BYOD-Beleid [Naam organisatie] De werknemer mag gebruik maken van een persoonlijk mobiel apparaat zoals een telefoon, tablet of notebook voor zakelijke doeleinden ten behoeve van [naam organisatie], voor zover hij/zij voldoet aan de voorwaarden uit dit beleid. Dit beleid heeft als doel om de integriteit en veiligheid van [naam organisatie]’s data en haar technische infrastructuur te waarborgen. 1. Toestellen en support 1.1 De werknemer mag in principe een toestel naar eigen keuze mee nemen. [naam organisatie] limiteert dit echter wel tot de merken iPhone, Android en Blackberry in verband met veiligheid en beheer. 1.2 [naam organisatie] is verantwoordelijk voor het juist functioneren van het toestel. Zolang de werknemer zich heeft gehouden aan dit beleid is [naam organisatie] verantwoordelijk voor onderhoud, ondersteuning en eventuele reparatiekosten voor het toestel. 2. Vergoeding 2.1 [Naam organisatie] zal [...]% van het aankoopbedrag van het apparaat vergoeden. 2.2 [Naam orgasnisatie] vergoed […]% of €[…] per maand voor gebruikskosten van het apparaat, zoals telefoon- en/of netwerkkosten. 3. Toegestaan gebruik 3.1 De werknemer mag het toestel voor de volgende zakelijke doeleinden gebruiken: -‐ Lezen en versturen van zakelijke e-mail/SMS berichten; -‐ Openen, lezen, aanpassen of aanmaken van documenten; -‐ Voeren van zakelijke telefoongesprekken; -‐ Gebruik van internet voor zakelijke doeleinden, zoals het opzoeken van informatie, met uitsluiting van de websites zoals opgenomen in bijlage 1; -‐ Etc. 3.2 De werknemer mag het toestel voor de volgende persoonlijke doeleinden gebruiken: -‐ Lezen en versturen van persoonlijke e-mail/SMS-berichten; -‐ Voeren van persoonlijke telefoongesprekken; -‐ Entertainment, zoals het lezen van boeken, spelen van spelletjes of het bekijken van films of series; -‐ Gebruik van internet voor persoonlijke doeleinden, met uitsluiting van de websites zoals opgenomen in bijlage 1; -‐ Etc. 3.3 Alleen de werknemer zelf mag het toestel voor persoonlijke doeleinden gebruiken. De werknemer moet altijd de controle over het toestel hebben. De werknemer mag het toestel niet aan anderen afgeven, waaronder partners of kinderen. 3.4 Het toestel mag nooit gebruikt worden voor de volgende doeleinden: - opslaan of delen van illegale bestanden; - opslaan of delen van octrooi-informatie die in eigendom is van een andere onderneming; - om anderen lastig te vallen; - om zich bezig te houden met zakelijke werkzaamheden voor anderen; - voor criminele activiteiten. 3.5 De werknemer mag niet zomaar apps installeren en gebruiken. Een gedetailleerde lijst van toegestane apps is te vinden in bijlage 2. Alle andere apps zijn niet toegestaan, tenzij deze
op een later moment aan de bijlage zijn toegevoegd. Pas na goedkeuring door [naam organisatie] en toevoeging aan bijlage 2 mogen apps geïnstalleerd en gebruikt worden. 3.6 De werknemer mag het toestel niet voor andere zaken gebruiken dat waarvoor het toestel redelijkerwijs is bedoeld. Het toestel mag niet worden gebruikt in strijd met de garantievoorwaarden van de fabrikant. 4. Beveiliging 4.1 Om ongeautoriseerde toegang tot het apparaat en de daarop aanwezige data te voorkomen, moet de werknemer gebruik maken van de mogelijkheden die het apparaat biedt om een wachtwoord of pincode in te stellen. Een wachtwoord moet minimaal zes tekens bevatten, waarbij een combinatie van kleine- en hoofdletters, cijfers en symbolen wordt gebruikt. De PIN-code moet indien mogelijk uit meer dan 4 cijfers/tekens bestaan. De werknemer moet iedere 90 dagen een nieuw wachtwoord of een nieuwe pincode instellen. 4.2 Het toestel moet zichzelf ‘locken’ indien het 5 minuten lang niet gebruikt wordt. Om het toestel te ‘unlocken’ moet het toestel om een wachtwoord of pincode vragen. 4.3 Werknemers mogen geen apps installeren of gebruiken die niet op Bijlage 2 zijn opgenomen. 4.4 Verlies of diefstal van het toestel moet indien mogelijk onmiddellijk, maar niet langer dan na 24 uur, kenbaar worden gemaakt aan de directie en IT-afdeling. [Naam organisatie] kan er in dat geval voor kiezen op afstand alle aanwezige data op het toestel te wissen. Hierbij kan het voorkomen dat ook persoonlijke data wordt gewist. 4.5 Op afstand data wissen kan verder worden gedaan wanneer het dienstverband tussen werknemer en [naam organisatie] wordt stopgezet of wanneer kenbaar wordt dat het apparaat van werknemer data of apps bevat die in strijd zijn met dit beleid of een virus of andere malware bevat die een risico kan vormen voor de integriteit en veiligheid van [naam organisatie]’s data of infrastructuur. 5. Privacy 5.1 [Naam organisatie] zal haar uiterste best doen de privacy van de werknemer te waarborgen. 5.2 [Naam organisatie] zal geen gebruik maken van software of andere mogelijkheden om de locatie van werknemer of persoonlijke communicatie van werknemer te monitoren, voor zover [naam organisatie] dit kan scheiden van zakelijke communicatie. 5.3 [naam organisatie] zal geen gegevens van het toestel verwijderen tenzij dit noodzakelijk is voor de veiligheid en integriteit van de onderneming, en zal zich in dat geval zo veel mogelijk beperken tot zakelijke gegevens. 6. Risico’s, aansprakelijkheid en voorwaarden 6.1 Hoewel [naam organisatie] haar best zal doen om geen persoonlijke gegevens verloren te laten gaan, is werknemer verantwoordelijk voor het nemen van veiligheidsmaatregelen om dit zo veel mogelijk te voorkomen. Werknemer moet zo veel mogelijk proberen persoonlijke data van zakelijke data scheiden. Daarnaast moet werknemer zelf back-ups maken van
persoonlijke data. [naam organisatie] is niet verantwoordelijk voor eventueel verlies van persoonlijke data. 6.2 [naam organisatie] behoudt zich het recht voor om het apparaat of de daarop werkende services uit te schakelen zonder de werknemer hiervan voorafgaand op de hoogte te stellen, indien de werknemer enig onderdeel van dit beleid schendt. 6.3 De werknemer moet het toestel te allen tijde op een verantwoordelijke manier gebruiken en voldoen aan het door [naam organisatie] hierboven uitgestippelde toegestane gebruik. 6.4 De werknemer is persoonlijk aansprakelijk voor alle kosten in relatie tot het toestel, voor zover deze kosten niet zijn opgenomen in artikel 1 en 2 van dit beleid. 6.5 de werknemer is aansprakelijk voor het gedeeltelijke of volledige verlies van bedrijfsgevoelige of persoonlijke gegevens als gevolg van een operating crash, errors, bugs, virussen, malware en/of andere software of hardware fouten of programma errors die het toestel onbruikbaar maken. 6.6 [naam onderneming] behoudt zich het recht voor om passende disciplinaire maatregelen te nemen waaronder het opzeggen van de arbeidsrelatie voor het niet voldoen aan dit beleid.
De werknemer verklaart dit beleid te kennen en gaat hiermee akkoord voordat hij/zij een persoonlijk mobiel apparaat voor zakelijke doeleinden ten behoeve van [naam organisatie] gebruikt, inlogt op het netwerk van [naam organisatie] of bestanden van [naam organisatie] via het toestel inziet.
Handtekening werknemer:
Toelichting bij Template Toelichting art. 1: In artikel 1 definieert u de verschillende toestellen die zijn toegestaan onder uw BYODbeleid. Inventariseer van te voren welke toestellen binnen uw organisatie worden gebruikt, zodat u een goed overzicht hebt van de voorkeuren van uw werknemers. Werknemers zijn productiever als zij kunnen werken op een toestel met besturingssysteem van hun voorkeur. Het gebruik van veel verschillende soorten toestellen, merken en modellen kan echter ook problemen veroorzaken als u specifieke beveiligingsmaatregelen wilt nemen. Beperk u daarom tot de meest voorkomende toestellen binnen uw organisatie. Toelichting art. 2: U kunt ervoor kiezen uw werknemers tegemoet te komen in de kosten voor de aanschaf van een toestel, omdat dit ook uw onderneming ten goede komt. Als een persoonlijk toestel voor zakelijke doeleinden wordt gebruikt, zijn daar kosten aan verbonden. Maak duidelijke afspraken over de kosten die u vergoedt, en welke kosten onder persoonlijk gebruik vallen en dus voor rekening van de werknemer zelf komen. Toelichting art. 3: Maak duidelijke afspraken met uw werknemers over de manier waarop, en de doelen waarvoor zij het toestel mogen gebruiken, zowel zakelijk als privé. Overleg hierover met uw werknemers, en leg uit waarom bepaald gebruik niet is toegestaan. De lijst van art. 3 moet uitputtend zijn, zodat zowel u als uw werknemers precies op de hoogte zijn van wat zij wel en niet mogen. Stel daarnaast een lijst op van websites of categorieën van websites die niet mogen worden bezocht via het toestel wegens ethische redenen of veiligheidsoverwegingen. Let hierbij op dat u uw werknemers niet te zwaar beperkt in hun persoonlijke gebruik van het toestel. Voeg deze lijst toe als bijlage 1 bij dit beleid. Ditzelfde geldt voor een lijst met (niet) toegestane apps. U kunt ervoor kiezen een zwarte lijst op te stellen met apps die niet zijn toegestaan wegens veiligheidsredenen, bijvoorbeeld omdat deze zakelijke contactpersonen kunnen uitlezen of omdat zij alle bestanden op het toestel mogen inkijken. Leg goed uit aan uw werknemers waarom bepaalde apps niet zijn toegestaan. U kunt er ook voor kiezen een witte lijst op te stellen met toegestane apps, waarmee u automatisch alle andere apps uitsluit. Voeg deze lijst toe als bijlage 2 bij dit beleid. Toelichting art. 4: Beveiliging is een belangrijk onderwerp bij BYOD. Maak hier duidelijke afspraken over in het beleid, zodat de medewerker precies weet wat er van hem/haar verwacht wordt, welke maatregelen getroffen (moeten) worden en wat er kan gebeuren bij verlies of diefstal van het toestel. Toelichting art. 5: Ga niet voorbij aan het belang van de privacy van uw werknemers. Uw werknemers moeten weten dat u hun persoonlijke levenssfeer zo veel mogelijk zult respecteren, maar moeten ook op de hoogte zijn van het feit dat u hier indien noodzakelijk inbreuk op zou kunnen maken. Toelichting art. 6: Als laatste moet u de risico’s en aansprakelijkheden verdelen. Houdt hierbij rekening met aansprakelijkheden die voortvloeien uit de wet. Neem hierin ook maatregelen mee die
kunnen worden genomen indien de werknemer zich niet aan dit beleid houdt. Een beleid is pas effectief als het wordt gehandhaafd. Toelichting ondertekening: Laat uw medewerkers dit beleid ondertekenen. Daarmee binden zij zich aan hetgeen in het beleid is bepaald en krijgt het beleid juridische kracht.