21
aug

Werken op eigen apparatuur zet door

19 augustus 2011door: Richard Sitters en Urs Keller
Bedrijven laten medewerkers steeds vaker op eigen apparatuur werken. Dat mes snijdt aan twee kanten: tevreden gebruikers en minder kosten. Beleids­makers, zeggen Richard Sitters en Urs Keller, gaan al snel overstag. Maar wat zijn de gevolgen voor de beveiliging van informatie? En bij welke vragen schiet de helpdesk te hulp en bij welke niet?

De trend dat medewerkers hun eigen [[smartphone]]s, notebooks en tablets ook voor zakelijke toepassingen gaan gebruiken (‘bring your own device’, BYOD) is niet te stoppen. Organisaties kunnen hiervan profiteren, een medewerker zal immers zijn werk het beste kunnen doen wanneer hij precies dat apparaat gebruikt dat het beste bij hem past. Organisaties moeten echter wel het een en ander regelen om het gebruik van privéapparatuur te ondersteunen.

De doelstellingen van de ondersteuning van privéapparatuur zijn onder andere ‘een hogere gebruikerstevredenheid’ en ‘kostenreductie’. Het is prettig voor een medewerker dat hij zijn eigen apparaat mag kiezen. En omdat hij het apparaat zelf onderhoudt, wordt het dus goedkoper voor de eigen organisatie (beheer). Dat is althans de gedachte. Beleidsmakers en directie zijn al snel overstag. Maar er zijn ook wel wat randvoorwaarden die men niet meteen noemt. De meest genoemde randvoorwaarde is dat de beveiliging van informatie moet zijn gewaarborgd.

Het is daarom van belang om samen met alle belanghebbenden (waaronder IT-beheer, informatie- of demandmanagement, directie en beleidsmakers, maar ook stafafdelingen zoals hrm) het beleid vast te stellen. Het is goed om op voorhand te brainstormen over de doelstelling, de randvoorwaarden en de risico’s van het gebruik van privéapparatuur. Dit vormt de basis voor het beleid, en daarmee de te nemen maatregelen die nodig zijn voor een goede implementatie. Door alle belanghebbenden in een vroeg stadium te betrekken ontstaat bewustwording, wordt het draagvlak voor het beleid gewaarborgd en wordt de kans op onverwachte kosten verminderd.

Ondersteuning
Bij het toestaan van het gebruik van privéapparatuur moet vooraf goed bedacht worden tot hoever de ondersteuning van de servicedesk gaat. Met andere woorden: bij welke vragen worden de gebruikers nog geholpen, en bij welke niet? Wanneer dit serviceniveau is bepaald, is het vervolgens zaak om hierover helder te communiceren met de gebruikers.

Onderdeel van een minimumserviceniveau is het ondersteunen van de toegang en synchronisatie van ‘mail’ en ‘agenda’ vanaf de verschillende platformen. Vanwege de grote diversiteit aan applicaties is terughoudendheid geboden bij de ondersteuning van de ‘clientkant’: het is arbeidsintensief om inzicht te hebben in allerlei mailapplicaties op de diverse platformen.

Naast mail en agenda ligt het voor de hand om de ondersteuning te beperken tot bedrijfsapplicaties. Voor de overige applicaties op de apparaten zal de gebruiker zelf de antwoorden op zijn vragen moeten vinden.

De verantwoordelijkheid voor afhandeling van defecten aan de hardware ligt primair bij de gebruiker. Hierbij is het wel aan te bevelen om een aantal standaardapparaten als reserve op voorraad te hebben. De kans bestaat immers dat een medewerker voor zijn werkzaamheden dermate afhankelijk is geworden van zijn privéapparaat dat hij in geval van een defect zijn werk niet meer goed kan doen. De werknemer kan dan tijdelijk een standaardapparaat in bruikleen krijgen.

Beveiliging
Voor apparatuur die vanuit de organisatie ter beschikking wordt gesteld, kan nog een zekere mate van standaardisatie en gecentraliseerd beheer worden afgedwongen (mobile-devicemanagement). Voor privéapparatuur is dit door de grote diversiteit aan modellen nauwelijks meer haalbaar. Dit vormt een risico op het gebied van informatiebeveiliging, met name op het gebied van de vertrouwelijkheid van informatie. Hierbij komt nog dat privéapparatuur doorgaans ontworpen is voor maximaal gebruiksgemak en niet voor beveiligde opslag van gegevens of beveiligde communicatie.

Om de informatiebeveiliging te borgen zijn technische maatregelen mogelijk. Minstens zo belangrijk zijn echter de organisatorische maatregelen. Hierbij geldt dat een risicoanalyse op de informatie als uitgangspunt moet dienen: hoe erg is het als bepaalde informatie op straat komt te liggen? Dit bepaalt welke informatie überhaupt beschikbaar mag komen op welke apparaten, en welke technische beveiligingsmaatregelen daarvoor getroffen moeten worden.

Daarnaast moeten gebruikers zich ervan bewust zijn dat er mogelijk vertrouwelijke informatie op hun privéapparaat staat. Wanneer een gebruiker ‘onvoorzichtig’ omgaat met privéapparatuur, dan kan dat er nog steeds toe leiden dat informatie ongewenst op straat komt te liggen. Hier helpen zelfs de beste technische maatregelen niet tegen.

Ook moet het voor gebruikers duidelijk zijn wat zij moeten doen als zij hun privéapparaat verliezen of als het wordt gestolen. Ze moeten weten wie ze moeten bellen om de simkaart en hun account te laten blokkeren.

Vergoeding
Bij gebruik van een privéapparaat is in principe geen sprake van een vergoeding voor de medewerker: het idee van ‘bring your own device’ is juist dat de medewerker het apparaat gebruikt dat hij zelf heeft aangeschaft en waarvoor hij zelf al eventueel een data-abonnement heeft geregeld.

De zaak verandert wanneer een organisatie het beleid heeft om een (standaard)apparaat aan medewerkers ter beschikking te stellen die daar vanuit hun functie voor in aanmerking komen. In dat geval is het mogelijk in ieder geval de abonnementskosten (spraak en data) te vergoeden door het beschikbaar stellen van een simkaart met bijbehorend abonnement. Het is aan te bevelen om een limiet te bepalen tot waar de gebruikskosten worden vergoed: de kosten boven de limiet moet de medewerker zelf betalen.

Een andere aanpak kan zijn om als organisatie een vergoeding aan de medewerker ter beschikking te stellen om zelf een apparaat naar keuze aan te schaffen. Hier komt echter de nieuwe werkkostenregeling van de belastingdienst in beeld. Deze regeling is ingegaan op 1 januari 2011 en moet uiterlijk op 1 januari 2014 zijn ingevoerd. Deze regeling bepaalt dat computers en telefoons onder bepaalde voorwaarden wel belastingvrij mogen worden verstrekt, maar niet belastingvrij mogen worden vergoed. Er geldt wel een ‘vrije ruimte’ voor belastingvrije vergoeding, maar die is al snel vol met andere vergoedingen.

Als tussenweg is het mogelijk dat de medewerker zelf het apparaat kiest, maar dat de organisatie het apparaat koopt en aan de medewerker verstrekt. Deze constructie is echter strijdig met het uitgangspunt dat juist de medewerker zijn eigen toestel aanschaft en gebruikt, en daar dus ook de eigenaar van is.

Verschenen in Automatisering Gids nr. 33, 2011

Richard Sitters en Urs Keller zijn beiden als managementconsultant werkzaam bij het onafhankelijke adviesbureau M&I/Partners te Amersfoort.

Comments ( 0 )

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *