Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Vraag: Recent las ik over een boete bij een bedrijf omdat personeel WhatsApp-chats wiste. Dat lijkt me het perfecte argument om alle werknemers gewoon mobile phone beheersoftware (MDM) op te leggen, ook op hun privételefoon. Als je als werkgever zúlke schade kunt oplopen door gewiste gesprekken, dan is je belang toch evident?
Antwoord: Recent werd een bedrijf beboet door de ACM wegens het wissen van bewijs tijdens een inval op verdenking van kartelvorming. Dat bewijs bestond uit WhatsApp-chats en lidmaatschap van zekere groepen, en het wissen kon gebeuren doordat medewerkers snel dit hun telefoon konden regelen en er geen centrale logs of backups waren van die gegevens.
Mobile Device Management of MDM is een algemene naam voor software waarmee bedrijven centraal beheer uitoefenen op telefoons (en andere mobiele apparaten) van medewerkers. De bekendste MDM feature is het wissen op afstand bij diefstal van de telefoon, maar er is veel meer mogelijk. Onder meer het centraal bewaren van backups van bijvoorbeeld chats, of het blokkeren van bepaalde applicaties: je zou WhatsApp kunnen weren en uitsluitend Telegram afdwingen als chatapplicatie, waarbij je de logs dan op andere wijze bewaart.
Het 'probleem' met MDM begint wanneer men dit wil opleggen aan privételefoons die werknemers meenemen, meestal omdat die als "bring your own device" apparaat worden ingezet. De zakelijke logica is eenvoudig: je wilt de zakelijke data en belangen beschermen, dus moet er beheersoftware op. Maar die software kan ook bij privézaken (de spreekwoordelijke foto's op zaterdag of chats met de partner) en niet ieder personeelslid heeft daar dus trek in.
Dat MDM veel vervelends kan voorkomen, zoals bij bovenstaand bedrijf, is daarbij niet echt een argument vrees ik. Het blijft een feit dat je op iemands privételefoon toegang hebt tot alle data. Dat kun je alleen verantwoorden als je duidelijk en aantoonbaar rekening houdt met de privacy van je personeel, bijvoorbeeld met helder beleid wie wanneer welke data uitleest, hoe dat veilig wordt gelogd en hoe dat wordt gemeld en uitgelegd aan het personeel. Als dat soort zekerheid er is, dan pas ga je praten over waarom het eigenlijk nodig is.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.