Bring Your Own Device (BYOD) beleid

Aanleiding

In het verleden waren de faciliteiten die op de werkplek voorhanden waren (computers, telefoons) over het algemeen van betere kwaliteit dan de faciliteiten van de medewerker thuis. Inmiddels zijn gadgets zo populair en toegankelijk dat het steeds vaker voorkomt dat thuis betere (nieuwere) faciliteiten voorhanden zijn dan op de werkplek. Dit leidt ertoe dat medewerkers deze faciliteiten ook willen gebruiken voor het uitvoeren van hun functie. Als dit er toe leidt dat een medewerker beter of sneller zijn taken kan uitvoeren, is dit voor de werkgever ook gunstig. Door BYOD neemt de productiviteit dus toe (je werkt tenslotte op een apparaat waarmee je zelf het prettigst werkt).

Naast deze voordelen kleven er echter ook nadelen aan het meebrengen van eigen apparaten. Op de eerste plaats is er een beveiligingsprobleem: informatie kan opgeslagen worden op het apparaat waardoor ook onbevoegden hiervan kennis kunnen nemen. Ook is het mogelijk dat via de apparaten vervuiling van het interne netwerk (virussen) optreedt. Daarnaast zal het gebruik van persoonlijke apparaten (technisch) ondersteund moeten worden door de organisatie. Dit zal een investering vragen in tijd, kennis en geld. Het is daarom nodig om kaders te stellen voor het gebruik van persoonlijke apparaten. Vandaar dit BYOD beleid.

Beleidskeuze

De Gemeente Velsen is zich bewust van de maatschappelijke en technologische ontwikkelingen die verlangen dat medewerkers sociaal en zakelijk kunnen functioneren door gebruik te maken van één of meerdere apparaten die op vergelijkbare wijze toegang verschaffen tot zowel het zakelijke als het privé netwerk, ongeacht de fysieke plek waar deze apparaten worden ingezet en ongeacht de eigenaar van het apparaat.

Daarom heeft de Gemeente Velsen een BYOD beleid opgesteld dat dit mogelijk maakt, tenzij dat faciliteiten vereist die teveel risico opleveren voor de beveiliging van het bedrijfsnetwerk en de gegevensverzamelingen in databases die via dit netwerk toegankelijk zijn.

Operationele uitwerking BYOD beleid

Om het beleid niet afhankelijk te maken van ontwikkelingen in de mark,t is ervoor gekozen om de technische voorzieningen en de ondersteunde apparaten en systemen niet in het beleid zelf op te nemen. Deze worden benoemd in respectievelijk appendix C en appendix B. Deze appendices kunnen bij ontwikkelingen in de markt met goedkeuring van de gemeentesecretaris worden aangepast. Daarnaast is de medewerker zelf verantwoordelijk voor de werking van het eigen apparaat. Hiervoor kan geen gebruik worden gemaakt van de ondersteuning van Automatisering.

Om ervoor te zorgen dat de medewerker op de hoogte is van de voorwaarden van het BYOD beleid, moet de medewerker een verklaring zoals weergegeven in appendix D tekenen.

Beleidsbewaking

• 1. Het bestuur is eindverantwoordelijk voor het BYOD beleid.

• 2. De afdelingsmanagers conformeren zich bij de aansturing van medewerkers aan het BYOD beleid.

• 3.De werkeenheid Automatisering fungeert als beheerder en bewaker van de kosten van het BYOD beleid en bewaakt de samenhang tussen het BYOD beleid en het automatiseringsbeleid.

• 4.De afdeling Informatiemanagement bewaakt de samenhang tussen het BYOD beleid en het informatiebeleid en het informatiebeveiligingsbeleid.

• 5.De Ondernemingsraad krijgt een adviserende en signalerende rol.

Financiële aspecten

Omdat bij de implementatie gebruik gemaakt kan worden van de systemen die ook worden aangeschaft voor het gebruik van gemeentelijke mobiele apparaten, blijft de investering binnen het voor het BYOD beleid gereserveerde budget. De beheerkosten zullen naar verwachting de komende jaren niet buiten de reguliere budgetten komen. Dit is mede afhankelijk van het aantal mensen dat van het beleid en de bijbehorende voorzieningen gebruik gaat maken.

Risicobeheersing

BYOD beleid brengt geen nieuwe risicoprofielen met zich mee. Het bestaande beveiligingsbeleid biedt voldoende mogelijkheden.

Communicatie

Bij de invoering van het BYOD beleid is het van belang dat in de organisatie over de voorwaarden voor gebruik van eigen apparaten en de bijbehorende BYOD verklaring wordt gecommuniceerd. Daarnaast kan het BYOD beleid gebruikt worden om de Gemeente Velsen als aantrekkelijke en moderne werkgever te profileren.

2.1 Technologische en maatschappelijke ontwikkelingen

Sinds de opkomst van de PC in het midden van de jaren tachtig van de vorige eeuw zijn mensen en organisaties steeds meer gebruik gaan maken van computersystemen. Na de opkomst van het internet en de mobiele telefoon in het midden van de jaren negentig, is de manier waarop mensen en organisaties informatie uitwisselen sterk veranderd. Deze ontwikkeling is in een stroomversnelling geraakt door de opkomst van de smartphone in het begin van deze eeuw.

Doordat internet altijd en overal beschikbaar is, heeft men altijd toegang tot voorzieningen als e-mail, social media en zoekmachines.

Omdat mobiele apparaten die direct toegang hebben tot internet relatief jong zijn, is niet exact te voorspellen hoe deze zich in de toekomst gaan ontwikkelen. Wel is duidelijk dat met name kenniswerkers en mensen die veel overleggen, steeds meer gebruik zullen gaan maken van mobiele apparaten voor kennisuitwisseling en ter ondersteuning van hun werkzaamheden.

Een uitgebreider overzicht van deze ontwikkelingen is te vinden in de bijlage “Technologische en maatschappelijke ontwikkelingen”.

2.2 Het Nieuwe Werken / Social Media

De combinatie van technologische ontwikkeling en de ontwikkeling op de arbeidsmarkt heeft geresulteerd in een nieuw arbeidsconcept dat wordt aangeduid met “Het Nieuwe Werken”, afgekort tot HNW. De meest voorkomende vorm is het thuiswerken door kantoormedewerkers, maar het concept betreft alle vormen van plaats- en tijdonafhankelijk werken die worden gefaciliteerd door de nieuwe informatietechnologie. Om HNW succesvol uit te kunnen rollen, moeten er kaders vastgelegd worden voor de inzet van persoonlijke apparaten tijdens het uitvoeren van werkzaamheden voor de gemeente.

Het benutten van de mogelijkheden van draadloze netwerken (zoals WiFi, 3G en 4G), gecombineerd met de smartphone, tablet, en laptop (netbook en notebook), maakt het mogelijk om het werk flexibeler in te richten. Het stelt niet alleen kantoormedewerkers in staat hun kantoorwerkzaamheden op tal van plaatsen te verrichten, het stelt ook buitendienstmedewerkers in staat hun werkzaamheden bij de klant of tijdens inspecties “in het veld” beter en sneller af te handelen.

Binnen HNW spelen social media een belangrijke rol. Collega’s zijn niet meer zo vaak gelijktijdig op de reguliere werkplek aanwezig en benutten de mogelijkheden van social media als alternatief voor het elkaar opzoeken op de werkplek of de bedrijfskantine. Daarnaast worden social media door kenniswerkers gebruikt om kennis en ervaringen te delen met vakgenoten buiten de eigen organisatie.

Op die virtuele ontmoetingsplekken komen de medewerkers ook andere mensen tegen. Dit zijn deels mensen uit de eigen privé omgeving, en deels mensen met vergelijkbare professionele interesse. Als er belangrijk nieuws is, algemeen maatschappelijk maar ook professioneel, weten de actieve social media gebruikers dat meestal eerder dan hun collega’s die alleen gebruik maken van de traditionele media als TV, radio, en dag- en vakbladen. Het gebruik van social media, ook voor professionele doeleinden, beperkt zich niet tot de werkplek en kantooruren, maar gebeurt ook buiten kantoortijden en op de eigen apparaten.

2.3 E-dienstverlening

Steeds meer bedrijven en instellingen streven naar het zoveel als mogelijk afhandelen van de communicatie met en het verlenen van diensten aan hun klanten via het internet (elektronische dienstverlening). Bijvoorbeeld gemeenten die, onder invloed van het NUP (Nationaal UitvoeringsProgramma op het gebied van e-dienstverlening) in de afgelopen jaren van hun statische website een interactieve website hebben gemaakt.

Steeds meer klanten (bij gemeenten zijn dat burgers en bedrijven) vullen hun dienstverleningsverzoeken in op zogenaamde e-formulieren die de website in de frontoffice beschikbaar stelt. Daarbij volstaat het invullen van het klantnummer, bankrekeningnummer, Burgerservicenummer (BSN) of de DigiD om de bekende gegevens op te halen uit de databases op de servers van de organisatie, waarna de klant alleen nog maar zijn specifieke wensen hoeft aan te kruisen en/of in te vullen.

Die ingevulde e-formulieren worden samen met binnengekomen e-mails, gecodeerde telefonische verzoeken en gedigitaliseerde correspondentie in de zogenaamde midoffice “opgepakt” door een case management systeem (zaaksysteem) dat de elektronische bezorging bij de juiste medewerker verzorgt. Als die medewerker werkt overeenkomstig HNW concept, maakt het niet uit waar en wanneer de medewerker deze zaken afhandelt. Hierdoor kan de medewerker waar en wanneer deze maar wil via een apparaat inloggen en zaken op kunnen pakken. Zeker buiten kantoortijden zou de medewerker hiervoor het eigen apparaat kunnen gebruiken.

2.4 Beveiligingsontwikkeling

Door de technische en maatschappelijke ontwikkelingen zijn organisaties gedwongen anders om te gaan met hun informatiebeveiliging. Naast de ontwikkeling rondom websites, waarbij deze niet meer alleen een statisch uithang- en informatiebord van een organisatie zijn, maar vooral ook een loket waar men daadwerkelijk producten en diensten af kan nemen, is ook het gebruik van systemen veranderd. Waar medewerkers vroeger alleen vanaf de werkplek documenten en gegevens op het netwerk konden benaderen, kunnen ze dat nu ook via het internet. Medewerkers die een telewerkvoorziening hebben, hebben vanaf hun laptop of PC op afstand toegang tot hun normale werkomgeving. Hierdoor zijn gegevens op het netwerk van de Gemeente Velsen ook van buiten het gemeentehuis toegankelijk geworden.

Met de opkomst van slimme mobiele apparaten, zoals smartphones en tablets, is er een extra risicogroep bijgekomen. Mensen gebruiken deze apparaten regelmatig om hun e-mail bij te houden of documenten te lezen. Als er geen voorzieningen zijn om dit vanaf het netwerk van de organisatie te doen, wordt al snel gezocht naar alternatieven op internet, zoals Dropbox. Op dat moment worden documenten buiten het bereik van de organisatie geplaatst, waardoor de veiligheid van de documenten niet meer gegarandeerd kan worden.

Als een organisatie technische en organisatorische voorzieningen treft waarmee medewerkers op gecontroleerde wijze toegang kunnen krijgen tot de bestanden, hoeven medewerkers ook geen alternatieve manieren te zoeken om deze te raadplegen. Een uitgebreider overzicht van de ontwikkelingen op dit gebied is te vinden in de bijlage “Ontwikkeling beveiliging automatisering”.

3.1 Formulering BYOD beleid

De Gemeente Velsen is zich bewust van de maatschappelijke en technologische ontwikkelingen die verlangen dat medewerkers sociaal (intercollegiaal en privé) en zakelijk kunnen functioneren door gebruik te maken van één of meerdere apparaten die op identieke wijze toegang verschaffen tot het zakelijke netwerk (en databases) alsmede het privé netwerk (en databases), ongeacht de fysieke plek waar deze apparaten worden ingezet en ongeacht de eigenaar van het apparaat (werkgever of werknemer).

Daarom heeft de Gemeente Velsen een BYOD beleid ontwikkeld dat dit mogelijk maakt zolang de beveiliging van het gemeentelijke netwerk en de gemeentelijke gegevens gewaarborgd kan worden.

De vormgeving van dit beleid is nader uitgewerkt in hoofdstuk 4: “Operationele uitwerking BYOD beleid”.

3.2 Relatie met personeelsbeleid / HNW

Op dit moment is in het bestaande personeelsbeleid niets expliciet opgenomen over Het Nieuwe Werken (HNW). Wel zijn er vanuit het BYOD beleid raakvlakken met de Werktijdenregeling Velsen 20141, de Gedragscode voor ambtenaren van gemeente Velsen2 en de Richtlijn voor het gebruik van internet, e-mail en social media3.

Het BYOD apparaat kan aanvullend worden ingezet voor werkzaamheden op kantoor of thuis, maar dat is niet wat er in de werktijdenregeling wordt bedoeld met thuiswerken4.Voor de apparaten die onder het BYOD beleid gebruikt worden, hoeft dan ook niet de checklist voor thuiswerken5 ingevuld te worden.

Mobiele apparaten maken het mogelijk dat gebruikers niet alleen thuis of op kantoor stukken in kunnen zien, maar bijvoorbeeld ook in de trein of “op locatie”. BYOD gebruikers moeten zich dan ook terdege bewust zijn van de eigen verantwoordelijkheid6, zeker als het stukken zijn met vertrouwelijke informatie7.

3.3 Relatie met bestuursbeleid

Op 14 april 2011 heeft de raad gekozen voor de Visie op Velsen 2025 “Kennisrijk werken in Velsen”. Binnen deze visie is ook de rol van de gemeente8 beschreven. Twee van de speerpunten raken direct het BYOD beleid. Als de gemeente zelf kennisrijk werkt, of hiervoor in ieder geval de mogelijkheden biedt, is het makkelijker om kennisrijk werken voor andere organisaties binnen het grondgebied van de gemeente te promoten. Daarnaast wil de gemeente de juiste mensen behouden en aantrekken door aantrekkelijke (secundaire) arbeidsvoorwaarden. Het voor het werk gebruik kunnen maken van het eigen apparaat dat goed aansluit bij de persoonlijke wensen van de medewerker, is één van die secundaire arbeidsvoorwaarden.

3.4 Relatie met Ondernemingsraad

In deze paragraaf worden de relevante passages uit de WOR (wet op de Ondernemingsraden) aangehaald die een relatie hebben met het voorgestelde beleid.

Artikel 25 lid 1 sub K stelt dat de invoering of wijziging van een belangrijke technologische voorziening adviesplichtig is. Artikel 27 inzake het instemmingsrecht bevat geen bepalingen waar het BYOD beleid onder valt. Hoewel men zich kan afvragen of de invoering van een BYOD beleid onder de definitie “invoering van een belangrijke technologische voorziening” valt, heeft het MT van Velsen ervoor gekozen om op basis van dit artikel een adviesaanvraag te doen aan de Ondernemingsraad.

3.5 Relatie met informatiebeleid

In het informatiebeleid worden twee interne ambities benoemd: het verbeteren van de bedrijfsvoering en het beter aansluiten op de interne informatiebehoefte. Beide ambities worden door een BYOD beleid ondersteund.

Doordat medewerkers documenten, dossiers en bestanden kunnen benaderen met hun eigen apparaat, zullen ze ook minder documenten hoeven af te drukken voor overleggen.

Daarnaast wordt met een BYOD beleid indirect een bijdrage geleverd aan de externe ambitie om de burgerparticipatie te verbeteren. Als medewerkers tijdens een overleg direct de relevante dossiers en bestanden kunnen benaderen, zullen zij de bij dit overleg aanwezige burgers beter kunnen informeren.

Daarnaast zijn in het informatiebeleid beleidskeuzes gemaakt die het invoeren van een BYOD beleid eenvoudiger maken. Omdat Velsen kiest voor een servicegerichte architectuur9 en (open) standaarden10, is het relatief eenvoudig om andere systemen toegang te geven tot documenten en gegevens. Ook wordt ernaar gestreefd om alle relevante documenten via een centraal archief11 beschikbaar te stellen.

In het informatiebeleid is expliciet de keuze gemaakt om flexibel werken te ondersteunen12. Met een BYOD beleid wordt ook de volgende stap in het telewerken mogelijk gemaakt: Medewerkers kunnen niet alleen vanaf hun laptop of PC hun documenten en gegevens benaderen, maar ook vanaf mobiele apparaten. Hierbij zijn ze ook niet meer gebonden aan de werkplek of het eigen huis, maar kunnen ze ook documenten inzien tijdens (externe) overleggen of onder het reizen. Dat betekent eigenlijk dat op dat moment alle voorzieningen aanwezig zijn om HNW mogelijk te maken.

3.6 Relatie met automatiseringsbeleid

Tot de vaststelling van het nieuwe automatiseringsbeleid, is het beleidsdocument “Klantgerichte dienstverlening – Fase 0: Beleid infrastructuur, beheer en beveiling” uit 2009 het document dat het geldende beleid beschrijft. In dit beleid is al een aantal punten benoemd die een BYOD beleid direct raken.

In het geldende beleid is de ambitie uitgesproken dat de gebruikerswerkplek op diverse manieren, vanuit het stadhuis, thuis of onderweg ontsloten moet kunnen worden13. Het is eenvoudig een BYOD beleid binnen deze beleidskeuze in te passen.

De beschreven ontwikkelingen waarbij het Document Management Systeem (DMS) breder wordt ingevoerd14 en we steeds meer gebruik maken van standaarden15 16 , maken het technisch invoeren van een BYOD beleid eenvoudiger omdat er minder verschillende systemen ondersteund hoeven te worden.

Afhankelijk van de eisen die voor het BYOD beleid gesteld worden aan beschikbaarheid van systemen en ondersteuning, kan het zijn dat de bestaande eisen op dit gebied moeten worden aangepast. Als iemand met een eigen apparaat zijn gegevens en documenten kan benaderen, is hij immers niet meer gebonden aan de openingstijden van het gemeentehuis. Op dit moment kan een telewerker ook geen aanspraak doen op (persoonlijke) ondersteuning van een applicatiebeheerder of een systeembeheerder als hij besluit om ’s avonds of in het weekend verder te werken. De derdelijnsmedewerkers van Automatisering draaien wel piketdiensten, maar die zijn alleen bedoeld voor het verhelpen van storingen aan de vitale onderdelen van het gemeentelijke netwerk. Deze vitale onderdelen zijn benoemd in de SLA Piket Automatisering.

Als ervoor wordt gekozen om de huidige ondersteuning in uren niet uit te breiden, zijn er geen aanvullende personele kosten om BYOD mogelijk te maken. Dit betekent wel dat de verantwoordelijkheid voor de correcte werking van het apparaat zelf en voor niet-werkgerelateerde toepassingen (zoals telebankieren) volledig bij de gebruiker komt te liggen.

3.7 Relatie met informatiebeveiligingsbeleid

In het informatiebeveiligingsbeleid is een hele paragraaf17 gewijd aan vertrouwelijkheid van gegevens. Hierin wordt impliciet het gebruiken van het eigen apparaat als beveiligingsrisico benoemd, omdat “het onzorgvuldig omgaan met wachtwoorden, inbraak of verlies van draagbare opslagmedia” expliciet als risico wordt benoemd.

Omdat het informatiebeveiligingsbeleid al voorschrijft dat gebruikers hun wachtwoorden niet met anderen mogen delen18 en dat transport van gegevens beveiligd plaats moet vinden19, is een aantal risico’s al afgevangen.

De eis dat elke twee maanden het wachtwoord moet worden vervangen20, is niet van toepassing op het apparaat zelf, maar wel op de toepassingen die gebruik maken van onderdelen van het gemeentelijke netwerk. Het apparaat zal wel moeten worden voorzien van minimaal een pincode, wachtwoord of andere vergelijkbare beveiliging.

4.1 Toegestane apparaten

Medewerkers die eigen apparaten van thuis meebrengen en zich daarmee gelijktijdig toegang willen verschaffen tot een persoonlijke netwerk en het bedrijfsnetwerk, worden daarin alleen gefaciliteerd indien het meegebrachte apparaat voldoet aan de specificaties zoals genoemd in appendix B. Appendix B kan, na toestemming door de gemeentesecretaris, worden gewijzigd als zich situaties voordoen die daarom vragen, zoals:

• • Nieuwe apparaten die voldoen aan de criteria die worden gesteld in het BYOD beleid.

• • Nieuwe besturingssystemen die voldoen aan de criteria die worden gesteld in het BYOD beleid.

• • Nieuwe criteria op het gebied van beveiliging waaraan apparaten en/of besturingssystemen in appendix B niet langer voldoen volgens waarnemingen onder verantwoordelijkheid van de gemeentesecretaris.

4.2 ICT faciliteiten voor BYOD gebruikers

Medewerkers die een persoonlijk apparaat van thuis meebrengen kunnen zich daarmee onbeperkt toegang verschaffen tot de daarvoor beschikbare ICT faciliteiten onder de volgende voorwaarden:

• 1.

  De medewerker in kwestie heeft een BYOD verklaring overeenkomstig appendix D ondertekend.

• 2.

  Het gebruikte apparaat voldoet aan de normen en vereisten zoals gespecificeerd in appendix B.

• 3.

  De medewerker conformeert zich bij het gebruik aan de actuele beveiligingscriteria zoals vastgesteld door de gemeentesecretaris.

Voorbeeld aanvullende bepalingen: Indien de BYOD gebruikende medewerker niet in staat is het eigen apparaat werkend te houden of te krijgen, of andere problemen ervaart met de instellingen op het apparaat die niet met de werkzaamheden te maken hebben, kan de medewerker in kwestie hiervoor geen aanspraak doen op ondersteuning van de Gemeente Velsen.

Toelichting: de voorzieningen op het netwerk die noodzakelijk zijn voor een goede communicatie met het apparaat, horen bij de reguliere onderhoudswerkzaamheden van Automatisering. Het eenmalig inrichten van het apparaat om verbinding te maken met de voorzieningen op het netwerk valt ook binnen deze reguliere werkzaamheden. Als op het apparaat de toepassing voor bijvoorbeeld internetbankieren niet meer werkt, het scherm kapotgaat of iemand de pincode van de persoonlijke SIM-kaart kwijt is, valt dit niet onder de reguliere onderhoudswerkzaamheden van Automatisering. Hiervoor is de medewerker dus zelf volledig verantwoordelijk.

4.3 Toegang tot applicaties

Indien een medewerker (direct of ingehuurd van derden) een BYOD verklaring overeenkomstig appendix D heeft ondertekend, heeft deze medewerker dezelfde toegang tot de applicaties gespecificeerd in appendix C op het bedrijfsnetwerk alsof de medewerker zijn/haar werkzaamheden vervult vanaf een PC die door de werkgever ter beschikking is gesteld.

Appendix C kan, na toestemming door de gemeentesecretaris, worden gewijzigd als zich situaties voordoen die daarom vragen, zoals:

• • Een nieuwe versie van een bestaande applicatie maakt toegang via BYOD apparaten wel mogelijk.

• • Een nieuw aangeschafte applicatie maakt toegang via BYOD apparaten mogelijk.

• • Een bestaande applicatie die via BYOD apparaten benaderd wordt, is niet meer op de gemeentelijke systemen aanwezig.

4.4 Toegang tot gegevensbestanden

Indien een medewerker (direct of ingehuurd van derden) een BYOD verklaring overeenkomstig appendix D heeft ondertekend, heeft deze medewerker dezelfde toegang tot de gegevensbestanden die beschikbaar zijn voor de applicaties gespecificeerd in appendix C via het bedrijfsnetwerk alsof de medewerker zijn werkzaamheden vervult vanaf een PC die door de werkgever ter beschikking is gesteld.

4.5 Toegang tot medewerkerportaal

Indien een medewerker (direct of ingehuurd van derden) een BYOD verklaring overeenkomstig appendix D heeft ondertekend, heeft deze medewerker dezelfde toegang tot het medewerkerportaal alsof de medewerker zijn werkzaamheden vervult vanaf een PC die door de werkgever ter beschikking is gesteld.

4.6 Toegang tot internet

Indien een medewerker (direct of ingehuurd van derden) een BYOD verklaring overeenkomstig appendix D heeft ondertekend, heeft deze medewerker via het gemeentelijke netwerk dezelfde toegang tot het internet alsof de medewerker zijn/haar werkzaamheden vervult vanaf een PC die door de werkgever ter beschikking is gesteld. (Let op! Dit betreft dus niet de toegang via een eigen abonnement of een ander draadloos netwerk.)

4.7 Beveiligingsmaatregelen

Elke medewerker (direct of ingehuurd van derden) die een BYOD verklaring overeenkomstig appendix D heeft ondertekend, dient zich te conformeren aan de beveiligingsvoorschriften zoals vastgelegd in de BYOD verklaring.

5.1 Rol bestuur en directie

Het bestuur is eindverantwoordelijk voor het personeelsbeleid, beveiligingsbeleid, informatiebeleid en automatiseringsbeleid; dus ook voor het BYOD beleid. In de praktijk is de gemeentesecretaris verantwoordelijk voor uitvoering en juiste toepassing en zal zich derhalve inzetten voor een succesvolle implementatie van dit BYOD beleid,

• • Enerzijds door in haar communicatie met medewerkers en derden voortdurend kenbaar te maken dat de organisatie een deugdelijk BYOD beleid heeft uitgewerkt.

• • Anderzijds stelt dit BYOD beleid de medewerkers in staat moderne apparaten van thuis mee te nemen en veilig in te zetten voor zakelijke doeleinden.

5.2 Rol managementteam

De afdelingsmanagers conformeren zich bij de aansturing van medewerkers onvoorwaardelijk aan het BYOD beleid en houden hierbij elkaar integraal op de hoogte binnen het managementteam (MT). Indien zich situaties voordoen die niet passen binnen het BYOD beleid maar wel kunnen resulteren in een verbetering van dat beleid, ligt bij de betreffende afdelingsmanager de verantwoordelijkheid om een dergelijke verbetering bespreekbaar te maken bij de afdeling Informatiemanagement. Bij voorkeur via een door de afdeling Informatiemanagement te ontwikkelen procedure.

5.3 Rol Informatiemanagement

De afdeling Informatiemanagement fungeert als beheerder en bewaker van het BYOD beleid door middel van:

• • Toezicht op de functionele uitvoering van het BYOD beleid.

• • Interne communicatie en externe voorlichting over het BYOD beleid.

• • Onderzoek naar en openstaan voor initiatieven ter verbetering van het BYOD beleid.

• • Voortdurende toetsing van het BYOD beleid aan vergelijkbaar beleid bij andere organisaties en het nemen van daaruit voortkomende initiatieven ter verbetering.

• • Voortdurende toetsing van het BYOD beleid aan ontwikkelingen op andere interne beleidsgebieden en het nemen van daaruit voortkomende initiatieven ter verbetering.

• • Voortdurende toetsing van het BYOD beleid aan maatschappelijke alsmede informatietechnologische ontwikkelingen en het nemen van daaruit voortkomende initiatieven ter verbetering.

• • Voortdurende bewaking van de samenhang tussen informatiebeleid, informatiebeveiligingsbeleid en BYOD beleid.

5.4 Rol Automatisering

De werkeenheid Automatisering fungeert als beheerder en bewaker van de technische, beveiligings- en ICT-kosten van het BYOD beleid door middel van:

• • Toezicht op de technische uitvoering van het BYOD beleid.

• • Voortdurende toetsing van de technische aspecten van het BYOD beleid aan vergelijkbaar beleid bij andere organisaties en het nemen van daaruit voortkomende initiatieven ter verbetering.

• • Voortdurende actieve toetsing van het BYOD beleid aan informatietechnologische marktontwikkelingen en het nemen van daaruit voortkomende initiatieven ter verbetering.

• • Voortdurende bewaking van de kostenontwikkeling voortkomend uit het BYOD beleid, waaronder ICT personeelskosten, en het nemen van daaruit voortkomende initiatieven ter verbetering.

• • Voortdurend overleg binnen Informatiemanagement over het BYOD beleid.

• • Voortdurende bewaking van de samenhang tussen het automatiseringsbeleid en het BYOD beleid.

5.5 Rol Ondernemingsraad

De Ondernemingsraad neemt het aspect BYOD mee bij de totale aandacht voor medewerkertevredenheid/motivatie.

5.6 Toezicht en controle

• 1.

  De afdelingsmanagers zien integraal toe op de implementatie (draagvlak en discipline) van het BYOD beleid bij de medewerkers die direct of indirect aan de betreffende afdelingsmanagers rapporteren.

• 2.

  Informatiemanagement ziet toe op de strategische en operationele aspecten van het BYOD beleid.

• 3.

  Automatisering ziet toe op de technische uitvoeringsaspecten, beveiliging, innovatieve ontwikkelingen en ICT- kosten die samenhangen met het BYOD beleid.

• 4.

  De gemeentesecretaris ziet er op toe dat de drie voorgaande toezichtgebieden adequaat worden bewaakt. (Advies: maak BYOD onderdeel van de managementrapportage.)

5.7 Monitoring en rapportages

Monitoring en rapportages vereisen ICT-investeringen. Indien de directie hiervoor kiest, kan een systeem worden opgezet dat inzicht verschaft in o.a. apparaatgebruik voor taken, pogingen tot omzeiling beveiliging etc.

6.1 Kosten ICT-infrastructuur

Omdat de gemeente al bezig is om software en hardware in huis te halen om mobiel werken mogelijk te maken, blijft de investering voor het BYOD beleid beperkt. Alleen als het totaal van gemeentelijke mobiele apparaten/gebruikers en BYOD apparaten/gebruikers het minimale afnamequotum van 100 overstijgt, zullen er expliciet licentiekosten voor het BYOD beleid gemaakt worden. Deze zullen met de huidige voorzieningen niet groter zijn dan gemiddeld € 20,-- per BYOD deelnemer per maand. Deze kosten zullen deels worden opgevangen doordat papier- en printkosten omlaag aan. Daarnaast kunnen op termijn gemeentelijke apparaten, zoals de Blackberry smartphone, uitgefaseerd worden. De maandelijkse kosten van een dergelijk apparaat, inclusief abonnement, liggen hoger (€37,--) dan de licentiekosten voor een BYOD gebruiker (max. €20,--).

6.2 Beheerkosten

De medewerker is zelf volledig verantwoordelijk voor de werking van het eigen apparaat. Hierdoor zijn er alleen beheerkosten voor de systemen om het BYOD beleid te ondersteunen. Omdat hiervoor dezelfde systemen worden gebruikt als voor gemeentelijke mobiele apparaten, is de verwachting dat de ICT- en beheerkosten zijn op te vangen uit de lopende begroting.

7.1 Verlies / diefstal apparaten

Het risico op verlies en diefstal is bij smartphones, tablets en netbooks aanzienlijk groter dan bij desktop PC’s, maar nauwelijks groter dan bij laptops. Bij BYOD gaat het om persoonlijke bezittingen die de medewerker meebrengt naar zijn werkplek (binnen kantoor of op andere locaties). De medewerker dient meegebrachte persoonlijke bezittingen te beschermen en/of te verzekeren. Het risico van verlies of diefstal treft derhalve primair de medewerker zelf.

Aan dat risico kleeft ook het risico dat het verloren of gestolen apparaat kwetsbare bedrijfsgegevens bevat. Als de medewerker in kwestie de voorschriften ter zake van beveiliging in acht heeft genomen (overeenkomstig de ondertekende BYOD verklaring) is de kans uiterst klein dat het verlies of de diefstal negatieve gevolgen heeft voor de organisatie. Deze risico’s kunnen deels worden beperkt door apps beschikbaar te stellen en de toegang met die apps centraal te beheren.

Het risico bij het meenemen van papieren dossiers bij (externe) overleggen is trouwens groter: Als deze geheel of gedeeltelijk kwijtraken, kunnen de vinders direct bij de informatie in het dossier.

7.2 Computercriminaliteit en inbraak door hackers

Het BYOD beleid heeft geen andere invloed op dit risico dan de reeds bestaande risico’s die voortkomen uit reeds bestaande voorzieningen als:

• • Internet toegang.

• • e-dienstverlening.

• • Smartphones.

Wel zal de organisatie voorzieningen moeten treffen dat derden geen onbevoegd gebruik kunnen maken van de diensten die geleverd worden in het kader van het BYOD beleid.

8.1 Interne communicatie

Het vastgestelde BYOD beleid betreft primair de interne organisatie. Het zijn immers de bestuurders, managers en medewerkers die hun eigen apparaten van thuis willen meebrengen en vervolgens zakelijk willen inzetten.

Het vastgestelde BYOD beleid biedt hiervoor mogelijkheden onder de voorwaarden die in dit beleidsdocument worden genoemd. Deze voorwaarden zullen worden voorzien van een toelichting die voor betrokkenen te begrijpen is en die zal bij ondertekening van de BYOD verklaring aan de betrokkene worden voorgelegd.

8.2 Externe communicatie

Het BYOD beleid vereist geen externe communicatie omdat externen geen rol spelen als gebruiker. Alleen ingehuurde medewerkers van derden hebben hiermee te maken en hun taken en verantwoordelijkheden zijn identiek aan die van de eigen medewerkers. Ook die externe medewerkers dienen een BYOD verklaring te ondertekenen als ze van de BYOD mogelijkheden gebruik wensen te maken. Over die verplichting wordt de werkgever in kwestie geïnformeerd opdat deze de externe medewerker zal motiveren tot ondertekening van de BYOD verklaring als deze gebruik wil maken van de BYOD voorzieningen.

Het is wel mogelijk dat de organisatie het BYOD beleid wil aangrijpen voor marketingdoeleinden zoals verbetering van het imago als modern bedrijf en moderne werkgever. Het BYOD beleid is immers een manier waarop invulling wordt gegeven aan Visie op Velsen 2025 voor de eigen organisatie. Het BYOD beleid biedt daartoe de noodzakelijke ruimte onder voorwaarde dat de rechten van ITEM-C Advies en Interim Management op het beleidsstuk niet worden geschonden.

Hoewel dit los staat van het BYOD beleid neemt de communicatie via social media toe. Op zich een positieve ontwikkeling omdat social media een handig verlengstuk kunnen zijn van klantgerichte e-dienstverlening en promotie van de organisatie. Daarnaast is het een laagdrempelige manier voor het uitwisselen van vakkennis. Als een medewerker gebruik maakt van social media op een BYOD apparaat, moet die zich ervan bewust zijn wat op welke media gepubliceerd kan worden. Hiervoor wordt een handreiking gegeven in de Richtlijn voor het gebruik van internet, e-mail en social media21.