Achtergrond
image

Juridische vraag: werkgever wil toegang tot mijn iPhone

woensdag 4 april 2012, 10:37 door Arnoud Engelfriet, 18 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Twee weken terug was je ingegaan op Bring Your Own Device en met name wie daar verantwoordelijk voor was. Ik had een andere vraag: mag de werkgever eisen dat jij toegang geeft tot alle data op je BYOD wanneer je dat wilt gebruiken? Men zegt dat ze dit mogen doen vanwege de operationele security en dat ik op het werk geen privacy mag verwachten. Bovendien hóef ik niet aan BYOD mee te doen.

Antwoord: Vaste lezers kennen mijn mantra: ook op het werk heb je recht op privacy, en een werkgever mag dus niet zomaar jouw privémail, privébestanden of privéapparatuur doorzoeken. Dat geldt voor de bedrijfsmail op zijn eigen server, en dus ook voor de data op je BYOD.

Niet zomaar, want er kunnen goede redenen zijn. Als de werkgever die kan aantonen én de privacy wordt niet nodeloos geschaad, dan mag het. Zo mag een werkgever een collega in je mailbox laten als jij langdurig ziek bent, het werk moet immers door. Die collega moet wel uit de map "Privé" blijven, en als hij per abuis toch een privémail onder ogen krijgt dan moet hij zijn mond daarover houden. En bij vermoedens van misstanden mag men de mailbox doorzoeken, waar dan ook weer protocollen aan vast kunnen zitten, maar dat is iets voor een andere keer.

Bij BYOD klinkt het redelijk om te zeggen "we moeten de security policies handhaven dús gaan we al je privédata doorsnuffelen" maar dat is het niet. Waarom moet dat? Hoezo meteen alles en zonder enige specifieke aanleiding? "Vanwege de security" is hierin net zo'n vage opmerking als "vanwege het bedrijfsbelang" en met dat laatste kom je écht niet weg bij de rechter.

Wél kan ik me voorstellen dat men extra software zou willen installeren (of eisen dat je dat zelf installeert) alvorens het device als BYOD geaccepteerd wordt. Een adequate firewall of een monitording dat oplet dat er geen bedrijfsdata lekt, lijkt me juridisch geen probleem. Er is immers nooit sprake van privacyschending als alleen een stuk software monitort en naar jou toe piept dat je iets niet goed doet. Software die naar de baas piept, dat is een privacyprobleem.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (18)
04-04-2012, 11:58 door sjonniev
Wanneer een werkgever het toestaat dat een werknemer met zijn privé-apparatuur verbinding maakt met IT-voorzieningen van het bedrijf, kan hij daar eisen aan verbinden. Bijvoorbeeld het toestaan van de installatie van software die voorziet in het afdwingen van wachtwoordbeveiliging en versleuteling, en de EAS instellingen goed zet.
04-04-2012, 11:58 door N4ppy
Hoe zit het als het device (vermoedelijk) verloren/gestolen is en we wissen als IT alles van het device (doen we nu bv met de blackberry van de zaak) kun je dat op een goede manier regelen?

Heb het al een paar keer gezien zowel echt weg als toch weer gevonden. In het laatste geval zijn alle foto's van de baby weg.

En hoe zit het met toegang door huisgenoten (niet af te dwingen)?
04-04-2012, 12:17 door Anoniem
"Wél kan ik me voorstellen dat men extra software zou willen installeren (of eisen dat je dat zelf installeert) alvorens het device als BYOD geaccepteerd wordt. Een adequate firewall of een monitording dat oplet dat er geen bedrijfsdata lekt, lijkt me juridisch geen probleem."

Diezelfde monitoring tool zal dan waarschijnlijk ook prive data monitoren die vanaf datzelfde device verstuurd wordt, en waarbij de privacy wel degelijk in het geding is. Wat dat betreft is je conclusie volgens mij twijfelachtig. Hoe zit het dan met een prive apparaat dat je thuis (ook) voor zakelijke doeleinden gebruikt.

Mag ook dat device volgens jou in monitoring worden opgenomen om te controleren dat je geen bedrijfsdata lekt ? En is je uitspraak enkel van toepassing op het moment dat je apparaat gekoppeld is aan het bedrijfsnetwerk, of ook wanneer je deze 's avonds thuis gebruikt ? Immers kan het lekken van data gebeuren op het moment dat het device niet aan het bedrijfsnetwerk hangt.

Volgens mij is de hele BYOD hype vanuit beveiligingsperspectief ongewenst, omdat daarmee bedrijfsdata per definitie staat op apparaten die geen eigendom zijn van het bedrijf, en waarover je uiteindelijk geen controle hebt. Verder kan je een werknemer lastig verbieden om zaken die je op zijn prive device hebt gezet te deinstalleren, omdat het prive eigendom is en blijft.

Het feit dat de werkgever uit kosten besparing de werknemer aanmoedigt om hardware te kopen die vervolgens gebruikt worden voor zakelijke doeleinden maken de werkgever niet tot (mede-) eigenaar van het device.
04-04-2012, 12:30 door Arnoud Engelfriet
@N4ppy: Laat ik dat eens vertalen naar een andere situatie. Ik vervoer bedrijfsdocumenten in mijn privékoffertje. Mag het bedrijf dan eisen dat er een antidiefstalverfbom in geplaatst wordt?

Waarom vinden mensen de botste middelen ineens volstrekt akkoord als het gaat om digitale situaties?
04-04-2012, 14:03 door Anoniem
@Arnoud. Het antwoord is dat ze kunnen eisen dat jij de bedrijfsdocumenten in een beveiligde koffer vervoerd. Wil je niet je eigen koffer daarvoor gebruiken, moeten ze zelf een koffer leveren of accepteren dat je de documenten nimmer meer transporteert.

Frans.
04-04-2012, 14:11 door Anoniem
Arnoud, vergeet niet dat (volgens de meeste personen) een koffer alleen geopend kan worden als je de code weet (niet raad/alle mogelijkheden proberen, weet); en dat een computer al zijn geheimen prijsgeeft als een malefiede ict-er er 6 seconde naar staart; en dat het bedrijf alleen het beste met je voor heeft.
04-04-2012, 14:30 door Arnoud Engelfriet
@Anoniem 14:03 Het is volstrekt geaccepteerd dat mensen met hun eigen koffer naar en van het werk gaan. Daar nu ineens bij gaan eisen dat dit een ISO 27001 certified koffer moet zijn, ga je er écht niet doorkrijgen.

@Anoniem 14:11 Inderdaad, hoewel een beetje schroevendraaier elke consumenten-grade koffer openkrijgt.
04-04-2012, 14:36 door spatieman
laptop van de zaak, en telefoon van de zaak, probleem opgelost.
en thuis NIET aan het prive netwerk hangen.
immers, er kan software opstaan die je LAN kan doorzoeken, paranoide, mischien.
zo heb ik jaren een GSM gehad zonder dat mijn werkgever mijn nummer had, als hij wilde dat ik voor het bedrijf berijkbaar was, moest hij me maar een toestel geven.
04-04-2012, 14:42 door SecOff
@Arnoud: Je werkgever kan echt wel eisen stellen aan je koffer als jij er goudstaven mee wilt vervoeren. Hoewel het logischer zou zijn dat je werkgever je in dat geval een geschikte koffer ter beschikking zou stellen. Verder kan je werkgever je natuurlijk verbieden om goudstaven in je privekoffer te vervoeren.

Een werkgever mag eisen stellen aan de gereedschappen die je gebruikt om je werk te doen, of die gereedschappen nou eigendom zijn van de werkgever of werknemer. Zeker in het geval je bedrijfseigendom (gegevens) op dat gereedschap zet.
Het controleren van het bedrijfseigendom kan effect hebben op het prive gebruik, dat geldt trouwens ook voor de PC op je werkplek die je gebruikt voor prive doeleinden.

Als deze besmet raakt met een virus kan de werkgever besluiten de PC volledig te wissen om verdere verspreiding te voorkomen. Als het eerst veiligstellen van prive data geen redelijke optie is dan ben je je prive data kwijt.

Dat zelfde geldt voor een bank die uitgaande emails controleert op rekening gegevens. Als je een prive mail verstuurt met rekening gegevens zal het content monitoring systeem daarvan ook een alert naar beveiliging sturen. Zolang de werkgever dat monitoren vooraf heeft gemeld is het een acceptabele bijwerking van de beveiligingsmaatregelen.

Mits je als medewerker bij BYOD de keuze hebt wel of niet mee te doen en de werkgever de consequenties van deelname goed communiceert kan ook hier de automatische controle op informatie en het van afstand wissen bij verlies resulteren in een aantasting van de persoonlijke levernssfeer als bijwerking van beveiligingsmaatregelen geaccepteerd zijn. Het is in dat geval de medewerker die deze bijwerkingen vrijwillig accepteert.

Als de werknemer vanwege de strakke beveiligingseisen voor bepaalde informatie totaal geen verwachting van privacy mag hebben op zijn eigen device dan hoort dat soort informatie niet in een BYOD thuis.
04-04-2012, 21:31 door Anoniem
@Arnoud: Lijkt me goed nogeens te lezen wat ik schreef. Ik sprak in functionele termen en niet in oplossingen. Ze kunnen en mogen eisen stellen zodra het over hun eigendom gaat. De consequentie kan dus zijn dat zij dus ook voorzieningen moeten gaan leveren om dat mogelijk te maken. Stelt men wel eisen maar geeft geen mogelijkheden om hieraan te voldoen dan zijn er twee mogelijkheden: 1) men neemt de documenten niet meer mee, of 2) men gebruikt toch privé middelen en accepteert dat wanneer het fout gaat dat zij gestraft kunnen worden door het bedrijf. Dat men dit heeft gedaan uit loyaliteit aan klanten en/of bedrijf doet hier formeel niets aan af.
Daarbij komt dat een bedrijf dit vaak niet zo hoog zal laten opspelen omdat imagoschade hier ook een rol kan gaan spelen.

Frans.
05-04-2012, 08:03 door [Account Verwijderd]
[Verwijderd]
05-04-2012, 08:25 door Anoniem
Het bedrijf stelt de regels op hoe je met verschillende classificaties van data om dient te gaan. En terecht, het is eigendom van het bedrijf.

Is informatie waardevol, of moet het voldoen aan een wetgeving (WBP), dan dient het transport veilig en controleerbaar te zijn. Zelfs zonder aanleiding moeten er steekproeven mogelijk zijn.

Dus, als het bedrijf toegang eist tot je BYOD om zo controle te houden op de naleving van hun policies, dan hebben ze daar het volste recht toe. Ben je het daar niet mee eens, gebruik apparatuur van je werkgever, niet je eigen ... en gebruik het niet prive als privacy belangrijk voor je is ... net zo belangrijk als de privacy van de informatie die je op je eigen device hebt gezet.
05-04-2012, 08:31 door Arnoud Engelfriet
@SecOff: Dat is de kern denk ik, gaat het om goudstaven of gewoon een stukje papier? De maatregelen die de werkgever neemt, moeten wel proportioneel zijn.

Bij BYOD mis ik die proportionaliteit. Ja, je mag je eigen apparaat meenemen en gebruiken, maar oh wacht we gaan wél het volle arsenaal botte IT-middelen inzetten om dat apparaat te managen. En heus niet alleen bij bedrijven die staatsgeheimen moeten beheren; nee ik zie het ook bij de meest triviale data en toepassingen.

Als je als werkgever zó veel controle wilt uitoefenen op wat werknemers met hun hulpmiddelen doen, dan moet je je echt afvragen of je BYOD wel wilt. BYOD impliceert minder controle, net zoals je minder controle hebt op de presentatie van je mensen als je iedereen toestaat om zelf zijn kleding uit te zoeken.

Ik heb dus grote moeite met veel controle én BYOD, omdat ze principieel niet te verenigen zijn. Je zet mensen op het verkeerde been op die manier. Je kunt niet enerzijds mensen hun eigen tassen laten meenemen en anderzijds het recht bedingen deze op afstand op te kunnen blazen als je vermoedt dat er geheimen mee naar buiten gesmokkeld worden. Geef ze dan inderdaad een stalen koffer van het werk en laat ze hun boterhammen apart vervoeren.

@rookie: Dat mag, zolang het werk er niet onder lijdt. Een goed werkgever heeft te accepteren dat er enige privéactiviteiten onder werktijd gebeuren, net zoals een goed werknemer moet accepteren dat hij soms onbetaald overwerkt of in het weekend iets uitzoekt.
05-04-2012, 08:37 door Anoniem
Het zijn de hippe pakken en de gadget freaks in het bedrijf die BYOD willen ... de meeste IT'ers en zeker beveiligingsmensen zitten hier niet op te wachten.
05-04-2012, 09:29 door Arnoud Engelfriet
@Frans: Ik snap je punt maar het bedrijf móet rekening houden met de privacy van de werknemer. Ja, ook bij gebruik van bedrijfsmiddelen. De bedrijfsauto standaard voorzien van GPS/GSM-apparatuur die de locatie realtime doorstuurt kan niet zomaar, om eens wat te noemen. Daar moet een hele goede reden voor zijn.

Verder spelen de verwachtingen een grote rol. Als jij privacy mag verwachten (zeg, op de wc) dan mag de werkgever daar niet doorheen, ook niet met een zwaarwegend bedrijfsbelang (zeg, filmen op de wc omdat er wel eens gestolen wordt en men denkt dat dit op de wc in de kleding wordt verstopt). Je zult als werkgever eerst die privacyverwachting moeten reduceren.

Bij BYOD is de verwachting dat je met je eigen apparatuur werkt, en in de eigen omgeving is privacy sterk. De werkgever kan dus niet zomaar op die eigen apparatuur maatregelen treffen, net zo min als ze in jouw huis beveiligingsmaatregelen mogen treffen. (Ergenisje als werkgever: ik moet wél zorgen dat mijn mensen een ARBO-werkplek thuis hebben maar ik mag níet kijken of ze die werkelijk gebruiken.) Dus je komt er niet met "ik heb een zwaar bedrijfsbelang en daarom installeer ik spy/wipe-ware op je BYOD".

Juridisch is het dus geen optie dat "men gebruikt toch privé middelen en accepteert dat wanneer het fout gaat dat zij gestraft kunnen worden door het bedrijf". Men kan niet gestraft worden als men mocht denken dat privémiddelen mochten worden gebruikt (de HR-dame die vrolijk roept "jaa wij zijn hip en we doen BYOD") en daarna blijkt dat het fout ging. De werkgever kan op grond van de wet de werknemer niet aanspreken op schade of slecht werknemerschap. Dat mag je scheef vinden maar juridisch is het echt zo.

Wil je als bedrijf dus BYOD invoeren, dan móet je rekening houden met lekken en gebrekkige beveiliging. Wil je daar maatregelen tegen nemen dan móet je evalueren hoe zich dat verhoudt tot de privacy van de werknemer.
05-04-2012, 13:30 door Anoniem
Wat veel mensen niet weten, maar wat wel degelijk een hele grote impact kan hebben: als je met je $smartphone gebruik maakt van de Exchange server van je werk, heeft je werkgever de macht om je volledige telefoon te wissen. Dit is een verplicht onderdeel van Exchange ondersteuning.

Dus dat betekent dat ALLE data gewist kan worden, inclusief je privéfotos, apps, contacten, en natuurlijk ook je bedrijfsmail en bedrijfsapplicaties.

Dit geldt voor ALLE smartphones.
07-04-2012, 15:43 door Anoniem
> Dit geldt voor ALLE smartphones.

BlackBerry toestel managed door een BlackBerry Enterprise Server hebben vanaf een bepaald OS niveau (OS 7 meen ik) de optie voor het wipen van enkel Organizational Data. In dit opzicht (BYOD) een sterk punt.
07-04-2012, 20:31 door Anoniem
@Anoniem 13:30: Dat klopt helemaal maar zodra je de verbinding instelt, krijg je een melding in beeld waar je mee akkoord moet gaan. In deze melding wordt dat allemaal uitgelegd.

Zodra een gebruiker zijn telefoon met Exchange laat verbinden heb je als Exchange beheerder de volledige controle over de telefoon. Via policies kun je instellen wat wel en niet mag. Als ik wil dat mijn collega's de camera niet meer kunnen gebruiken, is dat binnen een paar minuten in te stellen.

Veel gebruikers laten de telefoon door een IT medewerker instellen en krijgen de melding nooit te zien. Ze hebben dan ook geen idee dat de werkgever de complete controle over de telefoon heeft.

Het op afstand leeg maken van een toestel hebben we getest met zowel iPhone, Android en Blackberry en dat werkt heel goed.

Het is wel een lastig punt als iemand uit dienst gaat. Als werkgever wil je niet dat zo'n iemand alle contacten en mails mee neemt. Het leeg maken van een prive toestel is iets wat je ook liever niet doet. Daar zouden eigenlijk afspraken/contracten voor moeten zijn maar ik ken geen enkel (MKB) bedrijf wat daar afspraken over maakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search