image

Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?

woensdag 3 maart 2021, 10:11 door Arnoud Engelfriet, 21 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en de werkgever het bedrag vergoedt via de werkkostenregeling. Nu zeggen collega's dat ze dus op hun eigendom alles mogen installeren dat ze willen, inclusief applicaties die adminrechten nodig hebben. Dat zie ik als security officer als een groot risico, maar hoe zit het juridisch met deze positie?

Antwoord: Je kunt inderdaad werknemers een vergoeding via de werkkostenregeling geven voor de aanschaf van apparatuur zoals een laptop. Maar dat is inderdaad dan ook een privélaptop, waar de werknemer mee mag doen wat zhij wil. Inclusief installeren van gare software met adminrechten.

Als werkgever kun je dan natuurlijk zeggen dat die laptop niet veilig genoeg is om het werk mee te doen. Dat is je goed recht, alleen moet de werknemer dan wel een andere laptop krijgen om mee te kunnen werken.

Er is een uitzondering, en die heet de gerichte vrijstelling: als de laptop voor 90% of meer zakelijk gebruikt wordt, dan kun je de werknemer deze geven en gaat het bedrag niet uit deze regeling. Wel moet het dan noodzakelijk zijn (pdf):

'Noodzakelijk' betekent dat de werknemer zonder de voorziening zijn dienstbetrekking niet goed kan uitoefenen. Dat houdt in dat de werknemer de voorziening voor zijn werk nodig heeft en gebruikt. De mate van dat zakelijke gebruik is daarbij niet doorslaggevend.

In die situatie kun je de laptop als werklaptop zien en behandelen, inclusief veiligheidsrestricties die redelijkerwijs nodig zijn. Echt privé is de laptop dan niet: bij uitdiensttreden moet deze teruggegeven worden aan de werkgever.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (21)
03-03-2021, 10:34 door Anoniem
Het lijkt me eigenlijk dat als het bedrijf kiest voor "bring your own device" ze ook niet een beheerder of security officer moeten aannemen die zich druk maakt om dit soort dingen. Dat zijn twee werelden: de "laat maar waaien" wereld waarin alles zichzelf regelt vs de "we beheren de boel zodanig dat het veilig is" wereld. Die gaan maar moeilijk samen.
Het lijkt me dat je als security officer met de beleidsmakers moet gaan praten over dat idee van "bring your own device" en kijken of dat echt wel een goed idee is, en als men dat blijft vinden, je ofwel niet meer druk maken over dit soort dingen ofwel een werkplek zoeken waar men daar anders tegenaan kijkt.
03-03-2021, 10:41 door Reinder
Tja. dat is het gevolg van de keuze voor een BYOD, dat "O" geeft al aan dat het prive-eigendom is. Je zal de "eerste laag" security elders moeten inrichten hoe vervelend dat misschien ook is.
03-03-2021, 11:19 door Anoniem
Door Anoniem: Het lijkt me eigenlijk dat als het bedrijf kiest voor "bring your own device" ze ook niet een beheerder of security officer moeten aannemen die zich druk maakt om dit soort dingen. Dat zijn twee werelden: de "laat maar waaien" wereld waarin alles zichzelf regelt vs de "we beheren de boel zodanig dat het veilig is" wereld. Die gaan maar moeilijk samen.
Het lijkt me dat je als security officer met de beleidsmakers moet gaan praten over dat idee van "bring your own device" en kijken of dat echt wel een goed idee is, en als men dat blijft vinden, je ofwel niet meer druk maken over dit soort dingen ofwel een werkplek zoeken waar men daar anders tegenaan kijkt.

BYOD is, goed aangepakt, absoluut geen 'laat maar waaien'. Ook bij BYOD bouw je de nodige waarborgen en maatregelen in om problemen te voorkomen. Het probleem is echter dat BYOD vaak als bezuinigingsmaatregel wordt ingezet, waarbij over deze waarborgen en maatregelen niet goed nagedacht wordt. Dan komen kostenbesparingen en de veiligheid van de omgeving inderdaad haaks op elkaar te staan.
03-03-2021, 12:01 door Anoniem
Door Anoniem:
BYOD is, goed aangepakt, absoluut geen 'laat maar waaien'. Ook bij BYOD bouw je de nodige waarborgen en maatregelen in om problemen te voorkomen.
Oh dat is een kwestie van definitie denk ik. Ik versta onder BYOD niet de situatie dat je zelf je device meeneemt en dat de IT beheerder er vervolgens aan gaat sleutelen en je bepaalde dwangmaatregelen oplegt.
In het geval van BYOD denk ik dat die dwangmaatregelen in de IT omgeving zelf moeten liggen, bijvoorbeeld door Citrix te gebruiken.
(en de waarborgen en maatregelen zouden dan bijvoorbeeld bestaan uit het verbieden van toegang tot het bestandssysteem van de client vanuit de Citrix omgeving)

Als je onder BYOD eigenlijk alleen de situatie verstaat waarin het bedrijf nog steeds de spullen beheert maar de inkoop is uitbesteed aan de medewerkers, tja dan kan ik me voorstellen dat er conflicten ontstaan zoals in dit topic behandeld.
03-03-2021, 12:10 door Anoniem
Wanneer een werkgever stelt dat de PC eigen bezit is, en dat doet hij door een vergoeding uit de werkkostenregeling te geven, dan moet hij de werkomgeving daarop aanpassen. Dat kan, door mensen alleen remote te laten werken. Dus hij richt een of meer servers in, waarop virtuele desktops draaien. Dan is de manier van toegang de beveiliging op het werk en heeft de gebruiker vrijheden op de pc. Wel redelijk is het, dat de werkgever kan monitoren of er software wordt geïnstalleerd, die de veiligheid van de bedrijfssystemen kan aantasten.
03-03-2021, 13:51 door Anoniem
Door Reinder: Tja. dat is het gevolg van de keuze voor een BYOD, dat "O" geeft al aan dat het prive-eigendom is. Je zal de "eerste laag" security elders moeten inrichten hoe vervelend dat misschien ook is.

Dat is helemaal niet vervelend. Zero trust. Beveiliging oplossen daar waar het een probleem is. En niet afhankelijk zijn van de andere lagen.
03-03-2021, 14:39 door spatieman
Inclusief installeren van gare software met adminrechten.
die opmerking ,Arnoud ,is super !
03-03-2021, 18:48 door Anoniem
stel bedrijfs gegevens via Citrix beschikbaar, en heb een policy dat men geen bedrijfsgegevens op privelaptops mag opslaan.
Security Officer blij, medewerkers blij.
03-03-2021, 21:12 door Anoniem
Door Anoniem: stel bedrijfs gegevens via Citrix beschikbaar, en heb een policy dat men geen bedrijfsgegevens op privelaptops mag opslaan.
Security Officer blij, medewerkers blij.

Crimineel blij, die pakt met malware gewoon de screenoutput en het toetsenbord mee en ziet en hoort zo alles.

Er is dus meer nodig.
03-03-2021, 21:41 door Anoniem
Door Anoniem: stel bedrijfs gegevens via Citrix beschikbaar, en heb een policy dat men geen bedrijfsgegevens op privelaptops mag opslaan.
Security Officer blij, medewerkers blij.
Zoiets hadden ze ook bij de GGD zeker? Medewerkers gebruiken in ieder geval hun privélaptop.
03-03-2021, 23:30 door Anoniem
Door Reinder: Tja. dat is het gevolg van de keuze voor een BYOD, dat "O" geeft al aan dat het prive-eigendom is. Je zal de "eerste laag" security elders moeten inrichten hoe vervelend dat misschien ook is.
Als de werkgever het hele bedrag vergoed, is het apparaat dan van jou of van de werkgever? Jij hebt dan zelf NIETS voor het apparaat betaald.
(Ik ga uit van de door de vraagsteller geschetste situatie)
04-03-2021, 09:34 door Anoniem
Als je als monteur-reparateur bij een firma werkt krijg je toch een werkkoffer met gereedschap en hoef je je eigen tangen en schroevedraaiers niet te hebben.
DUS, als er een laptop nodig is krijg je die en blijft die eigendom van de werkgever. Jouw OWN DEVICE is een onnodig onding met geouwehoer wat volledig vermeden moet worden. Typisch Nederlands om erover te "polderen" alsof we niets anders te doen hebben.
04-03-2021, 10:37 door Anoniem
Door Anoniem:
Door Reinder: Tja. dat is het gevolg van de keuze voor een BYOD, dat "O" geeft al aan dat het prive-eigendom is. Je zal de "eerste laag" security elders moeten inrichten hoe vervelend dat misschien ook is.
Als de werkgever het hele bedrag vergoed, is het apparaat dan van jou of van de werkgever? Jij hebt dan zelf NIETS voor het apparaat betaald.
(Ik ga uit van de door de vraagsteller geschetste situatie)

Dat staat al in het antwoord van jurist Arnoud - ja, in de situatie dat de werkgever een vergoeding geeft voor onkosten die een werknemer moet maken (zoals het kopen van een laptop) is het apparaat eigendom van de werknemer. De werknemer mag 'm ook houden bij vertrek .

Wil de werkgever controle , moet die een apparaat _ter beschikking stellen_ - bruikleen .
04-03-2021, 11:03 door Anoniem
Door Anoniem:
Door Anoniem: stel bedrijfs gegevens via Citrix beschikbaar, en heb een policy dat men geen bedrijfsgegevens op privelaptops mag opslaan.
Security Officer blij, medewerkers blij.

Crimineel blij, die pakt met malware gewoon de screenoutput en het toetsenbord mee en ziet en hoort zo alles.

Er is dus meer nodig.

Dat is meestal niet zo zeer waar het een crimineel om gaat. Die wil niet het toevallige scherm hebben wat die gebruiker ziet, die wil de hele database hebben. Dat gaat niet op die manier.
04-03-2021, 11:10 door Anoniem
Door Anoniem:
Door Anoniem:
Door Reinder: Tja. dat is het gevolg van de keuze voor een BYOD, dat "O" geeft al aan dat het prive-eigendom is. Je zal de "eerste laag" security elders moeten inrichten hoe vervelend dat misschien ook is.
Als de werkgever het hele bedrag vergoed, is het apparaat dan van jou of van de werkgever? Jij hebt dan zelf NIETS voor het apparaat betaald.
(Ik ga uit van de door de vraagsteller geschetste situatie)

Dat staat al in het antwoord van jurist Arnoud - ja, in de situatie dat de werkgever een vergoeding geeft voor onkosten die een werknemer moet maken (zoals het kopen van een laptop) is het apparaat eigendom van de werknemer. De werknemer mag 'm ook houden bij vertrek .

Wil de werkgever controle , moet die een apparaat _ter beschikking stellen_ - bruikleen .
Dus de werkgever betaalt het apparaat toch? Waarom denk je, dat het dan het eigendom is van de werknemer, die betaalt er toch niets aan mee?
04-03-2021, 12:04 door Anoniem
Dit komt natuurlijk door verschillende zaken...

In het verleden hadden we de auto van de zaak... Veel mensen (denk aan vertegenwoordigers, field engineers) zaten hele dagen op de weg en als ze dat met een prive auto moesten gaan doen was dat kosten technisch onhandig, voor de werknemer onhandig (die moest ineens een andere auto regelen bij veel kilometers, of flink inboeten op de achterlijk lage kilometervergoeding die belastingvrij nog is. Als je baas dan ineens zegt 'goh pietje uit zeeland, ga jij voor mij eens prospects bezoeken in groningen, dan is zo'n medewerker arm tegen de tijd dat ie zijn bonnetjes in zou leveren. Dus werd een auto van de zaak geregeld. maar de belastingdienst had ineens ook een mening en vond dat dit verkapt inkomen zou zijn.
Sterker nog, ze vinden het zo erg dat jij een auto van de zaak ter beschikking kreeg, dat als je meer dan 500km prive zou rijden of het administratief zo moeilijk was dat het bijhouden van 50.000 ritten per jaar niet meer te doen was, dan was je zo'n topcrimineel dat als je die auto van de zaak 5 (voorheen 4) jaar hebt, je die inmiddels via de belasting helemaal zelf betaald hebt. (je krijgt hem helaas niet gratis mee naar huis na 5 jaar en dat geeft ook wel aan dat de bijtelling nergens op slaat). Nu wordt er inmiddels gedifferentieerd op 'brandstof' en zogenaamde uitstoot (waarbij CO2 alleen maar is gekozen omdat ze toen deze 'millieumaatregel' genomen werd CO2 het enige gas was dat ze op dat moment goed konden meten, niet omdat het schadelijk was. Dat is pas achteraf verzonnen om die onzin goed te praten). Dat bijvoorbeeld bij LPG maar 3/5 uitstoot van benzine maar de accijnzen en wegenbelasting wel 4 en 2x zo hoog zijn, daar hoor je niemand over bij de belastingdienst.

toen kwamen de werkkosten regelingen die inmiddels 1.7% van de loonsom zijn. Verdien je dus 4000 euro per maand, dan kun je op jaarbasis iets van ongeveer 800 spenderen aan belastingvrij meuk via de werkgever. dat kan dan voor een it dienstverlener de nieuwste soundsticks zijn (ja, zag ik bij een unix engineer leverancier van me) of bij een vleesverwerker een paar kilo varkenshaasjes.
De koffie en thee, een OV abbo en wat andere zaken vallen dan hier niet onder... NOG niet... geef de belastingdienst een idee...

maar zoals gezegd, wanneer een werknemer een laptop NODIG heeft, dan is die belastingvrij ter beschikking te stellen (inleveren na einde dienstverband dus) en kun je die ruimte voor andere (zinvollere dingen?) gebruiken.
04-03-2021, 12:08 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Reinder: Tja. dat is het gevolg van de keuze voor een BYOD, dat "O" geeft al aan dat het prive-eigendom is. Je zal de "eerste laag" security elders moeten inrichten hoe vervelend dat misschien ook is.
Als de werkgever het hele bedrag vergoed, is het apparaat dan van jou of van de werkgever? Jij hebt dan zelf NIETS voor het apparaat betaald.
(Ik ga uit van de door de vraagsteller geschetste situatie)

Dat staat al in het antwoord van jurist Arnoud - ja, in de situatie dat de werkgever een vergoeding geeft voor onkosten die een werknemer moet maken (zoals het kopen van een laptop) is het apparaat eigendom van de werknemer. De werknemer mag 'm ook houden bij vertrek .

Wil de werkgever controle , moet die een apparaat _ter beschikking stellen_ - bruikleen .
Dus de werkgever betaalt het apparaat toch? Waarom denk je, dat het dan het eigendom is van de werknemer, die betaalt er toch niets aan mee?

Zo werkt dat juridisch blijkbaar - Kun je lang over gaan zeiken of dat logisch is of niet .
Maar *dat* het zo werkt kun je bij Arnoud lezen hierboven - en dus heeft de werkgever een stuk minder zeggenschap dan wanneer een _bedrijfslaptop_ _ter beschikking gesteld_ wordt.

Het geldt voor meer dingen - kleding die je koopt van 'representatiekosten' is _jouw_ kleding. Dat is anders dan 'bedrijfskleding' die je van de zaak 'krijgt' (uniform, overall) .
04-03-2021, 17:14 door Anoniem
Wat begrijp een security officer net aan "own device". Het feit dat dit lastig is vanuit IT security oogpunt, verandert niets aan de juridische situatie. Je kan advies geven aan de medewerker. En eventueel klagen, bij het management team over de keuzes, die zij maken.
05-03-2021, 11:25 door Anoniem
Door Anoniem:
Door Anoniem: stel bedrijfs gegevens via Citrix beschikbaar, en heb een policy dat men geen bedrijfsgegevens op privelaptops mag opslaan.
Security Officer blij, medewerkers blij.

Crimineel blij, die pakt met malware gewoon de screenoutput en het toetsenbord mee en ziet en hoort zo alles.

Er is dus meer nodig.
Citrix heeft daar ook gewoon oplossing voor, die je gewoon kunt activeren.
https://docs.citrix.com/en-us/tech-zone/learn/tech-briefs/app-protection-policies.html

Door Anoniem:
Door Anoniem: stel bedrijfs gegevens via Citrix beschikbaar, en heb een policy dat men geen bedrijfsgegevens op privelaptops mag opslaan.
Security Officer blij, medewerkers blij.
Zoiets hadden ze ook bij de GGD zeker? Medewerkers gebruiken in ieder geval hun privélaptop.
Als iets niet dicht gezet is/wordt, dan is dit inderdaad een mogelijkheid. Maar Citrix heeft hiervoor gewoon de mogelijkheden om dit allemaal dicht te zetten.
28-03-2021, 20:42 door Anoniem
Door Anoniem:
Door Reinder: Tja. dat is het gevolg van de keuze voor een BYOD, dat "O" geeft al aan dat het prive-eigendom is. Je zal de "eerste laag" security elders moeten inrichten hoe vervelend dat misschien ook is.

Dat is helemaal niet vervelend. Zero trust. Beveiliging oplossen daar waar het een probleem is. En niet afhankelijk zijn van de andere lagen.
"Bring company's own device". Je bedoelt de "Y" ? (flauw)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.