Bring Your Own Device, kans of bedreiging?

Steeds meer werknemers gebruiken dezelfde apparatuur, bijvoorbeeld

laptop of smartphone, zowel thuis als op de werkplek. De voordelen

van het gebruiken van dezelfde apparaten voor werk en privé - onder

meer beter kunnen omgaan met de techniek en zelfs besparingen -

wegen op tegen de nadelen, zoals problemen met beveiliging. De

nadelen kunnen namelijk eenvoudig worden weggenomen.

Mobiele telefoons, computers en tablets zijn in de thuisomgeving niet meer weg te denken. Logisch

gevolg daarvan is dat mensen op hun werk dezelfde techniek willen gebruiken als thuis. Voor privé

koop je het merk van jouw voorkeur, die keuzemogelijkheid wil je op je werk toch ook? Je kent het,

bent er vertrouwd mee en kunt er goed mee werken. Deze trend, zelf bepalen welke apparaten je

gebruikt om je werk te doen, heet Bring Your Own Device (BYOD) of Choose Your Own Device (CYOD)*.

Ergernis

Het gebruik van privéapparatuur voor werk en vice versa is ook toe te schrijven aan de ontwikkeling

dat medewerkers steeds mobieler zijn en overal willen kunnen werken. Daarmee vervaagt de scheiding

tussen werk en privé. Voor veel kennismedewerkers is er al geen duidelijke scheiding meer tussen

zakelijke en persoonlijke taken en activiteiten (en sociale media). Werk is onderdeel van het dagelijks

leven. De mobiele medewerker ergert zich daarom aan de scheiding tussen ‘werk’ en ‘thuis’

apparaten. Hij moet twee systemen beheren en beheersen en apparaten wisselen als hij van

‘privéactiviteit’ naar ‘zakelijke activiteit’ gaat.

Dan komt de vraag naar boven hoe je als werkgever kan inspelen op zowel de behoeften van de

organisatie als die van de werknemer - de eindgebruiker van bedrijfsnetwerken, ICT-ondersteuning en

apparatuur. Want het feit dat medewerkers de eigen iPad, MacBook of Android telefoon willen

gebruiken en zo toegang tot bedrijfstoepassingen en gegevens krijgen moet op een goede wijze worden

gecoördineerd.

Het zogenoemde ‘consumerization of IT’, waarbij consumenten als eersten de nieuwste technologische

ontwikkelingen omarmen en bedrijven later volgen, geeft Bring Your Own Device een extra stimulans

en biedt bedrijven ook kansen. De nieuwste technologieën worden door medewerkers de organisatie

ingebracht, de werkgever is daarmee eerder in staat trends te signaleren. Je medewerkers als

trendspotters dus. Daarnaast biedt BYOD nog meer voordelen voor zowel bedrijf als werknemer.

Meer tevredenheid, minder complexiteit

Werknemers kunnen een apparaat kiezen dat past bij hun levensstijl en persoonlijke behoeften. Over

het algemeen zijn zij daarom beter te spreken over hun smartphone, laptop of tablet en verdiepen zij

zich beter in de technische mogelijkheden. Ook de mogelijkheid om vanaf elke willekeurige locatie te

werken verhoogd het gebruikersgemak. Last but not least: doordat alles in één apparaat gecombineerd

is wordt het werken met apparaten een stuk minder complex, want er is geen scheiding meer tussen

persoonlijke en zakelijke activiteiten en social media.

Ook interessant voor werkgevers

Maar wat brengt BYOD de werkgever eigenlijk? Ton Temming van Phylax ICT uit Made heeft daar wel

een antwoord op. “Het levert een bedrijf de mogelijkheid zich te profileren als een moderne

organisatie, met een vooruitstrevende houding ten aanzien van werken,” vertelt hij. “Dat maakt je

aantrekkelijker als werkgever en geeft dus een voorsprong bij het werven en in dienst houden van

personeel. Ook is het met een doordacht BYOD-beleid mogelijk om de kloof tussen ‘werkplek’ en

‘thuis’ kleiner te maken of zelfs te dichten. Werk wordt onderbroken door privéactiviteiten, maar dat

heeft geen gevolgen voor de productiviteit omdat de werkdag langer wordt.” Met BYOD is het voor

werkgevers gemakkelijker om ‘op afstand werken’ in te vullen. Ton: “Daardoor kan uiteindelijk zelfs

bespaard worden op kosten voor kantoorruimte. Andere besparingen kunnen behaald worden doordat

werknemers over het algemeen zuiniger zijn op apparaten die zij zelf uitgekozen hebben. Minder

kosten dus door verlies of beschadiging. Ook zijn er mogelijkheden om kosten te verlagen bij

verstrekking van nieuwe apparatuur en door vermindering van eigendom van hardware.”

Een overstap naar BYOD biedt ook andere kansen:

Gebruik van eigen apparaten leidt tot minder klachten over veroudering, beschadiging en

slechte prestaties.

Kostenreductie door minder investeringen, lagere onderhoudskosten en door vermijding van

kosten op het gebied van technologische vernieuwingen.

Minder opleidingskosten omdat gebruikers beter bekend zijn met hun apparaat en eerder

geneigd zijn zichzelf de techniek aan te leren. Ook het verminderen van ondersteuning dwingt

gebruikers hun apparaat te leren kennen.

Een vermindering van managementbeheer door een afname van activa.

Veel vragen

Bovenstaande klinkt allemaal positief. Maar er zijn talloze vragen die beantwoord moeten worden

voordat BYOD succesvol geïmplementeerd kan worden in een organisatie. Wie is verantwoordelijk voor

ondersteuning van hardware, software en gegevens en wie doet wat als een apparaat niet werkt? Hoe is

de bescherming van bedrijfsgegevens gegarandeerd in geval van corruptie, misbruik of diefstal? Hoe is

handhaving van het beveiligingsbeleid georganiseerd zonder afbreuk te doen aan het gebruiksgemak?

Hoe wordt de compatibiliteit van toepassingen beheerst en gaan we om met sanering en implementatie

met zoveel verschillende apparaten?

Het antwoord op al deze vragen is dat een bedrijf het verlies van controle op het gebied van privacy,

veiligheid en beheer(s)baarheid moet compenseren. Maar hoe dan? Technisch is het goed mogelijk deze

risico's af te dekken. Wat rest is het ontwikkelen van beleid en communicatie naar medewerkers. Ton

Temming heeft hiervoor een stappenplan ontwikkeld waarmee de klanten van Phylax ICT hun BYOD-

beleid vaststellen.

Van niets tot iets: stappenplan ontwikkeling BYOD-beleid

Stap 1 : Creëer betrokkenheid bij de verantwoordelijke partijen

Goed beleid komt tot stand doordat de juiste verantwoordelijken en werknemers erbij betrokken

worden. Zij moeten tot een consensus komen bij het opstellen van regels, die moeten voldoen

aan de eisen van het bedrijf (beveiliging, beheer van human resources, wettelijke aspecten) en

aan die van de gebruikers (op zoek naar flexibiliteit en vrijheid). Bij het ontwikkelen van beleid

dient bovendien onderscheid te worden gemaakt tussen zakelijke apparaten (CYOD) en

apparaten die privé zijn aangeschaft (BYOD). Als het apparaat persoonlijk eigendom is, mag

juridisch gezien het gebruik van privéapplicaties bijvoorbeeld niet verboden worden.

Formuleren van BYOD-beleid vraagt om de betrokkenheid van meerdere partijen binnen de

organisatie:

Management - voor goedkeuring van het voorgestelde beleid.

(Externe) ICT partner – ter beoordeling van de (BYOD) apparaten, beheer en (in meer of

mindere mate) ondersteuning.

HRM Afdeling/Personeelszaken - BYOD-beleid gaat samen met tijd- en plaatsonafhankelijk

werken (Het Nieuwe Werken). De HR-afdeling zal hierom bij het ontwerpen van het beleid

moeten worden betrokken.

Afdeling Marketing - omdat de apparaten waarmee de medewerkers ’buiten’ rondlopen ook

bijdragen aan het beeld van een bedrijf.

Stap 2 : Ontwikkel databeleid

Het is van belang de risico’s van een BYOD-beleid in te schatten. Om dat te kunnen moet eerst

een databeleid worden ontwikkeld. Hierin staat welke soorten gegevens binnen de organisatie

aanwezig zijn en of deze wel of niet toegankelijk mogen zijn van buitenaf. Na het vaststellen

van het databeleid kan beschreven worden welke gegevens door een BYOD-apparaat

geraadpleegd, bewerkt en/of opgeslagen mogen worden.

Aanbevelingen

Gegevens die cruciaal zijn voor de bedrijfsvoering mogen niet toegankelijk zijn of

alleen via extra beveiliging.

Bedrijfsinformatie mag niet lokaal worden opgeslagen.

Regelmatige back-ups en/of system recovery zijn noodzakelijk.

Beschrijf, om risico’s te verkleinen, welke rechten de werkgever heeft om toezicht te

houden op gegevens en activiteiten van medewerkers. Het moet namelijk mogelijk

blijven om systemen vanaf afstand te blokkeren of naar factory default terug te

zetten.

Stap 3 : Stel het veiligheidsbeleid vast

Het veiligheidsaspect is vaak een eerste gedachte die bovenkomt als BYOD ter sprake komt. Maar

mobiele platformen zijn gewoon een uitbreiding van het bedrijfsnetwerk. Het veiligheidsbeleid

van het bedrijfsnetwerk volstaat dus. Wel verdienen apparaatgebonden risicofactoren als

’rooten’ en ’jailbreaken’ aandacht.

Aanbevelingen

Beveilig alle apparaten met een wachtwoord.

Voorzie de apparaten van een anti-diefstal applicatie.

Zorg dat gebruikers aangeboden updates verplicht uitvoeren.

Downloaden van applicaties mag alleen als zij veilig zijn bevonden.

Stap 4 : Ontwerp richtlijnen voor gebruikers

Bij het formuleren van BYOD-beleid hoort ook een beschrijving van richtlijnen voor de

gebruikers. Deze dienen te passen bij eventueel bestaand beleid met betrekking tot het gebruik

van bedrijfshulpmiddelen en sociale media.

Aanbevelingen

Maak een overzicht van (functionele eisen aan) toegestane apparatuur en aanvaardbare

applicaties.

Ontwerp een toestemmingsverklaring om op beheer gerichte software te installeren

vanuit het bedrijf en een voor het monitoren en vastleggen van gebruiksgegevens

(inclusief internetgebruik).

Leg richtlijnen vast over de aanschaf van apparatuur en bijbehorende vergoedingen en

over wat te doen bij verlies, diefstal of beschadiging.

Maak een overzicht van wat wel en niet door de afdeling ICT/automatisering wordt

ondersteund.

Stap 5 : Zorg voor beheersbaarheid

Aanbevelingen

Formuleer regels om een bepaalde mate van beheersbaarheid te behouden. Beschrijf:

hoe de controle van de (BYOD) apparaten en applicaties is geregeld;

hoe medewerkers gecontroleerd worden op het volgen van afgesproken beleid en wat

de sancties zijn bij het niet nakomen van afspraken;

op welke wijze de apparaten toegang tot het bedrijfsnetwerk krijgen en hoe de

blokkade tot het bedrijfsnetwerk is georganiseerd;

de beperking op installatie van applicaties die niet zijn toegestaan (‘deurbeleid’) en

hoe de beperking van lokale opslag van gegevens is georganiseerd;

op welke wijze de controle op licenties en licentiekosten is geregeld.

Stap 6 : Controleer de spelregels

Bij het ontwikkelen van BYOD beleid is het raadzaam een aantal externe instanties te raadplegen

en rekening te houden met:

de Belastingdienst en de regels voor de werkkostenregeling en vergoedingen voor

medewerkers met betrekking tot het gebruik van smartphones, tablets en computers;

het College Bescherming Persoonsgegevens en de regels betreffende de opslag van

persoonsgegevens;

Arbobeleid, met name richtlijnen voor telewerken;

regels voor het gebruik van Cloud diensten.

Flexibel inspelen op trends

De wereld verandert, medewerkers willen steeds meer zelf bepalen waar, wanneer en waarmee zij hun

werk doen. Iedere organisatie wordt op korte of lange termijn geconfronteerd met de trend dat

medewerkers hun eigen mobiele apparaten meenemen naar de werkvloer. Proberen dit te negeren is

daarom niet verstandig. Beter is het om deze ontwikkeling voor te zijn en een goed doordacht beleid

op te zetten. Phylax ICT ondersteunt bedrijven die flexibel op deze trend willen inspelen bij het

opzetten en implementeren van BYOD-beleid.

* De term BYOD wordt gebruikt als medewerkers hun eigen apparaat meenemen naar het bedrijf. Bij CYOD

kiezen medewerkers zelf een apparaat uit een serie apparaten van de werkgever. Het apparaat blijft dan

eigendom van de werkgever. Het uitgangspunt voor zowel BYOD als CYOD is dat de werknemer een

apparaat (of apparaten) zelf kiest en zowel zakelijk als particulier kan gebruiken. In beide gevallen

houdt de werkgever controle over onder meer het besturingssysteem en de toepassingen die op de

hardware zijn geïnstalleerd.