Juridische vraag: baas wil andere virusscanner op mijn pc
woensdag 15 mei 2013, 09:46 door Arnoud Engelfriet, 29 reacties
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Ik werk bij een bedrijf waar men al een paar jaar BYOD toestaat. Op mijn eigen laptop draai ik tot volle tevredenheid McAfee antivirussoftware. Recent heeft het bedrijf besloten dat zij Kaspersky veiliger vinden, maar dat wil ik niet op mijn eigen laptop. Mogen ze mijn laptop nu weren op het bedrijfsnetwerk?
Antwoord: In het kort: ja, dat mogen ze maar dan moeten ze wel een bedrijfslaptop of -PC verschaffen.
Hoofdregel is dat de werkgever verantwoordelijk is voor het gereedschap dat de werknemer nodig heeft om zijn werk te doen. Bij Bring your own device wordt deze verantwoordelijkheid gedelegeerd, maar nog steeds heeft de werkgever uiteindelijk de eindbeslissing. Als zij dus scanner A beter vinden dan scanner B, dan heb je als werknemer te werken met A.
BYOD is een bedrijfsbeslissing, geen recht van de werknemer. (Tenzij er in je arbeidscontract staat dat je te allen tijde je eigen laptop mag gebruiken, maar dat lijkt me sterk.) De werkgever geeft ruimte maar mag die ook weer intrekken, tenzij dat in strijd is met de redelijkheid. Want alle bedrijfsbeslissingen moeten uiteindelijk wel redelijk zijn.
De discussie over welke virusscanner beter is, lijkt me er eentje waar je moeilijk uit komt bij de rechter. En dan kom je al snel uit bij "ik zie geen reden waarom het níet redelijk zou zijn", en dan moet je als werknemer je dus maar neerleggen bij die beslissing.
Vervolgens mag de werkgever dus de laptop weren omdat deze niet aan de BYOD eisen voldoet. Dat betekent dat de werknemer zonder eigen laptop op het werk zit. Dát is dan weer het probleem van de werkgever: deze zal nu een laptop van de zaak moeten geven, omdat de werknemer nu zijn werk niet kan doen.
Mensen verplichten een eigen laptop mee te nemen én ze verplichten bedrijfssoftware te installeren is niet redelijk.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (29)
Waarop ik me dan af vraag... Waarom wil je überhaupt je eigen laptop op een company lan hebben? Het gaat de baas geen moer aan wat ik op mijn eigen laptop heb staan. DUS komt er geen software van de baas op MIJN laptop. Simpele discussie..
Volgens mij ligt het er ook aan wat de afspraken zijn met het bedrijf.
Indien je een vergoeding krijgt om een eigen laptop aan te schaffen dan lijkt het me wel redelijk dat het bedrijf bepaalde eisen stelt aan de laptop.
Denk dan aan encrypty, het OS, updates, welke Office versie, bedrijfsspecifieke software en daar hoort ook een virusscanner (mogelijk centraal beheerd) bij.
Als je daarna terug krabbelt omdat het bedrijf zijn securitypolicy aanpast dan lijkt me het niet terecht dat je dit weigert. Zeker als het gaat om de bescherming van bedrijfsinformatie (waar een virusscanner en updates aan bijdraagt). Hier is het bedrijf uiteindelijk eindverantwoordelijke voor.
Indien je een vergoeding krijgt om een eigen laptop aan te schaffen dan lijkt het me wel redelijk dat het bedrijf bepaalde eisen stelt aan de laptop.
Denk dan aan encrypty, het OS, updates, welke Office versie, bedrijfsspecifieke software en daar hoort ook een virusscanner (mogelijk centraal beheerd) bij.
Als je daarna terug krabbelt omdat het bedrijf zijn securitypolicy aanpast dan lijkt me het niet terecht dat je dit weigert. Zeker als het gaat om de bescherming van bedrijfsinformatie (waar een virusscanner en updates aan bijdraagt). Hier is het bedrijf uiteindelijk eindverantwoordelijke voor.
15-05-2013, 11:03 door
Flashback956
Duidelijke toelichting ;)
15-05-2013, 11:12 door
Mozes.Kriebel
De O van "Own" in BYOD is kennelijk toch niet zo Own.
Bedrijven beweren BYOD te promoten om de (beheers)kosten te drukken. Mijn insziens is de oorspronkleijk opzet dat BYOD's op een unmanaged, afgeschermd netwerk binnen het bedrijf werken (extended Internet) en dat de werkgever de ontsluiting van de bedrijfsgegevens op een voor hem veilige manier realiseert. Het zou niet uit moeten/mogen maken wat voor een device dat is (MacBook, PC laptop, tablet, etc.).
De bedrijfsdata zou nooit lokaal op de BYOD moeten landen (data leakage) en derhalve is de smaak virusscanner irrelevant.
Gezien de diversiteit van devices kun je nooit een applicatie afdwingen. Of dat nou een virusscanner is of de smaak van spreadsheet software... M.i is de onderhavige BYOD implementatie een slechte.
Bedrijven beweren BYOD te promoten om de (beheers)kosten te drukken. Mijn insziens is de oorspronkleijk opzet dat BYOD's op een unmanaged, afgeschermd netwerk binnen het bedrijf werken (extended Internet) en dat de werkgever de ontsluiting van de bedrijfsgegevens op een voor hem veilige manier realiseert. Het zou niet uit moeten/mogen maken wat voor een device dat is (MacBook, PC laptop, tablet, etc.).
De bedrijfsdata zou nooit lokaal op de BYOD moeten landen (data leakage) en derhalve is de smaak virusscanner irrelevant.
Gezien de diversiteit van devices kun je nooit een applicatie afdwingen. Of dat nou een virusscanner is of de smaak van spreadsheet software... M.i is de onderhavige BYOD implementatie een slechte.
Het apparaat zou mijns inziens nooit volledig toegang tot het netwerk mogen verkrijgen.
BYOD is leuk, maar dan wel veilig/verantwoord.
Als het apparaat echt moet worden opgenomen in het domein van de werkgever vind ik dat de werkgever er zeker een aantal extra voorwaarden, als beveiligingssoftware aan mag vastknopen. Het kan toch niet zo zijn dat de luxe van het eigen apparaat tot een veiligheidsrisico voor de werkgever leidt. (Ik zie geen toegevoegde waarde in zo'n opzet...alleen veel tijdrovende problemen)
Ideaal is een simple internet toegang zodat vervolgens via een remote vm of Citrix of anders gewerkt kan worden op een door het bedrijf aangeboden en beheerde omgeving. Lokaal is en blijft dan eigen verantwoording. Of dit helemaal 100% veilig is vanuit het bedrijf gezien blijft de vraag....er kan zoveel tegenwoordig ;-)
Curious.....stel het apparaat gaat kapot. Gezien de redenering(en) hierboven zou het bedrijf dan ineens weer verantwoordelijk zijn voor een degelijke werkplek? Zou dat dan ook niet iets genuanceerder moeten liggen? Zou dan de werknemer er niet eerst alles aan moeten doen om zijn OD te repareren/vervangen? Benieuwd hoe jullie dit zien......
BYOD is leuk, maar dan wel veilig/verantwoord.
Als het apparaat echt moet worden opgenomen in het domein van de werkgever vind ik dat de werkgever er zeker een aantal extra voorwaarden, als beveiligingssoftware aan mag vastknopen. Het kan toch niet zo zijn dat de luxe van het eigen apparaat tot een veiligheidsrisico voor de werkgever leidt. (Ik zie geen toegevoegde waarde in zo'n opzet...alleen veel tijdrovende problemen)
Ideaal is een simple internet toegang zodat vervolgens via een remote vm of Citrix of anders gewerkt kan worden op een door het bedrijf aangeboden en beheerde omgeving. Lokaal is en blijft dan eigen verantwoording. Of dit helemaal 100% veilig is vanuit het bedrijf gezien blijft de vraag....er kan zoveel tegenwoordig ;-)
Curious.....stel het apparaat gaat kapot. Gezien de redenering(en) hierboven zou het bedrijf dan ineens weer verantwoordelijk zijn voor een degelijke werkplek? Zou dat dan ook niet iets genuanceerder moeten liggen? Zou dan de werknemer er niet eerst alles aan moeten doen om zijn OD te repareren/vervangen? Benieuwd hoe jullie dit zien......
15-05-2013, 12:03 door
Arnoud Engelfriet
Waar de data staat, maakt voor malware/virussen volgens mij niet uit. Ik zou een worm op mijn laptop kunnen hebben die vervolgens het hele bedrijfsnetwerk door gaat lopen. Dat kan overlast geven.
15-05-2013, 12:04 door
johanw
Ja, met BYOD heb ik al twee keer een slechte ervaring gehad: een keer een Exchange server die allerlei policies naar m'n telefoon pushte die ik - ook na verwijdering van het Exchange account - niet meer kon aanpassen zonder flink wat studie om m'n eigen telefoon te hacken.
Daarna een bedrijf waar ik een klus deed die even iets op een niet-ontwikkel laptop (de mijne dus) wilde testen en daar Oracle op installeerde. Helaas realiseerde ik me niet dat Oracle niet doet aan simpele uninstall procedures, en hun eigen uninstaller kun je alleen downloaden als je daar een (duur) account hebt, wat ik als prive ontwikkelaar niet heb. Dan maar handmatig, iets dat veel te lang duurde.
Dus vanaf nu ondersteunt mijn prive telefoon geen Exchange meer en heb ik thuis enkel een vaste PC die ik niet mee naar m'n werk hoef te slepen.
Daarna een bedrijf waar ik een klus deed die even iets op een niet-ontwikkel laptop (de mijne dus) wilde testen en daar Oracle op installeerde. Helaas realiseerde ik me niet dat Oracle niet doet aan simpele uninstall procedures, en hun eigen uninstaller kun je alleen downloaden als je daar een (duur) account hebt, wat ik als prive ontwikkelaar niet heb. Dan maar handmatig, iets dat veel te lang duurde.
Dus vanaf nu ondersteunt mijn prive telefoon geen Exchange meer en heb ik thuis enkel een vaste PC die ik niet mee naar m'n werk hoef te slepen.
Door Arnoud Engelfriet: Waar de data staat, maakt voor malware/virussen volgens mij niet uit. Ik zou een worm op mijn laptop kunnen hebben die vervolgens het hele bedrijfsnetwerk door gaat lopen. Dat kan overlast geven.
Ja daarom moet je de computer ook niet aan het bedrijfsnetwerk koppelen, zoals de Anoniem erboven ook schreef.BYOD dat doe je door je werknemers internet te verschaffen en dan vervolgens op internet een toegang naar de bedrijfsgegevens te verschaffen via remote desktop of citrix, waarbij de eigen PC alleen maar scherm en toetsenbord is van een sessie die op een server in de bedrijfsomgeving draait. Dan kan men thuis en op de werkplek bij de gegevens.
Een wat beperktere versie zou kunnen werken met een apart gesloten netwerk alleen op het bedrijf, dus niet internet.
Dan werkt het alleen als je op kantoor bent, en kan niet de hele wereld proberen toegang te krijgen.
(wat je uiteraard al fatsoenlijk beveiligt met 2-factor authenticatie)
Dan kunnen de locale malware en virussen als het goed is niet bij het bedrijfsnetwerk.
(uiteraard wel zo configureren dat er geen mapping is van de drives in de sessie naar de PC van de medewerker!)
"Recent heeft het bedrijf besloten dat zij Kaspersky veiliger vinden, maar dat wil ik niet op mijn eigen laptop."
Het meest veilig is om verschillende antivirusscanners te gebruiken binnen 1 omgeving. Dat lijkt me nou juist een goede reden om op een BYOD je eigen (degelijke) virusscanner te mogen gebruiken. Geeft men eigenlijk aan waarom men dit wil, wat is het bezwaar tegen McAfee ?
Het meest veilig is om verschillende antivirusscanners te gebruiken binnen 1 omgeving. Dat lijkt me nou juist een goede reden om op een BYOD je eigen (degelijke) virusscanner te mogen gebruiken. Geeft men eigenlijk aan waarom men dit wil, wat is het bezwaar tegen McAfee ?
@Arnoud :
"Waar de data staat, maakt voor malware/virussen volgens mij niet uit. Ik zou een worm op mijn laptop kunnen hebben die vervolgens het hele bedrijfsnetwerk door gaat lopen. Dat kan overlast geven."
Volgt uit die redening ook de conclusie dat de werkgever mag bepalen welke virusscanner je draait, of zou iedere degelijke virusscanner eigenlijk in orde moeten zijn ? Zowel Kaspersky als McAfee kunnen malware/virussen tegenhouden (en geen van beiden zullen 100% scoren).
Indien je bijvoorbeeld zelf geld hebt uitgegeven voor een licentie, dan lijkt het mij erg onredelijk indien je je aangeschafte software weg mag gooien omdat je werkgever dat zo graag wil. De eis dat je een degelijke virusscanner hebt lijkt mij wel redelijk.
"Waar de data staat, maakt voor malware/virussen volgens mij niet uit. Ik zou een worm op mijn laptop kunnen hebben die vervolgens het hele bedrijfsnetwerk door gaat lopen. Dat kan overlast geven."
Volgt uit die redening ook de conclusie dat de werkgever mag bepalen welke virusscanner je draait, of zou iedere degelijke virusscanner eigenlijk in orde moeten zijn ? Zowel Kaspersky als McAfee kunnen malware/virussen tegenhouden (en geen van beiden zullen 100% scoren).
Indien je bijvoorbeeld zelf geld hebt uitgegeven voor een licentie, dan lijkt het mij erg onredelijk indien je je aangeschafte software weg mag gooien omdat je werkgever dat zo graag wil. De eis dat je een degelijke virusscanner hebt lijkt mij wel redelijk.
"Indien je een vergoeding krijgt om een eigen laptop aan te schaffen dan lijkt het me wel redelijk dat het bedrijf bepaalde eisen stelt aan de laptop."
Indien men die vergoeding geeft, dan is het geen eigen device, en dan is er geen sprake van BYOD. Of geeft de werkgever die hardware als kado, en zijn ze geen eigenaar van het device ?
Indien men die vergoeding geeft, dan is het geen eigen device, en dan is er geen sprake van BYOD. Of geeft de werkgever die hardware als kado, en zijn ze geen eigenaar van het device ?
"Waarop ik me dan af vraag... Waarom wil je überhaupt je eigen laptop op een company lan hebben? Het gaat de baas geen moer aan wat ik op mijn eigen laptop heb staan. DUS komt er geen software van de baas op MIJN laptop. Simpele discussie.."
Dat hangt erg van je baan en het bedrijf af. Overigens hoeft BYOD helemaal niet te impliceren dat de baas kan zien wat je op je laptop hebt staan. Mijn baas kijkt niet op mijn laptop, de enige ''controle'' die hij heeft is een automatische check dat je je firewall aan hebt staan, antivirus hebt draaien en beveiligingsupdates hebt geinstalleerd.
Wat er verder op mijn laptop staat kan hij niet zien.
Dat hangt erg van je baan en het bedrijf af. Overigens hoeft BYOD helemaal niet te impliceren dat de baas kan zien wat je op je laptop hebt staan. Mijn baas kijkt niet op mijn laptop, de enige ''controle'' die hij heeft is een automatische check dat je je firewall aan hebt staan, antivirus hebt draaien en beveiligingsupdates hebt geinstalleerd.
Wat er verder op mijn laptop staat kan hij niet zien.
Een klant van mij heeft ook het BYOD principe ingevoerd. De netwerken waar je met je BYOD op kan zijn middels 802.1x beveiligd (PEAP). Vanuit vlan's is er een heel klein gaatje gemaakt in een firewall richting een terminal service farm. Via een RDP capable programma kan je je desktop opstarten en werken. De enige eis die ze dus hebben is netwerk aansluiting (wired of wireless), dot1x supplicant en een rdp client. Werkt goed en minimale eisen aan de beveiliging van de betreffende laptop.
RDP sessie is dicht getimmerd om data leakage te minimaliseren.
RDP sessie is dicht getimmerd om data leakage te minimaliseren.
Interessante vraag, interessant antwoord ook. Wat ik -ter verdieping van de vraag- wel boeiend vind is:
Stel mijn werkgever heeft ook tot BYOD besloten. Maar... stelt daarbij een virtuele machine (OVF/OVA-tje) beschikbaar ik als werknemer kan downloaden en installeren. Het is de bedoeling dat ik mijn werk voor mijn werkgever binnen die virtuele machine doe; alle door mijn werkgever gewenste software staat erop; de company virusscanner incluis. Dat werkt lekker, maar...
Mag mijn werkgever nu ook eisen stellen aan de virusscanner (of andere software) die op mijn host-laptop draait?
Stel mijn werkgever heeft ook tot BYOD besloten. Maar... stelt daarbij een virtuele machine (OVF/OVA-tje) beschikbaar ik als werknemer kan downloaden en installeren. Het is de bedoeling dat ik mijn werk voor mijn werkgever binnen die virtuele machine doe; alle door mijn werkgever gewenste software staat erop; de company virusscanner incluis. Dat werkt lekker, maar...
Mag mijn werkgever nu ook eisen stellen aan de virusscanner (of andere software) die op mijn host-laptop draait?
Meestal is BYOD iets wat de werknemer wil, niet de werkgever of de IT-afdeling. Men wil juist die bedrijfs desktop of laptop niet want die is niet cool genoeg en daar kan je zelf niet al die niet-werkgerelateerde leuke dingen op installeren.
16-05-2013, 12:57 door
Arnoud Engelfriet
Volgt uit die redening ook de conclusie dat de werkgever mag bepalen welke virusscanner je draait, of zou iedere degelijke virusscanner eigenlijk in orde moeten zijn ? Zowel Kaspersky als McAfee kunnen malware/virussen tegenhouden (en geen van beiden zullen 100% scoren).
De werkgever bepaalt hoe het werk wordt uitgevoerd, punt. Dus als die zegt, we gebruiken Kaspersky dan moet jij werken met Kaspersky ook al heb je 100 studies dat McAfee of een multi-scanner situatie beter is. Het is zijn beslissing.Een werkgever kan je niet dwingen eigen gereedschap mee te nemen. Maar hij mag wel verbíeden dat je eigen gereedschap meeneemt. BYOD is dus slechts toegestaan voor zover de werkgever dat wil, en hij mag eisen stellen. Die kunjij leuk vinden of niet, maar vind je ze niet leuk dan doe je niet mee aan BYOD, zo simpel is dat. En dan moet je dus een laptop van de zaak gebruiken.
Mag mijn werkgever nu ook eisen stellen aan de virusscanner (of andere software) die op mijn host-laptop draait?
Ja dus, want hij mag eisen stellen aan alle aspecten van eigen gereedschap.Het enige dat niet mag is je dwíngen aan BYOD mee te doen.
(Wel heeft de werkgever rekening te houden met je privacy, dus BYOD beleid dat zegt "we mogen alles doorsnuffelen zonder reden" mag niet.)
Door Arnoud Engelfriet:
Hoezo kan de werkgever dat niet? Er zijn diverse branches waar de werkgever er vanuit gaat dat de werknemers zelf hun gereedschap meebrengen. Ik heb in de restaurantbranche gezien dat koks zelf hun messen meebrengen. In de bouw (en niet alleen met zzpers) brengen diverse bouwvakkers hun eigen (hand)gereedschap mee. Zaagmachines e.d. worden nog door het bedrijf geleverd.
In andere landen zie je het ook bij andere branches. Gartner voorspelt zelfs dat over een jaar of 5 bij een groot aantal bedrijven BYOD verplicht wordt.
Ik vraag me trouwens af wat de kwaliteit van de divese virusscanners op Android en Apple is. Dat hoeft niet dezelfde ranglijst te zijn als bij PC's. Sommige "verplichte" virusscanners zijn niet eens leverbaar voor Linux.
Hetzelfde geldt voor zaken als virtuele desktops en terminal servers. Er wordt weer voornamelijk gedacht aan Windows. Dat blijkt ook uit opmerkingen over "domein van de werkgever". Je ziet steeds meer dat applicaties via web interfaces benaderbaar worden. BYOD is dan een goede katalysator om ervoor te zorgen dat die applicaties middels standaarden worden ontsloten. Ik krijg met geen mogelijkheid IE6 aan het draaien op mijn linux laptop. ;-)
Peter
Een werkgever kan je niet dwingen eigen gereedschap mee te nemen. Maar hij mag wel verbíeden dat je eigen gereedschap meeneemt. BYOD is dus slechts toegestaan voor zover de werkgever dat wil, en hij mag eisen stellen. Die kunjij leuk vinden of niet, maar vind je ze niet leuk dan doe je niet mee aan BYOD, zo simpel is dat. En dan moet je dus een laptop van de zaak gebruiken.
Hoezo kan de werkgever dat niet? Er zijn diverse branches waar de werkgever er vanuit gaat dat de werknemers zelf hun gereedschap meebrengen. Ik heb in de restaurantbranche gezien dat koks zelf hun messen meebrengen. In de bouw (en niet alleen met zzpers) brengen diverse bouwvakkers hun eigen (hand)gereedschap mee. Zaagmachines e.d. worden nog door het bedrijf geleverd.
In andere landen zie je het ook bij andere branches. Gartner voorspelt zelfs dat over een jaar of 5 bij een groot aantal bedrijven BYOD verplicht wordt.
Ik vraag me trouwens af wat de kwaliteit van de divese virusscanners op Android en Apple is. Dat hoeft niet dezelfde ranglijst te zijn als bij PC's. Sommige "verplichte" virusscanners zijn niet eens leverbaar voor Linux.
Hetzelfde geldt voor zaken als virtuele desktops en terminal servers. Er wordt weer voornamelijk gedacht aan Windows. Dat blijkt ook uit opmerkingen over "domein van de werkgever". Je ziet steeds meer dat applicaties via web interfaces benaderbaar worden. BYOD is dan een goede katalysator om ervoor te zorgen dat die applicaties middels standaarden worden ontsloten. Ik krijg met geen mogelijkheid IE6 aan het draaien op mijn linux laptop. ;-)
Peter
"Mag mijn werkgever nu ook eisen stellen aan de virusscanner (of andere software) die op mijn host-laptop draait?"
Ja, maar jij mag ook weigeren aan die eisen te voldoen. En in dat geval moet je werkgever zelf zorgen voor hardware. Uiteindelijk kan je je dus afvragen hoeveel macht je werkgever heeft, indien hij graag heeft dat jij werkt op je eigen hardware.
Ja, maar jij mag ook weigeren aan die eisen te voldoen. En in dat geval moet je werkgever zelf zorgen voor hardware. Uiteindelijk kan je je dus afvragen hoeveel macht je werkgever heeft, indien hij graag heeft dat jij werkt op je eigen hardware.
"Meestal is BYOD iets wat de werknemer wil, niet de werkgever of de IT-afdeling. Men wil juist die bedrijfs desktop of laptop niet want die is niet cool genoeg en daar kan je zelf niet al die niet-werkgerelateerde leuke dingen op installeren"
Laat me niet lachen, de hele BYOD hype is er omdat bedrijven op die manier graag kosten willen bezuinigen door bedrijfskosten af te wentelen op werknemers. Of de IT afdeling dat leuk vindt, dat maakt de directie van een bedrijf niet zoveel uit.
Dat sommige werknemers het ook leuk vinden is slechts een argument ter onderbouwing van het invoeren van dit soort policies.
Laat me niet lachen, de hele BYOD hype is er omdat bedrijven op die manier graag kosten willen bezuinigen door bedrijfskosten af te wentelen op werknemers. Of de IT afdeling dat leuk vindt, dat maakt de directie van een bedrijf niet zoveel uit.
Dat sommige werknemers het ook leuk vinden is slechts een argument ter onderbouwing van het invoeren van dit soort policies.
16-05-2013, 14:50 door
Arnoud Engelfriet
Hoezo kan de werkgever dat niet? Er zijn diverse branches waar de werkgever er vanuit gaat dat de werknemers zelf hun gereedschap meebrengen. Ik heb in de restaurantbranche gezien dat koks zelf hun messen meebrengen. In de bouw (en niet alleen met zzpers) brengen diverse bouwvakkers hun eigen (hand)gereedschap mee. Zaagmachines e.d. worden nog door het bedrijf geleverd.
Ze mogen er vanuit gaan en ze mogen het tolereren dat werknemers gereedschap meebrengen maar formeel staat een werkgever in zijn recht als hij zegt "die privéspullen mag je niet gebruiken". Hij bepaalt namelijk hoe het werk wordt uitgevoerd én hij is aansprakelijk als de werknemer schade lijdt door kwalitatief slecht gereedschap.
De wet (art. 7:658 leden 1 en 2 BW):
1. De werkgever is verplicht de lokalen, werktuigen en gereedschappen waarin of waarmee hij de arbeid doet verrichten, op zodanige wijze in te richten en te onderhouden alsmede voor het verrichten van de arbeid zodanige maatregelen te treffen en aanwijzingen te verstrekken als redelijkerwijs nodig is om te voorkomen dat de werknemer in de uitoefening van zijn werkzaamheden schade lijdt.
2. De werkgever is jegens de werknemer aansprakelijk voor de schade die de werknemer in de uitoefening van zijn werkzaamheden lijdt, tenzij hij aantoont dat hij de in lid 1 genoemde verplichtingen is nagekomen of dat de schade in belangrijke mate het gevolg is van opzet of bewuste roekeloosheid van de werknemer.
2. De werkgever is jegens de werknemer aansprakelijk voor de schade die de werknemer in de uitoefening van zijn werkzaamheden lijdt, tenzij hij aantoont dat hij de in lid 1 genoemde verplichtingen is nagekomen of dat de schade in belangrijke mate het gevolg is van opzet of bewuste roekeloosheid van de werknemer.
Lid 2 geldt ook als het om privégereedschap gaat. Als ik thuiswerken toesta en een werknemer van me krijgt RSI van z'n keukentafel dan moet ík dat vergoeden. Ik heb hem immers zijn keukentafel aangewezen als werkplek maar die niet deugdelijk doen inrichten. (En nee, dat ik z'n huis niet in mag, is géén argument.) Welkom in de wereld van het arbeidsrecht.
Er zijn grenzen, zoals de privacy. Ik mag niet zomaar eisen dat mensen een uniform dragen, dat raakt aan hun persoonlijke expressie (uitingsvrijheid/privacy). Ik mag wél (in de juridische sector) een stropdas eisen en mensen naar huis sturen als ze een korte broek dragen. In de IT zou zo'n instructie niet echt redelijk zijn, en een goed werkgever mag geen onredelijke instructies geven.
hmmm me not know :).... gaat het om software van een derde of partner-software? bij software van een derde moet het ook bij BYOD mogelijk zijn om zoiets te eisen zonder recht te hebben op verdere hardware van de zaak, die afspraken blijven dan bestaan. Alleen bij partner software en software of instellingen van de zaak zelf geldt volgens recht op bijhorende hardware. dus als je bijvoorbeeld bij KPN werkt zou je dan gewoon f secure kunnen gebruiken ipv de partner versie pcveilig, tenzij ze dat verplichten.
dit lijkt me ook een hele lastige kwestie voor scholen, zeker de lagere scholen die nu allemaal digitaal worden, want wat doe je omgekeerd en bij minderjarigen? als een kind van 10 jaar een ipad van school mee naar huis geeft voor het maken van huiswerk, tot hoever mag je dan een als school eisen stellen aan de thuis verbinding, gebruik en veiligheid en wat doe je als (ouder/school) indien een kind het tegen afspraken in prive gebruikt ?
dit lijkt me ook een hele lastige kwestie voor scholen, zeker de lagere scholen die nu allemaal digitaal worden, want wat doe je omgekeerd en bij minderjarigen? als een kind van 10 jaar een ipad van school mee naar huis geeft voor het maken van huiswerk, tot hoever mag je dan een als school eisen stellen aan de thuis verbinding, gebruik en veiligheid en wat doe je als (ouder/school) indien een kind het tegen afspraken in prive gebruikt ?
Arnoud, dit is een interessante.
De werkgever staat de werknemer toe bepaalde privezaken uit te voeren op een werkplek van het bedrijf. De werknemer kan bijvoorbeeld tijdens werktijd internetbankieren. Nu blijkt dat de virusscanner niet (goed) werkt en de rekening van de werknemer wordt leeggehaald. Nu de bank lijkt te kunnen zeggen dat ze niets vergoed omdat er geen (goedwerkende) virusscanner is gebruikt, zou je de schade dus kunnen verhalen op je werkgever.
Het is ook leuk om te associeren dat je in de IT de plicht om een lange broek te dragen als onredelijk gezien wordt.
Peter
De werkgever staat de werknemer toe bepaalde privezaken uit te voeren op een werkplek van het bedrijf. De werknemer kan bijvoorbeeld tijdens werktijd internetbankieren. Nu blijkt dat de virusscanner niet (goed) werkt en de rekening van de werknemer wordt leeggehaald. Nu de bank lijkt te kunnen zeggen dat ze niets vergoed omdat er geen (goedwerkende) virusscanner is gebruikt, zou je de schade dus kunnen verhalen op je werkgever.
Het is ook leuk om te associeren dat je in de IT de plicht om een lange broek te dragen als onredelijk gezien wordt.
Peter
17-05-2013, 13:32 door
Arnoud Engelfriet
Peter, dát is een twijfelgeval want de schade moet wel enig verband met het werk hebben. Privébankieren is voor mij moeilijk met het werk te verenigen. Maar het is niet ondenkbaar.
Ik zeg maar zo, ik zeg maar niks. En al helemaal niet wanneer mijn handtekening eronder staat. Het artikel illustreert wel de deplorabele toestand waarin vrijwel elke bedrijfstak in de kennismaatschappij zich bevind. En nu maar hopen dat ik geen USBtje in een huurauto per ongeluk laat slingeren of dat incompetente managers BYOD toestaan op de meest kwetsbare plekken binnen het bedrijf en als je met je bevindingen hard gillend naar de DNB wil rennen blijkt die club nog een graadje erger te zijn. Anno 2013 lijkt BYOD lekker goedkoop en ik wens de hersenloze "managers" die dit toestaan interessante tijden toe! Laat ze allemaal maar door gebrek aan gewicht boven komen drijven en wegwaaien!
Door Arnoud Engelfriet:
Ze mogen er vanuit gaan en ze mogen het tolereren dat werknemers gereedschap meebrengen maar formeel staat een werkgever in zijn recht als hij zegt "die privéspullen mag je niet gebruiken". Hij bepaalt namelijk hoe het werk wordt uitgevoerd én hij is aansprakelijk als de werknemer schade lijdt door kwalitatief slecht gereedschap.
Hoezo kan de werkgever dat niet? Er zijn diverse branches waar de werkgever er vanuit gaat dat de werknemers zelf hun gereedschap meebrengen. Ik heb in de restaurantbranche gezien dat koks zelf hun messen meebrengen. In de bouw (en niet alleen met zzpers) brengen diverse bouwvakkers hun eigen (hand)gereedschap mee. Zaagmachines e.d. worden nog door het bedrijf geleverd.
Ze mogen er vanuit gaan en ze mogen het tolereren dat werknemers gereedschap meebrengen maar formeel staat een werkgever in zijn recht als hij zegt "die privéspullen mag je niet gebruiken". Hij bepaalt namelijk hoe het werk wordt uitgevoerd én hij is aansprakelijk als de werknemer schade lijdt door kwalitatief slecht gereedschap.
In de bouw is het wel zo dat een werknemer zijn eigen handgereedschap heeft, de werknemer krijgt hiervoor zelfs een in de cao vastgelegde vergoeding. Hier zijn ook redenen voor.
Als je dan naar de wet kijkt, kan elke werkgever daar dus in gebreke zijn, wanneer de werknemer ondeugdelijk gereedschap aanschaft en gebruikt.
Nou ik zie de rechtzaken al komen bij arbeidsongeschiktheid.....
21-05-2013, 14:31 door
Patio
Peter schreef: De werknemer kan bijvoorbeeld tijdens werktijd internetbankieren.
Vooropgesteld dat dit is toegestaan, handig en verstandig is het niet afgezien van tijdverlies is het mogelijk dat collegae en/of netwerkbeheerders meekijken, letterlijk over je schouder of virtueel.
Gechargeerd: Als je 's avonds thuis porno op je laptop zet, laat je dat ook tot en met de volgende ochtend onversleuteld staan, zodat de hele afdeling mee kan genieten? BYOD is geen slecht idee, maar er zijn grenzen aan het toelaatbare die goed afgebakend en in harde regels vasthelegd en bekendgemaakt aan de deelnemers.
De oorspronkelijke vraag ging over een softwareleverancier. Mogelijk kan een "slimme" manager [<cynisme>ja, ze zijn zeldzaam, maar ze bestaan</cynisme>] zelfs eisen stellen aan te gebruiken Release, Versie, Update, PatchLevel en BuildCode, hiermee de kans vergroten dat niet iedereen mee kan of wil doen.
Vooropgesteld dat dit is toegestaan, handig en verstandig is het niet afgezien van tijdverlies is het mogelijk dat collegae en/of netwerkbeheerders meekijken, letterlijk over je schouder of virtueel.
Gechargeerd: Als je 's avonds thuis porno op je laptop zet, laat je dat ook tot en met de volgende ochtend onversleuteld staan, zodat de hele afdeling mee kan genieten? BYOD is geen slecht idee, maar er zijn grenzen aan het toelaatbare die goed afgebakend en in harde regels vasthelegd en bekendgemaakt aan de deelnemers.
De oorspronkelijke vraag ging over een softwareleverancier. Mogelijk kan een "slimme" manager [<cynisme>ja, ze zijn zeldzaam, maar ze bestaan</cynisme>] zelfs eisen stellen aan te gebruiken Release, Versie, Update, PatchLevel en BuildCode, hiermee de kans vergroten dat niet iedereen mee kan of wil doen.
Blijft natuurlijk wel het verhaal dat het niet slim is om MacAffee te blijven gebruiken.
Die hangt al enkele jaren kwalitatief onderaan het lijstje.
Soms is het wel eens verstandig om naar veiligheidsadviezen van de zaak te luisteren zoals in dit geval.
Die hangt al enkele jaren kwalitatief onderaan het lijstje.
Soms is het wel eens verstandig om naar veiligheidsadviezen van de zaak te luisteren zoals in dit geval.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
