Whitepaper BYOD (Bring Your Own Device)

1. Bring Your Own Device, kans of bedreiging?
Steeds meer werknemers gebruiken dezelfde apparatuur, bijvoorbeeld
laptop of smartphone, zowel thuis als op de werkplek. De voordelen
van het gebruiken van dezelfde apparaten voor werk en privé - onder
meer beter kunnen omgaan met de techniek en zelfs besparingen -
wegen op tegen de nadelen, zoals problemen met beveiliging. De
nadelen kunnen namelijk eenvoudig worden weggenomen.
Mobiele telefoons, computers en tablets zijn in de thuisomgeving niet meer weg te denken. Logisch
gevolg daarvan is dat mensen op hun werk dezelfde techniek willen gebruiken als thuis. Voor privé
koop je het merk van jouw voorkeur, die keuzemogelijkheid wil je op je werk toch ook? Je kent het,
bent er vertrouwd mee en kunt er goed mee werken. Deze trend, zelf bepalen welke apparaten je
gebruikt om je werk te doen, heet Bring Your Own Device (BYOD) of Choose Your Own Device (CYOD)*.
Ergernis
Het gebruik van privéapparatuur voor werk en vice versa is ook toe te schrijven aan de ontwikkeling
dat medewerkers steeds mobieler zijn en overal willen kunnen werken. Daarmee vervaagt de scheiding
tussen werk en privé. Voor veel kennismedewerkers is er al geen duidelijke scheiding meer tussen
zakelijke en persoonlijke taken en activiteiten (en sociale media). Werk is onderdeel van het dagelijks
leven. De mobiele medewerker ergert zich daarom aan de scheiding tussen ‘werk’ en ‘thuis’
apparaten. Hij moet twee systemen beheren en beheersen en apparaten wisselen als hij van
‘privéactiviteit’ naar ‘zakelijke activiteit’ gaat.
Dan komt de vraag naar boven hoe je als werkgever kan inspelen op zowel de behoeften van de
organisatie als die van de werknemer - de eindgebruiker van bedrijfsnetwerken, ICT-ondersteuning en
apparatuur. Want het feit dat medewerkers de eigen iPad, MacBook of Android telefoon willen
gebruiken en zo toegang tot bedrijfstoepassingen en gegevens krijgen moet op een goede wijze worden
gecoördineerd.
Het zogenoemde ‘consumerization of IT’, waarbij consumenten als eersten de nieuwste technologische
ontwikkelingen omarmen en bedrijven later volgen, geeft Bring Your Own Device een extra stimulans
en biedt bedrijven ook kansen. De nieuwste technologieën worden door medewerkers de organisatie
ingebracht, de werkgever is daarmee eerder in staat trends te signaleren. Je medewerkers als
trendspotters dus. Daarnaast biedt BYOD nog meer voordelen voor zowel bedrijf als werknemer.
Meer tevredenheid, minder complexiteit
Werknemers kunnen een apparaat kiezen dat past bij hun levensstijl en persoonlijke behoeften. Over
het algemeen zijn zij daarom beter te spreken over hun smartphone, laptop of tablet en verdiepen zij
zich beter in de technische mogelijkheden. Ook de mogelijkheid om vanaf elke willekeurige locatie te
werken verhoogd het gebruikersgemak. Last but not least: doordat alles in één apparaat gecombineerd
is wordt het werken met apparaten een stuk minder complex, want er is geen scheiding meer tussen
persoonlijke en zakelijke activiteiten en social media.
Ook interessant voor werkgevers
Maar wat brengt BYOD de werkgever eigenlijk? Ton Temming van Phylax ICT uit Made heeft daar wel
een antwoord op. “Het levert een bedrijf de mogelijkheid zich te profileren als een moderne
organisatie, met een vooruitstrevende houding ten aanzien van werken,” vertelt hij. “Dat maakt je
aantrekkelijker als werkgever en geeft dus een voorsprong bij het werven en in dienst houden van
personeel. Ook is het met een doordacht BYOD-beleid mogelijk om de kloof tussen ‘werkplek’ en

2. ‘thuis’ kleiner te maken of zelfs te dichten. Werk wordt onderbroken door privéactiviteiten, maar dat
heeft geen gevolgen voor de productiviteit omdat de werkdag langer wordt.” Met BYOD is het voor
werkgevers gemakkelijker om ‘op afstand werken’ in te vullen. Ton: “Daardoor kan uiteindelijk zelfs
bespaard worden op kosten voor kantoorruimte. Andere besparingen kunnen behaald worden doordat
werknemers over het algemeen zuiniger zijn op apparaten die zij zelf uitgekozen hebben. Minder
kosten dus door verlies of beschadiging. Ook zijn er mogelijkheden om kosten te verlagen bij
verstrekking van nieuwe apparatuur en door vermindering van eigendom van hardware.”
Een overstap naar BYOD biedt ook andere kansen:
 Gebruik van eigen apparaten leidt tot minder klachten over veroudering, beschadiging en
slechte prestaties.
 Kostenreductie door minder investeringen, lagere onderhoudskosten en door vermijding van
kosten op het gebied van technologische vernieuwingen.
 Minder opleidingskosten omdat gebruikers beter bekend zijn met hun apparaat en eerder
geneigd zijn zichzelf de techniek aan te leren. Ook het verminderen van ondersteuning dwingt
gebruikers hun apparaat te leren kennen.
 Een vermindering van managementbeheer door een afname van activa.
Veel vragen
Bovenstaande klinkt allemaal positief. Maar er zijn talloze vragen die beantwoord moeten worden
voordat BYOD succesvol geïmplementeerd kan worden in een organisatie. Wie is verantwoordelijk voor
ondersteuning van hardware, software en gegevens en wie doet wat als een apparaat niet werkt? Hoe is
de bescherming van bedrijfsgegevens gegarandeerd in geval van corruptie, misbruik of diefstal? Hoe is
handhaving van het beveiligingsbeleid georganiseerd zonder afbreuk te doen aan het gebruiksgemak?
Hoe wordt de compatibiliteit van toepassingen beheerst en gaan we om met sanering en implementatie
met zoveel verschillende apparaten?
Het antwoord op al deze vragen is dat een bedrijf het verlies van controle op het gebied van privacy,
veiligheid en beheer(s)baarheid moet compenseren. Maar hoe dan? Technisch is het goed mogelijk deze
risico's af te dekken. Wat rest is het ontwikkelen van beleid en communicatie naar medewerkers. Ton
Temming heeft hiervoor een stappenplan ontwikkeld waarmee de klanten van Phylax ICT hun BYOD-
beleid vaststellen.
Van niets tot iets: stappenplan ontwikkeling BYOD-beleid
Stap 1 : Creëer betrokkenheid bij de verantwoordelijke partijen
Goed beleid komt tot stand doordat de juiste verantwoordelijken en werknemers erbij betrokken
worden. Zij moeten tot een consensus komen bij het opstellen van regels, die moeten voldoen
aan de eisen van het bedrijf (beveiliging, beheer van human resources, wettelijke aspecten) en
aan die van de gebruikers (op zoek naar flexibiliteit en vrijheid). Bij het ontwikkelen van beleid
dient bovendien onderscheid te worden gemaakt tussen zakelijke apparaten (CYOD) en
apparaten die privé zijn aangeschaft (BYOD). Als het apparaat persoonlijk eigendom is, mag
juridisch gezien het gebruik van privéapplicaties bijvoorbeeld niet verboden worden.
Formuleren van BYOD-beleid vraagt om de betrokkenheid van meerdere partijen binnen de
organisatie:

3. Management - voor goedkeuring van het voorgestelde beleid.
(Externe) ICT partner – ter beoordeling van de (BYOD) apparaten, beheer en (in meer of
mindere mate) ondersteuning.
HRM Afdeling/Personeelszaken - BYOD-beleid gaat samen met tijd- en plaatsonafhankelijk
werken (Het Nieuwe Werken). De HR-afdeling zal hierom bij het ontwerpen van het beleid
moeten worden betrokken.
Afdeling Marketing - omdat de apparaten waarmee de medewerkers ’buiten’ rondlopen ook
bijdragen aan het beeld van een bedrijf.
Stap 2 : Ontwikkel databeleid
Het is van belang de risico’s van een BYOD-beleid in te schatten. Om dat te kunnen moet eerst
een databeleid worden ontwikkeld. Hierin staat welke soorten gegevens binnen de organisatie
aanwezig zijn en of deze wel of niet toegankelijk mogen zijn van buitenaf. Na het vaststellen
van het databeleid kan beschreven worden welke gegevens door een BYOD-apparaat
geraadpleegd, bewerkt en/of opgeslagen mogen worden.
Aanbevelingen
 Gegevens die cruciaal zijn voor de bedrijfsvoering mogen niet toegankelijk zijn of
alleen via extra beveiliging.
 Bedrijfsinformatie mag niet lokaal worden opgeslagen.
 Regelmatige back-ups en/of system recovery zijn noodzakelijk.
 Beschrijf, om risico’s te verkleinen, welke rechten de werkgever heeft om toezicht te
houden op gegevens en activiteiten van medewerkers. Het moet namelijk mogelijk
blijven om systemen vanaf afstand te blokkeren of naar factory default terug te
zetten.
Stap 3 : Stel het veiligheidsbeleid vast
Het veiligheidsaspect is vaak een eerste gedachte die bovenkomt als BYOD ter sprake komt. Maar
mobiele platformen zijn gewoon een uitbreiding van het bedrijfsnetwerk. Het veiligheidsbeleid
van het bedrijfsnetwerk volstaat dus. Wel verdienen apparaatgebonden risicofactoren als
’rooten’ en ’jailbreaken’ aandacht.
Aanbevelingen
 Beveilig alle apparaten met een wachtwoord.
 Voorzie de apparaten van een anti-diefstal applicatie.
 Zorg dat gebruikers aangeboden updates verplicht uitvoeren.
 Downloaden van applicaties mag alleen als zij veilig zijn bevonden.
Stap 4 : Ontwerp richtlijnen voor gebruikers
Bij het formuleren van BYOD-beleid hoort ook een beschrijving van richtlijnen voor de
gebruikers. Deze dienen te passen bij eventueel bestaand beleid met betrekking tot het gebruik
van bedrijfshulpmiddelen en sociale media.
Aanbevelingen
 Maak een overzicht van (functionele eisen aan) toegestane apparatuur en aanvaardbare
applicaties.
 Ontwerp een toestemmingsverklaring om op beheer gerichte software te installeren

4. vanuit het bedrijf en een voor het monitoren en vastleggen van gebruiksgegevens
(inclusief internetgebruik).
 Leg richtlijnen vast over de aanschaf van apparatuur en bijbehorende vergoedingen en
over wat te doen bij verlies, diefstal of beschadiging.
 Maak een overzicht van wat wel en niet door de afdeling ICT/automatisering wordt
ondersteund.
Stap 5 : Zorg voor beheersbaarheid
Aanbevelingen
Formuleer regels om een bepaalde mate van beheersbaarheid te behouden. Beschrijf:
 hoe de controle van de (BYOD) apparaten en applicaties is geregeld;
 hoe medewerkers gecontroleerd worden op het volgen van afgesproken beleid en wat
de sancties zijn bij het niet nakomen van afspraken;
 op welke wijze de apparaten toegang tot het bedrijfsnetwerk krijgen en hoe de
blokkade tot het bedrijfsnetwerk is georganiseerd;
 de beperking op installatie van applicaties die niet zijn toegestaan (‘deurbeleid’) en
hoe de beperking van lokale opslag van gegevens is georganiseerd;
 op welke wijze de controle op licenties en licentiekosten is geregeld.
Stap 6 : Controleer de spelregels
Bij het ontwikkelen van BYOD beleid is het raadzaam een aantal externe instanties te raadplegen
en rekening te houden met:
 de Belastingdienst en de regels voor de werkkostenregeling en vergoedingen voor
medewerkers met betrekking tot het gebruik van smartphones, tablets en computers;
 het College Bescherming Persoonsgegevens en de regels betreffende de opslag van
persoonsgegevens;
 Arbobeleid, met name richtlijnen voor telewerken;
 regels voor het gebruik van Cloud diensten.
Flexibel inspelen op trends
De wereld verandert, medewerkers willen steeds meer zelf bepalen waar, wanneer en waarmee zij hun
werk doen. Iedere organisatie wordt op korte of lange termijn geconfronteerd met de trend dat
medewerkers hun eigen mobiele apparaten meenemen naar de werkvloer. Proberen dit te negeren is
daarom niet verstandig. Beter is het om deze ontwikkeling voor te zijn en een goed doordacht beleid
op te zetten. Phylax ICT ondersteunt bedrijven die flexibel op deze trend willen inspelen bij het
opzetten en implementeren van BYOD-beleid.
* De term BYOD wordt gebruikt als medewerkers hun eigen apparaat meenemen naar het bedrijf. Bij CYOD
kiezen medewerkers zelf een apparaat uit een serie apparaten van de werkgever. Het apparaat blijft dan
eigendom van de werkgever. Het uitgangspunt voor zowel BYOD als CYOD is dat de werknemer een
apparaat (of apparaten) zelf kiest en zowel zakelijk als particulier kan gebruiken. In beide gevallen
houdt de werkgever controle over onder meer het besturingssysteem en de toepassingen die op de
hardware zijn geïnstalleerd.