BYOD

De werkgever wordt geconfronteerd met een steeds grotere aanwezigheid van smartphones en draagbare tablets op de werkvloer. Dit stelt de werkgever voor nieuwe uitdagingen rond het beheer van zijn ICT-park. Wanneer de werkgever deze mobiele apparaten zelf ter beschikking van personeelsleden stelt, spreekt men van Mobile Device Management (MDM). Echter, steeds vaker wordt de werkgever geconfronteerd met vragen van personeelsleden om hun eigen smartphone, tablet of PC tablet te mogen gebruiken op hun werkvloer. In dit geval spreekt men van BYOD (bring your own device).

Het gebruik van mobiele toestellen in een professionele context

Het gebruik van mobiele apparaten heeft heel wat voordelen (denk maar aan het ter plaatse typen van een vergaderverslag of gebruik maken van internet). Maar met voordelen gaan ook nadelen gepaard. Het gebruik van mobiele apparaten veroorzaakt ook specifieke informatieveiligheids- en privacyrisico’s. ingevolge hun belangrijkste troef: hun draagbaar karakter. Bedrijfsinformatie en persoonlijke informatie over werknemers kunnen verspreid worden door diefstal van mobiele apparaten of via interceptie van gegevens bij gebruik van openbare WIFI-hotspots. Verder kunnen deze toestellen eveneens, al dan niet bewust, gebruikt worden om malware binnen te loodsen in het netwerk van de onderneming. Het feit tenslotte dat deze toestellen zich in het algemeen in de nabijheid van hun titularis bevinden en meestal 24u/24u actief zijn, vereist een bijzondere aandacht op het gebied van bescherming van persoonsgegevens van de gebruiker en meer in het bijzonder voor de geolokalisatie van de werknemers.

BYOD

Het gebruik van de eigen toestellen door werknemers zowel voor persoonlijk– als beroepsmatig gebruik, maakt de kwestie van werkgeverstoezicht op het toestel en de gegevens erop complex. De evenwichtsoefening tussen de behartiging van het gerechtvaardigde belang van de werkgever tot controle en de fundamentele rechten en vrijheden in verband met privacy van de werknemer is in deze situatie niet altijd eenvoudig.

Enerzijds heeft de werkgever het recht om controle op de bedrijfsgegevens die op BYOD-toestellen staan uit te voeren. Deze controle is nodig om de beveiliging en vertrouwelijkheid van die bedrijfsgegevens (bv. klantenbestanden) te garanderen. Voor zover de informatie op het toestel verband houdt met de professionele activiteiten en opdrachten van de werknemer, moet er voor de werkgever een mogelijkheid zijn tot kennisname van en controle op deze informatie.

In de BYOD-situatie moet de werkgever maatregelen nemen zodat de bescherming van de bedrijfsgegevens (en de persoonsgegevens van de klanten van de werkgever) op het BYOD-toestel die door de werknemer voor professionele doeleinden worden gebruikt en verwerkt, gewaarborgd is.

Hier kan verwezen worden naar CAO nr. 81 die de bescherming van de economische, handels- en financiële belangen van de onderneming die vertrouwelijk zijn alsook het tegengaan van ermee in strijd zijnde praktijken (zoals verspreiding van bestanden en van zakengeheimen en andere vertrouwelijke gegevens) als een legitiem controledoeleinde beschouwt. Deze mogelijkheid tot controle voor de werkgever houdt in dat de werknemer de professionele gegevens op zijn BYOD-toestel niet te kwader trouw onder zich mag houden of mag onttrekken aan inzage door de werkgever. De werkgever moet die gegevens en toestellen kunnen controleren op mogelijke malafide praktijken, ook al hebben de gegevens op een BYOD-toestel minstens gedeeltelijk ook een persoonlijk karakter, aangezien het toestel eigendom is van de werknemer zelf en dus per definitie ook bestemd is voor persoonlijk gebruik door hemzelf en/of andere derden (bv. zijn gezinsleden).

Anderzijds heeft de werknemer ook recht op bescherming van zijn persoonlijke levenssfeer. Aangezien een BYOD-toestel per definitie zowel professionele als persoonlijke doeleinden dient is er ook een privacyprobleem: de werkgever is op basis van zijn patronaal gezag, niet zomaar gerechtigd om de informatie op BYOD-toestellen in haar totaliteit te controleren: er moeten specifieke maatregelen worden genomen om persoonlijke informatie af te schermen van de professionele informatie. De werkgever zal ook rekening moeten houden met de basisprincipes van de Privacywet.

Deze maatregelen tot scheiding van de persoonlijke en professionele informatie, laten de werkgever ook toe om zonder privacyprobleem de professionele gegevens op het toestel in geval van verlies of diefstal van op afstand te kunnen wissen.