Opkomst van BYOD en CYOD

De opkomst van BYOD en CYOD doet veel stof opwaaien. Uit onderzoek is gebleken dat een meerderheid van de werkgevers grote bedenkingen heeft bij het meebrengen van eigen apparaten door werknemers. Immers, wie garandeert dat de laptop, tablet of smart phone van de werknemer geen virussen bevat die het netwerk kunnen infecteren? En hoe kan de werkgever zeker zijn dat de vertrouwelijke gegevens die de werknemer op zijn werk via zijn eigen laptop, tablet of smart phone invoert, voldoende beveiligd zijn? En wie is aansprakelijk als het mis blijkt te gaan en een derde schade lijdt?

Duidelijke afspraken

In de praktijk is het van groot belang dat duidelijke afspraken gemaakt worden met de werknemer. Indien een werknemer gevoelige gegevens verwerkt, zal de werkgever beveiligingsverplichtingen aan de werknemer op moeten leggen. Onderdeel hiervan is de verplichting altijd alle updates direct te installeren. Ook moet worden afgesproken welke software en apps gebruikt mogen worden en moet worden afgesproken dat gevoelige gegevens niet in een publieke cloud worden opgeslagen. Voor bijzonder gevoelige gegevens (zoals bijvoorbeeld medische gegevens) kan zelfs worden afgesproken dat deze alleen versleuteld mogen worden opgeslagen.

Remote wipe

In geval van diefstal of verlies van een apparaat met gevoelige gegevens, zal de werknemer direct melding moeten doen aan de werkgever. Deze kan de werknemer preventief verplichten de optie van ‘remote wipe’ aan te zetten, waarmee het mogelijk is op afstand alle gegevens van het mobiele apparaat te verwijderen. Dit is echter niet geheel onomstreden. Hoewel de vertrouwelijkheid van de opgeslagen gegevens met deze maatregel beter gewaarborgd wordt, betekent het ook een soms ingrijpende inbreuk op de rechten van de werknemer. Immers, niet alleen worden de werk gerelateerde gegevens worden gewist, maar ook de privégegevens van de werknemer. Dit kan een conflict betekenen met de rechten van de werknemer, zoals zijn intellectuele eigendomsrechten op privédocumenten of privéfotos die op het apparaat zijn opgeslagen. Hierover moeten duidelijke afspraken worden gemaakt tussen werkgever en werknemer.

Track-systeem

Ook is het mogelijk een ‘track-systeem’ te installeren, waarmee de geografische locatie van het mobiele apparaat kan worden vastgesteld. In geval van diefstal en verlies kan dit uitkomst bieden, maar in iedere andere situatie kan een dergelijke instelling een (grote) inbreuk op de privacy van de werknemer betekenen. Eén en ander hieromtrent zal derhalve geregeld moeten worden in de overeenkomst met de werknemer. Op basis van de Wet bescherming persoonsgegevens (Wbp), arbeidswetgeving en de rechtspraak mag de werkgever zich namelijk niet zonder meer inzage verschaffen in de apparatuur van de werknemer.

Aansprakelijkheid

Voorts moeten afspraken gemaakt worden over de aansprakelijkheid voor eventuele schade. Indien de werknemer de telefoon gebruikt in het kader van zijn werkzaamheden voor de werkgever, dan is de werkgever gebonden aan artikel 7:661 BW en is hij in beginsel aansprakelijk voor alle schade die ontstaat. Wel kan worden afgesproken dat de werknemer aansprakelijk is voor diefstal, verlies of beschadiging van het apparaat en derhalve zelf de reparatie of vervanging dient te betalen. Naast genoemde zaken, is nog een aantal andere zaken van belang, zoals bijvoorbeeld de looptijd van het contract in geval van een mobiel telefoonabonnement, voor wiens rekening abonnementskosten (en eventuele meerkosten, zoals kosten in het buitenland) komen, wie eigenaar is van het apparaat in geval  van CYOD, enzovoort. Ook fiscale- en Arboregelgeving speelt een rol in het kader van BYOD en CYOD.

Vragen?

Heeft u vragen op het gebied van BYOD- of CYOD-beleid, neemt u dan contact op met Natascha van Duuren, Advocaat/Partner IE/ICT-recht