2
Jun
2015

Juridische aspecten van Entreprise Mobility Management

Volgens Wikipedia is Enterprise Mobility Management (hierna: EMM) de verzameling van mensen, processen en technologie gericht op het beheer van de toenemende reeks van mobiele apparaten, draadloze netwerken en aanverwante diensten, die een breed gebruik van mobile computing in een zakelijke context mogelijk te maken.

Steeds vaker gebruiken werknemers devices als smartphones en tablets voor hun werk, wat natuurlijk allerlei juridische consequenties oplevert. Hoe ga je bijvoorbeeld om met privacy, informatiebeveiliging, bewaarplichten, “de cloud”, licentiebeheer, Bring your own device (BYOD), social media, etc. In dit artikel, welke op verzoek van ICT informatiecentrum is geschreven, zullen in vogelvlucht een aantal aspecten worden besproken.

BYOD, privacy, informatiebeveiliging

In het geval van BYOD wordt er privéapparatuur gebruikt voor werkaangelegenheden. Zakelijke e-mails worden gelezen en beantwoord. Andersom worden de apparaten ook voor privédoeleinden gebruikt onder werktijd. Voor de werkgever kan BYOD nogal wat risico’s met zich brengen. Het privégebruik onder werktijd kan excessief worden. Verder kan schadelijke software als trojans en virussen via het privéapparaat op het kantoornetwerk terechtkomen. Zakelijke (vertrouwelijke) documenten komen in een (onveilige) privéomgeving terecht. Op het privé-apparaat kan illegaal gebruikte software staan. Dit moeten voor de werkgever redenen zijn om het gebruik van BYOD te gaan reguleren.

Dat reguleren doe je door een reglement op te stellen. Hierin worden zaken geregeld als het soort apparaten dat BYOD mag worden gebruikt (bijvoorbeeld alleen smartphones). Ook kan je BYOD alleen toestaan als het apparaat voldoende beveiligd is (bijvoorbeeld: laptops moeten voorzien zijn van een virusscanner en een firewall). Ook kan worden afgesproken dat zakelijke bestanden alleen mogen worden gebruikt op een privé-apparaat, als deze versleuteld worden opgeslagen.

Er kunnen in het reglement grenzen worden gesteld aan privégebruik. Ook kan goed worden gespecificeerd welke handelingen verboden zijn, als er met het privé-apparaat is ingelogd op het kantoornetwerk. Denk bijvoorbeeld aan het downloaden van films of muziek of online gokken. Ook kan het gebruik van illegale software worden verboden.

Hoe zie je als werkgever toe op de naleving van het reglement? Het is voor de werkgever in beginsel niet mogelijk om de privé-apparaten te scannen. Het privacybelang van de werknemer gaat voor. Wanneer er redelijkerwijs wangedrag wordt vermoed, kan de werkgever privé-apparaten doorzoeken. Daarbij moet wel van te voren zijn aangegeven hoe dat wordt gedaan en wat er met de verzamelde informatie gebeurt.

Hoe pas je als werkgever het reglement goed toe? Zorg ervoor dat je je werknemers via een schriftelijk memo op de hoogte brengt. Als er een ondernemingsraad actief is binnen je organisatie, kan het noodzakelijk zijn als het reglement daardoor wordt goedgekeurd. Dat is vooral het geval als de regels afbreuk doen aan de privacy van de werknemer.

Cloud, licentiebeheer

Wat ook erg van belang is, waar wordt de data opgeslagen, die wordt verwerkt met je mobiele apparaat. Je hebt tegenwoordig voor allerlei soorten data allerlei verschillende apps, zoals mail, bestandbeheer, agenda, etc. Overal wordt data in de cloud opgeslagen, waarvan je zeker moet weten, dat die data te allen tijde beschikbaar. Bedrijven die deze apps laten gebruiken door werknemers om hun werk te doen, zijn vaak ook gebonden aan wettelijke bewaarplichten, zodat de gebruikers niet alleen verantwoordelijk zijn voor het beschikbaar houden van data, maar ook het toegankelijk houden van diezelfde data. Daar zal je bij het gebruik van apps op mobiele apparatuur dus rekening mee dienen te houden.

Procedures, gedragsreglementen

Voor elke organisatie is het dus van belang, om al deze zaken nader te inventariseren. De risico’s zijn voor elke organisatie anders. Ook de juridische consequenties van Enterprise Mobility Management zullen voor elk bedrijf anders uitpakken. Het is van belang om bedrijf- dan wel branche specifieke procedures en gedragsreglementen op te stellen, die worden geaccordeerd door zowel de werkgever als de werknemers en uiteraard daadwerkelijk wordt toegepast en gehandhaafd.