BYOD: hoe beschermt u de privacy?

BYOD valt niet meer weg te denken uit het hedendaagse bedrijfsleven. Steeds meer organisaties stellen hun medewerkers in staat om voor zakelijke doeleinden te werken met hun eigen privéapparaten . Bring Your Own Device (BYOD), biedt voordelen als gebruiksvriendelijkheid en keuze voor de medewerker. Hiernaast zien werkgevers als voornaamste voordelen een toename in de productiviteit en kostenbesparing betreffende hardware investeringen. BYOD brengt echter ook de nodige uitdagingen met zich mee op het gebied van security, maar zeer zeker ook op het gebied van privacy van de medewerkers. De AVG eist van organisaties dat zij gepaste technische en organisatorische maatregelen treffen om de verwerking van persoonsgegevens, dus ook door en van medewerkers, in overeenstemming met de AVG uit te voeren. Dit moet onder de AVG ook kunnen worden aangetoond. Hier valt het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevensverwerkende processen ook onder. De volgende vraag luidt dan: wat zijn de specifieke BYOD-uitdagingen en wélke maatregelen moeten er vervolgens worden genomen?

Twee van de voornaamste uitdagingen zijn:

  1. Het zorgdragen voor een juiste omgang en het beschermen van de privacy.
  2. Beveiliging van het apparaat tegen malware, verlies of diefstal.

We bespreken hieronder een aantal maatregelen die in samenhang ervoor kunnen zorgen dat de additionele risico’s die ontstaan door het gebruik van BYOD kunnen worden verkleind.

Procedurele maatregelen

Op het gebied van procedurele maatregelen kan er gedacht worden aan:

  • Het toepassen van een mobile security reglement waarin de rechten en plichten van medewerkers omtrent het gebruik van mobile privéapparaten wordt beschreven. De eerste stap is het verkrijgen van (indien aanwezig) instemming van de ondernemingsraad voor het mobile security reglement en het informeren van de medewerkers middels een memo, of schriftelijke toestemming voor het toepassen van de voorwaarden van het mobile security reglement.
  • Duidelijke communicatie naar de medewerkers over onder welke voorwaarden de priveapparaten mogen worden gebruikt op het bedrijfsnetwerk.
  • Over de volgende zaken dienen er duidelijke afspraken te worden gemaakt:
    • Er moeten, conform het mobile security reglement, security-oplossingen op het apparaat geïnstalleerd worden. Alle bedrijfsdata moet worden versleuteld Het apparaat zelf moet worden beveiligd met een sterk wachtwoord, en voor zover mogelijk moet er speciale anti-diefstalsoftware op het apparaat geïnstalleerd staan waarmee het apparaat in geval van verlies of diefstal kan worden geblokkeerd, gewist en/of kan worden gelokaliseerd. Bij deze laatste oplossing is er mogelijk wel een aandachtspunt voor de continue monitoring van locatie van middelen. Als het apparaat gekoppeld is aan een gebruiker is de locatie van het apparaat ook een locatie van de medewerker geworden.

Data is het hedendaagse goud en is dus erg waardevol – dat blijkt wel uit het feit dat cybercrime de Nederlandse samenleving 10 miljard euro kost op jaarbasis en het feit dat één op de vijf MKB-organisaties last heeft gehad van een hackaanval. Cybercriminelen gebruiken zeer geavanceerde aanvalsmethodes met als doel zo lang mogelijk onopgemerkt te blijven op het bedrijfsnetwerk om onder andere data aan een organisatie te onttrekken. Er bestaat geen zilveren kogel tegen cyberaanvallen, wat kunnen organisaties dan wel doen inzake BYOD?

Oplossingen op securitygebied

Een passende oplossing op technolgisch gebied is een (NAC)netwerktoegangscontrole in combinatie met een Mobile Device Management (MDM), waardoor de identiteit van apparaten en gebruikers wordt vastgesteld zodra men inlogt op het bedrijfsnetwerk. Op deze manier kan er een check worden gedaan waarbij wordt gekeken of het securityniveau van het apparaat (nog) voldoet aan de security eisen van het mobile security reglement. Er dient dan gekeken te worden naar de aanwezigheid van o.a. de volgende type oplossingen: Antivirus, antimalware, Firewall, Operating System ((bijvoorbeeld iOS of Android) en versie en het patchniveau), en overige context (zoals locatie, tijdstip) die van invloed kunnen zijn op het verlenen van toegang. Tot slot is de rol van de medewerker in kwestie doorslaggevend om het uiteindelijke toegangsniveau te bepalen.

Beveiliging tegen verlies of diefstal

Een passende beveiliging tegen verlies of diefstal is het toepassen van een Mobile Device Management-oplossing die het mogelijk maakt om de data op verloren apparaten te versleutelen, om de apparaten te vinden (GPS), en het op afstand te kunnen wipen (wissen) van de data.

Tot slot

De mens is de eerste defensielinie en is tevens de grootste bron van datalekken. Organisaties dienen hun medewerkers privacy- en securitybestendig te maken door middel van het creëren van bewustwording over de gevolgen van een datelek en middels op de functie afgestemde training betreffende het privacy- en informatiebeveiligingsbeleid.

3 reacties

  1. M. Ravoo schreef:

    Eens. En de medewerker die zijn eigen apparaat inzet voor bedrijfsmatig gebruik, mag verwachten dat de werkgever uit het privé domein blijft. Ook daarvoor zijn technische maatregelen nodig.
    En heldere afspraken. Met OR-betrokkenheid.

  2. Vinc schreef:

    Hypothetisch:
    Ik verplicht als werkgever mijn medewerkers hun eigen persoonlijk device te gebruiken, ik stel geen company devices meer beschikbaar.
    Als pleister op de wonde zal ik mijn werknemers een maandelijkse vergoeding geven voor dat gebruik van persoonlijke devices.
    Ik wil wel dat ze een bitlocker op hun persoonlijk device’s te installeren ter bescherming van de company data.
    Mag ik dat verplichten?

  3. Benjamin Williams schreef:

    Goedemiddag,

    Ten eerste dank voor uw reactie. Het korte antwoord op uw vraag is ja, men kan bepaalde veiligheidseisen stellen aan het gebruik van privé-apparaten voor zakelijke doeleinden, maar, men dient wel de volgende stappen te nemen:
    – Indien aanwezig, instemming verkrijgen van de ondernemingsraad voor de toepassing van een mobile security reglement waarin u de voorwaarden vastlegt voor het gebruik van privé-apparaten.
    – Voorts is het belangrijk dat u het mobile security reglement communiceert aan de medewerkers, zodat men weet wat de gebruiksvoorwaarden zijn betreffende privé –apparaten voor zakelijke doeleinden. U kunt de verplichting van het gebruik van Bitlocker, in de voorwaarden opnemen. Uiteraard voor andere apparaten kunt u andere beveilgiingsvereisten opnemen in het mobile security reglement.

    Tot slot dien u in het kader van goed werkgeverschap uw medewerkers die niet in het bezit zijn van een apparaat, toch in staat te stellen om hun werkzaamheden te kunnen verrichten middels het faciliteren van (de koop van) een laptop.

    Met vriendelijke groet,

    Benjamin Williams CIPP/E, CIPM

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *