De zorgen rond BYOD zijn terecht. Dagelijks komen er maar liefst 8.240 nieuwe bedreigingen bij, gericht op het besturingssysteem dat op het overgrote deel van dit soort apparaten draait. Onlangs nog ontdekten de onderzoekers van het G DATA SecurityLab een schijnbaar onschuldig spelletje, dat volledig buiten medeweten van en zonder interactie met de gebruiker twee dure abonnementen van 5 euro per week per stuk opzette. Het malware-vrij houden van een smartphone wordt steeds moeilijker.

Maar hoe groot het gevaar op malware ook is, er is een nog groter risico: het risico dat je je smartphone verliest of dat die gestolen wordt. Wie zijn smartphone voor zakelijke doeleinden gebruikt, weet hoe veel data er op zo’n mini-computer staan. Het adresboek staat vol met telefoonnummers en e-mailadressen van zowel persoonlijke als zakelijke contacten.

Vaak zijn er twee mail-accounts aan een smartphone gekoppeld: de eigen mail en de zakelijke mail. In die mail-app kunnen tot wel enkele maanden aan e-mails zitten. In die e-mails staat veel informatie die niet bedoeld is voor onbevoegden. Niet zelden staan er op de smartphone eerder gedownloade spreadsheets en andere bijlagen die financiële of bedrijfskritieke informatie bevatten. Al deze gegevens kunnen in handen komen van een dief of een nieuwsgierige, niet helemaal eerlijke vinder.

Beveiligings-app

Deze beide bovenstaande gevaren kunnen worden ingedamd door gebruik te maken van een beveiligings-app. Maar daarmee is een relatief nieuw, maar zeker niet ondergeschikt gevaar niet afgedekt.

Ik heb het over een juridisch gevaar waarover schrikbarend weinig bekend is bij de meeste Vlaamse ondernemers: overtreding van de bestaande wetgeving over databescherming. Steeds vaker besluiten werknemers dat het erg gemakkelijk is om overal over gegevens te beschikken die zij voor hun werk nodig hebben. Er zijn allerlei - vaak gratis- tools, die dit mogelijk maken. Denk hierbij aan oplossingen als Dropbox, Google Drive, iCloud, en andere cloud-oplossingen.

Op zich is dat wettelijk gezien niet illegaal, tenzij er tussen al die data persoonsgegevens zitten. En het begrip “persoonsgegeven” is ruim gedefinieerd: een simpel e-mail adres wordt al als persoonsgegeven gekenmerkt.

Volgens de wet mogen persoonsgegevens namelijk niet de grenzen van de EU verlaten. Tot 6 oktober 2015 gold het zogenaamde Safe Harbor-verdrag. In dat verdrag werd afgesproken dat de VS werden gelijkgesteld aan de EU: het werd gezien als een “veilige haven” voor persoonsgegevens. Sinds de onthullingen van Edward Snowden over de verregaande spionage- en massasurveillance-praktijken van de Amerikaanse geheime dienst NSA, weten wij beter: de VS zijn allesbehalve een veilige haven voor persoonsgegevens.

Sinds de eerste onthullingen is er al geprobeerd om het Safe Harbor-verdrag ongeldig te laten verklaren. Op 6 oktober 2015 heeft het Europese Hof van Justitie dit uiteindelijk ook gedaan. Sinds die datum is er hard gewerkt aan het op poten zetten van een nieuw verdrag, waarbij de VS de privacy van Europeanen beter zal borgen. De deadline van de onderhandeling, 31 januari, kwam en ging zonder dat er resultaat was geboekt. Op 2 februari meldden de onderhandelaars dat er in grote lijnen een akkoord was bereikt. Echter: nagenoeg alle experts zijn sceptisch. De lijnen zijn wel erg grof en de echte uitonderhandeling van de details kan nog een hele tijd duren.

Geen persoonsgegevens in Amerikaanse clouds

Totdat het nieuwe verdrag is uitgewerkt en getekend, mogen geen persoonsgegevens in Amerikaanse clouds worden opgeslagen. Een haast onmogelijke opgave met al die “own devices” met eigen gekozen apps erop.

Om ook dit probleem aan te pakken, is het binnen een zakelijke omgeving verstandig om na te denken over een gecentraliseerde aanpak met behulp van een Mobile Device Management-oplossing. Daarmee kunnen alle devices vanaf één server worden gescand en beheerd. Bij verlies of diefstal kan een apparaat worden gelokaliseerd of geblokkeerd en de data kunnen van het toestel worden gewist. Bovendien kan met Mobile Device Management worden bepaald welke apps wel en niet mogen worden geïnstalleerd op het device. Hiermee kan het gebruik van cloud-diensten een halt worden toegeroepen.

Maar pas op: Wanneer medewerkers plotseling iets niet meer mogen doen wat ze altijd graag hebben gedaan, kan dat tot weerstand leiden. Het is daarom van groot belang om goed te motiveren waarom beveiligingsmaatregelen worden getroffen. Als er kennis en begrip is over de mogelijke negatieve consequenties van bepaald gedrag, zal het gemakkelijker zijn om dat gedrag te veranderen. Vergeet dus niet om dat draagvlak vooraf te creëren. (D.C.)

(Bovenstaande bijdrage kwam tot stand in samenwerking met G DATA Software Belgium B.V.B.A. (Groot-Bijgaarden)).

Meer info: 070/350.129 of www.gdata.be.