BYOD verwijst naar het beleid waarbij werknemers hun eigen mobiele apparaten kunnen gebruiken om toegang te krijgen tot bedrijfsnetwerken/systemen. Sommige werknemers geven er de voorkeur aan hun eigen mobiele apparaat te gebruiken, wat de organisatie blootstelt aan reputatieschade en juridische procedures.
Bedrijven moeten een formeel beleid hebben met betrekking tot het gebruik van persoonlijke apparaten op het werk.
Bring Your Own Device (BYOD) verwijst naar dit type beleid, dat definieert welke mobiele apparaten (indien van toepassing) werknemers mogen gebruiken om toegang te krijgen tot bedrijfsnetwerken/systemen.
Wat moet een BYOD-beleid omvatten?
Bedrijven hebben een beleid nodig waarin staat welke apparaten wel en niet op hun netwerk mogen worden aangesloten. Ook moeten er procedures worden ingesteld om te voorkomen dat niet-goedgekeurde apparaten per ongeluk worden aangesloten. Ten slotte moeten er passende mechanismen worden geïmplementeerd om de beveiliging van persoonsgegevens, die mogelijk op mobiele apparaten zijn opgeslagen, te waarborgen.
Audit van bestaande apparaten en toegangsrechten
De eerste stap is het uitvoeren van een inventarisatie van de huidige situatie. Welke apparaten maken gebruik van het netwerk en waarvoor?
Wat zegt de wet?
Als werkgever (en tevens verantwoordelijke voor de verwerking van persoonsgegevens) bent u op grond van de AVG verplicht passende technische en organisatorische maatregelen te nemen tegen ongeoorloofde of onrechtmatige verwerking van persoonsgegevens en tegen het per ongeluk verliezen, vernietigen of beschadigen van persoonsgegevens.
Er bestaat een groot risico dat vertrouwelijke bedrijfs- en klantgegevens op persoonlijke apparaten terechtkomen. Deze apparaten zijn doorgaans niet erg veilig en kunnen gemakkelijk verloren, zoekgeraakt of gestolen worden.
De risico's van reputatieschade
Stel je dit scenario voor. Een medewerker ontvangt een e-mail met een bijlage met een mailinglijst van alle klanten en hun contactgegevens. De medewerker opent de e-mail en slaat de gegevens op zijn of haar mobiele apparaat op. Als dat apparaat vervolgens kwijtraakt, kunnen de gegevens openbaar worden gemaakt, misbruikt worden of aan een concurrent worden verkocht. Erger nog is dat de Autoriteit Persoonsgegevens op de hoogte moet worden gesteld van het dataverlies, evenals elke persoon op die mailinglijst. Dit kan leiden tot aanzienlijke reputatieschade en een hoge boete.
Welke apparaten zijn acceptabel?
Na een audit is de tweede stap het bepalen wat wel en niet in een BYOD-beleid moet worden opgenomen, en dit gebeurt meestal op apparaatniveau.
- Niveau één – nultolerantie
- Dit is wellicht de snelste, gemakkelijkste en eenvoudigste oplossing, maar hoeft niet per se de meest pragmatische of praktische te zijn.
- Het kan er ook toe leiden dat sommige werknemers bepaalde taken eerder belemmeren dan dat ze deze uitvoeren, wat kan resulteren in ontevredenheid over het werk en een lagere werksfeer.
- Een volledig verbod zou dus wel eens averechts kunnen werken.
- Het kan ook behoorlijk lastig (en dus duur) zijn om een zero-tolerancebeleid te controleren en te handhaven zonder sterke netwerkbeveiligingsmaatregelen.
- Niveau twee – goedgekeurde apparaten
- Dit maakt een vaste lijst met apparaten mogelijk, of apparaten met specifieke besturingssystemen (bijvoorbeeld alleen iOS-apparaten of alleen Android- en Windows-apparaten).
- De aanpak met goedgekeurde apparaten kan het beheer en de controle van de toegang vereenvoudigen, maar kan sommige werknemers benadelen als hun apparaat niet onder de dekking valt. Het kan ook lastig te beheren zijn, omdat er dagelijks nieuwe modellen en apparaten op de markt komen.
- Niveau drie – elk apparaat
- Hierdoor kan elk apparaat worden aangesloten.
- Deze aanpak is volledig het tegenovergestelde van een nultolerantiebeleid en staat toe dat elk apparaat op elk moment kan worden aangesloten. De voordelen zijn a) voor de werknemer, die niet gebonden is aan een specifiek apparaat, en b) voor het bedrijf, dat geen lijst met goedgekeurde apparaten hoeft bij te werken.
Bij deze aanpak zijn echter wel strenge controlemechanismen nodig, zoals systemen voor het beheer van mobiele apparaten.
Een alternatieve optie!
Een toenemende trend is dat sommige bedrijven besluiten om BYOD en een zero-tolerancebeleid los te laten en in plaats daarvan apparaten aan werknemers te verstrekken.
Welke aanvragen zijn acceptabel?
Het bedrijf wil mogelijk de toegang tot bepaalde applicaties beperken – meestal tot alleen e-mail en internet. Volledige toegang tot netwerken en applicaties moet waar mogelijk worden vermeden, behalve vanaf pc's of laptops en dan alleen via vertrouwde netwerken of beveiligde tools voor toegang op afstand.
Zakelijk versus privégebruik
BYOD-apparaten die eigendom zijn van een werknemer worden waarschijnlijk zowel voor zakelijke als privédoeleinden gebruikt.
Enerzijds moet de werknemer erop kunnen vertrouwen dat het bedrijf geen toegang krijgt tot persoonlijke gegevens die op het apparaat zijn opgeslagen of gebruikmaakt van monitoringtools, anderzijds wil het bedrijf vertrouwelijke bedrijfs- en klantgegevens beschermen die mogelijk ook op het apparaat zijn opgeslagen (of zichtbaar zijn).
Werkgevers moeten er ook rekening mee houden dat apparaten (voor persoonlijke doeleinden) niet alleen door de werknemer zelf, maar ook door andere familieleden gebruikt kunnen worden.
Draadloze beveiliging
De eenvoudigste en snelste manier voor apparaten om verbinding te maken met een netwerk is door werknemers draadloos in te loggen op hun eigen apparaat. Sommige bedrijven delen hun draadloze toegangscode met werknemers zonder zich te realiseren dat ze die code op al hun apparaten gebruiken, inclusief hun persoonlijke apparaten.
Een veelgebruikte methode om de beveiliging van apparaten te waarborgen, is door de draadloze toegangssleutel zeer sterk te maken (d.w.z. moeilijk te onthouden) en deze alleen te laten invoeren door een lid van het IT-supportteam of een andere aangewezen persoon. Op deze manier kan de controle op apparaatniveau relatief eenvoudig worden gehandhaafd. Deze aanpak kan echter zeer tijdrovend zijn, afhankelijk van de omvang of complexiteit van de organisatie.
Meer robuuste benaderingen maken gebruik van netwerkhardware om toegangscontrolelijsten te creëren voor specifieke apparaten. Deze apparaten moeten eerst worden geregistreerd en goedgekeurd door het bedrijf voordat ze verbinding kunnen maken. De voordelen van deze methode zijn onder andere controle op basis van tijdzones, zoals het beperken van draadloze toegang tot kantooruren.
Apparaatregistratie
De meeste huidige versies van netwerkbesturingssystemen (Windows en Mac) hebben ingebouwde beveiligingsfuncties waarmee een lijst met "goedgekeurde" apparaten kan worden bijgehouden.
Dit gebeurt via een registratieproces dat vrijwel hetzelfde is als de registratie van netwerkhardware, waarbij het apparaat wordt aangeboden en geregistreerd op het netwerk.
Als een apparaat zoekraakt of een medewerker vertrekt, kan het apparaat worden geblokkeerd/verwijderd uit de lijst met geregistreerde apparaten.
Hoewel deze aanpak nuttig is om ongewenste gasten te blokkeren en de toegang tot netwerkbronnen te controleren, is het nadeel dat er geen controle is wanneer een apparaat dat verbinding maakt verloren of gestolen wordt.
Beheer van mobiele apparaten (MDM) / Beheer van mobiele applicaties (MAM)
Een robuustere aanpak voor het beveiligen van apparaten is het gebruik van MDM-services. Deze services kunnen onderdeel uitmaken van de netwerkbesturingssoftware of door een derde partij worden aangeboden.
Er bestaan verschillende niveaus van dit type service, variërend van eenvoudige registratie- en apparaatresetdiensten tot het isoleren van persoonlijke en bedrijfsgegevens in een afgeschermde omgeving, waardoor alleen bedrijfsgegevens afzonderlijk kunnen worden gewist.
Werknemers moeten instemmen met het gebruikte systeem voor het beheer van mobiele apparaten als ze BYOD willen invoeren.
Werknemers moeten ook instemmen met het gebruik van MDM-software voor het monitoren van het apparaat, met de activiteiten die worden gemonitord en met het gebruik van geolocatie.
Tot slot moeten werknemers begrijpen wat er met hun persoonlijke gegevens gebeurt die op het apparaat zijn opgeslagen, mocht het apparaat worden uitgeschakeld.
Deze methode heeft als voordelen dat hij gebruiksvriendelijk is vanuit het perspectief van de eindgebruiker, terwijl hij tegelijkertijd zeer veilig is vanuit een zakelijk perspectief. Het bedrijf kan bovendien op afstand handelingen uitvoeren zoals het lokaliseren van apparaten die verloren of gestolen zijn, of het blokkeren en wissen van gegevens.
Gegevensversleuteling
Een BYOD-beleid op zich biedt onvoldoende bescherming. Alle vertrouwelijke/persoonlijke gegevens moeten worden versleuteld. Het instellen van een document/spreadsheet als alleen-lezen, of het aanmaken van een wachtwoord om het document/spreadsheet te openen, is niet hetzelfde als het versleutelen van de gegevens.
Bedrijven moeten beoordelen welke persoonsgegevens worden overgedragen van en naar welke apparaten. Vervolgens moeten ze een risicoanalyse uitvoeren om de kans te bepalen dat de gegevens openbaar worden, en daarna passende versleutelingsmethoden gebruiken om die vertrouwelijke/persoonsgegevens te beschermen.
Andere zaken om te overwegen
- Apparaatbeveiliging met wachtwoord – Elk BYOD-apparaat moet een opstartwachtwoord/pincode hebben en moet vergrendeld worden als het gedurende een bepaald aantal minuten niet actief is, of vergrendeld worden als er gedurende een bepaald aantal pogingen een onjuist wachtwoord/pincode wordt ingevoerd
- Verloren apparaten – als onderdeel van het BYOD-beleid moet de medewerker weten met wie hij/zij contact moet opnemen en wat er met het apparaat gebeurt als het kwijtgeraakt is (d.w.z. welke gegevens mogelijk van het apparaat worden gewist)
- kosten – het bedrijf kan al dan niet instemmen met het betalen van bepaalde kosten voor mobiele apparaten of de kosten voor vervanging van verloren/gestolen of beschadigde apparaten wanneer deze voor zakelijke doeleinden worden gebruikt
- Gebruiksbeleid – het bedrijf wil ervoor zorgen dat elk gebruiksbeleid ook van toepassing is op BYOD-apparaten
- Apparaten die geroot of gejailbreakt zijn, mogen niet worden toegestaan en er moet een strikt beleid gelden dat apparaten die voor BYOD zijn ingesteld, daarna niet meer geroot of gejailbreakt mogen worden
- Opslagmedia – het bedrijf wil mogelijk de aanpak met betrekking tot geheugenkaarten/SD-kaarten specificeren, met name of deze versleuteld zijn of dat er gegevens op kunnen worden opgeslagen
Het BYOD-beleid implementeren
BYOD kan worden opgesteld als een afzonderlijk beleid, worden toegevoegd aan een bestaand beleid voor aanvaardbaar gebruik, of worden opgenomen in een bestaand internet- en e-mailbeleid of een beleid voor sociale media.
Bedrijfsapparaten vallen standaard onder BYOD.
Werknemers met eigen apparaten moeten de mogelijkheid krijgen om zich wel of niet aan te melden voor het BYOD-beleid:
- Afmelden - Weigeren om deel te nemen aan het BYOD-beleid - in dat geval kan de werknemer geen persoonlijke apparaten voor werkdoeleinden gebruiken
- Opt-in – Akkoord gaan met het BYOD-beleid – in dat geval moet hun apparaat geregistreerd worden op het netwerk en, indien van toepassing, ook bij een dienst voor mobiel apparaatbeheer.
Bekijk onze samenvatting voor onze vier eenvoudige stappen om een BYOD-beleid te definiëren en te implementeren.
Samenvatting
Het is belangrijk dat de werkgever (die de verantwoordelijke is voor de verwerking van persoonsgegevens) blijft voldoen aan de AVG met betrekking tot de verwerking van persoonsgegevens. In geval van een datalek moet de werkgever kunnen aantonen dat alle persoonsgegevens die op een bepaald apparaat zijn opgeslagen, beveiligd, beheerd of verwijderd zijn. Een BYOD-beleid draagt hier in belangrijke mate aan bij.
Vier stappen voor het definiëren en implementeren van BYOD
- Stap één – controleer apparaten en gebruik
-
- Welke apparaten hebben momenteel toegang tot het netwerk?
- Welke toegangsrechten hebben ze?
- Welke applicaties gebruiken ze?
- Welke gegevens moeten ze opslaan?
- Stap twee – niveau van BYOD
-
- geen apparaten
- goedgekeurde lijst
- alle/elke apparaten
- Definieer welke applicaties toegankelijk zijn voor mobiele apparaten.
- Stap drie – BYOD-beleid
-
- Formuleer en beschrijf het BYOD-beleid.
- Voer de nodige beveiligingsmaatregelen voor de netwerkinfrastructuur door en schaf eventuele aanvullende diensten aan (zoals MDM)
- Bepaal of extra beveiliging nodig is, zoals tools voor gegevensversleuteling
- Bepaal en communiceer een datum voor de implementatie van het beleid
- Stap vier – implementatiedatum
-
- Verwijder alle huidige apparaten en zorg ervoor dat ze geen gegevens bevatten.
- Goedgekeurde apparaten registreren
- Werknemers die dergelijke apparaten bezitten, tekenen een BYOD-overeenkomst.
