BYOD
Werkgevers worden geconfronteerd met een toenemende aanwezigheid van smartphones en tablets op de werkplek. Dat stelt hen voortdurend voor nieuwe managementuitdagingen. Als de werkgever deze apparaten zelf beschikbaar stelt aan werknemers, wordt dit Mobile Device Management (MDM) genoemd. De werkgever krijgt echter steeds vaker verzoeken van medewerkers om hun eigen smartphone of tablet op de werkplek te mogen gebruiken. In dit geval heet het BYOD (Bring Your Own Device).
Het gebruik van mobiele apparaten heeft vele voordelen (al was het maar om het verslag van de vergadering ter plaatse te schrijven of het internet te raadplegen). Het heeft echter ook nadelen. Het gebruik van mobiele apparaten brengt specifieke risico's met zich mee voor de informatiebeveiliging en de privacy door hun belangrijkste troef, namelijk hun draagbaarheid.
Informatie over het bedrijf en persoonsgegevens over werknemers kan worden verspreid na een de diefstal van mobiele apparaten of via het onderscheppen van gegevens bij het gebruik van openbare wifitoegangspunten. Deze apparaten kunnen ook, bewust of onbewust, worden gebruikt om kwaadaardige software (malware) in het bedrijfsnetwerk te introduceren.
Ten slotte vereist het feit dat deze apparaten zich over het algemeen dicht bij de eigenaar bevinden en dat ze vaak 24 uur per dag actief zijn, bijzondere aandacht voor het beschermingsniveau van de persoonsgegevens van de gebruiker en, meer specifiek, voor de geolocatie van de werknemers.
Het gebruik van de eigen apparaten door werknemers, zowel voor privé- als voor professioneel gebruik, maakt de kwestie van het toezicht op de apparaten door de werkgever en de gegevens die ze bevatten complex. Sinds de inwerkingtreding van de AVG is de werkgever verplicht de veiligheid van de persoonsgegevens van zijn bedrijf te waarborgen, ook wanneer deze zijn opgeslagen op terminals waarover hij geen fysieke of juridische controle heeft.
In dit geval is de uitoefening van het evenwicht tussen de verdediging van het rechtmatig belang van de werkgever om controle uit te oefenen en het behoud van de fundamentele rechten en vrijheden met betrekking tot de bescherming van de privacy van de werknemer niet altijd eenvoudig.
Enerzijds heeft de werkgever het recht controle uit te oefenen op de bedrijfsgegevens op de BYOD-apparaten. Deze controle is noodzakelijk om de veiligheid en vertrouwelijkheid van deze bedrijfsgegevens (bv. klantenbestanden) te waarborgen.
In de BYOD-situatie moet de werkgever maatregelen treffen om de bedrijfsgegevens te beschermen (en de persoonsgegevens van zijn klanten) op het BYOD-apparaat, die door de werknemer voor professionele doeleinden worden gebruikt en verwerkt.
Deze controlemogelijkheid voor de werkgever houdt in dat de werknemer de professionele gegevens op zijn BYOD-apparaat niet te kwader trouw mag achterhouden of aan de raadpleging door de werkgever mag onttrekken. De werkgever moet de gegevens en apparaten kunnen controleren op mogelijk misbruik, ook al zijn de gegevens in een BYOD-apparaat ten minste gedeeltelijk ook van persoonlijke aard, gezien het apparaat eigendom is van de werknemer en dus per definitie ook bedoeld is voor privégebruik door de betrokken werknemer en/of door derden (bv. zijn gezinsleden).
Anderzijds heeft de werknemer ook recht op privacy. Gezien een BYOD-apparaat per definitie zowel professionele als persoonlijke doeleinden dient, doet zich ook een probleem voor op het vlak van de privacy. Het gezag van de werkgever volstaat niet om alle informatie op BYOD-apparaten zonder meer te controleren. Er moeten specifieke maatregelen worden getroffen om de persoonsgegevens te beschermen door deze te isoleren van de zakelijke gegevens.