A BYOD és az adatvédelem
Mi a BYOD?
A BYOD rövidítés a"Bring Your Own Device" kifejezésből származik, és olyan munkamodellt ír le, melyben a dolgozó saját hordozható eszközét (laptop, tablet, okostelefon) hozza a vállalkozásba, melyet munkára és privát céljaira egyaránt használ.
Ezeket az előnyöket nyújtja a BYOD...
A BYOD lelkes rajongói a magas flexibilitást tekintik a legnagyobb előnynek: dolgozni bárhonnan és bármikor. A szisztémát választók bizalma a saját eszközükben töretlen. A modell cégünk számára is időhatékony, hiszen kiesik az új, saját vállalati rendszerre történő átállás "költsége", ezáltal nő a produktivitás.
Miközben a vállalatok által kínált hardware nemritkán elavult, a saját eszközök rendszerint a legfrissebb elérhető technológiát képviselik, így átvitt értelemben a cég technológiai színvonalát is emelik. A BYOD elsősorban a start-upok világáról, a fiatal munkavállalókról szól, így sokak szemében fontos indikátora a modern vállalati image-nek.
A BYOD 2014/15-ös hőskorszakában a munkaadók elsősorban költségcsökkentés címén használták a megoldást, hiszen a vállalat hardware-költségei csökkennek azáltal, ha a dolgozó saját eszközét hozza magával a munkavégzéshez. Mégis éppen ez a pont bizonyult hatalmas tévedésnek, és vezetett oda, hogy a BYOD népszerűsége az elmúlt években drasztikusan visszaesett.
...és íme, a veszélyek
Míg a hardware bekerülési költsége valóban kiesik, jó, ha a munkaadó tisztában van azzal, hogy milyen "rejtett költségeket" hordozhat a BYOD:
- A behozott mobileszköz mindig extra munkaerőköltséggel jár, amely az IT-részlegen jelentkezik, hiszen mobileszközönként jelentős többletráfordítást igényel ezen eszközök rendszeradminisztrációja.
- A GDPR 24. cikk 1. bekezdése értelmében a behozott eszköz esetében is minden esetben a munkáltató felelős a személyes adatok törvényes kezeléséért, - az ennek való megfelelőség bizony sokkal nagyobb terhet jelent minden olyan esetben, amikor a dolgozó a saját eszközét használja.
- az IT-részleg terhei tovább nőnek azáltal, hogy a dolgozók különféle eszközöket használnak, így - a BYOD rendszer természetéből fakadóan - igen heterogén hardver és szoftverállomány alakul ki.
- További költségeket vetnek fel a szükséges képzések, hiszen elengedhetetlen, hogy a BYOD-rendszerben dolgozók a saját eszközükön is megfelelő módon gondoskodjanak a vállalati adatok védelméről.
- Ezentúl érdemes minden vállalkozásnak, aki BYOD-szisztémával dolgozna egy ún. Mobile Device Management (MDM) rendszerbe fektetni, melynek segítségével megvalósítható a mobileszközökön tárolt adatok biztonságos kezelése.
A BYOD további látszólagos előnyei is minimum problematikussá válhatnak, ha közelebbről vizsgáljuk őket:
- A Bonn-i Egyetem kutatása szerint a priváteszköz használata gyakran rontja a munkahatékonyságot, mivel a hivatalos és a személyes használat a saját eszközön könnyebben összemosódik.
- A magasabb mobilitás ígérete is erős rizikófaktor, hiszen az eszközöket a munkavállaló mindenhová magával viszi, növelve ezzel az eszközlopásnak való kitettséget, vagy az elveszítés veszélyét, ami adatvédelmi szempontból valóságos rémálom.
- További összeférhetetlenséget jelenthet a szoftver-licenszek kérdése: a vállaltok által vásárolt licenszek nem érvényesek a munkavállalókra, mint magánszemmélyekre. A szoftver ugyanakkor BYOD-rendszerben a munkavállaló eszközére van telepítve, melynek funkcióihoz az szabadidejében is hozzáfér.
Miképpen összeegyeztethető a BYOD az adatvédelemmel?
A "Bitglass" felhőbiztonsági szolgáltató 2018-ban felmérést készített, közel 400 - különféle iparágban tevékenykedő - IT-szakértő bevonásával.
- a válaszadók 61%-a az adatszivárgást tartotta a munkamodell legnagyobb veszélyének
- a BYOD-szisztémát használó cégek érintettjeinek 53%-a tart attól, hogy a múltban jogosulatlan hozzáférések történtek a vállalati adatokhoz.
Ezek az eredmények világossá teszik, hogy az adatvédelem és az adatbiztonság a BYOD rendszerének legnagyobb kihívásai - ennél fogva a közigazgatásban például szigorúan tilos.
Ne feledjük: az adatvédelmi rendelkezések betartásáért mindig a munkaadó a felelős, még abban az esetben is, ha a dolgozó a munkaadó kifejezett engedélye nélkül használ saját eszközt munkavégzésre. Ezért is fontos, hogy mindig egyértelműen kommunikáljuk mi az, ami megengedett, és mi tiltott.
A BYOD hatékony megvalósításához mindenképpen tanácsos az alkalmazottal felhasználói megállapodást kötni, mely szabályozza többek között, hogy mely adatokat és mikor kell törölni, illetve, hogy a munkáltatónak mikor és milyen mértékben van joga ellenőrizni a munkavállaló saját eszközét. Ugyancsak érdemes szerződéses formában rögzíteni, hogy a munkavállaló saját eszközén miképpen kezelheti a vállalati adatokat - biztosítani például az eszköz elveszítése vagy eltulajdonítása esetén a távoli hozzáférés azonnali megszakításának lehetőségét.
Titkosítás - megoldás a BYOD problémáira?
Az eredményes BYOD szisztéma használatához elengedhetetlen a vállalati adatok megfelelő titkosítása. Titkosítható az eszköz teljes háttértára vagy ún. konténeres megoldással a háttértár bizonyos részei is. A tárhelyek ilyen jellegű különválasztásához számtalan megoldás elérhető a piacon. A konténereknek a fentieken túl további előnye is van: attól is védenek, hogy egyes alkalmazások által váljunk adatlopás áldozatává. Ha például alkalmazottunk ugyanazt az okostelefont használja üzleti és személyes célra, akkor ezzel a megoldással bizonyos alkalmazások az üzleti tárhely elől elzárhatók. Az alkalmazott az érintett applikációt privát tárolójával továbbra is használhatja, de a vállalati adatok biztonságát egy ilyen jellegű elkülönítéssel biztonságosan tarthatjuk.
Az eszközök esetleges szervizelése további adatvédelmi kockázatokat hordozhat, melyet még a leghatékonyabb titkosítás sem képes feloldani: azon eszközöket, melyeken szenzitív vállalati adatokat kezelünk, mindig kizárólag minősített üzletekben szervizeltessük! Ne engedjük, hogy a dolgozó a munkára is használt okostelefonjának kijelzőjét egy tőlünk független "jóbarátra" bízza.
A megbízható alternatíva: CYOD = "Choose Your Own Device"
A BYOD-ra vonatkozó következtetésünk adatvédelmi szempontból a fentiek alapján tehát legfeljebb mérsékelten pozitív. De van-e ésszerű alternatíva, mely megfelelhet napjaink modern munkavállalóinak?
A megoldás neve: "Choose Your Own Device" - vagyis "Válaszd meg a saját eszközöd". Ebben a modellben az alkalmazottak választhatnak a munkaadók által biztosított mobil eszközök közül. Ez a megoldás lényegesen jobb áttekintést biztosít a vállalkozásban használt eszközökről, ezáltal csökkenti az adminisztratív terheket, továbbá a kezdetektől végrehajthatók azok a biztonsági intézkedések, melyek által megelőzhetők az adatvédelmi szabálysértések vagy a legrosszabb esetben a tetemes bírságok.
Amennyiben a fenti megoldások egyike sem győzte meg, akkor tegye fel a lábát, és lazítson a BYOB-bal ("Bring your own Beer") - továbbá kérje adatvédelmi szakértő közreműködését!