:
Als al je diensten al in de cloud zitten (hosted mail, CRM) of via standaardprotocollen toegankelijk zijn dan valt dat toch wel mee met dat "hele ICT opnieuw bouwen"?

En is het niet sowieso verstandiger om te bouwen voor standaards in plaats van voor wat je nu toevallig hebt draaien? Het doet me denken aan al die organisaties die nu nog op IE6 zitten omdat daar bedrijfskritische applicaties voor gebouwd zijn.
Op zich wel, maar dan is weer de vraag "wat zijn dan die standaardprotocollen".
We hebben zelf standaardprotocollen zoals IMAP, SMTP en LDAP over SSL verbindingen in gebruik voor toegang vanaf smartphones, dit zijn standaarden maar de implementatie ervan op de gemiddelde smartphone zuigt nogal.
Iedere nieuwe smartphone of software release is het weer de vraag of het nu dan werkt...

In plaats daarvan kun je natuurlijk MS Exchange neerzetten. Geen standaard maar wel zodanig wijd verspreid dat veel fabrikanten er meer aandacht aan geven dan aan standaardprotocollen. Dan heb je minder kopzorgen.
Maar ja, over 5 jaar zit je dan misschien in dezelfde situatie als nu de mensen die voor IE6 gebouwd hebben?
Wie zal het zeggen?
27-02-2013, 15:50 door spatieman
maar iets anders is ook griezelig.
je gaat naar huis, en opeens kan je niets meer doen, omdat de software van het werk geen connectie kan maken met de domain master, en ander soort shit.
sta je daar, met je laptop die een andere eigenaar heeft.
27-02-2013, 15:54 door Anoniem
"Er zijn geen specifieke uitspraken over GPS bij BYOD/CYOD. Maar persoonlijk zie ik niet waarom het anders zou zijn enkel omdat de werknemer het apparaat uitgekozen heeft. "

Het lijkt mij een wereld van verschil wanneer het gaat om "your own device", wat ik dan opvat als eigendom van de medewerker. Indien je een prive desktop thuis mede voor werkdoeleinden gebruikt, dan geef je je werkgever toch ook geen administrative rights op dat apparaat ?

"ik vind het maar griezelige shit met een BYOD dat de baas kan besluiten je prive laptop te wippen, dan betekend imho, dat dus ook prive spullen opeen een blackhole in verdwijnen.."

Waarom zou jij je baas die toegang geven ? Hij mag dat op een BYOD van mij enkel hebben op een specifieke folder waar ik bedrijfsdata in zet. De rest van mijn device is prive, en hij mag die niet alleen niet wipen, maar ook simpelweg niet inzien.
27-02-2013, 15:57 door Anoniem
Er is een groot verschil tussen een GPS en bijvoorbeeld een tablet. Dus deze vergelijking door onze jurist gaat niet op.

Als een bedrijf toestaat dat een medewerker zijn eigen tablet in het bedrijfsnetwerk gebruikt, zal er een code-of-conduct afgesproken moeten worden. Dan kan het bedrijf zich hierop beroepen. Deze code mag niet in het nadeel van de medewerker zijn. De medewerker zal zich ook "beschaafd" moeten gedragen in het netwerk.

Het "wissen" van data op een prive device kan alleen na tussenkomst van de rechter. Dus dit zal nooit in de CoC staan. Wel kan de werkgever de medewerker verplichten om bijvoorbeeld een goede virusscanner te gebruiken. In de gehele EU geldt dezelfde privacy wetgeving. En ieder bedrijf moet zich daaraan houden. Met het toestaan van BYOD gaat het bedrijf ermee akkoord dat er prive en zakelijke belangen door elkaar gaan lopen. Dus hier komt de CoC kijken. Een andere oplossing is het verstrekken van bedrijfseigendommen. Maar dat kost geld.

Als voorbeeld: ik heb een prive GSM die mijn werkgever volledig vergoed. Maar het blijft prive. Dus als mijn werkgever volledige zeggenschap over mijn GSM wilt, moet hij mij een bedrijfs-GSM verstrekken. Als ik vertrek bij deze werkgever blijft de GSM (incl. nummer) ook mijn eigendom.
27-02-2013, 17:05 door Anoniem
Tja byod is toch nog steeds een eigen keuze?
Ik snap het hele fenomeen niet zo, voor het werk laat je lekker je baas voor spullen zorgen. En thuis gebruik je lekker wat jezelf fijn vind. Lekker gescheiden houden die twee!
27-02-2013, 21:46 door Anoniem
Door Anoniem:
Het "wissen" van data op een prive device kan alleen na tussenkomst van de rechter. Dus dit zal nooit in de CoC staan. Wel kan de werkgever de medewerker verplichten om bijvoorbeeld een goede virusscanner te gebruiken.
Het probleem is meestal wat gebeurt er als de telefoon ineens weg is.
Als je als medewerker tegen de baas zegt "mijn telefoon is weg" dan zal de baas meteen aan zijn data denken
en de telefoon wipen. Immers de telefoon is niet meer in handen van de werknemer dus de data is in gevaar.
Blijkt achteraf de telefoon niet gestolen maar ergens neergelegd en later terug gevonden, dan is ie al gewiped.

Dit hele probleem zou er niet zijn als de apps nou eens geen data op de telefoon zouden cachen.
Maak de mail client zo instelbaar dat ie geen locale cache aanhoudt van berichten, maar alles netjes download
on demand. Kost misschien iets meer dataverkeer maar je telefoon bevat tenminste geen vertrouwelijke gegevens.
Als het zo geregeld werd, dan was dat hele wipen niet meer nodig en dus de discussie ook niet.
01-03-2013, 08:16 door Anoniem
"Het "wissen" van data op een prive device kan alleen na tussenkomst van de rechter. Dus dit zal nooit in de CoC staan. "

Incorrect, het is de vraag -welke- data gewist mag worden. Een remote wipe van company data zou kunnen, en zou opgenomen kunnen worden in een CoC. Een remote wipe van andere gegevens zou niet moeten mogen, en zou ook niet tot de technische mogelijkheden moeten behoren.

Waarbij de vraag wat 'company data' is bijvoorbeeld bepaald kan worden door de lokatie op het device waar de data is opgeslagen (aparte folder met bedrijfsgegevens).
01-03-2013, 11:02 door Anoniem
Door Anoniem: "Het "wissen" van data op een prive device kan alleen na tussenkomst van de rechter. Dus dit zal nooit in de CoC staan. "

Incorrect, het is de vraag -welke- data gewist mag worden. Een remote wipe van company data zou kunnen, en zou opgenomen kunnen worden in een CoC. Een remote wipe van andere gegevens zou niet moeten mogen, en zou ook niet tot de technische mogelijkheden moeten behoren.

Waarbij de vraag wat 'company data' is bijvoorbeeld bepaald kan worden door de lokatie op het device waar de data is opgeslagen (aparte folder met bedrijfsgegevens).
Bij mijn weten is dit geen optie omdat de "wipe" in feite alleen het weggooien van de encryptiekey van de hele storage inhoudt.
Op het moment dat die key weg is is alles ontoegankelijk, dus "gewiped", en kun je alleen nog opnieuw beginnen met een nieuwe key en een verse "factory default".
Als het anders gedaan werd dan zou het veel tijd kunnen kosten (overschrijven van veel data) en wellicht weer kunnen worden afgebroken enzo. Dat wil men niet bij een geforceerde wipe.
01-03-2013, 15:21 door Anoniem
BYOD: het device is van jou, gekocht van eigen geld, dus nee de werkgever mag hem alleen aan de buitenkant bij betreden van het netwerk controleren.

BYOD: het device is aan jou gegeven voor je werk, baas mag er spul op installeren en controleren. Bij vertrek wissen en je mag hem houden

BYOD: baas geeft je centjes, jij koopt ding, is feitelijk regel 1, maar je moet wat belasting betalen (afhankelijk regelgeving).

Daartussenin zitten nog wat grijze gebieden. Die GPS uit het voorbeeld is van de baas, dus hij mag hem checken en de gegevens gebruiken. En dan vindt hij misschien valsheid in geschrifte.
02-03-2013, 10:53 door Anoniem
BYOD is meestal iets wat de werknemer wil, voor de werkgever en de IT afdeling zitten er nauwelijks voordelen en veel nadelen aan. Door het gebrek aan standarisatie van de hardware en software ben je al meer aan support kwijt dan je bespaart op de aanschaf van de devices.

Het is niets iets waar de werknemer toe gedwongen wordt, dus een remote wipe policy of andere verplichtingen lijk mij helemaal niet zo vreemd. Ze kunnen immers nog gewoon gebruik maken van de devices die de werkgever verstrekt.

En, iedereen die belangrijke data bewaard op een enkel device dat makkelijk kapot gaat, verloren of gestolen wordt verdient het die data kwijt te raken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.