De bring-your-own-device-trend (BYOD) is een feit: werknemers gebruiken massaal een eigen smartphone, laptop of tablet voor zakelijke doeleinden. E-mailen met een eigen smartphone of toegang tot het bedrijfsnetwerk met een eigen tablet heeft zijn voordelen. De werknemer kiest voor de apparaten die hij het prettigst vindt en gebruikt deze tevens voor privézaken. Maar wat betekent de hype voor u als werkgever? Hoe beschermt u uw organisatie tegen virussen, datalekken en overmatig privégebruik?
Omgang met BYOD vereist een zorgvuldige afweging. Allereerst is er aansprakelijkheid naar de werknemer toe: als de werknemer schade lijdt, bent u daarvoor verantwoordelijk. Uit de wet volgt namelijk dat de werkgever de gereedschappen waarmee het werk wordt gedaan zó moet inrichten dat de werknemer daar redelijkerwijs geen schade door kan lijden (de zogenaamde zorgplicht). Dit betekent dat u aansprakelijk bent wanneer een virus of andere rommel schade toebrengt aan het device van de werknemer.
Voorwaarde hierbij is wel dat de schade binnen de uitvoering van de arbeidsovereenkomst valt. Een werknemer die met zijn privélaptop bedrijfsemail leest, waarna een Outlookworm op dat apparaat een bedrijfsgeheim doormailt naar Rusland, handelt binnen de uitvoering van de overeenkomst. Hij was tenslotte werkemail aan het afhandelen. De schade is in dit geval op u verhaalbaar.
Het omgekeerde kan ook: u krijgt een claim van een derde vanwege wat een werknemer doet. Denk aan het downloaden en gebruiken van illegale bedrijfssoftware. Een werknemer die een illegale kopie van Office op zijn device heeft staan en daarmee zijn werkzaamheden op kantoor uitvoert, handelt in het kader van zijn arbeidsovereenkomst. En dus ligt de aansprakelijkheid voor de missende licentie bij u. Het is aan u om te zorgen dat de werknemer de juiste licenties bezit. Het is een ander verhaal wanneer de werknemer illegale games downloadt. Hij handelt niét binnen de uitvoering van zijn arbeidscontract. Illegale games behoren niet tot zijn werkzaamheden. De werknemer is zelf aansprakelijk voor eventuele schade.
Zolang de werknemer zijn werk doet bent u dus aansprakelijk. Dit is ongeacht onderlinge afspraken of opgelegde verboden. De aansprakelijkheid bij de werknemer neerleggen in een BYOD-reglement is dus geen oplossing. Wél kunt u risico’s uitsluiten door in het reglement afspraken vast te leggen over bijvoorbeeld de beveiliging van de devices en het uitoefenen van controle.
Het controleren van devices van uw werknemers lijkt misschien de oplossing om problemen omtrent BYOD te voorkomen. Echter is het onder de loep nemen van privéapparatuur in het kader van het privacyrecht van de werknemer slechts toegestaan indien de werknemer op de hoogte is van het feit dat hij gecontroleerd zou kunnen worden. Bovendien moeten de doeleinden voorafgaand aan de controle zijn vastgelegd. Dit realiseert u door een controlebepaling op te nemen in het BYOD-reglement.