Als we Gartners voorspelling moeten geloven, zal in 2017 de helft van alle bedrijven zijn werknemers dwingen om eigen smartphones te gebruiken voor hun werk. Zelfs als het niet zo snel gebeurt, denk ik dat een flink aantal bedrijven deze stap wel gaat zetten de komende jaren. Voor veel CEO’s is het idee hetzelfde als werknemers verplichten hun eigen auto te gebruiken voor hun werk of om zelf uniformen aan te schaffen.
De economische gevolgen van dit beleid zijn echter veel groter dan de vraag wie er nu precies voor wat betaalt. De modellen die we kennen van ‘gebruik je eigen auto’ of ‘koop je eigen uniform’ bieden geen houvast in het landschap dat verplichte BYOD met zich meebrengt.
Keus bij de werknemer
Ik denk dat je werknemers de vrije keus moet bieden welke tool het beste werkt – of het nu computers, mobiele apparaten, applicaties of clouddiensten zijn – als deze keuzes maar niet de bedrijfsprocessen, resultaten, compliance en beveiliging ondermijnen. Ik denk dat veel leveranciers en IT-organisaties beveiligingsrisico’s groter maken dan ze zijn om hun verdienmodel te verbeteren, omdat ze controle willen uitoefenen op de organisatie, of vanwege een ongezonde angst om alle mogelijke risico’s uit te sluiten. Dat neemt natuurlijk niet weg dat er legitieme beveiligingsrisico’s zijn die je beter kunt vermijden.
Op het eerste gezicht lijkt verplichte BYOD een beleid dat de keuze bij de werknemer legt, ook al is het idee voortgekomen uit gierige motieven. Het legt ook wel de keuze bij de werknemer, maar het zorgt er ook voor dat bedrijven twee nieuwe principes moeten omarmen. Principes die de meeste IT-organisaties en juridische afdelingen in de gordijnen jagen:
* Bedrijfsdata zijn niet langer netjes opgeborgen in bedrijfssystemen en –databases, dus informatiebeheer en de beveiliging van gegevens zijn niet langer te garanderen.
* Individuen worden de eigenaren van die informatie en bepalen het procesmanagement. Dat zijn niet langer de bedrijven, die worden dan in wezen klanten van die individuen.
Dat zijn allebei richtingen die we al zijn ingeslagen met het BYOD-tijdperk en met telewerken. Bedrijven kunnen zich vandaag de dag nog vasthouden aan het idee dat het systeem om data te beheren in principe is gebouwd om bedrijfsdata binnen de muren te houden en dat de consumerization-trend alleen uitzonderingen op deze regel zijn. Maar dit verandert als je BYOD gaat verplichten.
Revolutionare omslag
Laten we wel wezen: het verplichten van BYOD houdt een revolutionaire omslag in. Het betekent namelijk dat we niet meer kijken naar hoe individuele eisen binnen het bedrijf passen, maar dat we kijken hoe bedrijfseisen bij het individu passen. De zakelijke wereld omgedraaid dus.
Hoe veel bedrijven en beheerders de schijn hooghouden, wat met verplichte BYOD niet meer valt vol te houden.
Lees verder op pagina 2.
Toen BYOD in opkomst raakte in 2010 waren veel professionals bezorgd omdat ze zagen dat beveiliging en compliance niet gegarandeerd kunnen worden, zelfs niet met de tools op het gebied van Mobile Device Management die op dat moment op de markt waren. Wat betreft thuis-pc’s of systemen op kantoor konden ze dat ook niet, maar je kunt de schijn van compliance daar tenminste nog hooghouden. Veel professionals doen nog steeds of ze de beveiliging van mobiele apparaten kunnen garanderen dankzij de honderden producten die dat claimen.
Fundament valt weg
Maar zelfs met dat doen alsof is het fundament van bedrijfsvoering er momenteel nog op gericht om bedrijfsdata en privégegevens te scheiden. Via versleuteling, wachtwoordbeleid, remote-beheer, app-containers, VPN-toegang, virtuele machines, webtoegang tot back-end-data, mobiele apparaten met twee accounts en/of een van de vele andere technieken om mobiele applicaties te beheren.
En dit fundament valt weg als je BYOD verplicht stelt. Zelfs als je werknemers een beperkte keuze oplegt voor welke smartphones en tablets ze mogen kiezen. Dit staat gelijk aan de huidige praktijk van ‘koop je eigen uniform’. Maar dan kun je echter niet bepalen welke persoonlijke apps of diensten die werknemers mogen gebruiken op die apparaatselectie. Daarnaast wordt het lastig een solide wachtwoordbeleid te voeren, omdat het apparaat het meest wordt gebruikt voor persoonlijke activiteiten. Wie wil nu steeds het wachtwoord wijzigen om te kunnen tweeten of om een zelfgemaakte foto in de fotogalerij te kunnen zien?
Wanhopige werknemers
Ik neem aan dat een zeer autoritair bedrijf – en deze bestaan – ermee weg kan komen om werknemers te laten betalen voor een apparaat en vervolgens er IT-policies op te verplichten zodat persoonlijke apps of data er niet op gebruikt kunnen worden. Dat is hetzelfde als verplichten waar mensen hun uniform kopen én ze te verplichten om het schoon en gestreken te houden. Maar zo’n bedrijf zal alleen werknemers behouden die wanhopig zijn en helemaal geen zelfvertrouwen hebben. Als een bedrijf echt zoveel controle wil houden, moet het toch echt zelf de hardware aanschaffen.
Je zou misschien verwachten dat het idee van je eigen auto voor bedrijfsreizen meer van toepassing is op zo’n verplicht BYOD-beleid. Veel bedrijven weigeren immers te betalen voor de auto’s van werknemers. Maar voor personeel dat met klanten omgaat eisen ze wel bepaalde verzekeringen, zelfs het soort dat de werkgever schadeloos stelt. En daarbij vereisen ze soms dat de auto er representatief uitziet. Dat klinkt wel een beetje als BYOD: gebruik je eigen smartphone, maar zorg ervoor dat deze voldoet aan onze voorwaarden die we vervolgens controleren zodra je contact legt met de Exchange-server.
Maar in tegenstelling tot een auto, krijgt een apparaat als smartphone, tablet of pc te maken met bedrijfsprocessen en bedrijfsdata. Met andere woorden: dit apparaat wordt onderdeel van het operationele proces van een organisatie waarbij de werkgever deze controle uit handen heeft gegeven aan de werknemer. Deze relatie lijkt meer op het outsourcen van IT. Maar dan met het grote verschil dat élke werknemers een aparte outsourcende entiteit wordt en dat hiermee wordt het operationele proces onbeheersbaar wordt.
Met verplichte BYOD behandelt een bedrijf zijn eigen mensen als gedetacheerde werknemers.
Lees verder op pagina 3.
Kortom, verplichte BYOD gaat ervan uit dat werknemers gedetacheerde arbeidskrachten zijn die zelf hun informatie en proces beheren. Het bedrijf is dan de klant, niet de eigenaar. Dit ondanks wat de CEO, de bedrijfsadvocaten en de personeelsmanager denken dat er is vastgelegd in het contract met de werknemer. Verplichte BYOD zorgt ervoor dat deze afspraak alleen nog maar een functie in de back-end is.
Is dat een slechte zaak? Waarschijnlijk niet. Dit is het model waar we al lang op afstevenen. Eigenlijk als sinds de jaren 90 toen sociale cohesie binnen bedrijven begon af te brokkelen. Personeelsbestanden bevatten zoveel mogelijk freelancers en bedrijven behandelen de vaste werknemers steeds meer alsof ze op oproepbasis werken. Die trend wordt met BYOD en eventueel straks verplichte BYOD slechts doorgezet.
Traditionele zorgen
Met een bedrijfsmodel met oproeppersoneel en outsourcing laat je het oude zakelijke model los waarin alles intern werd gehouden. Dit betekent dat ook informatiebeheer, procesmanagement en ownership worden losgelaten. Verplichte BYOD maakt daar een formele wijziging van.
Helaas weten de bedrijven die BYOD verplicht stellen vaak niet wat deze beslissing voor ze betekent. Er is geen technische methode om monolithische controle te houden in een bedrijf van gedetacheerde werknemers. En de regelgeving is er al helemaal niet op voorbereid. Nu al komen traditionele interne zorgen als back-up en het wissen van gegevens in botsing met de ingewikkelde relatie van zakelijke en persoonlijke apparaten.
Verschuiving officieel
Dit wordt een rommelige omslag met een hoop onvoorziene consequenties. Maar er is ook goed nieuws. Zoals ik al zei, is dit een richting die we toch al opgingen en verplichte BYOD zorgt er alleen maar voor dat deze verschuiving officieel wordt. We hebben deze expliciet verwoorde verschuiving nodig om de echte discussie te beginnen over hoe de zakelijke wereld en de regelgeving moeten meeveranderen.
Of je nu een bedrijfsmanager bent, IT-manager, jurist of beleidsmaker, dit debat zal de discussies die we de laatste jaren over BYOD hebben gevoerd een peulenschil laten lijken.
Op die manier schiet BYOD zijn doel voorbij, vrees ik. Er zijn mooie verhalen verteld, over het feit dat het de kapitaalintensieve industire was die mensen dwong in één gebouw te werken, iets dat we later ook zo uitvoerden in de kantooromgeving. Het enige voordeel: samenwerken zonder fysieke afstand. Zero distance wordt dit wel genoemd. HNW en BYOD maken deze zerodistance ook mogelijk zonder fysiek in de zelfde ruimte te verblijven. Daarvoor is moderne technologie nodig én vertrouwen. Dat laatste aspect is in het geschetste voorbeeld geheel weg...
Reageer
Preview