BYOD vaak forse juridische uitdaging voor het mkb

Bring Your Own Device (BOYD), het zakelijk werken op privé-devices zoals smartphones, komt sinds het massale thuiswerken steeds vaker voor. Vaak vergeten ondernemers echter dat BYOD juridische consequenties kan hebben. Zeker voor MKB-bedrijven gaat BYOD gepaard met uitdagingen.

In tegenstelling tot grote ondernemingen zijn veel mkb-ondernemers aarzelend bij het verstrekken van een mobiele telefoon van de zaak. Het zorgt immers voor extra kosten, het toestel kan kwijtraken of beschadigen, privégebruik is nauwelijks uit te sluiten én meestal beschikt de werknemer al over een eigen device.

Zolang medewerkers vooral op kantoor werken is het verstrekken van een mobieltje van de zaak vaak niet nodig. Nu thuis- en hybridewerken vaker voorkomen is het onvermijdelijk dat werknemers privé-devices ‘voor de zaak’ inzetten.

Daarnaast hebben potentiële medewerkers in een krappe arbeidsmarkt ruimte om wensen te formuleren. Zo werken veel werknemers graag op de privé-devices waar ze aan gewend zijn voor toegang tot bedrijfstoepassingen en -informatie. Jongeren die op de arbeidsmarkt komen maken minder verschil tussen zakelijk- en privégebruik van device(s), terwijl hun (aanstaande) leidinggevenden dit onderscheid vaak nog wel maken.

Juridische consequenties van Bring Your Own Device

Voor werkgevers ontstaan er nieuwe zorgen bij BYOD. En juridische problemen. Zeker bij het MKB, dat vaak niet over eigen juristen beschikt. Wie is verantwoordelijk (en dus aansprakelijk) bij hacks, virussen en andere problemen? Mag de werkgever het ICT-beleid onverkort handhaven op privéapparaten? Hoe staat het met de privacy van de medewerkers, ontstaan er problemen met de handhaving van AVG-regelgeving?

BYOD lastig te verenigen met AVG

Laten we met dat laatstgenoemde aspect beginnen. De AVG, Algemene Verordening Gegevensbescherming, is de Nederlandstalige benaming van een Europese wet die ervoor zorgt dat recht op privacy gehandhaafd wordt. Dat wil voor telefonie zeggen dat zowel het 06-nummer van de werknemer, als de gegevens van diens toestel niet zomaar openbaar gemaakt mogen worden. En dat is ook wat de Nederlandse wet voor BYOD voorschrijft.

Werknemers hebben recht op privacy op de werkplek

Medewerkers moeten daar hun uitdrukkelijke toestemming voor geven. Dat geldt ook voor hun persoonlijke data op de mobiele toestellen. Het is eigenlijk een verdere invulling van wat we al veel langer kennen als het briefgeheim. Samengevat: BYOD en gegevensbescherming werken eigenlijk maar in één richting en die is in het voordeel van je werknemers.

Naast zorgen om de privacy van de werknemers, speelt bij AVG natuurlijk de bescherming van klantdata. Het voorkomen van datalekken bij de inzet van Bring Your Own Devices is niet eenvoudig te realiseren.

De medewerker zal ermee akkoord moeten gaan dat specifieke software op zijn toestel wordt geplaatst, namelijk MDM (mobile device management) software die onder andere de zakelijke gegevens van de privé-data scheidt op het toestel.

Bring Your Own Device en software licenties

Niet alleen de privacyregelgeving kan roet in het eten gooien. De Nederlandse rechtspraak heeft eerder al aangegeven dat een werkgever aansprakelijk kan zijn voor de door de werknemer geïnstalleerde illegale software, zelfs wanneer het gaat om privé-apparatuur. BYOD betekent weliswaar niet ‘Bring Your Own Software’, maar de toetsing en naleving is lastig te organiseren op een privé-toestel.

Werknemers hebben recht op privacy op de werkplek, ook bij het gebruik van eigen apparatuur. Pas bij een redelijk vermoeden van wangedrag mag de werkgever gaan observeren of registreren wat werknemers met die devices doen. Dit moet dan ook nog eens vooraf in een duidelijk ICT-reglement zijn vastgelegd. Dit is lastig te verenigen met het vaak vertrouwelijke karakter van zakelijke documenten en de steeds strikter wordende privacyregelgeving. Zowel technische maatregelen als goede afspraken zijn nodig om BYOD juridisch in te richten.

Vijf overwegingen bij het toestaan van BYOD:

• Als medewerkers hun eigen toestellen ook zakelijk (moeten) gebruiken dan moet de werkgever een BYOD-overeenkomst opstellen. Hierin staan de rechten en plichten van zowel werkgever als werknemer vermeld.
• Leg in de overeenkomst officieel vast dat een medewerker zijn toestel (ook) zakelijk gebruikt. En daarvoor de noodzakelijke apps installeert. Volgens de Nederlandse wet voor BOYD, is de werknemer hier niet toe verplicht.
• Het installeren van Mobile Device Management is bijna onontkoombaar, om privé en zakelijke gegevens te scheiden. Maak dit meteen duidelijk als BYOD ter sprake komt. Of als iemand zonder overeenkomst zakelijk (b)lijkt te werken op een privé-toestel.
• Als er bij BYOD-problemen met het toestel zijn is het niet altijd duidelijk of de oplossing hiervoor bij de werkgever of de eigenaar, de werknemer dus, ligt. Denk hierbij bijvoorbeeld aan reparaties. Maak hier afspraken over.
• Leg ook vast dat de eigenaar van het toestel (de werknemer) alle noodzakelijke systeem- en software-updates doorvoert.
• Wees je ervan bewust dat het opleggen van een toesteltype of OS niet eenvoudig is. Kan de interne ICT-afdeling een veelvoud aan devices van verschillende fabrikanten aan?

Wel of geen BYOD?

Bring Your Own Device is in het mkb een relatief nieuw fenomeen. Het sluit niet altijd aan bij de wettelijke regels voor werknemers. En ook niet bij de wetgeving op het gebied van datalekken. Om hierin meer zekerheid en duidelijkheid te introduceren, is het zeer verstandig eigen beleid te formuleren. Bepaald kan worden wat voor soort apparaten mogen worden gebruikt en waarvoor. Ook kan de werkgever eisen aan de beveiliging stellen.

Verdergaande maatregelen, zoals het mogen meekijken of zelfs wissen van data op de privéapparaten, zijn moeilijker in te richten, aangezien die raken aan de privacy van de werknemer. En die weegt zwaar. Het gebruik van mobile device management (MDM) kan een oplossing zijn om BYOD te laten slagen zonder al te grote uitdagingen.