Home Actueel Archief Mobile Device Management: waarom iedere organisatie dit nodig heeft

Mobile Device Management: waarom iedere organisatie dit nodig heeft

Archief ICT & Privacy
24-01-18

De Informatie Beveiligingsdienst voor gemeenten (IBD) heeft eerder deze maand een update gepubliceerd van de aanwijzing Mobile Device Management.

In deze aanwijzing worden richtlijnen gegeven voor de gemeenten over het beheer en gebruik van mobiele gegevensdragers (mobile devices) zoals smartphones, tablets en laptops. De update zorgt ervoor dat de adviezen in lijn worden gebracht met de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van kracht zal zijn. Niet alleen voor gemeenten, maar ook voor alle andere organisaties die te maken hebben met persoonsgegevens, is een beleid over het gebruik van de mobiele devices door medewerkers een must-have. Waarom?

Uit de aanwijzing van de gemeenten kunnen een aantal lessen worden getrokken die niet alleen binnen de overheid gelden. Zo worden in de aanwijzing een aantal aanleidingen voor de aanwijzing omschreven, die voor iedere organisatie gelden. Onder meer: 

  1. Mobiele apparaten kunnen een malware besmetting oplopen en daarmee de organisatie infecteren;
  2. Mobiele apparaten kunnen worden gebruikt om systemen van de organisatie te benaderen waarin persoonsgegevens en andere gevoelige informatie staat opgeslagen;
  3. Mobiele apparaten kunnen (persoons-)gegevens bevatten (of daar gemakkelijk toegang toe krijgen) en deze apparaten worden doorgaans “buiten” (d.w.z. niet op kantoor) gebruikt.

Mobiele apparaten vormen dus een zwakke schakel in de security van een organisatie. Verkeerd of slordig gebruik kan ertoe leiden dat (persoons-)gegevens zoekraken of worden ingezien door onbevoegden. Daarmee wordt de kans op een datalek aanzienlijk vergroot. Voor een datalek geldt dat deze binnen de organisatie op de juiste manier moet worden gedocumenteerd, dat herhaling moet worden voorkomen door het treffen van maatregelen en bovendien geldt in veel gevallen dat het datalek bij de Autoriteit Persoonsgegevens moet worden gemeld. Soms moeten ook de betrokken personen (op wie de gegevens betrekking hebben) worden ingelicht. Een datalek is dus een reëel bedrijfsrisico, waar de organisatie mee moet kunnen omgaan.

Als een organisatie persoonsgegevens verwerkt én medewerkers in dienst heeft die van mobiele apparaten gebruik maken, is een intern beleid op het gebruik van mobiele apparaten een must-have onder de AVG. De AVG legt namelijk de nadruk op de eigen verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Dit betekent dat wanneer de Autoriteit Persoonsgegevens een controle uitvoert bij een organisatie, dat de AP onder meer op basis van interne documentatie zal nagaan of een organisatie de AVG inderdaad correct naleeft. Een beleid op het gebruik van mobiele apparaten is in dat geval zeer aan te bevelen.

Een intern beleid op het gebruik van mobiele apparaten ziet op onder meer:

Van belang is dat een organisatie kan aantonen dat zij heeft nagedacht over het beleid en dat er protocollen zijn. Een beleid kan dus niet een-op-een gekopieerd worden van andere organisaties en behoeft aanpassing aan de eigen organisatie.

Ons privacyteam kan u helpen om een beleid en protocollen op te stellen, graag bespreken wij met u de mogelijkheden.

 

Deel dit artikel