BYOD juridisch bekeken, dit moet je weten

BYOD juridisch zo regel je dat

Handig, werknemers die hun eigen apparaat mee naar het werk nemen. Ze zijn ermee vertrouwd én het scheelt je als werkgever aanschafkosten. Totdat het apparaat gehackt of gestolen wordt. Welke problemen levert BYOD juridisch op en wat kun je daaraan doen?

De voordelen van BYOD (Bring Your Own Device) zijn duidelijk. Medewerkers zijn vertrouwder met hun eigen apparatuur, waardoor ze efficiënter en productiever werken. Daarnaast levert het een kostenbesparing voor het bedrijf op, omdat er geen nieuwe devices voor medewerkers hoeven te worden aangeschaft.

Toch is BYOD niet enorm populair onder Nederlandse werkgevers. Vooral omdat BYOD juridisch veel problemen kan opleveren. Wie is er bijvoorbeeld verantwoordelijk voor dataverlies als een apparaat gehackt of gestolen wordt? Bovendien kan het gebruik van privé-apparatuur in de werksfeer tot onveilige situaties leiden.

Al die verschillende soorten apparaten die medewerkers gebruiken, kennen eigen specifieke uitdagingen op beveiligingsgebied en zijn lastig te managen door de IT-afdeling. Elk device is daardoor een potentieel beveiligingsrisico en kan de organisatie schade berokkenen.

Aansprakelijkheid werknemer

Voor schade door BYOD is de medewerker echter pas verantwoordelijk als er sprake is van opzet of bewust roekeloosheid. In andere gevallen ligt de aansprakelijkheid bij de werkgever. Die bepaalt grotendeels welk werk wordt uitgevoerd, hoe dat gebeurt en moet medewerkers voorzien van de juiste gereedschappen om het werk veilig en ‘schadevrij’ uit te voeren. De werkgever is dus ook aansprakelijk voor het bedrijfsnetwerk en eventuele virussen die het privéapparaat van de werknemer schade berokkent.

Wel moet sprake zijn van schade die binnen de uitvoering van de arbeidsovereenkomst valt, zo schrijft adviesbureau ICTRecht. Een voorbeeld: een medewerker die zijn bedrijfsmail leest en daarbij per ongeluk een ransomware-bijlage opent, handelt binnen de uitvoering, want hij was werkmail aan het afhandelen. Wordt zijn computer geïnfecteerd na het downloaden van illegale games en software, dan is hij daarvoor zelf aansprakelijk.

Om het eerste risico te verkleinen, kiezen steeds meer bedrijven ervoor om medewerkers te trainen op het gebied van device- en databeveiliging. Door bewustzijn te creëren, kan al een groot deel van de security-incidenten worden voorkomen. Naast training doen bedrijven er goed aan om medewerkers te voorzien van de juiste softwarelicenties. Gebruikt een medewerker illegale versies van Photoshop en Windows op het privé-device dat hij voor werk gebruikt, dan is de werkgever immers aansprakelijk.

Apparaat werknemer observeren en monitoren

Met aansprakelijkheid in het achterhoofd stellen veel bedrijven strengere eisen aan de beveiliging van zelf meegenomen apparatuur. Een populaire stap is om de apparaten te voorzien van software waarmee bedrijven ze op afstand kunnen overnemen, doorzoeken of wissen. Dat schuurt echter met de privacy van de medewerker, die normaal gesproken boven het bedrijfsbelang gaat. Pas als er een redelijk vermoeden is van wangedrag mag de werkgever zijn werknemers observeren en monitoren wat ze doen.

Wel kunnen werkgevers instructies geven over beveiliging. Zolang die redelijk zijn, kunnen ze (zonder instemming van een ondernemingsraad) eenzijdig opgelegd worden. Daarbij valt te denken aan adequate beveiliging in de vorm van een up-to-date besturingssysteem, sterke wachtwoorden, een goede virusscanner, firewall en een verplichte VPN-verbinding om toegang te krijgen tot het bedrijfsnetwerk. Ook kan worden bepaald dat persoonsgegevens niet mogen worden gedeeld of verwerkt op andere computers.

De werkgever mag scans uitvoeren om te controleren of privé-apparatuur voldoet aan de beveiligingsinstructies. Hij komt echter in een grijs gebied als die scans leiden tot ongeoorloofde monitoring of rapportage aan het management. Dan komt de privacy van de medewerker weer in het geding. Er moet sprake zijn van onveilig (wan)gedrag, voordat een werkgever mag meekijken met wat medewerkers doen.

Stel een beleid op

Experts concluderen dat BYOD niet goed aansluit bij de wettelijke regels voor werknemers. Ze raden aan een ict-beleid te formuleren om duidelijkheid te scheppen, bijvoorbeeld over welke apparaten zijn toegestaan en aan welke eisen die moeten voldoen op het gebied van security. Het beleid kan bepalingen bevatten zoals:

  • De werkgever heeft de bevoegdheid om eisen te stellen aan de beveiliging van BYOD en mag deze eenzijdig opleggen;
  • Schade veroorzaakt door activiteiten buiten bereik van het uitoefenen van de functie vallen binnen de risicosfeer van de werknemer. BYOD is een extra zorgplicht voor de medewerker;
  • De werkgever mag software installeren op privé-apparatuur om deze bij misbruik of verlies op afstand te controleren en wissen.

BYOD juridisch een uitdaging

Bij alle (technische) maatregelen die de werkgever neemt, moet hij afwegen wat de invloed is op de privacy van medewerkers. Het is niet meer dan logisch dat de inhoud van zakelijke devices wordt gewist na verlies of diefstal, maar bij de BYOD-apparaten gaat dan ook privédata verloren. Dat maakt van BYOD juridisch een uitdaging. Het op afstand wissen van BYOD-apparaten zou eigenlijk alleen mogen als de medewerker hiervoor toestemming geeft (of heeft gegeven) of het risico groot is dat bedrijfskritieke data uitlekt.

Meer weten over hoe BYOD juridisch werkt, de voor- en nadelen en de alternatieven van BYOD? Download de gratis whitepaper ‘hoe beveilig jij je devices en data?’ en lees ook: