Bring Your Own Device. Hoe ga ik om met de kans op datalekken?

‍In het kader van het ‘nieuwe werken’ en uit oogpunt van kostenbesparing accepteren of verplichten steeds meer bedrijven en organisaties het gebruik van eigen apparatuur op het bedrijfsnetwerk, oftewel bring your own device (BYOD). Dit is prettig voor werknemers, omdat zij kunnen werken met apparaten waar ze al mee gewend zijn te werken, maar het kan wel extra beheerkosten met zich meebrengen voor bedrijven. Om het gebruik van eigen apparaten in goede banen te leiden, moet het gebruik omkleedt worden met regels en afspraken. Informatiebeveiliging en privacy spelen hierbij een belangrijke rol. In het kader van de Alert Online campagne zetten we enkele tips op een rijtje voor zowel bedrijven en (overheids)organisaties als voor medewerkers.

Tips voor bedrijven en organisaties

Doordat medewerkers hun eigen apparaten voor het werk inzetten, kan er overlap ontstaan tussen bedrijfsdata en privé data. Het monitoren en het handhaven van dergelijke apparaten moet dus goed worden doordacht en vorm krijgen in beleid. Met de op 1 januari 2016 in werking getreden meldplicht datalekken zou dit onderwerp nu nog hoger op je agenda moeten staan. De boetes voor datalekken (en mogelijke reputatieschade) zijn immers veel hoger dan eerst. Je bent er dus niet met het verstrekken van het wifi-wachtwoord om op het bedrijfsnetwerk te kunnen inloggen.

Maak en communiceer je beleid dan ook goed. Houd verder rekening met de volgende zaken:

1. Maak BYOD onderdeel van je informatiebeveiligingsbeleid.
2. Betrek mensen op de werkvloer bij het BYOD-beleid, omdat zij het beste weten wat ze willen gebruiken en hoe.
3. Bedenk welke devices (merk / type) je wilt toelaten op je bedrijfsnetwerk. Is het gebruik van eigen apparatuur verplicht, dan is de vraag of je hier eisen aan kunt stellen. Goed werkgeverschap is ook het ter beschikking stellen van de juiste middelen.
4. Geef duidelijk aan wat je ondersteunt en welke apps en activiteiten je toestaat.
5. Realiseer device management om werk en privé gescheiden te kunnen houden.
6. Maak duidelijke instructies over de verwachtingen omtrent informatiebeveiliging (pincode, wachtwoordwijziging, meldingen van verlies, diefstal enz.). Organiseer regelmatig awareness sessies om deze instructies en andere beveiligingsmaatregelen, zoals remote wiping, te demonstreren.
7. Zorg voor een goed ingericht meldpunt waar medewerkers datalekken kunnen melden en instrueer werknemers hoe ze dit moeten doen.
8. Evalueer de instructie regelmatig, waarbij rekening moet worden gehouden met veranderingen in de organisatie en in technologische mogelijkheden.

Voor de medewerker

Als BYOD onderdeel is van de werkafspraken moet je je als werknemer ook houden aan de regels die daarvoor worden opgesteld. Uit het oogpunt van goed werknemerschap is het dus belangrijk de BYOD-regels te kennen. Zo kunnen er regels zijn met betrekking tot welke content verboden is op het BYOD apparaat.

Het melden van een datalek is bijvoorbeeld ook een plicht. Doordat je privégegevens voor jou van grote waarde zijn, is de reflex al gauw om datalekken niet of later te melden, zodat je eerst je privégegevens veilig kunt stellen. Veel mensen denken namelijk dat door remote wiping automatisch ook alle privébestanden zoals foto’s, filmpjes en audiobestanden worden gewist. Als je werkgever echter gebruik maakt van mobile device management worden werk en privé gescheiden gehouden. Dit voorkomt dat privégegevens ook worden gewist wanneer remote wiping wordt ingezet.

Een andere reden om niet te melden is om een collega of leverancier niet in een kwaad daglicht te willen stellen. De datalekkenregeling is echter niet bedoeld om mensen aan de (virtuele) schandpaal te nagelen en te straffen, maar om de gegevens van anderen, zoals klanten, te beschermen. Tip: meld op tijd!