image

Juridische vraag: Is recente boete van ACM argument om MDM op privételefoon werknemer te verplichten?

woensdag 18 december 2019, 12:47 door Arnoud Engelfriet, 20 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Recent las ik over een boete bij een bedrijf omdat personeel WhatsApp-chats wiste. Dat lijkt me het perfecte argument om alle werknemers gewoon mobile phone beheersoftware (MDM) op te leggen, ook op hun privételefoon. Als je als werkgever zúlke schade kunt oplopen door gewiste gesprekken, dan is je belang toch evident?

Antwoord: Recent werd een bedrijf beboet door de ACM wegens het wissen van bewijs tijdens een inval op verdenking van kartelvorming. Dat bewijs bestond uit WhatsApp-chats en lidmaatschap van zekere groepen, en het wissen kon gebeuren doordat medewerkers snel dit hun telefoon konden regelen en er geen centrale logs of backups waren van die gegevens.

Mobile Device Management of MDM is een algemene naam voor software waarmee bedrijven centraal beheer uitoefenen op telefoons (en andere mobiele apparaten) van medewerkers. De bekendste MDM feature is het wissen op afstand bij diefstal van de telefoon, maar er is veel meer mogelijk. Onder meer het centraal bewaren van backups van bijvoorbeeld chats, of het blokkeren van bepaalde applicaties: je zou WhatsApp kunnen weren en uitsluitend Telegram afdwingen als chatapplicatie, waarbij je de logs dan op andere wijze bewaart.

Het 'probleem' met MDM begint wanneer men dit wil opleggen aan privételefoons die werknemers meenemen, meestal omdat die als "bring your own device" apparaat worden ingezet. De zakelijke logica is eenvoudig: je wilt de zakelijke data en belangen beschermen, dus moet er beheersoftware op. Maar die software kan ook bij privézaken (de spreekwoordelijke foto's op zaterdag of chats met de partner) en niet ieder personeelslid heeft daar dus trek in.

Dat MDM veel vervelends kan voorkomen, zoals bij bovenstaand bedrijf, is daarbij niet echt een argument vrees ik. Het blijft een feit dat je op iemands privételefoon toegang hebt tot alle data. Dat kun je alleen verantwoorden als je duidelijk en aantoonbaar rekening houdt met de privacy van je personeel, bijvoorbeeld met helder beleid wie wanneer welke data uitleest, hoe dat veilig wordt gelogd en hoe dat wordt gemeld en uitgelegd aan het personeel. Als dat soort zekerheid er is, dan pas ga je praten over waarom het eigenlijk nodig is.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (20)
18-12-2019, 13:33 door Anoniem
Eh... MIJN telefoon. MIJN software. Als de baas wil dat ik wat op een telefoon installeer, dan geeft-ie er de telefoon maar bij. Als alternatief heb ik helemaal geen telefoon meer.
18-12-2019, 14:18 door Anoniem
Dis is wel een heel interessante these. Werd die boete niet nu net opgelegd wegens het wissen?

Of was het de bedoeling om die MDM-software te gebruiken om wissen tegen te gaan? In dat geval denk ik dat je al ruim binnen bent als je zorgt voor een chat-app en iedereen beveelt die te gebruiken voor "werkse" dingen, waar de logs centraal op een logserver verzameld worden. Waarvan de backups dan weer braaf bij de rest van de backups gestald worden. Wil de ACM wat dan kunnen ze de backups krijgen. "Hier, de tapes met echt alles erop tot gisteren, voor die van vandaag moet je morgen maar terugkomen."

Alles wat er dan alsnog op privételefoons en -chats gebeurt is dan simpelweg tegen het bedrijfsreglement, en het wordt heel raar als de ACM je gaat beboeten voor werknemers die zich niet aan het reglement houden.
18-12-2019, 14:20 door Anoniem
Dat is het hele domme van BYOD, als het mijn telefoon is dan kan ik daar MDM op toestaan van mijn werkgever.

Net als ik het vreemd vind dat werkgevers dan Whatsapp of Facebook verplichten, dat komt er bij mij niet op (spyware).

Ik snap alleen niet hoe je dat kan verplichten. Zelf heb ik nog nooit een eigen prive mobiel gehad en al 20+ jaar een telefoon van de zaak waar ik ook gewerkt heb.
18-12-2019, 14:48 door Anoniem
Door Anoniem: Eh... MIJN telefoon. MIJN software. Als de baas wil dat ik wat op een telefoon installeer, dan geeft-ie er de telefoon maar bij. Als alternatief heb ik helemaal geen telefoon meer.
Dat zal ie dan inderdaad moeten oplossen.
Maar dan ook niet de gegevens van en over de baas op jouw telefoon...
18-12-2019, 15:24 door Reinder
Zelfs met dat soort zekerheden als helder beleid, wie, wanneer etc lijkt het me dat veel werknemers nog steeds "Nee" zullen zeggen als de werkgever aan komt zetten met een dergelijke vraag. Verplichten lijkt me sowieso helemaal onmogelijk, het beste wat je dan zou kunnen doen als werkgever is het ontmoedigen of verbieden dat werknemers zakelijke gesprekken hebben met collega's.

Maar goed, dat is erg lastig te controleren en bovendien a-productief. In de praktijk zal je nooit kunnen voorkomen dat mensen op hun eigen device contact hebben met hun collega's.
18-12-2019, 15:36 door Anoniem
Modern MDM kan de toegang beperken tot een zakelijke container, het kan dan zeker niet bij de privé data buiten die container. Zie bv. https://www.mobileiron.com/en/solutions/securing-byod
18-12-2019, 16:04 door Anoniem
Er zijn wel telefoons die je kunt opdelen in meerdere delen met ieder een andere security beleid. Zo kan er een deel voor
het werk zijn wat valt onder allerlei restricties en bijvoorbeeld gewist kan worden door het bedrijf, maar de rest van de telefoon
kan prive gebruikt worden zonder dat het bedrijf daar in kan graaien en in kan deleten, en ook zonder beperkingen in
wat je er mee kunt doen.

Wellicht is dat een oplossing voor dit probleem (in combinatie met het maar 1 telefoon op zak willen hebben, anders is er
natuurlijk helemaal geen probleem)
18-12-2019, 19:56 door Arnoud Engelfriet
Door Anoniem:
Alles wat er dan alsnog op privételefoons en -chats gebeurt is dan simpelweg tegen het bedrijfsreglement, en het wordt heel raar als de ACM je gaat beboeten voor werknemers die zich niet aan het reglement houden.
Dat lijkt me niet. Ik heb net in mijn bedrijfsreglement genoteerd dat het vormen van kartels niet toegestaan is, dus ik kan nu geen boetes meer krijgen voor werknemers die alsnog een kartel gaan zitten vormen?

De regels zijn wettelijk vrij simpel: bij een vermoedelijke wetsovertreding geef jij alles dat relevant is, alles dat het bestuursorgaan wil hebben. Dat het niet op een centrale backup staat, is jouw probleem. Ga al die telefoons maar ophalen, hier is een mooie zak waar ze in kunnen. De bedoeling van de vraagsteller was inderdaad om met MDM software centrale logs te maken. Waarom zou de ACM daarbij dan genoegen moeten nemen met backups, als er gewoon logs staan in een actieve server?
18-12-2019, 21:07 door Anoniem
Hele leuke case.

Ik kom er toch weer mee uit op oud recht. De landpaaltjes uit het oude testament en de vraag over wat van wie is. Je eigen telefoon in natuurlijk gewoon van jezelf. Je kunt erop zetten wat je zelf kiest. En wissen wat je wilt. (Google en Apple en de Samsungs denken daar anders over, maar dat is een heeel ander verhaal...)

Voor de bazen van vandaag is er nog een leuke uit dat oude testament. Dat ging over slaven in huis. Dat hebben we inmiddels afgeschaft, maar toch aardig hoe "de wet" toen aangaf hoe daar mee om te gaan. Als een slaaf je zeven jaren trouw heeft gediend, dan moet je hem twee keuzes laten. Je zult hem met geschenken overladen, het beste van het beste, en als een vrij mens laten vertrekken. Als hij dat niet verkiest dan zul je hem opnemen als was hij je eigen familie en ook als zodanig behandelen.

Het kan zijn dat je nu niet aangenomen wordt. Tenzij je instemt om de hele controle over je prive telefoon over te geven. Want baas is baas en anders voor jou tien anderen. Maar dat gaat dan wel veertig jaar door of zo als je pech hebt. Soms gaat het nog veel verder. Over hoe je eruit hoort te zien. Welke kleding je moet dragen. Wat voor schoenen. En hoe je je in je vrije tijd mag bewegen.

Dan kom je op een punt dat je toch weer zou kunnen denken dat vroeger beter was. Met slavernij en alles daarbij. Want dat was maar zeven jaar.

Elke baas die dit leest en zich aangesproken voelt, ga eens een weekendje abseilen in de Ardennen, zuip je eens goed onder de tafel, ga eens vreemd met iemand waar je dat helemaal niet mee van plan was, en bedenk je dan dat één plus één ook drie kan zijn. Meetrappen bestaat ook, en kan wonderen doen. Maar gebeurt alleen als de oprechte uitnodiging van jou komt. Want de slaven moeten maar afwachten wat er na zeven echt in hun kerstpakket zit. Dus uit zichzelf beginnen ze er niet over.
19-12-2019, 07:19 door Anoniem
Je kan wel MDM afdwingen als iemand zijn Prive telefoon wilt gebruiken om bijvoorbeeld email te ontvangen, of andere zakelijke koppelingen wilt maken.
Als een gebruiker geen MDM wilt installeren, dan zijn deze zakelijke koppelingen niet mogelijk.

Maar dan wilt iemand dus zelf op zijn prive telefoon hiervan gebruik maken, zonder MDM geen toegang.

Maar je kan niemand dwingen om zijn prive telefoon verplicht zakelijk te gaan gebruiken.
19-12-2019, 11:04 door Anoniem
In het geval van Android Enterprise kan en mag een MDM in een BYOD profiel alleen maar ingrijpen op het kleine stukje wat zakelijk wordt aangeboden, en NIET wat er door de gebruiker zelf op gezet is. Een 'wipe' in een BYOD profiel houdt dus ook alleen in: het verwijderen van het zakelijke stukje, en niet de gehele telefoon.

Apple heeft nog een flinke inhaalslag te maken, maar die heeft hiervoor al een copy paste op de plank leggen en zal dit ook op dezelfde manier gaan toepassen.
19-12-2019, 11:57 door Anoniem
Door Anoniem:
Door Anoniem: Eh... MIJN telefoon. MIJN software. Als de baas wil dat ik wat op een telefoon installeer, dan geeft-ie er de telefoon maar bij. Als alternatief heb ik helemaal geen telefoon meer.
Dat zal ie dan inderdaad moeten oplossen.
Maar dan ook niet de gegevens van en over de baas op jouw telefoon...
En andersom ook niet. Die scheiding lijkt me hoe dan ook een goed plan.
19-12-2019, 11:59 door Reinder
Heel mooi dat nieuwe MDM's alleen toegang hebben tot een bepaald deel van de telefoon, en ook alleen maar dat kunnen wissen blijkbaar. Ik zou het persoonlijk nog steeds weigeren; er komt simpelweg geen enkele vorm van MDM op mijn prive-eigendom. Als dat tot gevolg heeft dat bepaalde dingen niet meer mogen (zoals email checken. Appen met collega's is natuurlijk niet te verbieden), welnu, so be it, dan zijn dat de gevolgen van de keuze die ik maak en dan is dat maar zo.
Maar goed, ik ben wellicht onpraktisch principieel in sommige dingen.

Meer concreet: ik vraag me af wat bedrijven nu gaan doen, en vooral of bedrijven die nu plotsklaps hier beleid op gaan maken niet misschien op z'n minst daarmee de suggestie wekken dat ze wel eens bezocht zouden kunnen gaan worden door de ACM.
19-12-2019, 15:46 door Anoniem
Volgens mij biedt MDM geen oplossing.
De ACM mag toch privételefoons opvragen, indien aanwezig tijdens de inval, als ze vermoeden dat ze zakelijk gebruikt zijn?

Ook als de werkgever zakelijk gebruik van privételefoons niet toestaat, en voor dit doel dus zakelijke telefoons verstrekt aan werknemers.
20-12-2019, 14:48 door Anoniem
Door Anoniem: Eh... MIJN telefoon. MIJN software. Als de baas wil dat ik wat op een telefoon installeer, dan geeft-ie er de telefoon maar bij. Als alternatief heb ik helemaal geen telefoon meer.

als bedrijf zeg ik MIJN data....

Veel bedrijven die kiezen voor BYOD geven ergens een vergoeding zodat je zelf je BYOD telefoon kunt kopen, en daar krijg je dan nog soms een zakelijk abonnement bij. Als je dan data van je bedrijf op je telefoon zet, dan hoort die beschermd te worden. Met moderne container technologie komt je bedrijf helemaal niet bij jouw spullen.

maar ik zeg erbij dat er vele andere varianten zijn, ik ben wel benieuwd wat voor telefoon je hebt, is het een BYOD, of geheel eigen bezit.
21-12-2019, 09:01 door Anoniem
Door Arnoud Engelfriet:
Door Anoniem:
Alles wat er dan alsnog op privételefoons en -chats gebeurt is dan simpelweg tegen het bedrijfsreglement, en het wordt heel raar als de ACM je gaat beboeten voor werknemers die zich niet aan het reglement houden.
Dat lijkt me niet. Ik heb net in mijn bedrijfsreglement genoteerd dat het vormen van kartels niet toegestaan is, dus ik kan nu geen boetes meer krijgen voor werknemers die alsnog een kartel gaan zitten vormen?
In hoeverre doen ze dat met medeweten en goedkeuring van het bedrijf?

Als je duidelijk laat zien "nee, we doen niet aan kartels" en ze doen het toch, en houden het verborgen voor de rest van het bedrijf inclusief de leiding, hoe moet je daar dan wat tegen doen? Idem dito met privéchats, -apps, -telefoons, et cetera. Je kan hooguit zeggen "we willen dat alles wat inhoudelijk over het werk gaat ook via de gelogde bedrijfsinfrastructuur gaat", en als ze het toch wat anders gebruiken zonder jouw medeweten, hoe ga je daar wat tegen doen? Hoe gaat de ACM je dan nog vertellen "je wist of had moeten weten dat..." HOE DAN?

De regels zijn wettelijk vrij simpel: bij een vermoedelijke wetsovertreding geef jij alles dat relevant is, alles dat het bestuursorgaan wil hebben. Dat het niet op een centrale backup staat, is jouw probleem. Ga al die telefoons maar ophalen, hier is een mooie zak waar ze in kunnen.
Dan moeten ze dus ook alles doorspitten en ondertussen heb jij nieuwe telefoons nodig anders ligt het bedrijf op z'n gat.

Lijkt me voor iedereen handiger dat je de backups overhandigt want als je het goed geregeld hebt, liggen die al klaar. Dat ze ook willen kijken dat die backups wel alles meenemen, nouja kijk maar. Dat is niet zo gek veel werk. Maar nog steeds nergens voor nodig om daarvoor alles plat te leggen.

De bedoeling van de vraagsteller was inderdaad om met MDM software centrale logs te maken.
Nu weet ik niet wat "MDM software" allemaal kan, maar "centrale logs bijhouden" lijkt me vrij omslachtig omdat dat applicatie-niveau is en die "MDM software" een andere applicatie, oftewel daar niet zonder medewerking van de chat-app bij kan. Of het moet met screencasts gaan werken ofzo, en van iedere telefoon het hele gebruik opslaan als videootje is mischien wat overdreven, en ook niet goed voor je data-opslag en -transportkosten.

Waarom zou de ACM daarbij dan genoegen moeten nemen met backups, als er gewoon logs staan in een actieve server?
Goede backups zijn precies wat de ACM nodig heeft zonder dat ze gelijk heel je werkende serverpark meekarrren. In hoeverre is het redelijk dat ze je hele bedrijf platleggen, wat makkelijk tonnen of miljoenen per dag kan kosten, omdat ze "iets vermoeden"? Het gaat ze om de data, die heb je al, en niet om de hardware, die als ze die meekarren door andere hardware vervangen moet worden want het werk moet ondertussen doorrrr, anders kun je de tent gelijk wel opdoeken op alleen maar "een vermoeden van de ACM".

"Verplicht zijn mee te werken" is al een hele interessante omdraaing van hoe het strafrecht tegenover natuurlijke personen werkt. Maar zolang je je daar aan houdt, hoezo maakt één dag wachten op de allerlaatste stukjes data nog uit in onderzoeken die vaak al jaren lopen? In hoeverre is het redelijk dat ze je hele infrastructuur in beslag nemen als je de data die ze hebben willen ook gewoon in een stapeltje tapes kan afleveren?

Ik zou echt zeggen dat als de ACM je als strafrechtverdachte behandelt dat ze je tegelijkertijd dan niet meer kunnen houden om aan je eigen veroordeling mee te werken, dus als ze dat wel kunnen, heb je ook wel iets te zeggen over hoe dan, in de zin van je reguliere bedrijfvoering en daarmee het voortbestaan van het bedrijf beschermen.
21-12-2019, 12:10 door Anoniem
Ik houd al jaren werk en privé strikt gescheiden. Dus minimaal twee telefoons/iPads, soms een derde voor een opdrachtgever.
Prettig? Nee. Maar geen discussies.
09-01-2020, 20:09 door Anoniem
Door Anoniem van 21-12-2019, 12:10:

Je weet totaal niet waar je over praat. Je bent duidelijk nooit aanwezig geweest bij een "bedrijfsbezoek" (inval) door de ACM. Je brengt de ACM in discrediet met een totaal uit de lucht gegrepen verhaal. Dit is waarschijnlijk wel het allerslechtste verhaal dat ik ooit op security.nl heb gelezen.

Dan moeten ze dus ook alles doorspitten en ondertussen heb jij nieuwe telefoons nodig anders ligt het bedrijf op z'n gat.
ACM legt geen bedrijf op z'n gat. Er zijn regels voor proportionaliteit waar ze zich aan houden. Ze zouden er ook echt niet mee wegkomen.

Lijkt me voor iedereen handiger dat je de backups overhandigt want als je het goed geregeld hebt, liggen die al klaar. Dat ze ook willen kijken dat die backups wel alles meenemen, nouja kijk maar. Dat is niet zo gek veel werk. Maar nog steeds nergens voor nodig om daarvoor alles plat te leggen.
Backups kunnen zeker relevant voor de ACM zijn en soms genoeg. Maar dat is nagenoeg nooit ter plekke te constateren. Dat duurt te lang. Langer dan het bedrijfsbezoek. En daarna kan er van alles zonder controle en zonder sanctie worden weggemaakt. En nogmaals, er gaat géén bedrijf plat.

Goede backups zijn precies wat de ACM nodig heeft zonder dat ze gelijk heel je werkende serverpark meekarrren.
Hier wordt het hilarisch. De ACM kart helemaal nooit heel je werkende serverpark mee. ACM heeft geen bevoegdheid tot "in beslag name". De ACM werkt in bestuursrecht. De hele term komt daar niet in voor.

In hoeverre is het redelijk dat ze je hele bedrijf platleggen, wat makkelijk tonnen of miljoenen per dag kan kosten, omdat ze "iets vermoeden"?
Je blijft maar doorhamere op iets wat ze niet doen hè?

Het gaat ze om de data, die heb je al, en niet om de hardware, die als ze die meekarren door andere hardware vervangen moet worden want het werk moet ondertussen door
Pffff... er hoeft nooit hardware te worden vervangen omdat het bedrijf door moet!!!

anders kun je de tent gelijk wel opdoeken op alleen maar "een vermoeden van de ACM".
Klinkt lekker schamper. Maar er zijn hoge eisen aan het begrip "redelijk vermoeden". Redelijk vermoeden is zeer zeker niet "maar een vermoeden".

"Verplicht zijn mee te werken" is al een hele interessante omdraaing van hoe het strafrecht tegenover natuurlijke personen werkt.
Er is hier dan ook, zoals al eerder gezegd' geen spake van strafrecht, maar bestuursrecht. Bestuursrechtelijk toezichthouders hebben o.a. de bevoegdheid om alle zakelijke bescheiden te vorderen en in te zien en te kopiëren. Ze hebben ook de bevoegdheid om bij een ieder inlichtingen te vorderen. Meewerken houdt geenszins in dat je een belastende verklaring over jezelf of je bedrijf hoeft te geven. Bij dat soort vragen zit altijd een advocaat die de door de ACM gegeven cautie op naleving controleert. Meewerken houdt o.a. in dat je naar waarheid antwoordt op "feitelijke vragen", zoals waar staat de boekhoeding en dat je op eerste vordering zakelijke bescheiden overlegt (zoal die ook in je telefoon kunnen staan) en dat je die niet op dat moment achterhoudt of weg maakt.

Maar zolang je je daar aan houdt, hoezo maakt één dag wachten op de allerlaatste stukjes data nog uit in onderzoeken die vaak al jaren lopen?
Omdat het over het algemeen geen één dag, maar heel erg veel langer duurt om data van backups te (ver)krijgen. Omdat het nooit zeker is dat die backups ook de informatie geven die nodig is...

In hoeverre is het redelijk dat ze je hele infrastructuur in beslag nemen als je de data die ze hebben willen ook gewoon in een stapeltje tapes kan afleveren?
Er wordt helemaal NOOIT wat in beslag genomen, en al helemaal geen hele infrastructuur!!! Precies omdat dat inderdaad niet redelijk zou zijn. De ACM is niet de FIOD, die dat onder voorwaarden wel mag (dat is strafrecht). Oh ja... lees jij "effe dat stapeltje tapes uit?"

Ik zou echt zeggen dat als de ACM je als strafrechtverdachte behandelt
Wat ze dus NIET doen...!!!

dat ze je tegelijkertijd dan niet meer kunnen houden om aan je eigen veroordeling mee te werken
Wat ze dus ook niet doen...!!!

dus als ze dat wel kunnen, heb je ook wel iets te zeggen over hoe dan, in de zin van je reguliere bedrijfvoering en daarmee het voortbestaan van het bedrijf beschermen.
Wat ze dus NIET kunnen...!!!
10-01-2020, 15:36 door jh81
in hoeverre kun je, bij voorbeeld in je werknemerscontract, opnemen dat het medewerkers verboden is om zakelijke handelingen/gesprekken te verrichten op prive telefoons? En kun je dan een dergelijke boete als bovenstaande doorschuiven naar de medewerker met als argument dat het in zijn contract stond?
15-01-2020, 09:21 door Anoniem
Deze discussie is zinloos. Met of zonder MDM, Whatsapp data is end-to-end encrypted en dus niet te lezen zonder fysieke toegang tot de app zelf. Dit is niet af te vangen met MDM. In de mogelijke MDM backup zit de Whatsapp database (niet uit te vragen/te lezen) of de backup van Whatsapp, die ook niet is in te zien.

Zakelijk gezien is hier geen oplossing voor. Of Whatsapp zakelijk gebruik verbieden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.