image

Juridische vraag: Mag je je iPhone op de zaak gebruiken?

woensdag 2 november 2011, 07:00 door Arnoud Engelfriet, 10 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Steeds vaker zie je dat werknemers hun privé tablets of smartphones gebruiken voor werken in het bedrijf. Dit heet BYOD (Bring Your Own Device). Mag dat zomaar? Welke juridische haken en ogen zitten daaraan?

Antwoord: Het fenomeen BYOD is inderdaad met een sterke opmars bezig. Ergens wel logisch: mensen zijn zó gewend aan die smartphone of tablet die ze privé gebruiken dat ze niet meer snappen waarom ze op het werk een oude Nokia of roestige IE6 moeten gebruiken. En ze hebben die smartphone toch al de hele dag bij zich, waarom hem dan niet gebruiken voor de bedrijfsmail via de webinterface?

Natuurlijk zitten er ook risico's aan, zowel technisch als juridisch. Een belangrijk juridisch risico is bijvoorbeeld dat het OS of software op zo'n tablet of ander eigen device niet per se voor zakelijk gebruik gelicentieerd is. En het bedrijf is daarvoor verantwoordelijk, niet de werknemer. Ook is het bedrijf aansprakelijk als persoonsgegevens lekken via een privéapparaat omdat dat inadequaat beveiligd is.

Die risico's zijn naar mijn mening echter niet zó groot dat een bedrijf BOYD moet gaan verbieden. Verbieden is eigenlijk vrijwel nooit het antwoord. Het gaat om beheersen van de techniek en duidelijkheid bij de werknemers. Wat is wel en wat is niet de bedoeling met een BOYD apparaat? Dus ja, u voelt hem al aankomen; daar moet je een reglement voor maken.

Soms zijn juridische vragen best makkelijk ;)

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (10)
02-11-2011, 08:20 door Bitwiper
Door Redactie op 2011-11-02 om 10:08: Abusievelijk was het antwoord van een andere vraag als antwoord geplaatst, dat is nu verholpen.
Ah, ik begreep het antwoord van Arnoud op de stelling al niet helemaal, maar vond het wel een erg interessant antwoord. Ik laat m'n nu off-topic vragen toch nog maar even staan (gequote hieronder), wie weet leidt het alsnog tot een discussie ;)
Op 2011-11-02 08:20 schreef Bitwiper: Tegenstrijdig, en daarmee een fraai voorbeeld van een grijs gebied:
Door Arnoud Engelfriet: Het is strafbaar als computervredebreuk om binnen te dringen in een computersysteem of netwerk. Daarbij hoef je niet per se een beveiliging te kraken. Het rondsnuffelen zonder wachtwoorden te raden of iets te kraken is ook strafbaar. Meer dan weten dat je niet op die plek hoort te zijn, is al genoeg onder de huidige wet.
versus
Maar zolang je alleen de interfaces gebruikt die de site je ter beschikking stelt, kan er geen sprake zijn van strafbaar handelen.
Als ik https://dewinter.com/twig/ (of bijv. https://webmail.phys.ethz.ch/twig/) open in een poging vast te stellen welke versie van TWIG gebruikt wordt (ik ben dan niet van plan daar daadwerkelijk in te loggen), ben ik dan strafbaar of niet?

En als ik https://webmail.zoetermeer.nl/ open slechts om vast te stellen of zij een DigiNotar certificaat gebruiken?

In hoeverre hebben mijn motieven hier invloed op?

Context: zie mijn bijdrage in http://www.security.nl/artikel/39011/1/E-mailserver_Brenno_de_Winter_gehackt.html en http://www.security.nl/artikel/38352/Uitleg_DigiNotar_problematiek.html.
02-11-2011, 10:08 door Redactie
Abusievelijk was het antwoord van een andere vraag als antwoord geplaatst, dat is nu verholpen.
02-11-2011, 15:02 door Anoniem
"Natuurlijk zitten er ook risico's aan, zowel technisch als juridisch. Een belangrijk juridisch risico is bijvoorbeeld dat het OS of software op zo'n tablet of ander eigen device niet per se voor zakelijk gebruik gelicentieerd is."

Wat dacht je van het plaatsen van bedrijfsinformatie op een device dat geen eigendom van de werkgever is. Je verliest op die manier als werkgever controle over je eigen bedrijfsinformatie, en bovendien kan je lastig een security policy afdwingen op apparatuur welke niet jouw eigendom is.

"Een belangrijk juridisch risico is bijvoorbeeld dat het OS of software op zo'n tablet of ander eigen device niet per se voor zakelijk gebruik gelicentieerd is. En het bedrijf is daarvoor verantwoordelijk, niet de werknemer. "

Mijn werkgever wordt verantwoordelijk voor software op mijn smartphone, wanneer ik mijn smartphone mee naar kantoor neem ? Volgens mij ben ik als eigenaar verantwoordelijk.
02-11-2011, 15:13 door Mysterio
Die risico's zijn naar mijn mening echter niet zó groot dat een bedrijf BOYD moet gaan verbieden. Verbieden is eigenlijk vrijwel nooit het antwoord. Het gaat om beheersen van de techniek en duidelijkheid bij de werknemers. Wat is wel en wat is niet de bedoeling met een BOYD apparaat? Dus ja, u voelt hem al aankomen; daar moet je een reglement voor maken.
Tegenwoordig wordt er door leveranciers meer nagedacht over inzet in het bedrijfsleven dan voorheen. We hebben een paar jaar terug een test gedaan met een HTC S701 en de eerste iPhone. Je kunt vanuit Exchange verschillende regels in instellingen pushen die bijvoorbeeld stellen dat je een pincode moet opgeven en meer van dien.

Destijds slikte de iPhone het leeuwendeel van die regels niet zodat onze Security Officer de iPhone niet kon goedkeuren. Dit tot groot verdriet van de directie. Een jaar later had Apple het wel voor elkaar dus konden ze los met hun speeltjes.

Juist omdat je als bedrijf verantwoordelijk bent voor je data kun je niet blind je gebruikers toegang verschaffen tot bedrijfsdata op elk willekeurig apparaat wat dat toevallig kan. Het is ook makkelijk dat je overal bij je mail kan, maar als dat er toe leidt dat de hele wereld jouw bedrijfsmail kan lezen lijkt het me niet helemaal de bedoeling.

Elke idioot heeft tegenwoordig zo'n apparaat! Slechts enkelen kunnen er goed mee omgaan. Als het dan gaat om wie er uiteindelijk verantwoordelijk is, dan lijkt het me een goede zaak om niet al te snel toe te geven aan de grillen van de gebruiker.
02-11-2011, 15:20 door Anoniem
"Steeds vaker zie je dat werknemers hun privé tablets of smartphones gebruiken voor werken in het bedrijf. Dit heet BYOD (Bring Your Own Device). Mag dat zomaar?"

Wettelijk gezien mag dat natuurlijk zonder meer. De wetgever heeft niets te zeggen over de vraag of jij al dan niet je tablet of smartphone mee mag nemen naar je werk.
02-11-2011, 18:23 door Anoniem
Wat je ook in de gaten moet houden is wat gebeurt er met het device als hij gestolen dan verloren wordt? Heeft een bedrijf het recht om dan een remote wipe op het toestel los te laten? Het is nml. niet toegestaan om een device van een medewerker te wipen i.v.m. privacy wetgeving.

Dit zal dus eerst besproken moeten worden eer men BYOD kan doen.
02-11-2011, 19:57 door wim-bart
Persoonlijk ben ik van mening dat de regels voor het meenemen van een eigen device binnen een bedrijfsomgeving en aansluiten op deze omgeving moet worden vastgelegd in regelgeving binnen het bedrijf zelf.

Op zich lijkt het altijd onschuldig dat mensen eigen devices meenemen, maar er zitten de nodige consequenties aan vast welke vele mensen ontgaan. Natuurlijk is ICT zodanig in te richten dat alles zo veilig is als het maar kan, maar niet ieder bedrijf heeft daar of de kennis niet voor of het geld niet voor.

Daarnaast zijn er een aantal complicaties:
1. Zit iemand te wachten op een bedrijfs beleid voor bijvoorbeeld pincode gebruik, automatisch wissen bij diefstal door de zaak op een "prive" device. "Prive" zegt al genoeg, dus wil je daar geen invloed op hebben vanuit de "zaak".
2. Zit een bedrijf te wachten op "prive" devices in hun lokale netwerk omgeving waarop zij geen controle hebben maar vol kan staan met virussen en andere gevaarlijke software. Lijkt mij niet.

Alleen al de bovenstaande punten maken het onmogelijk om "prive" devices toe te staan op het lokale netwerk anders dan deze devices te benaderen als "thuiswerkplek" en is alleen mogelijk om toegang secuur aan te bieden op een eigen "openbaar" netwerk binnen de bedrijfspanden en deze te behandelen als zijnde onveilig Internet.

Daarnaast moet men zich afvragen hoe mensen met data om gaan op zo een "prive" device. Zelf ben ik er voorstander van dat men een dergelijk device kan gebruiken als "domme terminal" om in te loggen op een "managed" omgeving zoals bijvoorbeeld een Citrix Desktop, waarbij het onmogelijk wordt gemaakt om data uit het netwerk te onttrekken anders dan schermafhandeling en lokaal opslaan van data bij beleid totaal af te schermen. Het zelde voor inbrengen van data, waarbij alleen muisafhandelingen en toetsenbord aanslagen zijn toegestaan.

Ik zou zelf als ICT'er namelijk ook niet verantwoordelijk willen zijn voor problemen die optreden doordat ik mijn "prive" in het netwerk van een klant heb gebruikt. Bijvoorbeeld een virus wat door mij niet opgemerkt is maar toch even een netwerk van een klant plat legt.

Daarnaast bestaat er ook nog iets anders wat veel mensen vergeten. Zakelijke data is eigendom van de zaak en de zaak is er verantwoordelijk voor. Zolang de zaak niet kan bepalen of de opslag veilig is en niet kan bepalen hoe een device is geconfigureerd en het "prive" device als "unmanaged" device wordt gebruikt is het gewoon een stricte "nee".

In de huidige wereld van "cloud" opslag, on-line services voor data, on-line archiveren van data (zoals SkyDrive, Google, DropBox etc.) zou ik als werknemer niet eens willen dat bijvoorbeeld een P&O medewerker gegevens over mij op een "prive" device heeft staan met alle risico's van dien dat het ook bij MS, Google, DropBox, Apple etc. terecht komt. Dat is namelijk voor mij persoonlijk een directe inbreuk in mijn prive. Daarnaast is het ook nog eens wettelijk zo dat een bedrijf er alles aan moet doen om te voorkomen dat informatie "ongeautoriseerd" bij derden terecht komt.

Daarnaast komt het geregeld voor dat er werknemers zijn welke "informatie" stelen, dooverkopen, etc. Het is natuurlijk kat op het spek binden en iemand de middelen geven om dit te vereenvoudigen door toe te staan "prive" devices te gebruiken om bedrijfs "informatie" op te slaan en mee te nemen uit de bedrijfsomgeving.
03-11-2011, 00:01 door Anoniem
@ Wim-Bart : chapeau voor je betoog !

Helemaal mee eens.
03-11-2011, 09:17 door Anoniem
"Wat je ook in de gaten moet houden is wat gebeurt er met het device als hij gestolen dan verloren wordt? Heeft een bedrijf het recht om dan een remote wipe op het toestel los te laten?"

Nee, het bedrijf heeft geen zeggenschap over het device. Men kan de werknemer verzoeken dat te doen, maar men kan hem niets verplichten. BYOD is mijns inziens overigens een policy waar je als werkgever niet aan moet beginnen vanwege beveiligingsproblemen, en waar je als werknemer niet aan moet beginnen omdat het enkel tot doel heeft om bedrijfskosten af te wentelen op de werknemer. Wil je werkgever dat je een smartphone of laptop hebt voor bedrijfsdoeleinden, laat hem dan ook de kosten betalen.
03-11-2011, 23:17 door cowboysec
Langzamerhand begint er meer awareness te komen door onze discussies op security.nl; dat is ook mijn bedoeling. Zie : http://www.security.nl/artikel/38843/1/Bring_Your_Own_device%3A_een_goede_of_slechte_ontwikkeling%3F.html

Ik denk dat medewerkers, managers en andere verantwoordelijken inmiddels al begrepen hebben dat er meer bij komt kijken dan deze prive-gadgets klakkeloos op de bedrijfsnetwerken aan te sluiten, ook al denken sommige CEO's zelfs dat dit allemaal kan.

Wat te bedenken zullen klanten er van vinden dat dit gebeurt op hun omgevingen, clienten met hun privacy-gevoelige data en ga zo maar door. ik zie de juridische processen al voor mijn ogen: medewerker / BYOD -> bedrijf -> klant -> client

Bedrijven zouden in hun BYOD-protocollen clausules moeten opnemen dat bij onoordeelkundig gebruik, misbruik danwel het niet opvolgen van de ICT-bedrijfsregels mbt security de medewerker ten volle zal kunnen worde aangesproken voor de (gevolg-)schade die al snel in de tienduizenden euro's zal kunnen gaan lopen.
De medewerker zal zich graag hiervan willen vrijwaren, zeker als hij weet dat hij niet voldoende controle kan hebben over zijn eigen apparaat. Hij zal zich snel beroepen op ' Ich habe es nicht gewuszt'...

Door het gebruik van 'vreemde' BYOD's zullen de legale 'audit' goedgekeurde bedrijfsmiddelen worden ondermijnd.

Ik voorspel binnenkort, zodra deze BYOD-devices 'onvoldoende' gecontroleerd aan de netwerken van bedrijven worden gehangen,
er veel werk voor juristen zal komen en de tarieven in de markt voor consumenten, welke die diensten afnemen, daardoor weer duurder zullen worden. De voordelen zijn dan voor de bedrijven en de nadelen voor de consument/klant.

Bezint eer ge begint is mijn motto dan ook, hoe graag ik zelf ook (veel) met mijn Android aan het spelen ben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.