Bring Your Own Device: BYOD-beleid opstellen voor medewerkers

Steeds vaker nemen medewerkers hun eigen apparaten mee naar het werk. Hoe gaat u als werkgever hiermee om? Staat u het toe dat uw medewerkers al hun apparaten op het wifi netwerk aansluiten? En hoe zit het met de informatiebeveiliging? Het meebrengen van eigen apparaten kunt u ook zien als een kans. Uw werknemers zijn namelijk vaker én beter bereikbaar. Ontdek hoe u een BYOD-beleid (Bring Your Own Device) op kunt stellen voor uw medewerkers.

Een Bring Your Own Device-beleid (BYOD) geeft uw medewerkers richtlijnen en houvast als het gaat om het meebrengen en gebruik van eigen apparatuur. Het beleid geeft bijvoorbeeld inzicht in het opslaan van gegevens, te nemen stappen bij verlies van mobiele apparatuur en omgaan met mail.

Om een BYOD-beleid op te stellen, dient u met uw organisatie na te denken over de ideale situatie rondom BYOD. Om u op weg te helpen, geven wij u zeven tips voor het opstellen van een BYOD-beleid:

1. Zakelijke en privé apparatuur
2. Platformen en updates
3. Dwing toegangsbeveiliging af
4. Opslag van gegevens
5. Beheer op afstand
6. Verlies en diefstal
7. Datalekken en de AVG

Weten hoe het staat met de informatiebeveiliging binnen uw organisatie? Beantwoord de vragen van onze quickscan of download gratis “De 7 basisprincipes van digitale hygiëne” en controleer of uw organisatie de benodigde veiligheid waarborgt.

Lees verder onder de afbeelding.

1. Zakelijke en privé apparatuur

Als het gaat om juridische aansprakelijkheid, is de eigenaar van een mobiel apparaat belangrijk. Wanneer uw bedrijf de eigenaar is van een apparaat, is het bedrijf aansprakelijk voor verlies van data die op het toestel staat. Is de medewerker eigenaar, dan is hij verantwoordelijk voor hetgeen hij/zij met het apparaat doet en welke zakelijke gegevens worden opgeslagen. Daarbij dient de medewerker zelf passende veiligheidsmaatregelen te nemen, maar kunt u uw medewerkers helpen door hiervoor heldere richtlijnen te hanteren.

Bij zakelijke apparatuur heeft de organisatie de controle over wat wel mag en wat niet mag en kan een medewerker daarbinnen van alles doen. Bij privé apparatuur zijn de mogelijkheden vaak beperkt. Denk bijvoorbeeld aan het alleen kunnen openen van de e-mail.

2. Platformen en updates

Er zijn ontzettend veel verschillende soorten platformen te onderscheiden, zoals Microsoft Windows, Android en iOS. Daarnaast zijn er van ieder besturingssysteem verschillende versies beschikbaar. De verschillen tussen deze versies kunnen groot zijn.

Veel applicaties draaien niet op ál die besturingssystemen. Dit maakt het voor de IT-afdeling lastig om goede technische ondersteuning te kunnen bieden. Het is daarom van belang om als bedrijf een keuze te maken in de apparaten en platformen die u gaat ondersteunen. Maak uw medewerkers duidelijk op welke platformen het is toegestaan om zakelijke activiteiten uit te voeren. Denk hierbij aan het gebruik van e-mail en andere applicaties en het sturen van messages. Daarnaast is het belangrijk dat al deze platformen up to date dienen te zijn én te blijven.

3. Dwing toegangsbeveiliging af

Doordat er vaak al is begonnen met het gebruik maken van eigen devices zonder dat een bedrijf of organisatie dat echt doorheeft, zijn er mogelijk geen afspraken over beveiliging gemaakt. Belangrijk is dat uw werknemers afdoende toegangsbeveiliging toepassen. Vereis bijvoorbeeld dat een apparaat minimaal vergrendeld wordt met een pincode, wachtwoord of vingerafdruk. Een swipe patroon of helemaal geen beveiliging is uiteraard onvoldoende.

Het is mogelijk om dit technisch af te dwingen door een policy te hanteren, zie beheer op afstand.

4. Opslag van gegevens

Er bestaat een kans dat uw personeel gegevens opslaan op hun eigen device. Daarnaast brengt werken op een mobiel apparaat extra veiligheidsrisico’s met zich mee, deze zijn gemakkelijker te verliezen dan bijvoorbeeld een desktop computer. Daarom is het zaak om goede afspraken over te maken rondom informatiebeveiliging.

Het is zaak om voor alle gevoelige data in het bedrijf vast te stellen wie er mee mag werken en of dit op een mobiel apparaat mag worden verwerkt of worden opgeslagen. Denk bijvoorbeeld aan financiële gegevens of persoonsgegevens.

Daarnaast is het een goed idee om de opslag van mobiele apparaten te versleutelen. Hierdoor zijn de gegevens afgeschermd bij mogelijk verlies of diefstal van de apparatuur. Een optie die door alle moderne platformen wordt ondersteund, al zijn daar wel wat haken en ogen aan. Windows 10 Home biedt geen versleuteling aan, de Pro uitvoering wel.

5. Beheer op afstand

Het is mogelijk voor bedrijven om te kiezen voor een mobile device management (MDM) oplossing. Met dit soort oplossingen is het mogelijk om zakelijk en privé makkelijk te scheiden. Een soortgelijk systeem maakt een aparte sectie op het apparaat voor de zakelijke applicaties. Daarnaast is het mogelijk mobiele apparatuur op afstand te controleren en gegevens te wissen. Vaak bevat een dergelijk systeem een centraal aangestuurde virusscanner en is het mogelijk om werkapplicaties aan te bieden in een corporate app store.

Ook is het in dit geval mogelijk dat de IT-afdeling in staat is om data van een toestel te verwijderen (let op! dit betreft mogelijk persoonsgegevens van de medewerker in kwestie) of een toestel te blokkeren bij het driemaal invoeren van foutieve passwords.

6. Verlies en diefstal

Omdat de gebruikte apparaten bij BYOD niet van uw bedrijf zelf zijn, zijn werknemers over het algemeen minder snel geneigd om de werkgever op de hoogte te brengen van beveiligingsproblemen, zoals het verlies van een apparaat of het per ongeluk versturen van privacygevoelige informatie naar een verkeerde persoon. Het is van belang om de medewerkers duidelijk te maken dat dit direct bij de IT-afdeling gemeld dient te worden.

7. Datalekken en de AVG

Het is dus belangrijk om uw personeel in te lichten over de mogelijke gevolgen van een dergelijk datalek, het versturen van informatie naar de verkeerde persoon of verlies/diefstal. Maak duidelijk dat ze dit direct bij de IT-afdeling melden zodat er gepaste maatregelen genomen kunnen worden om de schade van een datalek zo klein mogelijk te houden.

Bij BYOD staat er in veel gevallen ook privé informatie op een toestel. Hierdoor komt de privacy van de werknemer in het geding, met name wanneer een werkgever besluit een apparaat te resetten. Houd de AVG goed in de gaten en communiceer met uw werknemers over de mogelijkheden die de IT-afdeling kan nemen.

BYOD-beleid opstellen

Met behulp van de bovenstaande tips kunt u uw eigen BYOD-beleid opstellen. Dit hoeft geen lang verhaal te zijn, zolang het voor uw werknemers maar duidelijk is wat u van hen verlangt. Hebt u vragen over het opstellen van een BYOD-beleid of komt u er niet helemaal uit? Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.

Weten hoe het staat met de informatiebeveiliging binnen uw organisatie? Beantwoord de vragen van onze quickscan of download gratis “De 7 basisprincipes van digitale hygiëne” en controleer of uw organisatie de benodigde veiligheid waarborgt.