Ja n Stedeh ouder
BRING YOUR OWN DEVICE
In toen em en de m ate m a ken Nederla n ders gebruik va n één of m eer persoonlijk aa n gesch afte a ppa raten voor za kelijke doelein den. In 2011 betrof dat 37% va n de m edewerkers en h et gaat de kom en de twee jaa r oplopen n aa r ruim 85%. De v raag is du s niet óf je een Brin g you r ow n device-beleid m oet invoeren, m aa r h oe je je orga nisatie, m a n agem ent en ICT-om gevin g effectief laat inspelen op de nieuwe realiteit . Brin g you r ow n device is een pra ktisch e h a n dleidin g voor de invoerin g va n een Brin g you r ow n device-beleid (BYOD). Het boek beh a n delt v ragen als: • • • • •
Welke beslissin gen m oeten op m a n agem entniveau worden gen om en? Wat betekent BYOD voor de a rbeid svoorwaa rden? Wat zijn de fiscale spelregels en welke m ogelijkh eden bieden die voor een BYOD-beleid? Welke vera n derin gen zijn n odig in h et bed rij fsn etwerk, h et werkplekbeh eer en h et a pplicatiebeh eer? Hoe h oud je je gevoelige bed rij fs- en persoonsgegevens veilig?
BRING YOUR OWN DEVICE
Toepa ssin g voor werkgevers en profession als
BRING YOUR OWN DEVICE Toepa ssin g voor werkgevers en profession als
Om je op weg te h elpen bespreekt h et boek ten slotte vij ftig progra mm a’s voor ta blets en sm a rtph on es om sn el, effectief, flexibel en veilig BYOD in te voeren. Met h et boek in de h a n d m aa k je va n daag n og werk va n Brin g you r ow n device. En ku nn en je m edewerkers aa n de slag. Ja n Stedeh ouder h eeft geschreven over Ubu ntu, open sta n daa rden en open sou rce softwa re. Als schrijver, colu mnist, jou rn alist, train er en spreker staat hij stil bij de v raag h oe wij op een duu rza m e, veilige en (techn ologie-) on afh a nkelijke m a nier toega n g h ouden tot onze eigen digitale inform atie.
980/982
Bring your own device compleet.indd 1
Ë|xHSTALCy583763z
Ja n Stedeh ouder
978 90 12 58376 3
6/12/2012 4:07:29 PM
Bring your own device Toepassing voor werkgevers en professionals
Jan Stedehouder
Meer informatie over deze en andere uitgaven kunt u verkrijgen bij: Sdu Klantenservice Postbus 20014 2500 EA Den Haag tel.: (070) 378 98 80 www.sdu.nl/service ©Sdu Uitgevers bv, 2012 Academic Service is een imprint van Sdu Uitgevers bv. Zetwerk: Fritschy opmaak & redactie, Leiden Omslagontwerp: MMX, Bergambacht
ISBN: 978 90 12 58376 3 NUR: 980/982 Alle rechten voorbehouden. Alle intellectuele eigendomsrechten, zoals auteurs- en databankrechten, ten aanzien van deze uitgave worden uitdrukkelijk voorbehouden. Deze rechten berusten bij Sdu Uitgevers bv en de auteur. Behoudens de in of krachtens de Auteurswet gestelde uitzonderingen, mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever. Voor zover het maken van reprografische verveelvoudigingen uit deze uitgave is toegestaan op grond van artikel 16 h Auteurswet, dient men de daarvoor wettelijk verschuldigde vergoedingen te voldoen aan de Stichting Reprorecht (Postbus 3051, 2130 KB Hoofddorp, www. reprorecht.nl). Voor het overnemen van gedeelte(n) uit deze uitgave in bloemlezingen, readers en andere compilatiewerken (artikel 16 Auteurswet 1912) dient men zich te wenden tot de Stichting PRO (Stichting Publicatie- en Reproductierechten Organisatie, Postbus 3060, 2130 KB Hoofddorp, www.cedar.nl/pro). Voor het overnemen van een gedeelte van deze uitgave ten behoeve van commerciële doeleinden dient men zich te wenden tot de uitgever. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, kan voor de afwezigheid van eventuele (druk)fouten en onvolledigheden niet worden ingestaan en aanvaarden de auteur(s), redacteur(en) en uitgever deswege geen aansprakelijkheid voor de gevolgen van eventueel voorkomende fouten en onvolledigheden. All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or by any means, electronic, mechanical, photocopying, recording or otherwise, without the publisher’s prior consent. While every effort has been made to ensure the reliability of the information presented in this publication, Sdu Uitgevers neither guarantees the accuracy of the data contained herein nor accepts responsibility for errors or omissions or their consequences.
Inhoud Voorwoord 9 1 Inleiding 11 2
Het BYOD-fenomeen nader bekeken 15 Wat heeft Consumerization of IT met BYOD te maken? 17 Onderdeel van een veel bredere trend 22 Welke rol speelt digitale geletterdheid? 24 Niet alle bedrijven gaan mee met de hype 26 Wat komt er na BYOD? 28
3
Waarom wel of niet met BYOD aan de slag? 35 Wat vertellen onderzoeken ons over BYOD? 35 Samenvattend: waarom wel met BYOD aan de slag? 42 Waarom niet met BYOD aan de slag? 43
4
Bouwstenen voor een BYOD-beleid 49 Laten we vooral niet moeilijk doen! 49 Raamwerk voor een BYOD-beleid 52 Welke impact hebben strategie en organisatiecultuur op een BYODbeleid? 52 BYOD: balans tussen controle en vrijheid 54 Waar moet je in het BYOD-beleid rekening mee houden? 58
5
Welke spelregels bepalen jouw BYOD-beleid? 65 De Belastingdienst en de Werkkostenregeling 66 Relatie BYOD en eigen werkplek 67 Werkkostenregeling en smartphones, tablets en computers 68 Hoe pakt de Arboregelgeving uit voor BYOD? 69
6 inhoud
Wat zegt de Arbeidsomstandighedenwet over de verantwoordelijkheden van werkgever en werknemer? 70 Thuiswerken en telewerken 70 Beeldschermwerk 71 Wat betekent dit voor BYOD? 72 Welke eisen stellen de toezichthouders? 72 College Bescherming Persoonsgegevens 72 Privacy in een BYOD-beleid? 75 De Nederlandsche Bank 75 Een bijzondere uitwerking: Wet Politiegegevens 77 Wat heeft NEN 3140 met BYOD te maken? 80 Wat kun je doen? 82 En, zijn dit alle spelregels? 82 6
Hoe moet ICT BYOD mogelijk maken? 87 Welke maatregelen zijn er nodig om de gegevens te beschermen? 88 Welke risico’s zijn er eigenlijk? 90 Welke risico’s lopen smartphones? 93 Wat is het doel van het ICT BYOD-beleid? 99 Wat is het voordeel van deze benaderingswijze? 105 Hoe moet ICT BYOD mogelijk maken? Wat heeft prioriteit? 107
7
Apps in een BYOD-beleid 113 Natuurlijk, apps zijn belangrijk, heel belangrijk 113 Apps zijn geen applicaties 114 Heb jij al een app? 117 Wanneer zijn apps geschikt voor BYOD? 119 Hoe pakt dit uit? Office suites als voorbeeld 120 Welke apps zijn het proberen waard? 124 e-Readers 124 Productiviteit 126 De tablet als organizer 127 De tablet als communicatieplatform 127 Veilig in de persoonlijke cloud 128 Het maken van notities 128 Handige hulpprogramma’s 128 Waar is Windows? 131
inhoud
8 Managementvraagstukken 135 Redelijke grenzen aan de vrijheid 135 Hoe verschuiven de bedrijfskosten als gevolg van een BYOD-beleid? 137 Wat spreken we af over vergoedingen? 140 Wat spreken we af over gebruik, toezicht en handhaving? 144 Mag iedereen mee in het BYOD-beleid? 145 Wat levert een BYOD-beleid op? 147 Ten slotte: eerst nadenken, dan pas investeren 149 Trefwoordenregister 151
7
Voorwoord In het najaar van 2011 was ik volop bezig met de campagne Open Onderwijstoegang/ Unlocking Education, for Growth without Limits. In de campagne werd aandacht gevraagd voor de gebrekkige toegang tot online schoolgebouwen voor leerlingen met een Blackberry, iPhone, iPad, Android tablets et cetera. Deze campagne was ‘slechts’ een fase in mijn inzet voor digitale duurzaamheid en in het bewerkstelligen van echte vrijheid voor gebruikers van technologie om zelf te kiezen voor apparaten en applicaties. Terwijl ik op de digitale barricade stond en virtuele stenen wierp richting politiek, scholen en leveranciers, tikte Marcel Roozeboom van SDU/Academic Service op mijn schouder. Of ik belangstelling had voor het schrijven van een boek over Bring your own device, kortweg BYOD? Natuurlijk, want voor het recht om in het onderwijs met eigen apparaten, besturingssystemen en applicaties te werken stond ik net op de barricade. De hype rond BYOD moest nog losbarsten. Inmiddels gaat er geen dag voorbij zonder dat tientallen artikelen, whitepapers en onderzoeken door de digitale brievenbus naar binnen glijden. Veel kaf, voldoende koren, veel bomen in een groeiend bos. De uitdaging was om het overzicht te houden en ik ben dankbaar voor de terugkoppeling die ik van velen heb gekregen. In het bijzonder dank ik Ron Dekker, Arne Scholman (Heutink ICT), Donny Toebes (Graafschap College, Doetinchem), André Koot (Platform voor Informatiebeveiliging) en Hans Bos (Microsoft Nederland) voor de interviews die ik mocht afnemen. Een woord van dank ook voor ASUS Nederland. ASUS was zonder veel omhaal bereid mij een Transformer tablet beschikbaar te stellen, zodat ik goed kon testen hoe en waar een tablet past binnen een BYOD-beleid. En natuurlijk ben ik dankbaar voor de steun die ik altijd van Agnes krijg bij het najagen van weer een volgend schrijfproject. Jan Stedehouder mei 2012
BYOD-feiten: Cisco Workforce Survey Northern Europe, februari 2012 – 85% van de Nederlanders gebruikt een persoonlijk apparaat voor zakelijke doeleinden; 12% gebruikt twee apparaten.
– 60% van de ICT-beslissers verwacht dat medewerkers die mobiel en flexibel kunnen werken ook productiever worden.
– 56% van de ICT-beslissers werkt één of meer uren per dag extra vanwege de mogelijkheid op afstand te werken.
– 63% van de Nederlandse werknemers die op afstand op het bedrijfsnetwerk mogen wer-
ken, geeft aan een extra uur per dag productief te zijn; 32% werkt twee uur e xtra of langer.
– 47% van de bedrijven moet als gevolg van BYOD zijn ICT-beleid aanpassen.
– 65% van de eindgebruikers verwacht in de toekomst van buitenaf toegang tot het bedrijfsnetwerk te krijgen.
– 14% van de Nederlandse bedrijven is volstrekt niet voorbereid op mobiele werkers; 45%
van de bedrijven bereidt zich actief voor op het mogelijk maken van een mobiel perso-
neelsbestand. Slechts 14% van de bedrijven in Nederland heeft al een ‘state of the art’ ICT-omgeving om mobiel en flexibel werken mogelijk te maken, tegen 34% in Noorwegen en 31% in Denemarken.
– 19% van de eindgebruikers geeft aan dat toegang tot sociale media en online diensten op de werkplek wordt beperkt. 59% van de ICT-beslissers acht toegang tot sociale media en online diensten belangrijk voor de balans werk-privé en om concurrend te blijven met bedrijven die sociale media en online diensten g ebruiken.
– 68% van de ICT-beslissers denkt dat het belangrijk is dat medewerkers altijd en overal
toegang hebben tot het bedrijfsnetwerk; slechts 25% van de medewerkers denkt er ook zo over. 40% van de medewerkers denkt dat het niet noodzakelijk is. De meerderheid van de eindgebruikers ziet het werken op afstand niet als een recht.
– Ongeveer de helft van eindgebruikers ondervindt beperkingen bij het gebruiken van persoonlijke apparaten voor het werk en bij toegang tot het bedrijfsnetwerk.
– 40% van de ICT-beslissers denkt dat er even veel gegevens ‘lekken’ binnen het kantoor als buiten het kantoor.
– 66% van de ICT-beslissers denkt dat medewerkers zich zorgen maken over veiligheidsrisico’s
bij het werken op afstand, slechts 44% van de eindgebruikers maakt zich er ook zorgen over.
– 78% van de ICT-beslissers geeft aan dat ze ‘acceptable use’-beleid hebben voor het ge-
bruik van computers, mobiele telefoons en smartphones; slechts 45% van de eindgebrui-
kers is daarvan op de hoogte. In Nederland en België scoren eindgebruikers het laagst. Van de eindgebruikers die van het beleid op de hoogte zijn, geeft de helft aan dat ze zich er niet altijd aan houden.
– 50% van de Nederlandse werknemers geeft aan zich niet aan het ICT-beleid van het bedrijf te houden.
1 Inleiding Bring your own device, kortweg BYOD, wordt – of is het wellicht al – de ICT-hype voor 2012. Als we de onderzoeken moeten geloven, maakt tussen de 40% (Citrix) en 80% (Cisco) van professionals in organisaties en bedrijven al gebruik van zelf aangeschafte consumentenelektronica voor het uitvoeren van zakelijke taken. De zakelijke mobiele telefoon ligt in de la op kantoor en schakelt alle binnenkomende telefoontjes door naar de eigen smartphone, om maar een voorbeeld te noemen. In veel gevallen wordt de consumentenelektronica ingezet zonder medeweten en toestemming van en zonder voorafgaande afstemming met de ICT-afdeling. Sterker nog, het lijkt helemaal niet uit te maken wat de ICT-afdeling wel of niet wil toestaan of ondersteunen. Weer a ndere onderzoekers wijzen erop dat de meerderheid van de professionals aangeeft dat zij – zelfs als het uitdrukkelijk verboden wordt om eigen apparaten te gebruiken – simpelweg om verboden en beperkingen heen zullen gaan. ‘Nee!’ is niet langer een acceptabel antwoord. BYOD is daarmee een unieke ICT-hype. Jazeker, ICT-leveranciers buitelen over elkaar heen om te laten zien dat zij hét product of dé dienst hebben voor het beheren, beheersen en beveiligen van persoonlijke apparaten in het bedrijfsnetwerk. Maar de werkelijke push komt niet vanuit de ICT-sector zelf, maar vanaf de werkvloer, van professionals op meerdere niveaus in organisaties die niets meer en minder verwachten dan dat zij op het werk gebruik mogen maken van de eigen hoogwaardige smartphones, tablets en laptops. Zij willen geen ‘nee’ of zelfs een ‘ja, mits’ horen. Zorg maar dat je het als orga nisatie ondersteunt, dat het mogelijk wordt binnen het normale speelveld met spel regels en risico’s. Dat is dan ook de belangrijkste invalhoek van het boek. Ik hanteer daarbij een erg ruime definitie van BYOD. In de vele artikelen en whitepapers zie ik vaak een versmalling van BYOD. Hoe krijgen we grip op de smartphones van de medewerkers? Hoe beveiligen we de toegang tot tablets? Hoe zorgen we ervoor dat wij kunnen bepalen met welke apps de medewerkers mogen werken? Mijns inziens gaat het niet uitsluitend over apparaten of over beperken, indammen en controleren van BYOD. BYOD gaat over apparaten, applicaties én diensten (denk aan online diensten als Dropbox, Evernote, Prezi et cetera) binnen een zakelijke omgeving. Het gaat om de tools die ik als professional nodig acht om mijn werk op de best mogelijke manier uit
12 hoofdstuk 1
te voeren. ‘Bring your own device’ is dan niet beperkt tot smartphones, tablets, laptops en/of desktops. Bring your own device heeft betrekking op het geven van vrijheid aan de professional om zelf de verantwoordelijkheid te nemen voor de ICT-tools die nodig zijn om het
werk op de best mogelijke manier uit te voeren. De professional kiest een mix van
hardware, software en online diensten, rekening houdende met wat verantwoord en veilig is voor het bedrijf en de rol die hij daarbinnen vervult.
Met zo’n definitie komt BYOD lijnrecht te staan tegenover een beleid van consolidatie, centralisatie en standaardisatie (CCS) dat veel organisaties op het gebied van ICT voeren. CCS is ingevoerd uit kostenoverwegingen, om het beheer te verbeteren en te vereenvoudigen, om de veiligheid en stabiliteit van bedrijfsnetwerken beter te kunnen waarborgen. Controle en beheersing, voorzichtigheid en stabiliteit, testen en dan pas patchen. BYOD vergroot daarentegen het aantal verschillende apparaten, besturingssystemen en applicaties en verkleint de mogelijkheden om grip te hebben op wat er op de apparaten aan applicaties draait, welke data daarop wordt opgeslagen en welke veiligheidsmaatregelen getroffen mogen worden. Het is dan ook niet vreemd dat een substantieel deel van de artikelen over BYOD gaat over veiligheidsrisico’s, soms over bijna apocalyptische scenario’s met wat er allemaal niet mis kan gaan. Aan de andere kant wordt gezaghebbend geschreven over de grote voordelen van BYOD. Als bedrijf, organisatie of onderwijsinstelling (ik schat dat bijna de helft van de relevante publicaties gaat over BYOD in het onderwijs) kun je met BYOD de kosten voor ICT omlaag brengen. De meest geavanceerde technologie kan veel sneller worden ingezet zonder dat je daar fors voor hoeft te investeren. Jouw medewerkers worden gelukkiger en zijn daardoor productiever. Koppel BYOD aan Het Nieuwe Werken en je krijgt de beschikking over personeel dat 24/7 voor je aan het werk is. Zonder dat het meer gaat kosten. Zullen we het er maar op houden dat de waarheid ergens in het midden ligt? En dat is ook het uitgangspunt van dit boek. In de verschillende hoofdstukken willen we eens nuchter kijken naar wat BYOD wel en niet is, en welke voor- en nadelen verbonden zijn aan het voeren van een BYOD-beleid. Het boek is bedoeld voor bedrijven, organisaties en instellingen die van plan zijn hun medewerkers meer ruimte te geven met eigen smartphones, tablets, computers, applicaties en diensten aan de slag te gaan, maar dat wel op een verantwoorde en weloverwogen wijze willen doen. Daar hoort bij dat we stilstaan bij mogelijke risico’s en bij de richtlijnen van overheden en toezichthouders, die bij elkaar genomen een rem zetten op het enthousiasme van de ‘early adopters’. Daar
inleiding
13
hoort ook de vraag bij of het huidige bedrijfsnetwerk wel geschikt is voor het toelaten van al die eigen apparaten, apps en diensten die standaard niet zijn geconfigureerd voor zakelijk gebruik. Is er een reële inschatting te maken van de kosten die aan een BYODbeleid verbonden zijn? Liggen die kosten hoger of lager dan de huidige? En zelfs al zouden die kosten hoger liggen, zijn ze dan toch niet de moeite waard in het licht van…? Moet je BYOD bezien als het simpelweg toerusten van medewerkers met de tools voor hun werk of is het onderdeel van een bredere bedrijfsstrategie en HR-beleid? Waar moet je rekening mee houden als medewerkers met verschillende apparaten en appli caties gaan werken aan (met) dezelfde bewerkbare documenten, gegevens en data? Vanaf verschillende locaties, via verbindingen van uiteenlopende betrouwbaarheid en veiligheid? Wat betekent dat voor de productiviteit en kwaliteit van het werk? In dit boek staan geen definitieve antwoorden, maar wel alle vragen die er werkelijk toe doen, als handvatten voor het opstellen en implementeren van een BYOD-beleid samen met de professionals waar het om gaat.
Objectief? Ik ben een voorvechter voor Open ICT, een ICT-omgeving die duurzaam, veilig en leve ranciersonafhankelijk is ingericht, een ICT-omgeving waar gebruikers vrijheden heb-
ben om met eigen apparaten, applicaties en online diensten te werken, met gebrui-
kers die inzicht hebben in wat ICT-technologie kan en die deze daardoor naar hun
hand kunnen zetten. Betekent dit dan ook dat ik BYOD-oplossingen die niet bijdragen aan Open ICT naast me neer heb gelegd bij het schrijven van dit boek?
Het antwoord is zowel ja als nee. Nee, want je moet bij het formuleren van een ICT- beleid in een zakelijke omgeving nooit op voorhand leveranciersspecifiek, product specifiek, oplossingsspecifiek of ideologisch geörienteerd insteken. Je moet op zoek gaan naar de beste oplossing voor jouw situatie. Mijn ervaring is dat professionals met
een Open ICT-bias een bredere kijk hebben op mogelijke oplossingen dan veel andere ICT’ers. En ja, want in een zakelijke omgeving is samenwerking essentieel, moet de
uitwisseling van documenten en gegevens pijnloos verlopen. BYOD is alleen moge-
lijk als je rekening houdt met de spelregels van Open ICT, met aandacht voor open standaarden en interoperabiliteit. Het vergroten van de vrijheid van medewerkers om
met eigen apparaten aan de slag te gaan, betekent ook dat ze met uiteenlopende
besturingssystemen en applicaties gaan werken. Tenzij je BYOD wilt beperken tot het
standaardapparaat, met het vaste besturingssysteem en de voorgeschreven applicaties. Dat lijkt me niet een vrijheid waar je de handen voor op elkaar krijgt.
14 hoofdstuk 1
Henry Ford schreef over het model T: ‘Any customer can have a car painted any colour
that he wants so long as it is black’. Dat was destijds succesvol, maar inmiddels vertrouwen we onszelf ook met andere modellen auto’s, in andere kleuren, op dezelfde snelweg. Op het gebied van ICT is het tijd om het model T achter ons te laten.
3 Waarom wel of niet met BYOD aan de slag? BYOD komt niet uit de lucht vallen en is onderdeel van een bredere trend. Het is daarnaast belangrijk om in de gaten te houden dat BYOD al een realiteit is in iedere orga nisatie. Een deel van jouw medewerkers werkt al met eigen smartphones, tablets, laptops, desktops, applicaties, apps en online diensten. Maar hoewel dit de realiteit is, wil het niet zeggen dat het ook maar zo moet blijven. Het is verstandig om goed na te denken waarom je als bedrijf of organisatie BYOD verder moet of wil oppakken, of waarom helemaal niet. In het laatste geval moeten we nadenken over ‘wat dan?’. De grip van de IT-afdeling op de bedrijfstechnologie en -gegevens werd verzwakt op het moment dat de CEO en CFO elkaar iMessages begonnen te sturen via de iPhone
en op bestuursvergaderingen binnen kwamen met een iPad in de tas in plaats van een laptop.17
Wat vertellen onderzoeken ons over BYOD? Ik ga ervan uit dat dit boek is gekocht vanuit de vraag: ‘Hoe ga ik met BYOD aan de slag?’ De invoering van een BYOD-beleid zal binnen weinig organisaties zonder discussie plaatsvinden. Om het juiste perspectief in de discussies vast te houden is het belangrijk scherp te krijgen wat er (internationaal) op het gebied van BYOD gaande is. Citrix kwam in 2011 met het rapport IT Embraces Bring-Your-Own Devices. Het rapport beschrijft de stand van zaken per medio 2011 met een inschatting van de ontwikkeling van de trend richting 2013. Zo blijkt in 92% van de ondervraagde bedrijven medewerkers al met eigen apparaten aan het werk te zijn. Het betreft 28% van het personeelsbestand. In India is dat 34% van de medewerkers, in Nederland praten we over 30%, met een groei naar 37% in 2013.
17
Bron: Logicalis, BYOD white paper.
36 hoofdstuk 3
Percentage medewerkers dat met BYOD werkt (Bron: Citrix 2011)
Citrix verwacht een forse verschuiving voor wat betreft het type apparaat. Medewerkers zullen minder met eigen laptops gaan werken (afname van 38% naar 26%) ten gunste van tablets (toename van 8% naar 23%). Het gebruik van persoonlijke netbooks blijft stijgen (van 6% naar 9%). De ondersteuning van persoonlijke apparaten gaat de komende twee jaar toenemen. Op dit moment biedt 54% van de bedrijven al ondersteuning, voornamelijk voor thuiswerkers. In 2013 ondersteunt 80 à 90% de mede werkers bij het gebruik van persoonlijke apparaten. Bij de ondersteuning bij het gebruik van de apparaten gaat het direct om meerdere besturingssystemen. Voor de laptops heeft Windows de voorkeur, voor smartphones en tablets wordt rekening gehouden met BlackBerry, Apple, Android en Microsoft. Wereldwijd heeft 44% van de ondervraagden een BYOD-beleid (Nederland zit daar iets boven), en het klimt op tot 90 tot 96% van de bedrijven in 2013. Dat wil niet zeggen dat er een beleid is voor de hele organisatie. Het beleid is in 26% van de gevallen uitgezet voor specifieke functies, in 24% van de gevallen voor afdelingen, in 18% van de gevallen als onderdeel van een pilot en in 22% van de gevallen voor het gehele bedrijf. Als we dan specifiek naar functies kijken, dan wordt duidelijk dat BYOD-beleid vooral voor mobiele werkers en kenniswerkers is uitgezet.
waarom wel of niet met byod aan de slag?
37
Bedrijven gaan BYOD in toenemende mate ondersteunen (Bron: Citrix 2011)
Het huidige BYOD-beleid richt zich op mobiele werkers en kenniswerkers (Bron: Citrix 2011)
Welke redenen worden aangevoerd om een BYOD-beleid te voeren? Hier zien we de relatie met Het Nieuwe Werken terug, want 47% ziet BYOD als een mogelijkheid om het werken buiten kantoor te verbeteren. In de top 10 wordt driemaal melding gemaakt van BYOD als onderdeel van een wervingsbeleid.
38 hoofdstuk 3
Redenen voor BYOD-beleid (Bron: Citrix 2011) Redenen
Percentage genoemd
Makkelijker buiten kantoor werken
47%
Kunnen beschikken over de juiste apparatuur
44%
Het aantrekken en vasthouden van toptalent (ongeacht de leeftijd)
39%
Verminderen van de beheerskosten
35%
Het aantrekken en vasthouden van jongere medewerkers
34%
Het aantrekken en vasthouden van andere typen medewerkers (zoals thuiswerkers)
33%
Het verlagen van de trainings- en inwerkkosten
32%
Het mogelijk maken van self-service IT
26%
Het verbeteren van business continuity
26%
Makkelijk opvangen van de groei van het aantal apparaten
25%
Zien we dit dan ook terug in de praktijk? In het onderzoek van Citrix worden een aantal voordelen genoemd welke bedrijven in de praktijk al ervaren. Medewerkers zijn tevredener, productiever en mobieler. Voordelen van een BYOD-beleid (Bron: Citrix 2011) Voordeel
Percentage genoemd
Toegenomen medewerkertevredenheid
56%
Toegenomen productiviteit
51%
Toegenomen mobiliteit
51%
Een flexibeler werkomgeving
46%
Afname IT-kosten
36%
Aannemen en vasthouden hoogwaardige kenniswerkers
30%
Toegenomen kwaliteit van de apparaten
29%
Betere zorg voor de apparaten, langere levensduur
29%
Minder beheer van de apparaten bij IT
29%
Sneller inwerken van nieuwe medewerkers en inhuurkrachten
24%
Toegenomen business continuity
22%
Helemaal zorgeloos is het allemaal niet met BYOD. De ondervraagden maken zich zorgen over veiligheidsrisico’s (52%), de ondersteuning (40%), de implementatie- en beheerskosten (40%), het gebruik van niet toegestane applicaties (40%) en de kwaliteit van de eigen apparaten (39%). Citrix zou Citrix niet zijn als ze daarvoor geen oplossing
waarom wel of niet met byod aan de slag?
39
had en dat die oplossing virtualisatie heet, het belangrijkste product van Citrix. Los van de bias in de oplossing geeft het onderzoek een goed beeld van wat er gaande is op het gebied van BYOD. Onderzoeken die later zijn verschenen, bevestigen het algehele beeld en focussen soms wat meer op specifieke onderdelen. Een onderzoek van VMware (New Way of Work, voorjaar 2012) onder ruim 2000 mede werkers van multinationals in Azië liet zien dat 78% van de ondervraagden met eigen smartphones, tablets en laptops werkt. In Zuid-Korea ging het om 96% van de ondervraagden (China 94%; Thailand 90%; Hong Kong 89%; Singapore 88%). Japan, het land waar lang naar werd gekeken als het gaat om mobiele technologie, scoort met 22% het laagst op BYOD-gebied. De ondersteuning blijft ver achter bij het daadwerkelijke gebruik van BYOD. 57% van de ondervraagden krijgt geen technische ondersteuning, 38% ondervindt efficiencyproblemen door knellend ICT-beleid, 22% stelt dat zij hun werk simpelweg niet goed kunnen doen door het ICT-beleid.
BYOD in Singapore –
88% van de medewerkers werkt met persoonlijke apparaten.
–
76% van de bedrijven en organisaties voert een restrictief ICT-beleid (het op één
–
– –
–
76% krijgt officieel geen technische ondersteuning. na hoogste in Azië).
43% van de medewerkers blijft desondanks zakelijk werken met eigen apparaten en applicaties.
In bedrijven met een ondersteunend BYOD-beleid geeft 65% van de medewer-
kers aan efficiënter te kunnen werken, ervaart 54% minder stress en is 67% gelukkiger op het werk.
Waar medewerkers ook met eigen software of web-based applicaties mogen
werken geeft 60% aan effectiever te kunnen werken, ervaart 49% minder stress en is 59% gelukkiger op het werk.
Het vermogen om personeel aan te trekken en vast te houden komt ook in het VMwareonderzoek naar voren. 58% van de ondervraagden wil liever werken voor bedrijven die meer open staan voor persoonlijke keuze van apparaten en applicaties. Zij zien het als een keuze tussen een bedrijf met een strak ICT-beleid of een bedrijf dat jou het vertrouwen geeft om je werk te doen. Voor de risico’s van dataverlies en het voldoen aan compliancevereisten heeft ook VMware een oplossing: virtualisatie (niet vreemd voor een leverancier van virtualisatieoplossingen).
40 hoofdstuk 3
Cisco doet met Device Freedom Without Compromising the IT Network (februari 2012) een duit in het onderzoekszakje. Het bedrijf wijst erop dat de totale verkoop van smartphones en tablets in 2011 de totale verkoop van computers (desktops, laptops en note books) overtrof. Het aantal apparaten per medewerker gaat toenemen, want tot op heden is er niet één apparaat dat prima geschikt is voor én communicatie én productiewerk én informatieconsumptie. Increasingly, work is an activity that people do, not a place to which they go.18
Combineer dat met de verschuivende grens tussen zakelijk en privé en Cisco ziet de druk om BYOD toe te staan toenemen. Medewerkers verwachten ook altijd en overal online te kunnen zijn. Cisco schat dat het dataverkeer tussen 2010 en 2016 ver-26voudigt. De groei in het dataverkeer komt niet in de laatste plaats door toename in het gebruik van video, online samenwerking en zware online multimedia-applicaties. Uiteraard heeft Cisco ook een oplossing, de Identity Services Engine, die met al deze complexiteit uit te voeten kan. De Duitse site Computerwoche ondervroeg in april 2012 150 CIO’s en IT-managers over BYOD. Die zijn, zachtjes gezegd, niet enthousiast over het fenomeen. 80% is van mening dat zij door BYOD de controle over het bedrijfsnetwerk kwijt gaan raken, 76% verwacht dat de druk op beheer en ondersteuning gaat toenemen, 74% omschrijft het als een lastige klus om persoonlijke apparaten in het netwerk in te passen. En waarom? Slechts 30% van de ondervraagden schat in dat de productiviteit van de medewerkers toe gaat nemen. Welke zorgen hebben ze bij het doorvoeren van BYOD? Een lijstje: – Hoe zit het met de veiligheid van de apparaten en de data? Welke regels gaan gelden, welke encryptie moet toegepast worden? – Hoe zit het met de licenties op de software? Welke versie wordt gebruikt, enter prise of home? – Hoe hou je zakelijke en privédata uit elkaar? Hoe zit het met compliance? En met de privacywetgeving? – Wordt in de business case wel rekening gehouden met de kosten voor desktopen applicatievirtualisatie? Welke investeringen zijn nodig om BYOD mogelijk te maken? – Wie is verantwoordelijkheid voor het onderhoud van de hardware?
18
Bron: Cisco, Device Freedom Without Compromising the IT Network, 2012.
waarom wel of niet met byod aan de slag?
– –
41
Hoe moet je de kosten voor BYOD verwerken? Wat zegt de belastingdienst hierover? Apparaten als iPhone en iPad zijn primair ontwikkeld voor privégebruik. In hoeverre zijn ze wel geschikt voor een zakelijke omgeving?
De CIO’s en IT-managers zien de noodzaak van BYOD niet in, maar ervaren wel een toenemende druk vanuit de gebruikers. Die druk is nog wel beperkt van omvang, maar – zoals Computerwoche stelt – dat heeft meer te maken met het feit dat de gebruikers met BYOD simpelweg om de IT-afdelingen heen lopen. En dus is het toch zinvol een beleid te ontwikkelen met daarin de volgende aandachtspunten: – waarborgen van een veilige omgang tot bedrijfsgevoelige en privacygevoelige gegevens; – centrale sturing op configuratie, uitzetten van de software en het beheer; – richtlijnen rond toegang, updates en veiligheid van de apparaten en de software. De bevindingen van het Computerwoche-onderzoek vinden we eveneens op verschillende manieren terug in studies die later zijn verschenen.
Conclusies uit het Good Technology State of BYOD Report, 2011 1.
Ondernemingen die in hoge mate onder toezicht staan zijn koplopers bij het
voeren van een BYOD-beleid, in het bijzonder financiële instellingen (en verzeke-
ringsmaatschappijen) en de gezondheidzorg. Overheden en groothandel lopen 2.
3.
achter.
Grote ondernemingen pakken BYOD op: 80% van de bedrijven met een BYOD- beleid heeft meer dan 2000 medewerkers, 60% heeft er meer dan 5000 en 35% heeft meer dan 10.000 medewerkers.
Medewerkers zijn bereid om zelf te betalen voor de keuzevrijheid van BYOD: 50%
van de bedrijven met een BYOD-beleid verwacht dat medewerkers de kosten zelf
dragen, en dat gebeurt ook; 45% van de bedrijven geeft een vergoeding voor de 4.
aanschaf of de verbruikskosten.
Vergoedingen dragen bij aan groei van BYOD binnen het bedrijf: bedrijven die
de kosten vergoeden zien dat BYOD sneller groeit dan bedrijven die verwachten dat de medewerkers alle kosten dragen of die de vergoeding verbinden aan een
5.
goedkeuring vooraf.
BYOD is internationaal: 45% van de bedrijven voert een BYOD-beleid uit voor vestigingen in verschillende landen. De verschillen in privacywetgeving en hoge roamingkosten belemmeren dat niet.
42 hoofdstuk 3
Samenvattend: waarom wel met BYOD aan de slag? Alle onderzoeken overziend is de vraag: ‘Moeten we met BYOD aan de slag?’ een gepasseerd station. Persoonlijke apparaten, applicaties en online diensten worden door een substantiële groep medewerkers gebruikt voor zakelijke doeleinden. In hoeverre de groep medewerkers zal en kan groeien binnen de organisatie, hangt van het type organisatie af, maar de realiteit is dat deze medewerkers nu tal van gegevens gebruiken op apparaten en binnen online diensten die daar wellicht helemaal niet geschikt voor zijn, dan wel risico’s met zich meebrengen ten aanzien van verlies of onrechtmatige opslag. Een beleid om inzicht te krijgen in welke medewerkers met persoonlijke apparaten werken en welke gegevens ze opslaan is dan het minste dat noodzakelijk is. Het heeft geen zin om in het kielzog daarvan een beleid in te zetten gericht op het verbieden of aan banden leggen van BYOD. Dat lijkt wel de overheersende insteek te zijn vanuit de ICT-wereld (de redenen daarvan bespreken we later), maar de verschillende onderzoeken laten zien dat de medewerkers een al te restrictief beleid simpelweg zullen negeren. Een: ‘Nee, dat gaan we niet ondersteunen’ wordt niet meer geaccepteerd. Het BYOD-fenomeen is indicatief voor een veranderende verhouding van gebruikers tot de ICT-afdelingen. Gebruikers eisen meer vrijheden voor zichzelf op, zonder wellicht te veel stil te staan bij de vraag wat dit betekent voor de hele organisatie, of zij met de nieuwe verantwoordelijkheden om kunnen gaan en of zij over de juiste kennis en vaardigheden beschikken om binnen die nieuwe verhoudingen veilig met de technologie en de gevoelige gegevens om te gaan. Dit is een tweede belangrijke reden om te allen tijde een BYOD-beleid te ontwerpen: een stukje opvoeding van en vergroten van de bewustwording bij de medewerkers. Het gebruik van BYOD-apparaten in een bedrijfsnetwerk brengt nieuwe, reële risico’s met zich mee. Zelfs bij zakelijke, volledig beheerde computers moet de ICT-afdeling een substantieel deel van de tijd besteden aan het bestrijden van malware en het buiten de deur houden van minder bonafide bezoekers. Als gevolg van eerdere incidenten is het veiligheidsbeleid stap voor stap aangescherpt. En nu? Nu schuiven we dat ‘even’ opzij om BYOD mogelijk te maken? Natuurlijk niet. Dat is nooit de bedoeling, maar als we geen BYOD-beleid ontwikkelen is dat wel de realiteit. Derhalve is dit de derde reden voor het ontwerpen van een BYOD-beleid: het afvangen van reële risico’s en het daarmee voldoen aan richtlijnen inzake veiligheid en compliance. Verschillende onderzoeken wijzen op de HR-effecten van een goed BYOD-beleid. Het draagt bij aan meer tevredenheid en effectiviteit van de medewerkers. De medewerkers worden productiever, want ze zijn sneller bereid buiten werktijd door te werken.
waarom wel of niet met byod aan de slag?
43
Ze zijn flexibeler inzetbaar, want de neiging om met persoonlijke apparaten te werken hangt samen met de hang naar een flexibele invulling van de werktijden. Wil je dat soort medewerkers aantrekken en vasthouden, dan kan BYOD een ondersteunende rol spelen. Dit zou een vierde belangrijke reden kunnen zijn voor een BYOD-beleid: een invulling van goed werkgeverschap gericht op het aantrekken en behouden van werknemers met een innovatieve inslag die flexibel inzetbaar zijn.
Waarom niet met BYOD aan de slag? Maar misschien moet je helemaal niet aan BYOD beginnen. De vraag die als rode draad door dit boek loopt is: ‘Gaan wij iets doen met BYOD, ja dan nee, en zo ja wat doen we wel en wat doen we niet?’ Het antwoord op die vraag mag, moet wellicht, ook kunnen zijn: ‘Nee, daar gaan we helemaal niet aan beginnen’. Het verschil met ‘vroeger’ is wel dat jouw collega’s en medewerkers een ‘Nee!’ niet zonder meer gaan accepteren en dat je het ‘Nee!’ moet onderbouwen. Wat zouden goede redenen kunnen zijn om niet tot BYOD over te gaan? Om te beginnen lijkt het zinvol om als werkgever de medewerkers die met BYOD aan de slag willen te koesteren. Het zijn mensen die – vaak al voor eigen rekening – innovatieve technologie (willen) inzetten om hun werk nog beter, sneller, effectiever, efficiënter, mooier te doen. Het zijn mensen die voor kwaliteit gaan en niet moeilijk doen over een uurtje meer, in het weekend. Het zijn de mensen die stukken nu naar hun GMailaccount sturen om daar thuis aan verder te kunnen werken, ook al heb je zelf besloten dat op basis van de compliancevereisten jouw organisatie nimmer, nooit van zijn leven met Google Apps for Business mag werken. Dat snappen die medewerkers ook wel, maar welk alternatief ga je hen bieden? Er zijn genoeg argumenten aan te dragen voor het omarmen van BYOD. Ik noem ze nogmaals, maar dan met kanttekeningen: – BYOD leidt tot lagere kosten (maar dat is niet gegarandeerd, zoals later aan bod zal komen); – BYOD vraagt minder beheer want de medewerkers gaan meer zelf doen (dat is maar de vraag overigens); – BYOD maakt medewerkers productiever (Waar zijn de harde cijfers om dit te onderbouwen? In de afgelopen periode flitste een onderzoek van iPass19 voorbij dat stelde dat door HNW mensen 240 uur per jaar meer werkten, maar geldt dat ook voor BYOD?); 19 iPass, Mobile Workforce Report, 2011.
Ja n Stedeh ouder
BRING YOUR OWN DEVICE
In toen em en de m ate m a ken Nederla n ders gebruik va n één of m eer persoonlijk aa n gesch afte a ppa raten voor za kelijke doelein den. In 2011 betrof dat 37% va n de m edewerkers en h et gaat de kom en de twee jaa r oplopen n aa r ruim 85%. De v raag is du s niet óf je een Brin g you r ow n device-beleid m oet invoeren, m aa r h oe je je orga nisatie, m a n agem ent en ICT-om gevin g effectief laat inspelen op de nieuwe realiteit . Brin g you r ow n device is een pra ktisch e h a n dleidin g voor de invoerin g va n een Brin g you r ow n device-beleid (BYOD). Het boek beh a n delt v ragen als: • • • • •
Welke beslissin gen m oeten op m a n agem entniveau worden gen om en? Wat betekent BYOD voor de a rbeid svoorwaa rden? Wat zijn de fiscale spelregels en welke m ogelijkh eden bieden die voor een BYOD-beleid? Welke vera n derin gen zijn n odig in h et bed rij fsn etwerk, h et werkplekbeh eer en h et a pplicatiebeh eer? Hoe h oud je je gevoelige bed rij fs- en persoonsgegevens veilig?
BRING YOUR OWN DEVICE
Toepa ssin g voor werkgevers en profession als
BRING YOUR OWN DEVICE Toepa ssin g voor werkgevers en profession als
Om je op weg te h elpen bespreekt h et boek ten slotte vij ftig progra mm a’s voor ta blets en sm a rtph on es om sn el, effectief, flexibel en veilig BYOD in te voeren. Met h et boek in de h a n d m aa k je va n daag n og werk va n Brin g you r ow n device. En ku nn en je m edewerkers aa n de slag. Ja n Stedeh ouder h eeft geschreven over Ubu ntu, open sta n daa rden en open sou rce softwa re. Als schrijver, colu mnist, jou rn alist, train er en spreker staat hij stil bij de v raag h oe wij op een duu rza m e, veilige en (techn ologie-) on afh a nkelijke m a nier toega n g h ouden tot onze eigen digitale inform atie.
980/982
Bring your own device compleet.indd 1
Ë|xHSTALCy583763z
Ja n Stedeh ouder
978 90 12 58376 3
6/12/2012 4:07:29 PM