COPE vs BYOD, de voordelen en nadelen

Consumenten -apparaten en software overtreffen hun zakelijke concurrenten in kracht, productiviteit en mogelijkheden in die mate, dat Bring Your Own Device (BYOD) tot de grootste trend in IT-wereld is uitgegroeid. Veel IT-afdelingen zien BYOD echter ook als een kans om de verantwoordelijkheid voor hardwareonderhoud naar hun interne klant te verplaatsen en hierbij te besparen op kapitaal. In plaats van ‘strijd’ aan te gaan met BYOD, draaien sommige bedrijven het hele concept van BYOD op zijn kop in het zogenaamde Corporate Owned, Personally Enabled (COPE) beleid. Wat zijn de voor- en nadelen van een en het ander?

Het idee achter BYOD is om eindgebruikers te laten kiezen voor de apparaten, programma’s en diensten die het best voldoen aan hun persoonlijke en zakelijke behoeften. Zij kunnen dan kiezen voor datgene waar zij mee vertrouwd zijn geraakt, met toegang, ondersteuning en beveiliging geleverd door de IT-afdeling van de eigen organisatie – vaak met subsidies voor het aankopen van het apparaat.

Maar BYOD belast IT-afdelingen met aanvullende veiligheidszorgen gelet op de vrijwel oneindige verscheidenheid van platforms en profielen. Juist om deze reden is COPE een nieuwe trend aan het worden. COPE is een uitvloeisel van de tegenovergestelde redenering van BYOD en moet ervoor zorgen dat de werknemer tevreden blijft ondanks een ‘streng’ bedrijfsbeleid: in plaats van het implementeren van zakelijke functies op persoonlijke apparaten, schept het eenvoudiger kader ter ondersteuning van die apparaten en staat het – binnen redelijke grenzen en bedrijfsbeleid – persoonlijk gebruik van bedrijfsapparaten toe.

COPE werkt in wezen als volgt: de organisatie koopt het apparaat en blijft de eigenaar daarvan, maar de werknemer wordt in redelijkheid toegestaan om de toepassingen die hij nodig heeft te installeren op het apparaat. Voor BYOD, luidt de vraag “Hoe beveilig ik bedrijfsinformatie op een apparaat dat geen bedrijfseigendom is?”. Met COPE wordt die vraag: “Hoe verzwak ik de grip op een apparaat dat bedrijfseigendom is, zodat mijn medewerkers de apparaten ook persoonlijk kunnen gebruiken?”.

Onder BYOD dragen de werknemers in beginsel zelf de kosten van het aanschaf van de apparatuur en verrichten zij zelf de ‘onderhoudsdiensten’ die zij nodig achten. De werkgever kan ervoor kiezen om alle of een deel van deze kosten terug te betalen, al dan niet op basis van vooraf gemaakte afspraken of beleid. Maar in dit geval betalen bedrijven doorgaans dure (detailhandels)prijzen. COPE laat daarentegen IT-afdelingen hun zakelijke kortingen behouden en kan zorgen voor een hoger IT-budget met als (gewenste) gevolg de lagere operationele kosten. Het gevolg van keuze voor BYOD is dat dus bespaard wordt op kapitaaluitgaven terwijl COPE bedrijven laat besparen op operationele uitgaven.

Grip houden op bedrijfsgegevens is eigenlijk het grootste probleem bij BYOD. IT-afdelingen van organisaties die BYOD omarmd hebben, maken zich vooral zorgen over onbeveiligde en door malware-geïnfecteerde apparaten en de data daarop, zelfs wanneer hier een duidelijk intern beleid voor bestaat. BYOD ondersteunende bedrijven lopen een groter risico op dataleaks en handelen dan ook vaak in strijd met de wettelijke voorschriften. Verloren en onbeveiligde persoonlijke apparaten vormen hierbij overduidelijk een bedreiging en tegelijkertijd een uitdaging voor bedrijven die BYOD hebben omarmd.

Bij COPE speelt dit probleem nauwelijks een rol. Als een organisatie zelf eigenaar is van een apparaat en daardoor zelf kan bepalen welke gegevens daarop mogen worden opgeslagen, dan houdt de organisatie ook zelf de controle. Zij kan dan ook altijd haar gegevens terugeisen en/of wissen, onverlet de regelgeving en de daarop opgeslagen persoonlijke informatie, tenminste indien dit duidelijk in het beleid of gebruiksregels is opgenomen, en de medewerkers hiermee akkoord zijn gegaan. Overigens vraagt het wissen van persoonlijke informatie die opgeslagen is op een niet meer in gebruik zijnde apparatuur bijzondere aandacht. Dit lijkt namelijk niet zo eenvoudig te zijn zoals het zich op het eerste gezicht doet voordoen. Wel is het zo dat het invoeren van beveiligings- en applicatiemanagement protocollen wordt vereenvoudigd door het vooraf configureren van het apparaat. COPE vergemakkelijkt bovendien het werk voor de helpdesk vanwege de inzet van dezelfde hardware voor elke werknemer.

In het BYOD scenario is het lastig om uit de grote massa van alle verschillende apparaten en leveranciers de juiste partij te selecteren die dezelfde kwaliteit en niveau van gevraagde ondersteuning en beveiliging tot stand kan brengen. De vraag is: is dit dan zo erg? De werknemers zijn hier immers zelf voor verantwoordelijk, dus er mag van hun ook worden gevraagd dat zij hun apparaten instellen conform bedrijfsrichtlijnen. Hoe de verdeling van de verantwoordelijkheid er uiteindelijk komt uit te zien is in het algemeen evenwel lastig te beantwoorden. De wet bepaalt echter dat de werkgever een zorgplicht hoort te betrachten jegens zijn werknemers. Mijns inziens strekt deze zich dan ook uit tot het opgelegde BYOD beleid.

Er bestaan verschillende manieren om de voornoemde risico’s van BYOD te reduceren. Bedrijven die BYOD ondersteuning bieden, kunnen ook voor een gemengde COPE en BYOD beleid kiezen en bijvoorbeeld medewerkers laten kiezen uit enkele goedgekeurde apparaten waarvoor een vertrouwde derde partij voor service en ondersteuning wordt geselecteerd. Ook kunnen alle gevoelige bedrijfsgegevens en de toegang daartoe in een cloud-gebaseerde virtuele desktop of profiel worden bewaard – uiteraard rekening houdend met de privacy wet- en regelgeving – waardoor risico’s bij datalekkages worden verminderd.

In onze eerdere posts hebben we reeds uitgebreider stilgestaan bij enkele aandachtspunten bij het inzetten van BYOD. Gaat u zich binnenkort oriënteren op COPE of BYOD dan hebt u waarschijnlijk veel vragen over wat dat concreet voor uw situatie betekent en welke bedrijfsmatige en juridische implicaties deze keuzes met zich meebrengen. Die beantwoorden we graag.