Juridische vraag: mag baas BYOD-gebruiker monitoren?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Steeds meer bedrijven gebruiken mobile device management om BYOD of CYOD devices toegang te geven tot het bedrijfsnetwerk of data. Met mobile device management is het mogelijk om bedrijfsapplicaties te pushen, devices te wipen enz., maar het is ook mogelijk om te zien waar gebruikers zich bevinden. Mag dat nu allemaal zomaar?
Antwoord: Het is recht, dus nee dat mag niet zomaar. Niets mag zomaar; maar er is ook maar weinig dat gewoon níet mag. In feite komt het altijd neer op een belangenafweging.
Hoofdregel is dat de werknemer recht heeft op privacy, ook op het werk. De werkgever moet een eigen belang aandragen dat zwaarder weegt dan de privacy én de uitvoering zo inrichten dat de privacyschending minimaal is.
Wil hij bv. een werknemer altijd kunnen oproepen, dan is het logisch hem een GSM of pager te geven. Minder logisch is een GPS-apparaat geven zodat de werkgever zijn locatie kan opzoeken. Die laatste maatregel mag dan dus niet. Maar bij een pakketbezorger is een GPS-apparaat misschien weer wél verdedigbaar als je daarmee de klanten wilt informeren waar hun pakketjes zijn en hoe lang het nog duurt.
In deze rechtszaak werd een werknemer ontslagen nadat het GPS-systeem in het bedrijfsbusje had onthuld dat hij meer uren had geschreven dan hij had gewerkt. Maar de werknemer was niet verteld over dat GPS-systeem, dus werd daarmee zijn privacy niet geschonden?
Maar nee: Er kan daarenboven niet of nauwelijks gesproken worden van een ontoelaatbare inbreuk op de privacy van de werknemers, nu het betreffende systeem slechts registreerde waar de door de werknemers gebruikte bedrijfsauto's zich tijdens de werktijd bevonden. Veel meer dan de in veel bedrijven gehanteerde prikklok betreft het in casu derhalve niet.
En net zoals je met die prikklok mag nagaan of mensen binnen zijn, mag je met een GPS-systeem nagaan of een werknemer bij klant X is. Helemaal zuiver vind ik het niet om te zeggen "het gaat alleen om de auto" want waar de bedrijfsauto is, is gewoonlijk ook de werknemer lijkt me. Maar goed.
Er zijn geen specifieke uitspraken over GPS bij BYOD/CYOD. Maar persoonlijk zie ik niet waarom het anders zou zijn enkel omdat de werknemer het apparaat uitgekozen heeft. Wel blijft het belang van de werkgever essentieel: enkel dat de IT-backend de feature ondersteunt dat je van iedereen continu kunt zien waar ze zijn, betekent nog niet dat die feature ook aan mag staan.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Of een timmerman nu een zaag van de zaak gebruikt of liever zijn eigen zaag meeneemt, hij wordt vanuit wet- en regelgeving geacht met goedgekeurd materieel te werken.
Hetzelfde geldt voor BYOD/CYOD. Devices zijn alleen veilig zakelijk te gebruiken als ze aan bepaalde eisen voldoen, aan de werkgever de taak deze eisen vooraf duidelijk aan de gebruiker te communiceren en de mogelijke consequenties uit te leggen. Daar hoort ook het afsluiten van het netwerk of het verwijderen van de bedrijfsdata in geval van een virusbesmetting of gebruik buiten de gestelde afspraken. Tracing via GPS kan een discussie opleveren, maar ook voordelen voor de gebruiker: wie stelt er prive niet "find my device" in? Veel MDM pakketten laten trouwens alleen maar de laatst bekende locatie zien en hebben geen live trace functie.
Als werkgever moet je dit ook helemaal niet willen. De kosten van aanschaf van die spullen en de zogenaamde bezuiniging op beheerskosten vallen in het niet met het totaal opnieuw moeten ontwerpen en bouwen van je hele ICT omdat je er van uit moet gaan dat elk mogelijk stuk hardware er aan vast geknoopt wordt, dat daar de meest obscure versies software op draaien en dat al die devices ook nog eens gehacked zijn. Ontwerp maar eens een gevangenis zonder sloten, muren, prikkeldraad of slotgracht en houdt je gevangenen binnen. Dikke kans dat je weinig van je huidige gebouw kan blijven gebruiken...
Dat hangt van de organisatie af denk ik. Als al je diensten al in de cloud zitten (hosted mail, CRM) of via standaardprotocollen toegankelijk zijn dan valt dat toch wel mee met dat "hele ICT opnieuw bouwen"?
En is het niet sowieso verstandiger om te bouwen voor standaards in plaats van voor wat je nu toevallig hebt draaien? Het doet me denken aan al die organisaties die nu nog op IE6 zitten omdat daar bedrijfskritische applicaties voor gebouwd zijn.
Als al je diensten al in de cloud zitten (hosted mail, CRM) of via standaardprotocollen toegankelijk zijn dan valt dat toch wel mee met dat "hele ICT opnieuw bouwen"?
En is het niet sowieso verstandiger om te bouwen voor standaards in plaats van voor wat je nu toevallig hebt draaien? Het doet me denken aan al die organisaties die nu nog op IE6 zitten omdat daar bedrijfskritische applicaties voor gebouwd zijn.
We hebben zelf standaardprotocollen zoals IMAP, SMTP en LDAP over SSL verbindingen in gebruik voor toegang vanaf smartphones, dit zijn standaarden maar de implementatie ervan op de gemiddelde smartphone zuigt nogal.
Iedere nieuwe smartphone of software release is het weer de vraag of het nu dan werkt...
In plaats daarvan kun je natuurlijk MS Exchange neerzetten. Geen standaard maar wel zodanig wijd verspreid dat veel fabrikanten er meer aandacht aan geven dan aan standaardprotocollen. Dan heb je minder kopzorgen.
Maar ja, over 5 jaar zit je dan misschien in dezelfde situatie als nu de mensen die voor IE6 gebouwd hebben?
Wie zal het zeggen?
je gaat naar huis, en opeens kan je niets meer doen, omdat de software van het werk geen connectie kan maken met de domain master, en ander soort shit.
sta je daar, met je laptop die een andere eigenaar heeft.
Het lijkt mij een wereld van verschil wanneer het gaat om "your own device", wat ik dan opvat als eigendom van de medewerker. Indien je een prive desktop thuis mede voor werkdoeleinden gebruikt, dan geef je je werkgever toch ook geen administrative rights op dat apparaat ?
"ik vind het maar griezelige shit met een BYOD dat de baas kan besluiten je prive laptop te wippen, dan betekend imho, dat dus ook prive spullen opeen een blackhole in verdwijnen.."
Waarom zou jij je baas die toegang geven ? Hij mag dat op een BYOD van mij enkel hebben op een specifieke folder waar ik bedrijfsdata in zet. De rest van mijn device is prive, en hij mag die niet alleen niet wipen, maar ook simpelweg niet inzien.
Als een bedrijf toestaat dat een medewerker zijn eigen tablet in het bedrijfsnetwerk gebruikt, zal er een code-of-conduct afgesproken moeten worden. Dan kan het bedrijf zich hierop beroepen. Deze code mag niet in het nadeel van de medewerker zijn. De medewerker zal zich ook "beschaafd" moeten gedragen in het netwerk.
Het "wissen" van data op een prive device kan alleen na tussenkomst van de rechter. Dus dit zal nooit in de CoC staan. Wel kan de werkgever de medewerker verplichten om bijvoorbeeld een goede virusscanner te gebruiken. In de gehele EU geldt dezelfde privacy wetgeving. En ieder bedrijf moet zich daaraan houden. Met het toestaan van BYOD gaat het bedrijf ermee akkoord dat er prive en zakelijke belangen door elkaar gaan lopen. Dus hier komt de CoC kijken. Een andere oplossing is het verstrekken van bedrijfseigendommen. Maar dat kost geld.
Als voorbeeld: ik heb een prive GSM die mijn werkgever volledig vergoed. Maar het blijft prive. Dus als mijn werkgever volledige zeggenschap over mijn GSM wilt, moet hij mij een bedrijfs-GSM verstrekken. Als ik vertrek bij deze werkgever blijft de GSM (incl. nummer) ook mijn eigendom.
Ik snap het hele fenomeen niet zo, voor het werk laat je lekker je baas voor spullen zorgen. En thuis gebruik je lekker wat jezelf fijn vind. Lekker gescheiden houden die twee!
Het "wissen" van data op een prive device kan alleen na tussenkomst van de rechter. Dus dit zal nooit in de CoC staan. Wel kan de werkgever de medewerker verplichten om bijvoorbeeld een goede virusscanner te gebruiken.
Als je als medewerker tegen de baas zegt "mijn telefoon is weg" dan zal de baas meteen aan zijn data denken
en de telefoon wipen. Immers de telefoon is niet meer in handen van de werknemer dus de data is in gevaar.
Blijkt achteraf de telefoon niet gestolen maar ergens neergelegd en later terug gevonden, dan is ie al gewiped.
Dit hele probleem zou er niet zijn als de apps nou eens geen data op de telefoon zouden cachen.
Maak de mail client zo instelbaar dat ie geen locale cache aanhoudt van berichten, maar alles netjes download
on demand. Kost misschien iets meer dataverkeer maar je telefoon bevat tenminste geen vertrouwelijke gegevens.
Als het zo geregeld werd, dan was dat hele wipen niet meer nodig en dus de discussie ook niet.
Incorrect, het is de vraag -welke- data gewist mag worden. Een remote wipe van company data zou kunnen, en zou opgenomen kunnen worden in een CoC. Een remote wipe van andere gegevens zou niet moeten mogen, en zou ook niet tot de technische mogelijkheden moeten behoren.
Waarbij de vraag wat 'company data' is bijvoorbeeld bepaald kan worden door de lokatie op het device waar de data is opgeslagen (aparte folder met bedrijfsgegevens).
Incorrect, het is de vraag -welke- data gewist mag worden. Een remote wipe van company data zou kunnen, en zou opgenomen kunnen worden in een CoC. Een remote wipe van andere gegevens zou niet moeten mogen, en zou ook niet tot de technische mogelijkheden moeten behoren.
Waarbij de vraag wat 'company data' is bijvoorbeeld bepaald kan worden door de lokatie op het device waar de data is opgeslagen (aparte folder met bedrijfsgegevens).
Op het moment dat die key weg is is alles ontoegankelijk, dus "gewiped", en kun je alleen nog opnieuw beginnen met een nieuwe key en een verse "factory default".
Als het anders gedaan werd dan zou het veel tijd kunnen kosten (overschrijven van veel data) en wellicht weer kunnen worden afgebroken enzo. Dat wil men niet bij een geforceerde wipe.
BYOD: het device is aan jou gegeven voor je werk, baas mag er spul op installeren en controleren. Bij vertrek wissen en je mag hem houden
BYOD: baas geeft je centjes, jij koopt ding, is feitelijk regel 1, maar je moet wat belasting betalen (afhankelijk regelgeving).
Daartussenin zitten nog wat grijze gebieden. Die GPS uit het voorbeeld is van de baas, dus hij mag hem checken en de gegevens gebruiken. En dan vindt hij misschien valsheid in geschrifte.
Het is niets iets waar de werknemer toe gedwongen wordt, dus een remote wipe policy of andere verplichtingen lijk mij helemaal niet zo vreemd. Ze kunnen immers nog gewoon gebruik maken van de devices die de werkgever verstrekt.
En, iedereen die belangrijke data bewaard op een enkel device dat makkelijk kapot gaat, verloren of gestolen wordt verdient het die data kwijt te raken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
