Press Release

Zaterdag 10 November 2012

BYOD en data verlies– wat u moet weten

The Data Experts
10 september 2012

Medewerkers zien vaak alleen het gemak en de voordelen van het gebruik van hun persoonlijke devices in de werkomgeving, zoals laptops, smartphones en tablets. Ze onderschatten de mogelijke consequenties. Het kan zo snel gebeuren, even een moment van onoplettendheid tijdens een zakenreis en je telefoon is gestolen. Vervelend, op z’n zachtst gezegd, maar dat wordt het helemaal als die telefoon ook werd gebruikt voor werk. Wie betaalt de schade? En hoe zit dat met de opgeslagen data – de RFP die net af was, informatie over prospects die u verzamelt had en uw adresboek. Al deze informatie bent u kwijt en staat waarschijnlijk niet op een andere plaats opgeslagen. Naast het verlies van bedrijfsdata is er het verlies van persoonlijke informatie zoals foto’s en telefoonnummers, die het voorval helemaal zuur maken.

Bedrijven en medewerkers worden steeds vaker met soortgelijke situaties geconfronteerd, omdat IT-afdelingen in toenemende mate de BYOD(Bring your own device)-trend  ondersteunen. Het idee is zowel populair onder werknemers als onder het management, zeker in bedrijven waar computing resources en budgetten beperkt zijn. Medewerkers weten hoe hun persoonlijke devices werken en kunnen eenvoudiger de balans vinden tussen werk en privé. Daarnaast kan een organisatie geld besparen op hardware en zich voornamelijk toeleggen op beleid. Naast die voordelen, vergeten bedrijven en hun personeel vaak belangrijke overwegingen. Wat gebeurt er als het toestel wordt gestolen, verloren of beschadigd raakt? Kan het verloren apparaat op afstand worden gewist? Hoe wordt de data gebackupt? Veel medewerkers zijn zich niet bewust van de enorme verantwoordelijkheid die zij op hun hals halen als ze hun prive-apparaten gebruiken voor zakelijk gebruik. Noch realiseren zij zich dat hun privacy in het geding is.

BYOD checklist
Voordat privé-apparatuur in gebruik wordt genomen in de zakelijke omgeving moeten de gebruiker en de IT-afdeling een aantal zaken met elkaar afspreken.

  • Verantwoordelijkheid voor back-ups: Zodra bedrijfsdata op persoonlijke devices wordt gebruikt, krijgt de gebruiker te maken met bepaalde wet- en regelgeving. Wiens verantwoordelijkheid is het om back-ups te maken van de data? Doet de gebruiker dat zelf of is dat iets voor de IT-afdeling? En welke tools moeten er worden gebruikt voor die back-up? Wie zorgt er voor de beschikbaarheid van die tools en wie bewaakt de wet- en regelgeving?
  • Dataverlies: Mobiele apparatuur is verre van robuust en het geheugen raakt eenvoudig beschadigd. Als er geen back-up is gemaakt en de data is belangrijk, kan een expert wellicht uitkomst bieden. Wat veel mensen zich niet realiseren is dat het tijdens een recovery proces niet mogelijk is om onderscheid te maken tussen bedrijfs- en persoonlijke data. Vaak kunnen bestandsnamen niet worden gelezen na het herstellen, dus moeten alle files apart worden geopend zodat kan worden bekeken of het gaat om persoonlijke of bedrijfsdata. Privacy kan in zo’n geval niet worden gewaarborgd.
  • Toestelverlies: Twee belangrijke kwesties steken de kop op in het geval van verlies van een toestel. Ten eerste de vraag wie het apparaat gaat vervangen en ten tweede de verplichting om de werkgever te laten weten dat het toestel zoek is geraakt. Zijn er regels die zeggen hoe snel een organisatie op de hoogte moet worden gesteld van het verlies van een telefoon of tablet? Neemt het bedrijf snelle acties, zoals het op afstand blokkeren van de toegang tot het device of zelfs het op afstand wissen van het apparaat?
  • Op afstand wissen: Sommige organisaties laten hun medewerkers een programmaatje op hun persoonlijke device installeren waarmee data op afstand kan worden gewist in het geval van verlies of diefstal. Wordt dat programma niet geïnstalleerd, dan mag de gebruiker het device niet zakelijk gebruiken. Ook hier geldt weer dat veel mensen zich niet realiseren dat het verwijderen van de data niet specifiek is gericht op de zakelijke data. Er kan geen onderscheid worden gemaakt, dus ook alle persoonlijke data zal worden gewist. Met andere woorden, als een gebruiker niet zorgt voor een regelmatige back-up van zijn foto’s, adressenlijst en andere persoonlijke data, loopt hij het risico alles te verliezen.
  • Uitdiensttreding: Veel medewerkers verlaten op enig moment het bedrijf. Wat gebeurt er op dat moment met de bedrijfsdata die op een persoonlijk apparaat staat? Wie controleert of de data gewist is? En wordt ervoor gezorgd dat er tijdens dat proces geen persoonlijke data verloren gaat?
  • Gemak of privacy: Het is uiteraard makkelijk om slechts een toestel te hebben voor zowel privé als zakelijk gebruik. Er is maar één wachtwoord nodig, één kabel om het toestel op te laden, etc. Toch blijft het onmogelijk om de verschillende soorten data te onderscheiden, dus bedrijven bewaren vaak ook persoonlijke data van hun medewerkers, afhankelijk van backup en logging procedures. BYOD betekent vaak dat gebruikers concessies doen aan hun privacy. Alleen gebruikers zelf kunnen beslissen of het gemak het risico waard is.

Een taak voor iedereen
IT-ondersteuning is een ander onderdeel dat kritisch onder de loep moet worden genomen voordat BYOD wordt ingevoerd. Als gebruikers problemen ondervinden met de toegang tot bepaalde programma’s of data, gaan ze vaak met hun persoonlijke apparaten naar de IT-afdeling voor ondersteuning. Dat betekent dat de IT-medewerkers zich plots geconfronteerd zien met een diversiteit aan devices en softwareversies waar ze zich voorheen niet expliciet in hoefden te verdiepen. Dat betekent meer werk voor de IT-afdeling. Alleen al daarom is het raadzaam om slechts een bepaald aantal devices goed te keuren voor BYOD-gebruik. Onderhoud en ondersteuning moeten ook exact worden gedefinieerd, hoewel medewerkers vaak voorzichtiger zijn met hun eigen spullen dan met devices van het bedrijf.
Hoe kleiner het bedrijf en hoe recenter de invoering van BYOD, hoe aannemelijker is het is zich kwesties voordoen waarover van tevoren geen duidelijke richtlijnen zijn vastgesteld. In dat geval moet iedereen die ermee te maken heeft – management, IT en medewerkers – samenwerken om tot de best mogelijke procedures te komen. HRM en juridische afdelingen moeten in een zo vroeg mogelijk stadium voor de invoering van BYOD worden ingeschakeld om alle overwegingen zoveel mogelijk te ondervangen en te zorgen voor heldere en vastgelegde beleidslijnen en verantwoordelijkheden. Medewerkers moeten op de hoogte zijn van dit beleid voordat ze ermee akkoord gaan en de directie moet voorzien in regelmatige training over dit onderwerp zodat werknemers voldoen aan het beleid en niet voor verrassingen kunnen komen te staan.
Geen enkele werknemer of directie moet zich laten verleiden door BYOD zonder vooraf stil te staan bij de voordelen en de risico’s. Als besloten wordt om BYOD toch in te voeren, is het van belang dat er duidelijke richtlijnen zijn gemaakt. Daardoor kunnen kosten worden bespaard en kan worden tegemoet gekomen aan de wensen van medewerkers, waardoor uiteindelijk de tevredenheid van het gehele bedrijf stijgt.