Het betreft een afkorting die staat voor ‘Bring Your Own Device’, ofwel ‘breng uw eigen apparaat mee’. Vanwege de kostenbesparingen en het gebruiksgemak is BYOD populair onder organisaties. Het gaat om het meenemen van privé apparatuur, zoals laptop, tablet en mobiele telefoon, die wordt gebruikt om werktaken uit te voeren. Door BYOD lopen werk en privé gemakkelijker door elkaar. Met name door de hoge toename van smartphones dreigt de grens tussen werk en privé te vervagen. Het meebrengen en het gebruiken van privé apparatuur naar de zakelijke omgeving is zeker niet zonder risico’s.
Wat is wel en wat is niet de bedoeling met een BYOD apparaat? Dus ja, u voelt hem al aankomen; daar moet u een reglement voor maken.
Bij een eerste kijk op de situatie blijken er nogal wat nadelen (lastige vragen) aan BYOD te kleven.
Dit zijn:
(1) Wie is eigenaar van het apparaat?
(2) Wie is eigenaar van de data die op het apparaat staat?
(3) De gebruiker wil vrijheid en de organisatie wil controle, dit resulteert in discussies.
(4) Hoe gaat het bedrijf om met de privacy van gegevens die op een apparaat van de medewerker/(externe)(tijdelijke) inhuurkracht staat?
(5) Hoe zorgt een bedrijf dat geen informatie lekt naar het apparaat van de medewerker/(externe)(tijdelijke) inhuurkracht?
(6) Hoe gaat de helpdesk al deze apparaten ondersteunen?
(7) Wat zijn de kosten om de zogeheten legacy applicaties aan te passen zodat zij opengesteld kunnen worden voor any device (BYOD)?
(8) En mag de onderneming zijn ICT-beleid onverkort handhaven op deze privéapparaten?
(9) Wie is er bijvoorbeeld verantwoordelijk?
Dit zijn slechts een paar vragen die beantwoord moeten worden alvorens men BYOD gaat faciliteren, zeker als de werknemer of eventuele externe inhuurkrachten gevoelige bedrijfsinformatie op zijn of haar device heeft staan.
Belangrijk nadeel van BYOD is dat het voor de IT-afdeling een grotere uitdaging wordt alle verschillende devices te managen. Dat kan met name leiden tot grotere beveiligingsrisico’s. Voor elke soort en type Pc, laptop, tablet of telefoon die toegang moet krijgen tot het bedrijfsnetwerk moet de IT-afdeling immers aparte voorzieningen treffen. Mocht ergens iets misgaan dan is het vaak lastig om te achterhalen waar de fout zit en tevens moet de helpdesk ook beschikken over kennis van de verschillende apparaten en systemen. En dat aantal verschillende types en soorten devices loopt al snel op. De beveiligingscomplicaties leiden direct tot een ander probleem.
In het geval van verlies, een virus of een datalek roept het gebruik van een eigen device namelijk ook juridische complicaties op. Een van de mogelijke maatregelen in geval van diefstal is bijvoorbeeld het op afstand wissen van de inhoud.
Gezien de bijzondere relatie werknemer-werkgever is het de werkgever die aansprakelijk is voor de schade die de werknemer lijdt bij uitvoering van zijn werkzaamheden, dus ook aan zijn apparatuur. Maar niet alleen is de werkgever aansprakelijk voor de schade aan de werknemer, ook voor de eventuele schade die derde partijen lijden door toedoen van de werknemer.
Door de werkgever is geen controle mogelijk op de software, antivirus, firewalls die de werknemer gebruikt.
Het op afstand wissen van data kan echter problemen opleveren als het gaat om het privébezit van de betrokken medewerker/(externe)(tijdelijke) inhuurkracht. Kan die worden gedwongen mee te werken aan een maatregel waar hij mogelijk ook privéschade van zal ondervinden. Dat betekent dus ook een grotere kans dat de op het device opgeslagen bedrijfsinformatie in verkeerde handen valt.
Dat alles maakt dat een onderneming er niet te gemakkelijk vanuit kan gaan dat een BYOD-strategie ook daadwerkelijk een forse besparing gaat opleveren. De besparingen en bijkomende kosten zijn zeer divers, en kunnen per onderneming aanzienlijk verschillen. Dat geldt ook voor de impact op de productiviteit van de medewerkers/(externe)(tijdelijke) inhuurkrachten.
Voor de beslissing om over te gaan op Bring Your Own Device dient u dus eerst een grondig overzicht te maken van alle gerelateerde opbrengsten en kosten. En mocht dat minder positief uitkomen dan verwacht, dan zijn er nog verschillende aantrekkelijke alternatieven voorhanden.
Als bedrijf bent u onder de AVG verplicht om passende technische en organisatorische maatregelen te nemen bij de verwerking van persoonsgegevens. Zo ook ten opzichte van de persoonsgegevens van de werknemers. Hier valt het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevensverwerkende processen ook onder. Stel een BYOD en een apart DATALEK protocol op.
Het gaat netto onderaan de streep om beheersen van de techniek en duidelijkheid en bewustwording bij de werknemers.