Effectief en verantwoord inzetten van tablets, BYOD-beleid en clouddiensten bij gemeenten en overheid!

Transcriptie

1 Effectief en verantwoord inzetten van tablets, BYOD-beleid en clouddiensten bij gemeenten en overheid! Tips en valkuilen Checklisten voor BYOD, Clouddiensten en invoering tablets Met concept BYOD, Tablet en Cloud beleid Plan van aanpak om beleid op te stellen Business case clouddiensten Met een voorbeeld projectenbundel volgend uit de beleidskeuzes drs. Kees van den Tempel, MBA Native Consulting Specialisten in strategie, bedrijfsvoering en IT Strategische bedrijfsvoering, Strategisch I&A- beleid, Digitaal werken, Het Nieuwe Werken, Procesgericht werken, Veranderen, Organisatieonderzoeken advies Mail: LinkedIn: twitter: twitter.com/nativestrategy

2 Inhoudsopgave Inleiding... 3 Samenvatting... 4 De snelle technologische ontwikkelingen... 5 Het gebruik van tablets zoals ipad... 5 Bring Your Own Device (BYOD)... 6 Clouddiensten... 6 Overwegingen... 8 Start met gebruikersrollen... 8 Bestanden overal beschikbaar: opslag van data... 9 Telefonie en BYOD Beveiliging Mobile Device Management Kostenpost: licenties Kosten besparing: multifunctionals en printers BYOD en De Belastingdienst Belastingdienst en telefonie Bereikbaarheid en aanwezigheid Veranderen BELANGRIJK: Waarom is beleid nodig? Belangrijkste kosten en baten Vertrekpunt van het beleid: missie en visie (belief en behaviour) Voorbeeld functioneel BYOD, Tablet en Cloud beleid Belief Behaviour Business Budget Bytes Informatiemanagement Hardware Software/toepassingen Beveiliging Onderhoud en beheer Benefit Projecten ten gevolge van BYOD, Tablet en Cloud beleid Activiteiten en planning Bijlage 1: Checklist invoering tablet Bijlage 2: Checklist BYOD Bijlage 3: Checklist private- en public clouddiensten Bijlage 4: Het kader: 8B- model Bijlage 5: Beoordelingscriteria inkoop tablets, mobile device management, clouddiensten Bijlage 6: Risico s van BYOD Bijlage 7: Aandachtspunten en business case cloud computing Bijlage 8: Over Native Consulting DANK Door en voor gemeenten Bibliografie Versie: 2.0, Datum: 12 augustus 2012, Copyright 2012, drs. Kees van den Tempel, MBA, Native ConsultingBV Alle rechten voorbehouden. Niets uit deze uitgave mag zonder bronvermelding worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door print-outs, kopieën, of op welke andere manier dan ook. BYOD, Tablet en Cloud beleid 2

3 Inleiding Na het uitvoeren van 10-tallen projecten om de ipad in te voeren in diverse organisaties, ontstaat automatisch de vraag hoe het één en ander te beheren. En is het wel veilig om allerlei (vertrouwelijk) gegevens op het internet op te slaan. En ook ontstaat steeds vaker de vraag van medewerkers aan hun werkgever of ze hun eigen tablet, smartphone mogen aansluiten op het bedrijfsnetwerk. Het voelt weer als de introductie van de eerste mobiele telefoon, waarbij iedereen zich afvraagt wie wel mee mag doen en wie niet. Alle vragen die ik hieromtrent tegen gekomen ben, heb ik nog maar eens gebundeld in het voorliggend schrijven. Dit document is met name bedoeld voor het algemeen management, ICT managers en P&O managers omdat juist zij verantwoordelijk zijn om een aantal, soms lastige vragen te beantwoorden. En het is niet alleen een ICT vraagstuk, maar het is veel breder, namelijk ook over houding en gedrag, en de wens van de medewerker om zijn eigen werk(plek) meer in te richten zoals hij/zij dat wil. Wat ik vaak hoor rondom BYOD, clouddiensten en devices zijn de volgende issues: - Mogen gebruikers al hun eigen devices meenemen. Wat zijn de randvoorwaarden? - Mogen gebruikers data opslaan op public cloud oplossingen, of faciliteert de organisatie een private cloud oplossing? Of is een hybride model mogelijk? - Geef je alle mogelijkheden t.a.v. clouddiensten vrij of ga je technische beperkingen c.q. randvoorwaarden opleggen? - Hoe zit het met de (informatie)beveiliging? En met virussen op tablets? Hoe ga je om met gegevensbeheer van vertrouwelijke gegevens, back-up- en restore, verlies en diefstal? - Hoe is het fiscaal geregeld? (de werkkostenregeling)? Waar ligt dan precies financiële verantwoordelijkheid bij schade, verlies of diefstal? - Hoe regel je het beheer van de verschillende devices, eigen apps en bedrijfs-apps (mobile device management)? - Hoe ga je om met devices met verschillende besturingssystemen binnen één organisatie? - Hoever gaat de servicedesk ondersteuning voor mensen met een eigen tablet/laptop? - Welke juridische aspecten zitten er aan vast? (bijv. licenties) - Hoe zit het met de arbo aspecten? Zowel m.b.t. het gebruik van de device (grootte scherm, intypen e.d.) als de thuiswerkplek - Wat zijn de toekomstige ontwikkelingen? Apple versus Android versus Microsoft Windows 8. En naast BYOD heb je ook CYOD (= Choose Your Own Device). De gemeente/organisatie biedt een aantal opties aan waaruit de medewerker kan kiezen. En dan is de vraag: kies je voor BYOD, CYOD of gewoon het klassieke model? Of alle 3? Dit document is nog verre van volledig als het gaat om alle antwoorden, maar biedt een handvat om met elkaar in discussie te gaan. En natuurlijk hou ik me weer aanbevolen om deze antwoorden, oplossingen, etc. terug te horen. Veel leesplezier! Kees van den Tempel Meteren, BYOD, Tablet en Cloud beleid 3

4 Samenvatting De introductie van de tablets, smartphones, mini s, laptops en andere persoonlijke, mobiele, met internet verbonden computer- en communicatie-apparatuur geeft een boost aan digitaal werken en vergaderen, informatie-uitwisseling via clouddiensten, aan plaats- en tijdonafhankelijk werken (Het Nieuwe Werken) en beïnvloed tevens de dienstverlening van organisaties. Veel medewerkers nemen ook op eigen initiatief devices mee naar het werk. Dit wordt aangeduid met de term BYOD (Bring Your Own Device). Omdat deze ontwikkelingen onlosmakelijk met elkaar verbonden zijn, is er een integraal beleid nodig. Dit document bevat checklisten in de bijlagen aan de hand waarvan een degelijk BYOD, Tablet en Cloud beleid opgesteld kan worden. De missie, visie, strategie van uw organisatie vormen de basis voor het BYOD, Tablet en Cloud beleid. Deze moet zo geformuleerd zijn dat u uw organisatie ruimte geeft voor nieuwe ontwikkelingen en ruimte om te exploreren en om fouten te maken. Dit betekent dat ontwikkelingen niet tegengehouden worden, maar positief omarmd worden. Vanuit deze visie kan het BYOD beleid verder vormgegeven worden: Dit document baseert het BYOD, Tablet en Cloud beleid op het 8B model: Belief, Behaviour, Business, Bricks, Bytes, Budget, Balance en Benefits. De belangrijkste punten uit het BYOD, Tablet en Cloud beleid zijn: De organisatie ondersteunt BYOD, mobile devices en het gebruik van clouddiensten omdat deze passen in de kernwaarden van de organisatie. Het gebruik van tablets en clouddiensten wordt niet gelimiteerd. Iedere gebruiker dient de Nederlandse wetten en regels in acht te nemen. Verder gelden er een aantal kernbegrippen: respect, betrouwbaar, zorgvuldig en positief. Er wordt vanuit de organisatie gestandaardiseerd op de ipad als standaard tablet. Waar!? Het gebruik van andere devices wordt toegestaan als de Apps op het betreffende device overweg kunnen met de vastgestelde informatiestandaarden zoals PDF, Doc, Xls, PPT, ODS. Elke afdeling bepaalt zelf welke medewerkers de beschikking krijgt over een tablet. Deze wordt vanuit de organisatie deels gefinancierd middels een Persoonlijk Innovatie Budget (PIB) Gebruikers die zelf een device meenemen naar het werk zijn wel zelf (financieel) verantwoordelijk voor backup, restore, verlies, diefstal, onderhoud en beheer. De organisatie heeft wel een adviesrol, en zorgt voor de mogelijkheid om vragen te stellen. De invoering van tablets en het gebruik van clouddiensten moet aantoonbaar iets opleveren. Applicaties voor tablets worden bij voorkeur ontwikkeld in HTML5. De visie op dienstverlening zal door de introductie van smartphones en tablets aangepast worden. Devices worden beschouwd als een nieuw dienstverleningskanaal. Een applicatie voor mobile device management wordt ingericht t.b.v. onderhoud en beheer Al het netwerkverkeer verloopt via een Gateway om de veiligheid van informatiestromen te borgen. Het BYOD, Tablet en Cloud beleid leidt tot een aantal projecten die in de organisatie uitgevoerd moeten worden. Een verantwoorde business case bij de invoering van BYOD, Tablets en Clouddiensten is belangrijk om een integrale afweging te maken, maar ook om het beleid verder vorm te geven. BYOD, Tablet en Cloud beleid 4

5 De snelle technologische ontwikkelingen De directe aanleiding voor deze notitie is de introductie van de tablets (o.a. ipad, Samsung), smartphones (iphone, GalaxyS), mini s, laptops en andere persoonlijke, mobiele, met internet verbonden computer- en communicatieapparatuur. Deze apparaten worden aangeduid met de term devices. Devices en maken een stormachtige technologische ontwikkeling door, waardoor het gebruik snel toeneemt. Veel medewerkers nemen ook op eigen initiatief devices mee naar het werk. Dit wordt aangeduid met de term BYOD (Bring Your Own Device). Vragen rondom o.a. beheer, beveiliging, informatiestandaarden en gedrag dringen zich op. Een bijkomende uitdaging vormt het gebruik van Cloud toepassingen. Deze zijn vaak volledig geïntegreerd in de besturingssystemen van allerlei devices. Informatie wordt, al dan niet bewust, opgeslagen op het Internet. Devices werken ook als een katalysator voor het gebruik van social media. Bij al deze onderwerpen zal de organisatie zich af moeten vragen hoe deze ontwikkelingen in goede banen geleid kunnen worden, voordat het echt grote vormen gaat aannemen. Een BYOD, Tablet en Cloud beleid is noodzakelijk om de ontwikkelingen voor de organisatie in goede banen te leiden. Omdat er een grote onderlinge afhankelijkheid is tussen BYOD, de invoering van tablets (en andere devices) en het gebruik van clouddiensten, is het noodzakelijk om één beleid te ontwikkelen. Deze wordt in dit document aangeduid met de term BYOD, Tablet en Cloud beleid. Het gebruik van tablets zoals ipad Het gebruik van tablets, en de ipad in het bijzonder, is een ware hype; directies, besturen en medewerkers worden in rap tempo aangesloten op de nieuwste mogelijkheden (Tempel, 2011). Zoals de afbeelding hiernaast laat zien, verwacht men een vertienvoudiging van het aantal tablet in 2016, waarbij de ios en Android de belangrijkste platformen zullen zijn. Het is overigens interessant om te zien welk marktaandeel Windows 8 gaat krijgen. Het lijkt er ook op dat de benodigde investering van organisaties verschuift van het aanschaffen van devices naar het beheren van devices, via bijvoorbeeld VDI (Wikipedia, Desktop virtualization, 2012) Belangrijke toepassingen zijn van tablets zoals de ipad zijn: , agenda en social media zoals twitter, facebook, whatsapp, ping, linkedin, etc. Bestuurders, directies en medewerkers gebruiken de tablet om digitaal te vergaderen; Medewerkers gebruiken de tablet voor specialistische taken zoals bijvoorbeeld handhaving, CRM, en allerlei e-formulieren die onderweg en bij de klant ingevuld worden. Burgers c.q. klanten gebruiken de tablets als nieuw dienstverleningskanaal via gespecialiseerde BYOD, Tablet en Cloud beleid 5

6 Apps; dit gebeurt zowel zakelijk (zie BOL.com, V&D, Hema, ABN-Amro) als bij de overheid (meer dan 150 gemeenten, Verbeterdebuurt, Burgerconnect of Buitenbeter) Devices werken als een enabler voor Het Nieuwe Werken. Privé gebruik: muziek, (social) games, video, etc. Een complete lijst van aandachtspunten voor de invoering van tablets vindt u in bijlage 1. Bring Your Own Device (BYOD) Door de relatief lage prijzen van devices, en de wil om de (technische) ontwikkelingen te volgen, kopen mensen op eigen initiatief tablets, smartphones en laptops. Vervolgens wordt de organisatie geconfronteerd met de vraag van de werknemers om de eigen devices tijdens het werk te mogen gebruiken. Dit fenomeen heet BYOD (Bring Your Own Device) of misschien wel Bring Your Own Dream. Het gaat hierbij namelijk ook over een ideale en prettige werkomgeving die de werknemer tijdens zijn werk probeert te creëren In dit kader wordt ook vaak de term consumerisatie (Gruman, 2012) gebruikt, waarbij werknemers privé-hardware ook voor hun werk op kantoor gebruiken. Een belangrijk kenmerk van BYOD is dat werknemers de eigenaren zijn van apparaten die ze gebruiken en ze voelen zich vrij om iedere app te installeren en iedere site te bezoeken. Beveiliging van gegevens is dus ook een belangrijk issue. Werkgevers lopen nu nog achter met het formuleren van een gedegen beleid. (Clark, 2012) In dit kader speelt de term client-virtualisatie waarbij, onafhankelijk van het device, altijd dezelfde werkplek wordt aangeboden (Wikipedia, Desktop virtualization, 2012). Organisatie hebben moeite om een balans vinden tussen acceptatie en de vraag om flexibiliteit van de medewerker aan de ene kant en controle en veiligheid aan de andere kant. Desktop- en applicatievirtualisatie spelen een belangrijke rol bij het veilig ondersteunen van mobiele apparaten van medewerkers. Dit blijkt uit een onderzoek dat Forrester Consulting in opdracht van Dimension Data uitvoerde onder 546 bedrijven (Consulting, 2011). BYOD begint vaak bij het ontsluiten van zakelijke mail, agenda en contactgegevens. Medewerkers raken snel gewend aan de nieuwe mogelijkheden. Hun wensen zullen dan ook vrij snel verder gaan. Bijvoorbeeld het beschikken over CRM gegevens, of toegang tot het Intranet via het mobiele apparaat. De tablet zal de PC steeds meer vervangen. De meerwaarde van BYOD zit daarom juist in het toegankelijk maken van backofficeapplicaties en het organisatienetwerk. Clouddiensten Een gerelateerd trend is het gebruik van de Cloud. De Cloud is een verzamelnaam van diensten op het internet. De term wordt vooral gebruikt in het kader van opslag van data, het gebruik van (vak)applicaties en het gebruik van compleet ingerichte servers voor het dagelijkse werk. Kenmerk van Cloud toepassingen zijn: BYOD, Tablet en Cloud beleid 6

7 1. het gebruik is laagdrempelig en op aanvraag te vergroten; 2. is volgens strakke specificaties opgezet en gemanaged door de leverancier; 3. de kosten worden bepaald al gelang er gebruik van wordt gemaakt. De cloud-diensten kunnen opgesplitst worden volgens het type dienst wat geleverd wordt. Zo wordt er onderscheid gemaakt tussen Infrastructure as a Service (IAAS), Platform as a Service (PAAS) en Software as a Service (SAAS). Voorbeelden zijn: IAAS: Amazon, Gogrid en Strato bieden infrastructuur voor de opslag van data. De gebruiker is voor een groot deel zelf verantwoordelijk. PAAS: Microsoft Windows Azure bieden een complete ontwikkelomgeving. SAAS: Leveranciers als Office365 en Google Docs bieden volledige werkomgeving aan: gebruikers kunnen alleen nog functioneel beheer uit voeren. Clouddiensten kunnen ook onderverdeeld worden volgens het type doelgroep: Private cloud: dit is een clouddienst die door een organisatie is opgezet en door geautoriseerde gebruikers gebruikt kan worden. Public cloud: dit is een clouddienst die door iedereen gebruikt kan worden (Evernote, Dropbox). Hybrid cloud: een combinatie van de twee bovenstaande clouddiensten Er zijn veel clouddiensten die bij de nieuwste tablets standaard aangeboden worden. Android (bijvoorbeeld op de Samsung Tab) gebruikt het Google platform intensief. De ipad maakt gebruik van Apple diensten zoals itunes en icloud. Dit zorgt er voor dat gebruikers, soms ongemerkt, allerlei gegevens op het internet bewaren. En hier speelt met name het probleem van informatiebeveiliging en vertrouwelijkheid van gegevens (Harst, 2010). BYOD, Tablet en Cloud beleid 7

8 Overwegingen Om het beleid op te stellen zijn er een flink aantal overwegingen die een rol spelen. In de inleiding zijn al een flink aantal vragen gesteld. Onderstaande hoofdstukken behandelen diverse onderwerpen of maken een verwijzing naar aanvullende informatie Start met gebruikersrollen Bij de start van het opstellen van het BYOD, Tablet en Cloud beleid, zal men een inventarisatie moeten doen van de rollen en de wensen van de verschillende gebruikersgroepen. Uiteindelijk draait het om de informatiebehoefte van de specifieke gebruiker die al dan niet vervult moet worden. Deze gebruikersgroepen dienen als basis voor gebruikersprofielen, waarmee men vast kan leggen wie waarvoor in aanmerking komt (tablet, laptop, smartphone, gsm, apps, etc). Medewerkers proberen over het algemeen hun eigen werkomgeving te optimaliseren door eigen devices te gebruiken tijdens het dagelijkse werken, maar ook door clouddiensten, social media te gebruiken waar mogelijk. Informatiebeveiliging lijkt ondergeschikt aan gemak en functionaliteit. Een voorbeeld van een onderverdeling van de verschillende medewerkers staat gespecificeerd in onderstaande tabel: Rol Voorbeeld Omschrijving Informatiebehoefte Communicatiepatroon Raadsleden Gemeenteraadsleden, algemeen bestuur, raad van toezicht, rad van commissarissen Vergaderstukken, stukken en informatie van buiten, , agenda Bestuur/college Management, Vergaderstukken raad, bestuur, MT, afdelingen, agenda, , management informatie via BOapplicaties beleidstukken, trenden omgevingsanalyses, agenda, , beleidsinformatie via specifieke BO applicaties Agendabeheer, , aanwezigheidsinforma tie Beleidsmedewerkers / adviseurs Secretariële ondersteuning Leden raad van bestuur, college van burgemeester en wethouders, dagelijks bestuur MT, directie, afdelingsmanager, teamleider, projectleiders, controller, opzichters Beleidsmedewerker ICT, HRM, communicatie, juristen, zorg en welzijn, sociale zaken, OOV, bouwen en wonen, openbare ruimte, etc. Secretaresses Raadsleden zijn parttime verbonden aan de organisatie. Raadsleden hebben de behoefte om alle informatie te verzamelen die betrekking heeft op hun portefeuille en hen helpt met het bepalen van een standpunt. De leden van het bestuur vergaderen veel en zijn veel onderweg en moeten goed bereikbaar zijn. Eenvoudig en gemakkelijk werken is een must. De wensen van het management lijken op die van het bestuur, behalve dat het management ook de gehele organisatie rechtstreeks aanstuurt. Er wordt veel vergaderd en getelefoneerd. Beleidsmedewerkers ontwikkelen, implementeren, evalueren en stellen beleid bij op één of meerdere aandachtsgebieden. Dit vereist regelmatig overleg met collega s en externen, maar ook rustmomenten om beleid te formuleren. Secretariële ondersteuning zorgt voor de administratieve ondersteuning van o.a. management en bestuur. Ze zijn veelal gebonden aan een vaste werkplek. Ook is een laptop t.b.v. verslaglegging gewenst. Vergaderstukken vanuit allerlei besturen en raad, archiefstukken, agenda, Persoonlijk overleg, vergaderingen, via , social media, belt voor zijn functie heel beperkt Persoonlijk overleg, vergaderingen, via , social media, belt veel en wordt veel gebeld, ook via secretaresse Persoonlijk overleg, vergaderingen, via , belt veel en wordt veel gebeld, evt. via secretaresse Veel persoonlijk overleg, via , belt veel en wordt veel gebeld. , kort afstemmingsoverleg, bijwonen vergaderingen, Belt veel, wordt veel gebeld BYOD, Tablet en Cloud beleid 8

9 Administratieve (dienstverlenend e) functies, niet ambulant Baliemedewerkers, DISen archiefmedewerkers, salaris-, belasting-, financieel medewerkers, personeelsconsulenten Administratieve medewerkers zorgen voor de administratieve functies binnen de organisatie. Ze zijn veelal gebonden aan een vaste werkplek. Informatie vanuit specifieke administratieve BO toepassingen, agenda, , kort afstemmingsoverleg, Belt regelmatig, Wordt regelmatig gebeld KCCmedewerkers Ambulante Medewerkers toezicht, handhaving, intake Zware gebruikers Ambulante operationele medewerkers (extern) Ambulante operationele medewerkers (intern) KCC-medewerkers, receptie medewerkers TIC Medewerkers toezicht en handhaving vergunningen, intake en begeleiding, Soza-consulenten, landmeters, medewerkers B&W, etc. GIS-medewerkers, Cad tekenaars, medewerkers management informatie, programmeurs Stadstoezicht, parkeerwacht, buitengewoon opsporingsambtenaar, havenmeester, marktmeester, etc. Bodes, kantine, facilitaire dienst ICT-medewerkers ICT-medewerkers, Het KCC functioneert als ingang van alle kanalen: mail, faxen, telefoon voor burgers en bedrijven. Het KCC beantwoord de oproepen inzake o.a. meldingen en calamiteiten. Desgewenst wordt er direct naar een medewerker doorverbonden. Medewerkers toezicht, handhaving, intake gebruiken backofficeapplicaties op het moment dat ze op pad zijn. Bijvoorbeeld voor het uitvoeren van inspecties, invullen van formulieren, etc. Zware gebruikers hebben extra behoefte aan een computer met processing power, geheugen en/of bandbreedte zodat hun toepassingen prettig draaien, en gebonden zijn aan een vaste werkplek. Non ambulante operationele medewerkers zijn bijvoorbeeld belast met de toezicht en handhaving van de openbare ruimte. Er wordt weinig vergaderd men moet wel altijd oproepbaar. Het betreft hier facilitaire werkzaamheden en medewerkers die via allerlei kanalen verzoeken krijgen om facilitaire ondersteuning te bieden Deze medewerkers ondersteunen de gebruikers bij het gebruik van alle soorten devices en zullen hiervan kennis moeten hebben. Deze medewerkers zijn veel onderweg zijn en zullen anderzijds beheerwerkzaamheden uitvoeren Buitendienst Buitendienst, Buitendienst medewerkers zijn verantwoordelijk voor een specifieke taak in de openbare ruimte Gegevens uit een klant contact systeem, alle agenda s, aanwezigheidsregistra tie, werkroosters, Informatie vanuit specifieke BO toepassingen, , werkroosters Informatie van en naar zware BO toepassingen, Informatie vanuit specifieke BO toepassingen, , werkroosters Informatie vanuit specifieke BO toepassingen, , werkroosters Beheersinformatie, meldingen testgegevens, ITIL gerelateerde gegevens, Werkroosters Kort afstemmingsoverleg belt weinig, wordt veel gebeld, t.b.v. boodschappen , kort afstemmingsoverleg Belt weinig, Wordt soms gebeld , kort afstemmingsoverleg Belt weinig, Wordt soms gebeld , kort afstemmingsoverleg Belt weinig, Wordt regelmatig gebeld , kort afstemmingsoverleg Belt regelmatig, wordt regelmatig gebeld , kort afstemmingsoverleg Belt regelmatig, wordt regelmatig gebeld Kort afstemmingsoverleg Belt weinig, wordt weinig gebeld Bovenstaande rollen kunnen gebruikt worden om te bepalen wat medewerkers nodig hebben met betrekking tot tablets, telefonie en werkplekken. Een voorbeeldtabel wordt weergegeven in het hoofdstuk met een voorbeeld BYOD, Tablet en Cloud beleid. Bestanden overal beschikbaar: opslag van data Het gebruik van Dropbox, Google Drive, Skydrive, etc. neemt een grote vlucht. Meer en meer organisaties laten het oogluikend toe. Het vervult binnen het gebruik van devices een bepaalde gebruikersbehoefte om bestanden overal tot de beschikking te hebben en/of een manier om (grote) bestanden uit te wisselen om samen te vergaderen of te werken aan bestanden. Onderstaande lijst geeft een overzicht van de wensen en eisen van gebruikers t.a.v. de opslag van bestanden in het licht van het BYOD, Tablet en Cloud beleid: BYOD, Tablet en Cloud beleid 9

10 Bestanden moeten altijd en overal beschikbaar zijn, op alle devices Er moet geen onderscheid zijn tussen de persoonlijke mappen op het bedrijfsnetwerk en de bestanden op de overige devices. Wanneer gebruikers offline zijn, moeten de bestanden beschikbaar blijven. Dit betekent dat ten minste een kopie van de stukken op het device bewaard zouden moeten worden. Een gebruiker moet rechten aan andere (vreemde) gebruikers kunnen toekennen om (grote) bestanden uit te kunnen wisselen. Wanneer gebruikers lid zijn van verschillende overlegorganen/afdelingen moet er één uniforme methode zijn om bestanden te benaderen, wijzigen en opslaan. Bestanden moeten gemakkelijk toegankelijk zijn via een overzichtelijke en intuïtieve boomstructuur (bijvoorbeeld jaar, maand, overlegorgaan, specifiek dossier). documenten moeten een duidelijke naamgeving hebben en liefst beginnen met een nummer, overeenkomstig de datum van de betreffende versie. Zo kunnen ze tijdens het zoeken in een juiste volgorde weergegeven en herkend worden. Gebruikers willen eenvoudige notities, aantekeningen of wijzigingen aanbrengen tijdens het werk of vergaderingen. Deze documenten moeten ook binnen dezelfde bovengenoemde structuur bewaard kunnen worden. Zoekacties moeten op alle documenten plaatsvinden en binnen individuele documenten. Gebruik van de informatie vereist dat informatie vooral snel opgezocht kan worden. Vergaderstukken moeten in PDF formaat beschikbaar gemaakt worden, zodat ze door één App gelezen én bewerkt kunnen worden. Ook het ophalen en bewaren van stukken moet via dezelfde App geregeld worden. Van alle bestanden moet een back-up gemaakt worden. Bovenstaande gebruikerswensen moeten opgenomen worden in de storageoplossing die mede het gebruik van devices gaat ondersteunen. De meeste organisaties beschikken over een SAN in combinatie met een fileserver die gebruikt wordt voor het opslaan van alle persoonlijke en gedeelde bestanden. De bovenstaande beschreven wensen leidt er toe dat bestanden geraadpleegd kunnen worden, ongeacht plaats en ongeacht device. De opslag en ontsluiting van bestanden kan via een public- of een private cloud oplossing geregeld worden. Dit zijn storage oplossingen die zich op het internet c.q. in het DMZ van een bedrijfsnetwerk bevinden. Gebruikers kunnen via een eenvoudig protocol (http, https) hun bestanden benaderen, downloaden naar hun device, wijzigen en weer opslaan. Nadeel van beide soorten oplossingen is dat ze moeite hebben met veel bestanden omdat het vaak over gigabytes aan data gaat en de bandbreedte beperkt is. Voorbeelden van private cloud oplossingen zijn bijvoorbeeld RES HyperDrive of een WebDav-server. Voordeel van deze technologie is dat de opslag van bestanden op de persoonlijke netwerk-schijf gecombineerd kan worden met de private cloudoplossing. Ontsluiten van bestanden via public cloud oplossingen kan via Dropbox, Google Drive, Microsoft SkyDrive. Voordeel van deze oplossing is dat men geen eigen storage meer hoeft te regelen. Met name voor kleinere organisaties is dit een interessante oplossing omdat de hoeveelheid data beperkt is. BYOD, Tablet en Cloud beleid 10

11 In beide gevallen moet de medewerker zijn verantwoordelijkheid nemen. Elke organisatie dient te voorkomen dat gevoelige informatie, of bedrijfskritische gegevens wordt opgeslagen in een cloud-oplossing of op een willekeurig device. Elke organisatie zal zich de vraag moeten stellen welke gegevens in de cloud opgeslagen mogen worden en welke niet? Mensen hebben over het algemeen niet de discipline om regels strikt na te leven en zoeken naar wegen om het werken zo gemakkelijk mogelijk te maken. Kortom ze gebruiken toch clouddiensten. Ook is het technisch niet mogelijk om clouddiensten helemaal te verbieden. Het is namelijk eenvoudig om iets naar je gmail-account te mailen en van daaruit gegevens in een public cloud oplossing bewaren. Kortom beperken lijkt onmogelijk en dus moet er gestuurd worden op bewustwording en gedrag. De integriteit van medewerkers is van belang. Hiervoor moet een training komen om mensen op gevaren te wijzen. Privacy gevoelige gegevens moeten wel beveiligd worden, bijvoorbeeld met een wachtwoord op het betreffende bestand. Benoem informatie die absoluut niet naar buiten mag. (privacy-gevoelige informatie, personeels informatie, commercieel gevoelige info). Wel zal de ICTafdeling een monitoring kunnen doen van al het netwerkverkeer om te kijken welke clouddiensten gebruikt worden. In het licht van de bovenstaande discussie kan ook de volgende vraag gesteld worden: Krijgen medewerkers nog een eigen netwerk-drive of niet? Het verdient de voorkeur als medewerkers worden gestimuleerd om bestanden in de algemene afdelingsmappen op te slaan. Men kan er dus voor kiezen om dit af te schaffen. Als mensen willen dat bestanden niet ingezien kunnen worden, kan men deze beveiligen met een wachtwoord. Telefonie en BYOD Tablets en telefoons groeien qua functionaliteit steeds meer naar elkaar toe. Het primaire kenmerk van een telefoon is, dat je er mee kunt bellen en dat ze klein en handzaam zijn, maar zeker de smartphones hebben dezelfde functionaliteit als tablets. Het is dan ook niet verwonderlijk dat het BYOD beleid ter sprake komt bij de aanschaf en/of (her)inrichting van de telefonie. Bij de aankoop en/of inrichting van telefonie spelen immers identieke vragen een rol als bij de aanschaf van tablets: 1. Wie krijgt er een vast toestel, een mobiele telefoon of een smartphone? 2. Welke provider kiezen we voor spraak, 3G, Wifi en welke abonnementen passen het beste? 3. Kunnen medewerkers hun eigen smartphone c.q. tablet gebruiken? 4. Hoe zijn mensen te bereiken via mail, sms, videoconferencing, spraak, whatsapp, etc? 5. Maken we gebruik van GSM-integratie? Uiteindelijk kunnen bovenstaande vragen pas beantwoord worden als de gebruikerswensen van de verschillende medewerkers bekend zijn. Maar ook de kosten spelen een belangrijke rol. Providers gaan steeds meer geld vragen voor internetverkeer. Anderzijds worden de tarieven voor mobiel bellen steeds lager. Oplossingen voor telefonie zijn: Alleen maar een mobiele telefoon, geen vaste telefoons Alleen maar een smartphone, geen vaste telefoons Alleen maar vaste telefoons, beperkte uitgifte van mobiele telefoons/smartphones Integratie vaste telefonie en mobiele telefoons BYOD, Tablet en Cloud beleid 11

12 Een tablet met mobiele telefoon (als wifi hotspot) Om tot goede besluiten te komen is een BYOD, Tablet en Cloud beleid onontbeerlijk. Een mogelijke, praktische, beheersbare oplossing met betrekking tot telefonie lijkt de volgende te zijn: Gebruik vaste telefoons voor medewerkers die plaatsgebonden zijn. Gebruik eenvoudige mobiele telefoons voor de overige medewerkers, waarbij deze zich binnen het bedrijfsgebouw gedragen als intern toestel (GSM-integratie) Gebruik smartphones voor o.a. management en medewerkers die dit uit hoofde van hun functie nodig hebben Standaardiseer op maximaal 2 toestellen. Medewerkers die zelf een toestel mee willen nemen, moeten voldoen aan deze standaard. Bij het opstellen van een voorbeeld BYOD, Tablet en Cloud beleid wordt het telefonie vraagstuk geïncorporeerd. Beveiliging Bij de bepaling van de beveiliging van de informatie in het kader van BYOD, Tablet en Cloud beleid, is het van belang om te kijken welke impact een app of clouddienst zou kunnen hebben op de business en de (werk)processen. Het Nationaal Cyber Security Center heeft de afgelopen tijd diverse publicaties uitgebracht om overheden en bedrijfsleven te wijzen op de gevaren van ICT en de introductie van tablets, BYOD en clouddiensten in het bijzonder: (Nationaal Cyber Security Centrum, Cybersecuritybeeld Nederland CSBN-2, 2012), (Nationaal Cyber Security Centrum, Whitepaper Cloudcomputing & security, 2012) (Nationaal Cyber Security Centrum, ICT-Beveiligingsrichtlijnen voor webapplicaties;, 2012). Het laatstgenoemde document geeft ook aandacht aan het gebruik van het HTTP- en HTTPS protocol (bedoeld om over het internet te surfen) voor allerlei clouddiensten zoals Dropbox, Webdav, Google Drive, Facebook, etc. Het Cybersecurity beeld publiceert verder in het Cybersecuritybeeld Nederland een overzichtelijke matrix waaruit blijkt dat publicatie van vertrouwelijke gegevens en het verstoren van de dienstverlening voor overheden en bedrijven tot één van de belangrijkste risico s behoort: BYOD, Tablet en Cloud beleid 12

13 De risico inschaling van bovenstaande matrix is bepaald aan de hand van de schade die toegebracht kan worden en de kans dat de schade optreedt. Met betrekking tot het BYOD, Tablet en Cloud beleid kunnen de risico's voor de organisatie onderverdeeld worden in de volgende vijf categorieën. Productiviteit Risico m.b.t. productiviteit komt voort uit misbruik. Dit kan twee vormen aannemen: Medewerkers zijn bezig met niet-werk-gerelateerde toepassingen in plaats met hun eigenlijke werk (bijv. Myspace, Facebook, persoonlijke , blogging); Niet-werk-gerelateerde applicaties verbruiken zoveel bandbreedte dat legitieme toepassingen slecht functioneren (bijv. YouTube, streaming / HTTP audio). Compliance De meeste organisaties moeten voldoen aan een scala van regelgeving. In Nederland betreft het o.a. de Wet bescherming persoonsgegevens (Wbp), de Auteurswet, de Wet Computercriminaliteit en voor overheden specifiek GBA en BAG richtlijnen, Wet elektronisch bestuurlijk verkeer en de SUWI-richtlijnen. Zorginstellingen hebben de verplichting om NEN 7510 in te voeren. NEN 7510 is net als NEN- ISO/IEC 27002:2005 een set van doelstellingen en een aantal best practices t.b.v. informatiebeveiliging. Bepaalde toepassingen zorgen voor een aanzienlijke bedreiging voor belangrijke informatie zoals o.a. Skype, IM, dropbox. BYOD, Tablet en Cloud beleid 13

14 Operationele kosten Risico's voor hogere operationele kosten zijn er in twee smaken: 1. door applicaties en infrastructuur die verkeerd gebruikt wordt in die mate dat er meer moet worden gekocht (bv. WAN verbindingen die opgewaardeerd moeten worden als gevolg van streaming video) 2. incidenten en exploits die resulteren in hogere IT-kosten (bijvoorbeeld wederopbouw van servers of netwerken na een beveiligingsincident). Business continuïteit Risico s m.b.t. business continuïteit refereren naar applicaties die bepaalde bedrijfsprocessen negatief beïnvloeden doordat kritische componenten in het netwerk niet meer functioneren. Voorbeelden hiervan zijn -gebruik, transacties verwerkende toepassingen of webtoepassingen die niet meer functioneren doordat niet-zakelijke toepassingen alle resources gebruiken. Data verlies Het risico van verlies van gegevens is de traditionele focus van informatiebeveiliging. De menselijk factor en corrupte software zorgt voor 46% van de incidenten. Voorbeelden hiervan zijn diefstal van gegevens, diefstal of onbedoeld lekken van intellectuele eigendom, of het vernietigen van gegevens als gevolg van een exploit of virus. Een verscheidenheid van bedreigingen die een rol spelen komen voor rekening van exploits in toepassingen zoals in Facebook, Kazaa, IM, webmail), en niet-zakelijke applicaties die draaien op eigen PC s (zoals BitTorrent, IM). Om te begrijpen wat er precies plaatsvindt op het netwerk, welke toepassingen medewerkers gebruiken en in welke mate is een meting uitgevoerd bij een middelgrote gemeenten. Onderstaande tabel is het resultaat en toont de gebruikte applicaties, de gebruikte technologie, de risicofactor (eerste kolom) en de geconsumeerde bandbreedte. Applicaties kunnen de volgende risico s veroorzaken. BYOD, Tablet en Cloud beleid 14

15 De risicofactor van applicaties is bepaald op een schaal van 1 tot 5 aan de hand van de volgende factoren: Vatbaar voor misbruik: wordt gebruikt voor misdadige doeleinden of kan eenvoudig worden geconfigureerd om meer informatie te verspreiden dan de bedoeling is. Voorbeelden zijn SOCKS alsmede nieuwe toepassingen zoals BitTorrent en AppleJuice. Tunnels naar toepassingen: In staat om andere toepassingen te transporteren. Voorbeelden hiervan zijn SSH en SSL en Hopster, TOR en RTSP, RTMPT. Heeft bekende zwakke plekken: De applicatie heeft bekende zwakke plekken (exploits). Overdracht van bestanden: Deze applicaties zijn in staat om bestanden van de ene netwerk naar het andere te transporteren. Voorbeelden hiervan zijn FTP, P2P, webmail en online filesharing toepassingen zoals MegaUpload en YouSendIt!. Wordt gebruikt door malware: Deze toepassingen worden gebruikt om malware te verspreiden, om een aanval te openen of om gegevens te stelen. Toepassingen die worden gebruikt door malware zijn ondermeer samenwerking-toepassingen ( , IM, etc.) en algemene Internet toepassingen voor het delen van bestanden. BYOD, Tablet en Cloud beleid 15

16 Verbruikt bandbreedte: Toepassing verbruikt regelmatig 1 Mbps of meer door normaal gebruik. Voorbeelden hiervan zijn P2P-toepassingen, zoals Bittorent en DirectConnect en mediaapplicaties, software updates en andere zakelijke toepassingen. Ontwijking: Maakt gebruik van een poort of protocol voor iets anders dan het beoogde doel met het oogmerk om inzet te vergemakkelijken of verbergen van de bestaande security infrastructuur. Het http-protocol wordt tegenwoordig voor allerlei applicaties gebruikt (itunes, Spotify, Dropbox, Google Drive, SkyDrive, Bittorent, etc) Het is opvallend dat gmail, dropbox, twitter, skype, facebook, spotify, itunes-audio en bittorent gebruikt worden zonder dat de omvang van het gebruik bekend is bij de IT-afdeling. Deze clouddiensten veroorzaken ongeveer 14% van het netwerkverkeer en een aantal van deze zijn geclassificeerd als uitermate risicovol. De meting resulteert in de volgende samenvatting van de business risico s door het gebruik van applicaties en apps met een hoog risicoprofiel: Beveiliging van de gegevens, devices en clouddiensten is dus een belangrijk aandachtspunt. Er is een duidelijk spanningsveld tussen gebruikersgemak en informatiebeveiliging. Hier dringt zich een principiële vraag op: Is informatie te beveiligen door inzet van technische hulpmiddelen zoals gebruikersprofielen, wachtwoorden, firewalls, etc of moeten we de gebruiker vrij spel geven en hem/haar aanspreken op houding en gedrag? Zoals altijd lijkt het antwoord op deze vraag ergens in het midden te liggen overeenkomstig nevenstaande afbeelding. De kosten-baten analyse is bepalend. Alles afschermen met technisch hulpmiddelen is erg duur, en is niet 100% waterdicht. Dit zorgt voor schijnveiligheid bij gebruikers. Het lijkt beter om gebruikers sowieso integraal verantwoordelijk te maken voor devices, de gegevens en de informatieuitwisseling. Wel kunnen een aantal technische maatregelen genomen worden, wederom afhankelijk van de bedrijfsvoeringsfilosofie en de kosten-baten analyse, zoals: Het aantal devices beperken via het opleggen van een standaarden Al het netwerkverkeer via één gateway leiden Al het netwerk verkeer blijvend monitoren op gebruikte apps, content en bandbreedtegebruik Maak zoveel mogelijk gebruik van beveiligde, versleutelde verbindingen (tunnels, HTTPS) BYOD, Tablet en Cloud beleid 16

17 Gebruik maken van digitale handtekeningen c.q. wachtwoorden op individuele documenten Via MDM oplossingen de gebruiker een bepaald (beveiligings)profiel opleggen Een voorziening treffen voor het maken van een eenvoudige backup van gegevens op devices (i.e. icloud, webdav server, RES Hyperdrive) Het document ICT-Beveiligingsricht-lijnen voor webapplicaties van de NCSC geeft een volledige set van maatregelen. Mobile Device Management Mobile device management (MDM) bestaat uit het beheren van alle devices, al dan niet eigendom van de organisatie, met het oogmerk om de uitrol te vergemakkelijken en de beveiliging te optimaliseren. Ook hier ligt een interessant spanningsveld: de organisatie wil grip houden op informatie, de gebruiker wil maximale vrijheid om gegevens te raadplegen en Apps te installeren. Met MDM kunt u in ieder geval uw mobiele vloot beheren. De white paper van Osterman Research Inc. (Osterman Research Inc, 2011) geeft een aantal interessante overwegingen en stelt dat houding en gedrag bepalend is bij het beheer van device en dat MDM alleen aanvullend is. MDM kan de volgende functies bevatten, onderverdeeld in de vier belangrijkste categorieën: Policy management: o Zorgen voor aanmelden, registreren, installeren, blokkeren en verwijderen van mobile devices o Auditing van de aangesloten devices Software distributie o Zorgen voor installeren, blokkeren en verwijderen van applicaties en apps o Zorgen voor software-updates (OS en Apps) o Het beperken van de eindgebruiker en het voorkomen van toegang tot schadelijke downloads van het internet en niet-geautoriseerde software-installatie Assett management o Inventarisatie van alle aangesloten devices o Inventarisatie van alle aangesloten gebruikers o Inventarisatie van alle gebruikte besturingssystemen o Inventarisatie van de gebruikte apps Security management: o De authenticatie van gebruikers van het apparaat met behulp van o.a. Active Directory BYOD, Tablet en Cloud beleid 17

18 (Domein Veiligheid) referenties of andere wachtwoorden en codes. o Het uitschakelen van communicatie modules en hardware functies (bijv. camera, Bluetooth) o Verifiëren mobiel apparaat hardware met behulp van certificaten o Het inschakelen van bescherming tegen malware en inbraakdetectie o Zorgen voor bescherming van bedrijfsgegevens tijdens het transport over de openbare Wi-Fi en mobiele netwerken (VPN clients) o Coderen van gegevens die zijn opgeslagen op het device, waardoor deze alleen beschikbaar zijn voor geverifieerde gebruikers op uw domein o Proactieve strategieën invoeren om dataverlies te voorkomen in het geval van verlies en diefstal van apparatuur (o.a. apparaten op afstand vergrendelen of wissen) Een MDM oplossing is tevens gericht op het minimaliseren van het werk m.b.t. BYOD: Minimaliseren van installatie en beheer werkzaamheden bij de introductie van nieuwe devices Minimaliseren van gebruikersondersteuning Het minimaliseren van wijziging aan de bestaande technische infrastructuur zoals bijvoorbeeld de corporate firewall configuratie en integratie met bestaande beveiligingstechnologieën (active directory). Met behulp van MDM kan een ICT-afdeling of een gebruiker zelf apparaten toevoegen aan een bedrijfsnetwerk en zelf de instellingen verzorgen. In principe kunnen MDM-oplossingen alle verschillende besturingssystemen aan zoals ios, Android, Windows8, Symbian, etc. Er zijn thans diverse MDM oplossingen op de markt. Gartner heeft een standaard gedefinieerd waaraan een MDM oplossing moet voldoen en een rating gemaakt van aanbieders in de markt (Phillip Redman, 2012): BYOD, Tablet en Cloud beleid 18

19 Omdat bedrijfsgegevens vaak alleen opgeslagen zitten in bedrijfsapplicaties en Apps, brengen een aantal leveranciers Mobile Application Management (MAM)-oplossingen uit. Hiermee kunnen bedrijfsapplicaties en bijbehorende data door de ICT-afdeling beheerd worden. Het voordeel van MAM boven MDM is gelegen in het feit dat het de gebruiker meer vrijheid biedt met een persoonlijk device dan MDM en bovendien beter zou beschermen tegen diefstal van data. MAM-oplossingen zoals AppCentral, Apperian en JackBe kunnen applicaties op afstand beheren: Apps worden gepusht, beveiligd, geüpdate, gemonitord en gewist. Kostenpost: licenties BYOD en licenties voor bijvoorbeeld het gebruik van Windows, Exchange, Office, Citrix is een complexe materie. In principe is het zo dat elke gebruiker of device die contact maakt met een serverplatform (windows 2008, Exchange server, Oracle) over de juiste licenties moet beschikken. De problematiek van licenties wordt samengevat met de term Virtual Desktop Licensing. Voor bijvoorbeeld Microsoft zijn diverse licentie modellen beschikbaar. Wanneer een gebruiker MS- Office of een andere Microsoft applicatie wil gebruiken vanaf zijn eigen device, zal de aanbieder van de applicaties over Software Assurance moeten beschikken. Ook is het licentiemodel VDA beschikbaar. Elke device wat verbinding maakt heeft dan een VDA licentie nodig. Deze problematiek is complex en vereist een specialist om te kijken of u als bedrijf voldoet. Kosten besparing: multifunctionals en printers Het gebruik van allerlei devices leidt ertoe dat er steeds minder gegevens en documenten op papier BYOD, Tablet en Cloud beleid 19

20 wordt verspreid. Zoals uit bovenstaande ontwikkelingen, zullen er aanzienlijke kosten aan BYOD, Tablet en Cloud beleid volgen. Het verdient dan ook de aanbeveling om de kosten voor een gedeelte terug te halen door de printkosten flink terug te dringen door ook het aantal printers en multifunctionals flink te verminderen. De medewerkers kunnen bijvoorbeeld gebruik maken van decentraal opgestelde afdrukapparatuur, waarbij men de mogelijkheid heeft om grotere afdrukopdrachten bij een centrale printerservice te laten uitvoeren. BYOD en de Belastingdienst Ook kan Follow me printing ingezet worden. Deze service houdt in dat printopdrachten pas worden uitgeprint als de gebruiker zich bij de printer identificeert met een pasje. Dit betekent niet alleen dat er veilig wordt geprint, maar ook dat vanaf de ene locatie printopdrachten kunnen worden gegeven die vanaf een andere locatie kunnen worden opgehaald. Follow me printing zorgt daarnaast voor een forse kostenbesparing op afdrukken, omdat alleen de noodzakelijke documenten worden geprint. Een discussie die veel gevoerd wordt bij de introductie van tablets bij diverse organisaties en met name bij gemeenten, gaat over de kosten van gebruik. Wanneer de gemeente een tablet aanschaft zijn een aantal regelingen van toepassing. Staatssecretaris Weekers van Financiën heeft een besluit gepubliceerd, waarin hij onder meer ingaat op het onderscheid tussen mobiele communicatiemiddelen (zoals een mobiele telefoon of smartphone waarvoor soepele fiscale regels gelden) en computers (zoals een laptop en bepaalde tablets, met minder soepele regels) voor de fiscale duiding van arbeidsvoorwaarden. Er is sprake van een communicatiemiddel als het apparaat voldoet aan de volgende voorwaarden: Het gaat om een apparaat met de uiterlijke kenmerken van een mobiele telefoon; Het is een toestel waarbij de communicatie een centrale rol speelt; Het beeldscherm heeft een diagonaal van niet meer dan 7 inch (dat is 17,78 cm). Zogenoemde Pocket-PC's, mininotebooks, netbooks, e-readers en navigatieapparatuur vallen niet onder het begrip communicatiemiddelen. Een tablet voldoet hiermee niet aan de eisen voor de soepelere fiscale regels voor telefoons. Dit betekent dat als een organisatie de ipads koopt voor haar medewerkers, dat ze maar 10% privé gebruikt mogen worden. Is dat meer, dan wordt de ipad gezien als loon en zullen de ipads gebruteerd worden. Met ingang van 1 januari 2014 moeten voor de salarisadministratie de werkkostenregeling ingevoerd worden. Dit kan ook per 1 januari 2013 maar dit is nog geen verplichting. De werkkosten regeling houdt in dat de organisatie 1,6% van het fiscale loon in 2013 en 2,1% van het fiscale loon in 2014 belastingvrij mag uitkeren naar de werknemers. Het totale belastingvrije bedrag wordt de vrije ruimte genoemd. Hier boven de vrijstelling wordt 80% bijtelling gehanteerd. (kijk ook op en_loon/loonheffingen_berekenen/werkkostenregeling/) Voorbeeld: Als je in 2013 voor de werkkostenregeling kiest, tel je alle vergoedingen (waaronder het BYOD, Tablet en Cloud beleid 20

21 kerstpakket, een tablet, netto vergoedingen, etc.) op. Is dit bedrag lager dan de vrije ruimte, dan is er geen eindheffing verschuldigd. Daarboven is de Belastingdienst strenger: zij rekent dan 80% eindheffing. Veel organisaties overwegen om medewerkers te voorzien van een tablet. Dit kan dus niet zonder fiscale gevolgen. Als er tablets en laptops door de nieuwe organisatie worden verstrekt wordt dit door de fiscus gezien als loon als de organisatie niet aan kan tonen dat de tablets en laptops voor 90% of meer zakelijk worden gebruikt. Die 90% is dus heel moeilijk aan te tonen zelfs met een bruikleenovereenkomst is dit niet dekkend. Dan moet er bijvoorbeeld een controle plaatsvinden of werknemers deze apparaten niet mee naar huis nemen. De werkgever moet hem dan gaan fiscaliseren en dat kost bijna nog een ipad of laptop. Er zijn verschillende mogelijkheden om hier voor een oplossing te vinden: de werknemer zorgt zelf voor een tablet of laptop (geen kosten voor werkgever), de werkgever verstrekt de tablet of laptop en fiscaliseert hem voor rekening van de werkgever (eventueel met eigen bijdrage van de werknemer). De werkgever kan er ook voor kiezen om de werknemer zelf de kosten voor een tablet of laptop voor rekening te nemen en geeft bijvoorbeeld een bruto vergoeding hiervoor. Als een medewerker na twee maanden weg gaat, zal de medewerker (afgaande van een afschrijvingstermijn van 3 jaar, vastgesteld door de belastingdienst) een gedeelte van de kosten, naar rato. Doel is om dit te verrekenen met het laatste salaris. Een aardig voorstel is wellicht de volgende : de organisatie verstrekt een tablet aan de medewerker (vanuit de vrije ruimte van de werkkostenregeling) en de medewerker betaald het bruto gedeelte zodat de tablet ook privé gebruikt mag worden. Het belangrijkste doel is dat de ipad van de medewerker wordt. Dan draagt hij/zij er meer verantwoording voor. Wanneer de medewerker eerder uit dienst gaat dan de fiscale afschrijvingstermijn van een tablet (3 jaar) zal de medewerker een gedeelte van de aanschaf als nog moeten voldoen (vanuit het laatste salaris). Belastingdienst en telefonie Ook zijn er fiscale gevolgen als een organisatie een telefoonabonnement wil vergoeden. Als de werknemer zelf een mobiel abonnement afsluit en de werkgever hiervoor een vergoeding gaat geven wordt dit als loon gezien door de fiscus, tenzij dit betaald wordt uit de vrije ruimte van de werkkostenregeling. Bij deze constructie is de werkgever dus duurder uit, omdat er ook loonheffing en premies gerekend moeten worden over de vergoeding, inclusief BTW. Als de werkgever het mobiele abonnement zelf afsluit wordt dit niet gezien als loon als de werknemer het abonnement voor meer dan 10% zakelijk gebruikt. Wanneer de organisaties mobiele abonnementen afsluit voor medewerkers, is er een risico dat er veel privé gebeld wordt, waardoor er alsnog flinke kosten worden gemaakt. De vraag is natuurlijk ook hoe men de kosten voor privé bellen kunt beperken. Hiervoor kan een staffeltabel opgesteld, afhankelijk van de functie. Een voorbeeld: BYOD, Tablet en Cloud beleid 21

22 Functieklasse Max beltegoed per maand Interne medewerker 30,- Meer dan 30% van de tijd buiten de organisatie 50,- Afdelingshoofd/team coördinator 80,- Management/bestuur 120,- Bedragen die meer gebeld worden dan het bovenstaande staffelbedragen, worden direct van het salaris ingehouden. Dit wordt vooraf aangekondigd. Ook ontvangt de beller een SMS als hij op 80% van het staffelbedrag zit. De ondernemingsraad heeft hier instemmingsrecht c.q. adviesrecht op. Bereikbaarheid en aanwezigheid Belangrijk bij de invoering van Het Nieuwe Werken of flexwerken (gestimuleerd middels BYOD) is de bereikbaarheid van collega s en de registratie van aanwezigheid om als organisatie goed te functioneren. Dit vereist enerzijds de technische aanpassingen zoals een koppeling tussen de devices en de centrale agenda, anderzijds duidelijke afspraken over bereikbaarheid. Het blijft namelijk frustrerend als het werk moet wachten op een collega die onbereikbaar is. Geef bijvoorbeeld met een kleur aan in de agenda of een afspraak intern of extern is. Voor een bepaalde categorie mensen zullen bloktijden ingevoerd (bv balie- en KCC medewerkers) kunnen worden. Telefonische bereikbaarheid in bloktijden moet gegarandeerd zijn, eventueel via collega s. Veranderen BYOD, Tablet en Cloud beleid, maar ook Het Nieuwe Werken vraagt een verandering van medewerkers. En niet iedereen staat hier open voor. Er is bijvoorbeeld een groep mensen die hun tijdverantwoording liever niet invullen, liever niet klokken en wars is van (administratieve) verplichtingen; Deze groep wil wel de lusten, maar niet de lasten van o.a. HNW en BYOD. Ook wordt dit duidelijk uit organisaties die HNW en een BYOD, Tablet en Cloud beleid reeds hebben ingevoerd. Sommige mensen willen iedere dag een nieuwe werkplek, anderen willen een foto op het bureau, en iedere dag bij dezelfde collega s zitten. Kortom veranderingen moeten gefaseerd ingevoerd worden. Zorg daarom voor duidelijke regels, maar ook voor een stuk naleving van deze regels. BYOD, Tablet en Cloud beleid 22

23 BELANGRIJK: Waarom is beleid nodig? De belangrijkste vraag die u zich zult moeten stellen is: Draagt BYOD, het gebruik van tablets en clouddiensten bij aan het realiseren van de organisatiedoelstellingen? Kortom, definieer het BYOD, Tablet en Cloud beleid op een manier zodat het bijdraagt aan uw organisatiedoelen ofwel alle aspectgebieden van het 8B-model, zoals gepresenteerd in de inleiding. De belangrijke vervolgvragen zijn: Hoe breng je eenvoud in deze complexiteit? Hoe zorg je ervoor dat regels eenduidig te interpreteren zijn voor alle betrokkenen? Hoe ga je om met het spanningsveld tussen gebruikersgemak en informatiebeveiliging? Is informatie te beveiligen door inzet van technische hulpmiddelen zoals gebruikersprofielen, wachtwoorden, firewalls, etc of moeten we de gebruiker vrij spel geven en hem/haar aanspreken op houding en gedrag? (ook t.a.v. social media!!!) Het BYOD, Tablet en Cloud beleid moet op bovenstaande vragen antwoord geven. De drie belangrijkste uitgangspunten voor BYOD, Tablet en Cloud beleid zijn: Houding en gedrag: de belangrijkste component blijft het verantwoordelijkheidsgevoel van medewerkers Niet technisch blokkeren, wel controleren: alles blokkeren en beveiligen kost u een fortuin Functioneel: zorg er voor dat de het BYOD, Tablet en Cloud beleid functioneel is, passen bij de functie en de aard van de werkzaamheden; goed is goed genoeg. Het beleid wordt maximaal gedragen als er gestreefd wordt naar een win-win-win-win situatie voor klanten/burgers - aandeelhouders/raad directie/mt medewerkers. De volgende hoofdstukken geven een voorbeeld beleid weer beredeneerd vanuit het 8B model. Belangrijkste kosten en baten Onderstaande lijst geeft de belangrijkste kostenverhogers: Geen eenduidig beleid zorgt voor dubbele uitgaven op het gebied van hardware en software, installatie en configuratie Het aanschaffen van overbodige of duurdere devices (extra luxe) dan nodig. Beheer en beheerwerkzaamheden via o.a. Mobile Device Management. Meer licenties voor software nodig Brutering c.q. vergoedingen t.g.v. fiscale wetgeving. Onderstaande lijst geeft de belangrijkste mogelijkheden om baten te realiseren: Hogere productiviteit door het benutten van de technische mogelijkheden zoals o.a. Videoconferencing, sneller informatie beschikbaar, notuleren tijdens vergaderingen, etc. Minder papiergebruik, minder multifunctionals BYOD, Tablet en Cloud beleid 23

24 Meer productieve uren van medewerkers door plaats- en tijdonafhankelijk werken, couchsurfing en een grotere employability Financiële en operationele verantwoordelijkheid m.b.t. hardware i.h.g.v. BYOD ligt bij de gebruiker Voorbeeldfunctie en imago, goed werkgeverschap Betere balans tussen werk en privé Lagere kosten woon-werk verkeer. Lagere huisvestingskosten door invoering van HNW Vertrekpunt van het beleid: missie en visie (belief en behaviour) Het BYOD, Tablet en Cloud beleid moet als eerste afgeleid worden van de missie, visie en organisatiestrategie/doelen. Onderstaande geeft een voorbeeld van de kernwaarden (belief), missie, strategie (met als onderdeel behaviour) en doelen van een organisatie: Kernwaarden Samenwerken aan resultaat Flexibiliteit/diversiteit Transparantie/zichtbaarheid Professionaliteit Visie op medewerker Technologische ontwikkelingen Imago Missie en visie (en behaviour) Onze belangrijkste opdracht (missie) is om onze klanten te helpen en ten dienst te zijn bij het realiseren van hun doelen. Niet angst en afzondering maar vertrouwen en verbinding zijn de uitgangspunten. Zowel bestuurlijk als ambtelijk, voor wat betreft beleidsontwikkeling maar ook als het gaat om het uitvoeren van beleid of van de wet en de bedrijfsvoering. Strategie (en behaviour) De organisatie blijft zelfstandig en gaat uit van eigen kracht. Er wordt samengewerkt op ondersteunende en niet-primaire processen wanneer dit een economisch voordeel oplevert. Het Nieuwe Werken (HNW), met daarin resultaatgericht-, plaats en tijdonafhankelijk-, digitaal- en procesgericht werken besloten, geeft de organisatie mogelijkheden om de bedrijfskundige uitdagingen het hoofd te bieden. HNW is mensgericht en streeft naar een open, transparante houding van medewerkers die initiatief tonen en taakvolwassen zijn. Maar HNW streeft tegelijkertijd naar ook naar een gezonde zakelijke houding en duidelijke resultaten. ICT wordt gezien als een strategische katalysator om Onze Nieuwe Manier van Werken mogelijk te maken. Doelen Financiële taakstelling: bedrijfsvoering kosten met 10% omlaag bij een gelijkblijvende exploitatiebegroting binnen 3 jaar Klantevredenheid is minimaal een 8 binnen 3 jaar Medewerker tevredenheid is minimaal een 8 binnen 3 jaar BYOD, Tablet en Cloud beleid 24

25 Benchmark klanten/burgers is minimaal een 8 binnen 3 jaar 95% Afdoeningstermijnen van klantvragen gehaald Ziekteverzuim onder 3% 2% meer productieve uren per jaar Samenvattend: De organisatie geeft ruimte aan nieuwe ontwikkelingen en geeft ruimte om te exploreren en om fouten te maken. Dit is een belangrijk vertrekpunt voor het BYOD, Tablet en Cloud beleid. Dit betekent dat ontwikkelingen niet tegengehouden worden, maar positief omarmd worden, om te kijken hoe het de bedrijfsvoering kan helpen en de medewerker tevredenheid kan vergroten. Voor een complete en juiste beschrijving van het BYOD, Tablet en Cloud beleid zal, naast het bovenstaande, ook het beleid op andere terreinen in bestudeerd moeten worden voor een optimale aansluiting: - Informatie- en automatiseringsbeleid (Bytes) - HRM beleid en huishoudelijk regelement (Business en Behaviour) - Financieel beleid en financiële draagkracht (Budget) - Facilitair beleid (Bricks) - Werkprocessen en managementafspraken (Business) - Beveiligingsbeleid (Bytes en Bricks) BYOD, Tablet en Cloud beleid 25

26 Voorbeeld functioneel BYOD, Tablet en Cloud beleid Dit hoofdstuk presenteert een voorbeeld BYOD, Tablet en Cloud beleid beleid. De eerste paragraaf geeft een overzicht van het beleid, de vervolgparagrafen geven meer vakinhoudelijke details. Uitgangspunt is de missie, visie, strategie van de organisatie die gericht op Het Nieuwe Werken, sturen op resultaat, te bereiken over 5 jaar. De huidige cultuur (behoudend) is nu nog bepalend voor de start van het BYOD, Tablet en Cloud beleid. Maar ook de bezuinigingen spelen een rol in het opstellen van het beleid. Het beleid gaat er verder van uit dat er een zeer beperkt functionele Apps/software zijn die een backoffice applicatie ontsluiten buiten de organisatie. Tablets hebben thans alleen zakelijk een echte toegevoegde waarde als er door de gebruiker veel vergaderd wordt. Voor ambulante medewerkers kan ook een laptop aangeschaft worden. Daarnaast worden de vaste PC en vaste telefoon ingericht als gebruikersonafhankelijke plekken, gericht op HNW. Het BYOD, Tablet en Cloud beleid kan op hoofdlijnen als volgt geformuleerd worden: Medewerkers krijgen alleen een device wanneer er een functionele behoefte bestaat. Alle medewerkers krijgen een beperkte tegemoetkoming voor de aanschaf van Apps/software. HNW wordt beperkt tot thuiswerken via Citrix/terminal services. Er wordt gestandaardiseerd op HP laptops, ipad, iphone en de Nokia mobiele telefoons. Voor BYOD wordt deze standaard uitgebreid met devices die Android 4.0 of hoger ondersteunen Richtlijn voor een ipad van de zaak: minimaal 8 uur vergaderen/overleg per week. Smartphone van de zaak: meer dan 8 uur per week buiten de organisatie, behoefte aan of andere Apps (vanuit de functie) en niet in het bezit van een tablet vanuit de organisatie. Smartphone van de zaak: wanneer vereist vanuit representativiteit of t.b.v. calamiteiten Kaders voor BYOD: eigen device mag alleen gebruikt worden voor mail, agenda, surfen en notities Beheer en ondersteuning wordt zoveel mogelijk extern belegd. Vergaderen en het uitwisselen van documenten wordt gefaciliteerd middels een Webdav server Beveiliging wordt geregeld via controle van netwerkverkeer en een beveiligingsprofiel. Onderstaande tabel geeft het beleid voor de verschillende rollen in detail weer: Rol Vaste PC Zware PC Flexplek Laptop Tablet Vaste Tel Smartp hone GSM Publica tie serv Raadsleden n.v.t. Nee Nee Nee Ja Nee Nee Nee Ja 0 Bestuur/college Nee Ja Ja Ja Ja Ja Ja Nee Ja 50 Management-projectleiders Nee Ja Ja Ja Ja Ja Ja Nee Ja 50 Beleidsmedewerkers / Nee Ja Ja Nee Ja Ja Nee Ja Ja 50 adviseurs Secretariële ondersteuning Nee Ja Ja Ja Nee Ja Nee Nee Ja 50 Administratieve functies Nee Ja Ja Nee Nee. Ja Nee Nee Nee 50 KCC-medewerkers Nee Ja Ja Nee Nee Ja Nee Nee Nee 50 Toezicht, handhaving, intake Ja Nee Nee Ja Nee Nee Nee Ja Nee 50 Zware gebruikers Nee Ja Ja Nee Nee Ja Nee Nee Nee 50 Ambulant operationeel Ja Ja Ja Nee Nee Nee Nee Ja Nee 50 (intern) Ambulant operationeel Ja Nee Nee Nee Nee Nee Nee Ja Nee 50 (extern) ICT-medewerkers Ja Nee Ja Ja Nee Ja Nee Ja Nee 50 Buitendienst Ja Nee Nee Nee Nee Nee Nee Nee Nee 50 Bovenstaand beleid wordt puntsgewijs uitgewerkt aan de hand van elke B van het 8B model. Tege moet koming BYOD, Tablet en Cloud beleid 26

27 Belief De organisatie gelooft in de mogelijkheden van allerlei devices, Apps, social media, en zal blijvend de nieuwe mogelijkheden voor dienst- en serviceverlening als gevolg hiervan onderzoeken. Gekeken wordt naar de rechtsgeldigheid, de wenselijkheid bij klanten/burgers en naar het huidige gebruik. Gezien de moeilijke financiële tijden gelooft de organisatie dat er een sober beleid moet zijn t.a.v. de aanschaf van devices, maar dat men anderzijds de progressie niet wil remmen. We willen kijken hoe de productiviteit van medewerkers verhoogd kan worden. Een goede business case is dus van belang. Het BYOD, Tablet en Cloud beleid is er op gericht om alleen devices te verstrekken als er een functionele behoefte is. De financiering vindt dan deels plaats vanuit de organisatie, maar medewerkers betalen zelf voor het privé gebruik. Voor medewerkers die niet in aanmerking komen voor een device vanuit de organisatie, wordt een Bring Your Own Device beleid gedefinieerd, waar ook een financiële tegemoetkoming wordt gegeven. Behaviour Omdat medewerkers gestimuleerd worden om zich maximaal te ontplooien en flexibel op te stellen wordt er ingezet op het gebruik van moderne middelen. Het gebruik van eigen devices en clouddiensten wordt dan ook onder voorwaarden toegestaan uiteengezet in dit beleid. De belangrijkste voorwaarde is dat de uitwisseling van informatie gegarandeerd is en dat de vertrouwelijkheid van informatie, indien nodig, gegarandeerd is, mede door het gedrag van de gebruiker zelf. Het BYOD, Tablet en Cloud beleid kan gezien worden als een uitbreiding op de eerder geformuleerde gedragsprotocollen voor het gebruik van internet-, , twitter, en andere (social) media, het beschermen van de privacy van personen en de vaak impliciet of expliciet genomen maatregelen ten aanzien van het gebruik van USB-sticks, SD-kaarten, DVD s en andere informatiedragers. In alle gevallen geldt dat de gebruiker zelf verantwoordelijk is voor het gebruik van en zijn gedrag op alle media. Het gedrag is gebaseerd op een aantal kernwaarden: respect, betrouwbaar, zorgvuldig en positief. Iedere gebruiker dient de Nederlandse wetten en regels in acht te nemen. Zie o.a. ook: De invoering van HNW en digitaal- en zaakgericht werken (DZW) en het voorliggende beleid verplicht de top van de organisatie om een tablet en clouddiensten (onder voorwaarden) te gebruiken en zoveel mogelijk digitaal te werken. Voorbeeld doet volgen. Het werken met een tablet of smartphone werkt voor veel mensen verstorend tijdens vergaderingen; toch wordt er via dit beleidsdocument geen protocol afgesproken. De tendens is dat mensen een balans gaan vinden tussen digitaal vergaderen en het deelnemen aan de discussie. Wel zullen medewerkers de ruimte en het vermogen moeten hebben om, in het geval van storend gedrag, elkaar hier op aan te spreken. Wanneer de organisatie tablets verstrekt aan medewerkers, is er geen extra gebruikersovereenkomst nodig. Gewenst gedrag is reeds geregeld in de arbeidsovereenkomst. BYOD, Tablet en Cloud beleid 27

28 Het gebruik van nieuwe mogelijkheden zoals bijvoorbeeld ook videoconferencing en andere clouddiensten moet direct gestimuleerd worden; zeker als het besparingen oplevert of een bijdrage tot creatief en innovatief denken. De invoering van tablets en het gebruik van clouddiensten wordt vanuit de organisatie begeleid: Alle aspecten, die in dit beleid benoemd worden, zullen tijdens een training ter sprake komen. De invoering van tablets is overigens geen reden om cursussen effectief vergaderen en/of timemanagement te geven. Business Elke afdeling bepaalt zelf welke medewerkers de beschikking krijgt over een device door toepassing van de regels uit dit beleidsdocument. Het device wordt vanuit de organisatie betaald. Een algemene richtlijn voor het verstrekken van tablets of laptops door de organisatie aan medewerkers is gebaseerd op: o Meer dan 4 vergaderingen per week hebben waarbij stukken digitaal aangeleverd worden; o Medewerkers die vanuit hun functie meer dan 8 uur per week bij klanten werkzaamheden verrichten krijgen de beschikking over een laptop of tablet, afhankelijk van de gebruikte applicatie Een smartphone van de zaak wordt verstrekt als o een medewerker meer dan 8 uur per week buiten de organisatie werkt, behoefte heeft aan of andere apps (vanuit de functie) en niet in het bezit van een tablet vanuit de organisatie. o wanneer men om redenen van representativiteit of functioneel niet altijd over een tablet kan beschikken, maar wel over en andere informatie dient te beschikken (bijvoorbeeld bestuurders, directies in het geval van bezoeken, of in het geval van calamiteiten) Eenmaal bepaald, moeten alle leden van een overlegorgaan over op digitaal werken c.q. vergaderingen. Alleen bij een zwaarwegende reden (medisch) kan hier van afgeweken worden. Medewerkers/bestuurders die toch papier willen gebruiken, kunnen dat alleen op eigen gelegenheid regelen. Alleen zo kan een besparing gerealiseerd worden en kan onze organisatie stappen vooruit zetten in de wens om het werken te digitaliseren. Grip op bedrijfsvoering, efficiënt en effectief werken is belangrijk, gezien de financiële taakstelling. Informatie moet dus zoveel mogelijk digitaal beschikbaar gemaakt worden. Doordat alle informatie digitaal is, ontstaat er weer de mogelijkheid om volledig plaats- en tijdsonafhankelijk te werken op alle devices. Bedrijfsprocessen zullen zo veel mogelijk op digitaal werken aangepast moeten worden. Budget Devices worden alleen ingevoerd als er een sluitende business case is binnen een termijn van 36 maanden Om de business case voor devices sluitend te maken, wordt in ieder geval het aantal multifunctionals en/of printers met 50% verminderd. De levensduur (en fiscale afschrijvingsduur) van een tablet is 3 jaar Medewerkers worden eigenaar van de tablet/laptop om te voorkomen dat het gebruik van een tablet/laptop voor niet-zakelijke doeleinden gecontroleerd moet worden. Het brutobedrag (het bedrag wat afgerekend moet worden met de belastingdienst) wordt betaald door de medewerker. Wanneer de medewerker binnen drie jaar de organisatie verlaat, zal het resterende boekwaarde op het laatste salaris ingehouden worden. Om het flexibel werken van de ambtenaren te stimuleren wordt een éénmalig BYOD, Tablet en Cloud beleid 28

29 persoonsgebonden budget voor de aanschaf van software/apps beschikbaar gesteld van 50,- via de werkkostenregeling. Dat is geen cadeau, maar een tegemoetkoming in de kosten voor het aanschaffen van gereedschap waarmee gewerkt moet worden. Medewerkers mogen hun eigen device meenemen, mits ze voldoen aan de standaarden zoals uiteengezet in dit beleid. De kosten voor aanschaf, onderhoud, beheer, verlies en diefstal zijn voor de eigenaar Bij de financiële overweging om clouddiensten te gebruiken worden alle kosten factoren in overweging genomen zoals inrichting, migratie van data, etc. (zie bijlage voor een kosten berekening) Bytes Het onderdeel Bytes wordt gesplitst in een aantal deelgebieden. Informatiemanagement De vertrouwelijkheid en/of verlies van informatie blijft voor alle soorten devices en informatiedragers de verantwoordelijkheid van de gebruiker. Gebruikers zijn zelf verantwoordelijk voor een back-up en restore van hun gegevens op devices. Wel zal onze organisatie een advies en suggesties doen naar gebruikers over de mogelijkheden om veilig en betrouwbaar een back-up uit te voeren. Op regelmatige basis zal een steekproef uitgevoerd worden om te controleren of back-ups regelmatig gemaakt worden. Gebruikers zijn zelf verantwoordelijk voor acties na verlies of diefstal van hun device. Wanneer het een device betreft die eigendom van de organisatie is, wordt de verzekering ingeschakeld. In het geval van een eigen device, is de eigenaar zelf verantwoordelijk. In het laatste geval geldt wel, dat als er gegevens van de organisatie op het device of in de cloud staan, dat dan ook de organisatie op de hoogte wordt gebracht. Alle devices die zakelijk gebruikt worden moeten een recente versie (max 3 jaar oud) van de door de organisatie geaccepteerde besturingssystemen bevatten (Windows, ios, Android). De gebruikte software of Apps moeten overweg kunnen met de door de organisatie voorgeschreven informatiestandaarden om uitwisseling van gegevens tussen collega s, klanten en burgers te garanderen. Openbare clouddiensten mogen NIET gebruikt worden voor gegevens die vallen onder o.a. privacywetgeving, GBA-richtlijnen, etc. (zie hoofdstuk beveiliging). Dropbox, Skydrive, Google drive, etc. mogen gebruikt worden voor informatie die nietvertrouwelijk is en/of niet onder bepaalde wet- en regelgeving valt. Het gebruik van social media valt onder de richtlijnen van het internet-protocol. Om bestanden optimaal uit te wisselen, moet er gebruik gemaakt worden van een generiek lettertype (font). De huisstijl zal hiertoe aangepast worden. De lay-out van alle documenten moeten afgestemd worden voor het gebruik op een tablet. De organisatie maakt een duidelijke scheiding tussen digitaal werken en digitaal vergaderen. Voor digitaal vergaderen wordt een publicatie-server ingericht op basis van Webdav. De organisatie streeft naar één uniforme oplossing om digitaal te vergaderen: verschillende overlegorganen zullen namelijk ook elkaars stukken willen raadplegen. De organisatie streeft naar een praktisch methode om digitale handtekeningen te tonen op PDF documenten: via een extra tablet waar bestuurders/mt met de hand een paraaf kunnen zetten. Wanneer stukken op een tablet becommentarieerd zijn, moeten deze op de desktop direct beschikbaar gemaakt worden. Dit betekent dat documenten (inclusief commentaar) teruggeschreven kunnen worden naar een persoonlijke omgeving. BYOD, Tablet en Cloud beleid 29

30 De laatste versie van documenten staan altijd in het document management systeem (DMS). Er is één uitzondering, namelijk de stukken van de gemeenteraad. De laatste versie van deze stukken staan ook gepubliceerd op het BIS (internet). Vergaderstukken voor alle andere overlegorganen en die zijn gepubliceerd op een speciale publicatieserver, zijn in principe direct na de vergadering verouderd. De gebruiker kan er voor kiezen om deze te bewaren omdat zijn/haar aantekeningen zich in de betreffende documenten bevinden. Dit is de verantwoordelijkheid van de gebruiker. De gebruiker is ook verantwoordelijk voor het controleren of hij/zij de laatste versie van het document heeft. Om documenten toegankelijker te maken zal een onderzoek gestart worden om te kijken of documenten op een Google-achtige manier doorzocht kunnen worden. Dit betekent dat de opsteller van het document meer en volledige metadata zal moeten toevoegen en de naamgeving moet standaardiseren om de vindbaarheid van documenten te garanderen. De volgende (belangrijkste) informatiestandaarden worden gehanteerd: o PDF documenten worden gestandaardiseerd op PDF/A: het betreft de ISO standaard waarbij minimaal PDF 1.4 ondersteund wordt. Deze standaard wordt ondersteund door Adobe, Foxit, iannotatepdf (ipad) en ezpdfreader (android) en maakt het mogelijk om ook annotaties uit te wisselen. o Presentaties worden gestandaardiseerd op ms-powerpoint versie (ppt) en PPTX en opopendocument Presentation-indeling (.ODP). Deze versies kunnen eenvoudig geconverteerd worden naar Keynote (ipad) en naar Polaris office (android) en naar Open office. o Tekstbestanden worden gestandaardiseerd op ms-word versie (doc) en Docx en opopendocumenttext-indeling (.ODT). Deze versies kunnen eenvoudig geconverteerd worden naar Pages, Office 2 HD (ipad) en naar Polaris office (android) en naar Open office. o Excel documenten worden gestandaardiseerd op ms-excel versie en Xlsx en opopendocument Spreadsheet-indeling (.ODS). Deze versies kunnen eenvoudig geconverteerd worden naar Numbers, Office 2 HD (ipad) en naar Polaris office (android) en naar Open office. o Internet presentaties worden gestandaardiseerd op HTML5. Flash en frames binnen presentaties zijn niet toegestaan (zie o.a. webrichtlijnen) Hardware De ipad, de iphone, de HP laptop zijn de device-standaarden van de organisatie. Alle devices van gemeenten worden standaard uitgerust met een 3G-mogelijkheid. De gebruikers hebben zelf de keuze om op eigen kosten een mobiel abonnement af te sluiten. De organisatie ontwikkelt een standaard gebruikersprofiel voor gemeentelijke tablets en smartphones, waarin een aantal beleidsmatige zaken, zoals hier beschreven, worden geregeld. Ook worden de standaard Apps geïnstalleerd. E.e.a. wordt geregeld middels een aan te schaffen Mobile Device Management oplossing (zie onderzoek van Gartner). Alle vergaderruimtes en projectruimtes van alle gemeentelijke instellingen worden uitgerust met Wifi hotspots om flexibel werken en vergaderen te faciliteren. Software/toepassingen De organisatie gaat GEEN eigen app s ontwikkelen. Technische ontwikkelingen behoren niet tot de primaire activiteit van de organisatie. Ook is het namelijk nog niet duidelijk hoe en in welke mate de markt voor mobile devices zich gaat ontwikkelen (bv introductie Windows 8). Vakapplicaties zijn bij voorkeur ontwikkeld in HTML5. HTML5 is platformonafhankelijk en vergroot de cross-platform uitwisselbaarheid. Indien niet mogelijk worden dan pas Apps voor minimaal ios en Android ontwikkeld. BYOD, Tablet en Cloud beleid 30

31 De organisatie ontwikkelt een eigen app-store voor de ipad en voor Android voor het verspreiden van Apps die door de organisatie zijn goedgekeurd. De organisatie gebruikt een aantal standaard Apps: iannotatepdf voor PDF s, Notities voor het maken van eenvoudige notulen, OfficeHD voor het bewerken van teksten, Keynote voor het geven van presentaties. Citrix of remote desktop wordt minimaal ingezet voor dagelijks gebruik Beveiliging Beveiliging van devices wordt pragmatisch ingestoken. Alles wat technisch eenvoudig mogelijk is, zal worden ingezet om informatie te beveiligen en om de informatiestromen te monitoren. Informatiebeveiliging is met name ook een gevolg van de houding en het gedrag van de gebruikers. Vertrouwelijke stukken zullen op papier verspreid blijven worden of beveiligd worden met een wachtwoord. Elke tablet, privé of zakelijk verkregen, moet beveiligd worden met een wachtwoord. Wanneer een tablet gebruikt wordt om digitaal te vergaderen, moet er een application-lock op de vergader-apps ingesteld worden. Gebruikers zijn zelf verantwoordelijk voor back-up en restore van alle gegevens op de tablet. Gebruikers zijn zelf verantwoordelijk voor de gevolgen van verlies en diefstal. Beveiliging van devices wordt geconfigureerd en beheerd middels een Mobile Device Management (MDM) oplossing. Het op afstand vernietigen van de inhoud van de tablet wordt niet gefaciliteerd. Het levert extra werk, hoge kosten door de nodige 3G verbinding en geeft een bepaalde mate van schijnveiligheid. Er wordt gebruik gemaakt van een netwerkgateway voor mobile devices. Zo wordt het mogelijk om goedgekeurde applicaties toe te staan en discutabele applicaties of jailbroken. Ook is het mogelijk om netwerkverkeer te monitoren. Middels MDM kunnen apparaten ook geweerd worden. Ook is er op deze manier controle op het netwerkverkeer. Medewerkers krijgen een portaal waar zij zelf hun mobiele apparaat kunnen registreren, activeren en wissen. Onderhoud en beheer De organisatie gebruikt een applicatie voor mobile device management ten behoeve van uitrol en configuratie van mobile devices en voor onderhoud en beheer. Medewerkers zijn geheel (ook financieel) verantwoordelijk voor de devices die eigendom zijn van de betreffende medewerkers. Dit geldt voor zowel de hardware, software, onderhoud en beheer. Kosten verbonden met aanschaf onderhoud en beheer zijn voor rekening van de eigenaar. Medewerkers kunnen terecht bij de organisatie voor vragen en advies over aan te schaffen devices, en over onderhoudskwesties, zowel hardware-matig als softwarematig. Met name als het gaat over toepassingen die zakelijk gebruikt worden. Het onderhoud en beheer van de devices die vanuit de organisatie worden verstrekt, wordt door de organisatie geregeld. Eerste lijns-support, zal zoveel mogelijk buiten de organisatie georganiseerd worden, om de flexibiliteit in dienstverlening te maximaliseren. Over tweede en derde lijns support worden aparte afspraken gemaakt. De organisatie stelt voor veelgebruikte apps een applicatiebeheerder aan. BYOD, Tablet en Cloud beleid 31

32 Benefit De invoering van tablets moet minimaal 50% besparing geven op papier ten op zichtte van het niveau van Binnen 2 jaar werkt minimaal 50% van de medewerkers op een tablet Het gebruik van de tablet binnen de ambtelijke organisatie, moet zorgen voor een verhoging van de productiviteit door gebruik te notuleren tijdens vergaderingen en eenvoudige actielijsten te maken. O.a. door invoering van tablets neemt het werkplekgebruik binnen twee jaar met 10% af. O.a. door invoering van tablets neemt de productiviteit met 5% toe. O.a. door invoering van tablets neemt de medewerkerstevredenheid met 5% toe. BYOD, Tablet en Cloud beleid 32

33 Projecten ten gevolge van BYOD, Tablet en Cloud beleid Het BYOD, Tablet en Cloud beleid vertaalt zich in de volgende projecten: Thema Bytes Projecten Huisstijl aanpassen met o.a. juiste lettertype geschikt voor ipages, Keynote, Numbers en meest gebruikte Apps voor publicatie in PDF/A formaat Alle documenten publiceren in PDF/A formaat - Inclusief bookmarks van alle hoofdstukken Bytes Bytes Introduceren van algemene informatiestandaarden (zie ook PDF/A) Koppeling Tablet Document Management Systeem (DMS) t.b.v. electronisch vergaderen. Invoering idms: koppeling tablet met de het DMS t.b.v. het maken en wijzigen van documenten Invoering imeeting: koppeling tablet met de bestuursmodule van het DMS t.b.v. digitaal vergaderen Invoering van isign ten behoeve van het digitaal ondertekenen van documenten. Budget Contract met betrekking tot printers en multifunctionals herzien Opstellen business case voor BYOD, incl mobile device management Opstellen business case voor clouddiensten Business Onderzoek naar de rechtsgeldigheid van de nieuwe dienstverleningskanalen: twitter, facebook, en apps zoals Verbeterdebuurt, etc. Behaviour Handreiking/huishoudelijk regelement voor het maken van back-ups voor tablets. Cursus vanuit organisatie over voorwaarden, houding en gedrag Budget Bytes Business Nulmeting uitvoeren t.a.v. papiergebruik Invoering van Mobile device management systeem Invoering van een netwerk gateway Invoering van Wifi in alle vergaderruimtes en /of in het gehele pand Vaste opstelling van beamers in vergaderruimtes Procedure opstellen documenten voor beter gebruik van documenten op tablets - Invoer metadata - Auteur - Samenvatting Of - Sjablonenset aanpassen BYOD, Tablet en Cloud beleid 33

34 Activiteiten en planning Onderstaande tabel geeft de activiteiten, de planning en de geschatte inspanning weer voor het opstellen van een BYOD, Tablet en Cloud beleid. Voor een optimale invoering is het verstandig om tijdelijk een projectgroep op te richten. De planning is als volgt: 1. Inlezen c.q. inventarisatie beleidsdocumenten 2. Presentatie / kennisoverdracht aan betrokkenen 3. Beschrijving van de verschillende rollen c.q. gebruikersprofielen 4. Interviews plannen met vertegenwoordiger van de verschillende rollen om wensen en eisen te inventariseren 5. Uitvoeren van de interviews met behulp van de checklisten (zie bijlage) 6. Opstellen eerste concept BYOD, Tablet en Cloud beleid 7. Invullen van de profielenmatrix, opstellen concept business case 8. Voorbereiding bijeenkomst met plenaire discussie 9. Plenaire discussie aan de hand van stellingen en bespreking van de profielen matrix 10. Definitieve versie BYOD, Tablet en Cloud beleid en definitieve business case 11. Uitvoeren acties en plannen t.g.v. het BYOD, Tablet en Cloud beleid. Stap Wat Wat levert het op 1. Voorbereiding Exacte planning doorspreken Projectgroep inrichten Lijst van contactpersonen Afspraken/gesprekken plannen Deskresearch o Bedrijfsvoering o Informatiebeleid o Automatiseringsbeleid Afspraken en deskresearch 2. Kennis-update betrokkenen Presentatie over BYOD, clouddiensten, social media Behoefte van de organisatie Koppeling met HNW, DZW, houding en gedrag 3. Beschrijven van de verschillende rollen/profielen Rollen beschrijven Bepaling van de behoefte van de organisatie (tablets, laptops, werkplekken, telefonie, etc) Bepaling financiële ruimte 4. Planning interviews en opstellen vragenlijst A.d.h.v. stap 2 en 3 5. Interviews (mogelijk in combinatie) van de verschillende rollen Gesprek met de verschillende rollen Gesprek met directielid t.a.v. missie, visie strategie bedrijfsvoering Gesprek met ICT t.a.v. ICT beleid en informatiebeveiliging Gesprek met beleidsmedewerker DIV (inrichten werkprocessen en inrichten server) Gesprek met een P&O adviseur t.a.v. HRM-beleid Gesprek met hoofd automatisering t.a.v. beheer Kennis-update Rollen en behoefte Planning en vragenlijst Interview verslagen BYOD, Tablet en Cloud beleid 34

35 6. Opstellen concept beleidsdocument Aan de hand van de interviews Gebruikmakend van dit voorbeeld beleidsdocument Opstellen concept matrix met profielen/rollen versus behoefte Opstellen concept business case OPTIONEEL: diverse scenario s ontwikkelen 7. Voorbereiding bijeenkomst Doorlezen van de het concept beleid door de deelnemers van de bijeenkomst Voorbereiden van stelling a.d.h.v. de interviews en de deskresearch 8. Bijeenkomst Met geïnterviewden uit stap 2 Discussie a.d.h.v. stellingen Bespreking matrix Bespreking business case 9. Beleidsdocument opstellen Definitief BYOD, Tablet en Cloud beleid Definitieve business case Aanbevelingen Actie c.q. projectplan opstellen 10. Terugkoppeling, bijstelling en goedkeuring Overleg en presentatie Laatste Aanpassingen maken 11. Uitvoering acties en plannen Overleg en presentatie Laatste Aanpassingen maken Concept beleid Stellingen Antwoorden op vraagstukken Concept beleid Definitief beleid Uitvoering BYOD, Tablet en Cloud beleid 35

36 Bijlage 1: Checklist invoering tablet Onderstaande checklist kan gebruikt worden bij het invoeren van tablets binnen de organisatie en een groot aantal toepassingen zoals digitaal vergaderen. De navolgende bijlagen bevatten meer specifieke aandachtspunten rondom BYOD en clouddiensten. Gebruikerswensen/toepassingen Gebruikersprofielen Digitaal werken voor de raad, bestuur, MT, projectgroepen en/of medewerkers Papierloos of papierarm vergaderen Documenten raadplegen en annoteren Digitaal paraferen / ondertekenen lezen en agendabeheer Tekstverwerken / notulen maken Afdelingsoverleg faciliteren Presentaties maken en tonen Gebruik van social media Videoconferencing Toegang tot de backoffice Eenduidige manier van werken Koppeling met smartphone/werkplek Samenwerken met andere gebruikers Burgers gebruiken Apps voor dienstverlening Informatievoorziening Inbedding in de Informatiearchitectuur Eén oplossing voor alle gebruikersgroepen Welke oplossing om informatie te delen en publiceren: public cloud (Dropbox), private cloud (Webdav, Res Hyperdrive), leverancier (Ibis), website (Sim) Welke oplossing ten behoeve van toegang backoffice applicaties Organisatie documenten (bestandsbeheer) Publicatie van vertrouwelijke stukken Splitsing hamerstukken en bespreekstukken Toegang tot agenda en (imap, pop) Koppeling Document Management Systeem Koppeling raad- en bestuursinformatiesysteem Synchronisatie van gegevens Informatie-uitwisseling tussen tablets/devices van verschillende typen (standaarden) Delen van informatie tussen gebruikers Hardware en standaard software Inbedding in de applicatiearchitectuur Welke tablet? (ios Android) Toebehoren (toetsenbord, cover, stylus) Citrix/VDI t.b.v. backoffice applicaties en toegang werkplek Welke standaard Apps? Back-up- en restore regelen Inrichting van (publicatie) servers en public- of private storage Beveiliging, certificaten, toegangscodes op tablet, applicatie en documenten Licenties voor toegang netwerk (Windows) Invoering eigen app-store Ontwikkeling eigen apps Netwerkverbindingen Inbedding in de netwerkarchitectuur Public c.q. private wifi Managed wifi access points Bandbreedte Beveiliging (ook Bluetooth) Gebruik tablet in buitenland Wat als er geen verbinding is? Firewall / IP scanning Organisatie Rol van secretariaat en griffie Rol van kopieerdienst/bodes Rol van documentaire informatievoorziening Rol van ICT-afdeling Rol van het management (voorbeeldfunctie) Rol van HRM (arbo, gedragsregels) Rol van communicatie (huisstijl documenten) Onderhoud en beheer Device management (grote aantallen) Acties/verzekering bij verlies of diefstal ipad en Apple Protection Programme Centraal technisch beheer Beheer itunes accounts Gebruikersondersteuning en vragen Gebruikersovereenkomst BYOD, Tablet en Cloud beleid 36

37 Aandacht voor Social engineering Financiën Welke gebruikers krijgen een tablet? Persoonsgebonden budget (PGB) Business Case opstellen Bijdrage van gebruikers bij aankoop Aankoop van Apps Het gebruik van vouchers Tegemoetkoming bij BYOD Fiscale gevolgen Extra budget voor vervolgfasen Pilot met gebruikers (afhankelijk van doelgroep) Selectie gebruikers Instructie gebruikers o Gebruik van de tablet o Instellen Apps o Leren vergaderen o Gebruik social media o Gebruik van en agenda o Gedragsregels o Beheer en beveiliging Uitvoeren van een pilot Evaluatie van de pilot Aanpassingen en bijstellen gebruikerswensen Projectbegeleiding Globale fasering invoering tablet: PvA, Inkoop, implementatie, test, invoering, evaluatie De link met digitaal en zaakgericht werken De link naar het Nieuwe Werken Uitwerken van oplossingen Resultaat beschrijving, PKI s Schrijven plan van aanpak Begeleiding implementatie & pilot Training en cursussen Testfase door een schaduwgroep Evaluatie Communicatie Voorbereiding gebruikers Gebruikersovereenkomst/gedragscode Raadsverordening Rolverdeling en taken Tips en trucs tablet Community bv via Intranet Beeldvorming rond aanschaf BYOD, Tablet en Cloud beleid 37

38 Bijlage 2: Checklist BYOD De checklist voor de invoering van de tablets kan eerst gebruikt worden, waarbij deze checklist aanvullende BYOD specifieke aandachtspunten weergeeft. Gebruikerswensen Gebruikersprofielen / rollen Toegang tot bedrijfs- en agenda Toegang tot publieke en private databronnen (bestanden) via het netwerk van de werkgever Uitwisselen van gegevens Toegang tot de backoffice Gebruik van (eigen) social media Gebruik van eigen Apps en programmatuur Zelfstandig beheer van eigen device Aanvullende (ICT-) ondersteuning op eigen device vanuit organisatie Koppeling met smartphone/werkplek Samenwerken met andere gebruikers Informatievoorziening Welke informatie-uitwisseling is minimaal verplicht: standaardisatie gegevensformaten Toegang tot welke databronnen? Hoe om te gaan met dataleakage? Privacy-aspecten Hardware en standaard software Welke tablets (merken, OS) laten we toe? Welke (oude) versies van OS (ios, Android, windows 8) worden ondersteund? Verplichte securitypatches Toestaan van Jailbreak apps Welke (verplichte) standaard Apps? Eigen back-up- en restore regelen Netwerkverbindingen Dichtslibben van netwerk Ongecontroleerde toegang Ongecontroleerd netwerkverkeer (content) Overbelaste wifi access points, routers, etc. Verkeer concentreren op BYOD-gateway Security scans Organisatie Bereikbaarheid en aanwezigheid Rol van ICT-afdeling (device management, ondersteuning) Rol van management (richtlijnen opstellen) Rol van HRM (arbo, gedragsregels) Cursus over voorwaarden, houding en gedrag Onderhoud en beheer Zelfstandig device management faciliteren en centraal technisch beheer Ondersteuning en vragen op exotische devices Gebruikersovereenkomst (toegang netwerk, applicaties, systemen) Mobile device management Financiën Welke gebruikers krijgen een tegemoetkoming en waarvoor (hardware, apps, ondersteuning, verzekering, verlies/diefstal) Business Case opstellen (geen kosten hardware versus extra beheer en beveiliging) Bijdrage aankoop van verplichte Apps Eigen verantwoordelijkheid gebruikers Pilot met gebruikers (afhankelijk van doelgroep) Selectie BYOD gebruikers Instructie gebruikers o Instellen verplichte Apps o Beheer en beveiliging o Gedragsregels Monitoring van de BYOD gebruikers (gedragsregels, beveiliging, netwerkverkeer) Aanpassingen en bijstellen gebruikerswensen Projectbegeleiding Globale fasering invoering BYOD: PvA, Inkoop noodzakelijke voorzieningen, implementatie, test, invoering en training, evaluatie Communicatie Voorbereiding gebruikers Gebruikersovereenkomst/gedragscode BYOD Community bv via Intranet Beeldvorming rond BYOD BYOD, Tablet en Cloud beleid 38

39 Bijlage 3: Checklist private- en public clouddiensten Gebruikerswensen/toepassingen Clouddiensten voor opslag en delen gegevens, specifieke applicaties en co-creatie Vrij verkeer en opslag van data Altijd en overal toegang tot data Uitnodigen van andere gebruikers om gegevens uit te wisselen De cloud als backup voor lokale data Informatievoorziening Eén oplossing voor alle gebruikersgroepen Wettelijke beperkingen / juridische vraagstukken vertrouwelijke data in de Cloud? Synchronisatie van gegevens naar het LAN Koppelingen naar applicaties op het LAN Hoe om te gaan met dataleakage? Beveiliging, certificaten, toegangscodes op devices, clouddienst en documenten Back-up- en restore regelen Privacy-aspecten Eigendom van de gegevens in de clouddienst Welke clouddiensten Zelf doen of leverancier kiezen Welke leverancier van clouddiensten Stabiliteit, betrouwbaarheid, schaalbaarheid, modulariteit, beschikbaarheid van de oplossing en de leverancier Escrow Geografische opslag (niet in Nederland) SAS70, ISAE3402 en ISO 2700x verklaringen Beveiligingsprotocol van de leverancier (o.a. virussen, attack) Technische Implementatie clouddienst Open source, open standaarden Testomgeving beschikbaar? Afhankelijkheden naar andere leveranciers Netwerkverbindingen Belasting voor het LAN en WAN Tunneling / VPN Inrichting DMZ Beveiliging (ook Bluetooth) Organisatie Rol van ICT-afdeling (beheer private- en public cloud, toegang, rechten, etc) Rol van management (richtlijnen opstellen) Rol van functioneel applicatiebeheerder Rol van HRM: Social engineering, gedragsregels Onderhoud en beheer Centraal technisch beheer Functioneel applicatie beheer Service Level Agreement leverancier Opleidingen en cursussen Financiën Aanschaf van clouddiensten Beheer en onderhoud / maandelijkse fee Duur van overeenkomst, opzeggen? Migratiekosten / escrow kosten Business Case opstellen Extra budget voor vervolgfasen Pilot met gebruikers (afhankelijk van doelgroep) Selectie gebruikers Instructie gebruikers o Gebruik van de clouddiensten o Instellen clouddiensten o Gebruik storage, bestandsdeling o Gebruik co-creatie-tools o Gedragsregels o Beheer en beveiliging Uitvoeren van een pilot Evaluatie van de pilot Aanpassingen en bijstellen gebruikerswensen Projectbegeleiding Fasering invoering clouddiensten: PvA, Inkoop, implementatie, test, invoering, evaluatie De link met digitaal werken De link naar het Nieuwe Werken Communicatie Voorbereiding gebruikers Gebruikersovereenkomst/gedragscode Cloud Community bv via Intranet

40 Bijlage 4: Het kader: 8B- model Als basismodel voor de beschrijving van het BYOD, Tablet en Cloud beleid wordt het 8B-model gebruikt. Het 8B-model onderscheidt zich van andere strategie-modellen door een meer praktische benadering van strategie- en beleidsvraagstukken en is een uitbreiding van het 3B-model wat voor Het Nieuwe Werken (HNW) (Ruurd Baane, 2010) gebruikt wordt. In de huidige tijd spelen de nieuwe mogelijkheden die de techniek biedt (ict, mobile devices, social media, cloud services, byod, plaats- en tijdonafhankelijk werken) een cruciale rol, waardoor strategieën m.b.t. bedrijfsvoering aangepast moeten worden. Verandering door de snelle technologische ontwikkeling is een continue factor en nieuwe mogelijkheden c.q. strategieaanpassingen ontstaan meer en meer vanuit de medewerkers omdat juist daar nieuw technieken het snelst geïntroduceerd worden via het gebruik van consumentenelektronica (Gruman, 2012). De verbinding tussen bottom-up initiatieven vanuit de werkvloer en top-down strategieën vanuit het management moet continu gelegd worden. Hierdoor ontstaat een meer organisch bedrijfsstrategie ofwel een emerging strategie (Wikipedia, 2012). De bedrijfsvoering strategie wordt niet meer bepaald voor 2 of 3 jaar maar is dus een proces wat voortdurend aandacht vereist. Veel nadruk wordt er binnen het 8B model gelegd op de mens als verbindende factor. Wanneer het geloof (Belief) in de kernwaarden, de missie en de bedrijfsdoelstellingen en in elkaar (alle stakeholders) aanwezig is, dan ontstaat er energie om de doelstellingen ook daadwerkelijk te realiseren. Dit vertaalt zich in houding en gedrag (Behaviour) inclusief ontplooiing, vrijheid in handelen voor medewerkers, maar tegelijkertijd ook in zakelijk- en resultaatgericht (Business) werken. De mogelijkheden op het gebied van Bricks en Bytes zijn, zoals hierboven betoogd, van invloed op de strategie van een organisatie. Hierbij wordt met Bricks alle fysieke voorzieningen en -systemen bedoeld om optimaal te kunnen werken, inclusief facilitaire zaken, onroerende zaken, de werkplekinrichting en de thuiswerkplek. Bytes gaat over informatievoorziening en ICT in de breedste zin van het woord. Het betreft o.a. de technische mogelijkheden om thuis te werken, CRM-systemen, gegevensbeheer en distributie, backofficesystemen, de invoering van tablets, clouddiensten, etc. Uiteindelijk worden veel strategieën bepaald door de mogelijkheid om de uitvoering van de strategie te financieren (Budget). De financiële draagkracht van een organisatie bepaalt de mate waarin investeringen gepleegd kunnen worden. Een verantwoorde en realistische business case ligt hieraan ten grondslag. Maar bovenal is het belangrijk dat er een gezonde balans blijft bestaan tussen de verschillende factoren uit het 8B model (Balance). Balance legt de nadruk op het evenwicht tussen de verschillende factoren (business, bricks, bytes en budget). Het gebrek aan balans is een verschijnsel wat thans regelmatig optreedt bij de invoering van Het Nieuwe Werken. HNW wordt door bestuurders beschouwd als een platte bezuinigingsmaatregel, terwijl de afdeling HRM met name houding en gedrag probeert te beïnvloeden. HNW is een mooi voorbeeld waar veel organisaties op zoek zijn naar BYOD, Tablet en Cloud beleid 40

41 balans tussen resultaatgericht en zakelijker werken, besparen en een werkomgeving die innovatie en energie oplevert. De 7B s moeten uiteindelijk leiden tot de achtste B, namelijk Benefit. Met Benefit wordt het resultaat bedoeld voor alle stakeholders. Voor de medewerkers is dat bijvoorbeeld vrijheid van handelen, een prettigere werkomgeving en waardering voor het werk, voor de bestuurders is dat bijvoorbeeld een direct financieel resultaat. Onderstaande afbeelding geeft het 8B-model weer. Voor een succesvol beleid ter invoering van beleid met betrekking tot de invoering van tablets, clouddiensten en BYOD zullen deze 8 aspectgebieden in samenhang met elkaar in beeld worden BYOD, Tablet en Cloud beleid 41

42 gebracht. Daarbij zal zowel gekeken worden naar de huidige situatie waarin de organisatie zich nu bevindt (IST), als naar de toekomstige, gewenste situatie (SOLL) en de weg van de IST- naar de SOLLsituatie. Vanuit het 8B model worden de volgende invalshoeken gebruikt om het BYOD, Tablet en Cloud beleid op te stellen: 1. De invalshoek vanuit Belief: Het BYOD, Tablet en Cloud beleid moet aansluiten bij de missie, visie, kernwaarden en strategie en deze moet integraal en gefocust zijn resulterend in een sterk geloof in de haalbaarheid. Een praktische vertaling naar SMART doelen is van belang om een relatie naar het BYOD, Tablet en Cloud beleid te leggen. 2. De invalshoek vanuit Behaviour: het management draagt het BYOD, Tablet en Cloud beleid uit, geeft het voorbeeld qua houding en gedrag en coached en faciliteert de medewerkers. De kennis en kunde en beschikbare capaciteit van medewerkers moet passen bij het BYOD, Tablet en Cloud beleid 3. De invalshoek vanuit de Business: de organisatorische structuur en de processen moeten passen in het gewenste BYOD, Tablet en Cloud beleid; het opstellen van nieuwe (vereenvoudigde) processen, en aanpassing behoren tot de opties. 4. De invalshoek vanuit Bytes: het gaat hierbij om de doorvertaling van business naar informatiebeleid en automatiseringsbeleid. Dit komt tot uitdrukking in de informatie-, applicatie en technische architectuur. Bytes kan verder uitgesplitsts worden in hardware, software, netwerk, informatiebeleid, informatiebeveiliging en onderhoud en beheer 5. De invalshoek vanuit Bricks: het BYOD, Tablet en Cloud beleid moet aansluiten bij de facilitaire mogelijkheden zoals werkplekken. Ook moet er rekening gehouden worden met arbo-technische zaken, milieu en duurzaamheid. 6. De invalshoek vanuit de beschikbare middelen (Budget): het BYOD, Tablet en Cloud beleid moeten worden beoordeeld op basis van financiële mogelijkheden. Voor het BYOD, Tablet en Cloud beleid moet een business case opgesteld worden. 7. De invalshoek vanuit de resultaten (Benefit) op de primaire activiteiten: De klanttevredenheid over de dienstverlening van de organisatie is een belangrijke indicator en stuurinstrument. De organisatie wordt uiteindelijk afgerekend op doelmatigheid, doelgerichtheid, rechtmatigheid, grip op kosten en risico s zowel intern als extern. Maar ook resultaten van medewerkers bepalen deels succes van het BYOD, Tablet en Cloud beleid. Productie, ziekteverzuim, doorlooptijden en medewerkerstevredenheid zijn voorbeelden van indicatoren. Door deze invalshoeken met elkaar in verband te brengen kan men de onderlinge wensen en eisen op elkaar afstemmen en daarmee een gefundeerd BYOD, Tablet en Cloud beleid maken. BYOD, Tablet en Cloud beleid 42

43 Bijlage 5: Beoordelingscriteria inkoop tablets, mobile device management, clouddiensten Conformiteit Proven technology Standaardisatie Schaalbaar Beschikbaarheid Het concept-ontwerp van de server infrastructuur wordt getoetst aan de gevraagde functionaliteit (zie Programma van Eisen) Het aangeboden concept-ontwerp server infrastructuur is van een bewezen kwaliteit en reeds binnen andere organisatie operationeel. Standaardisatie wordt toegepast door het aantal gelijktijdig aanwezige soorten, fabrikaten en versies van objecten binnen het concept-ontwerp server infrastructuur te minimaliseren en de instellingen zoveel mogelijk te standaardiseren. Het concept-ontwerp server infrastructuur wordt getoetst op de mogelijk om het te laten meegroeien met de uitbreidingen c.q. behoeftes van de organisatie. Het concept-ontwerp server infrastructuur wordt o.a. getoetst op maatregelen om de beschikbaarheid te vergroten door o.a. aanwezige single-points-of-failures te vermijden en/of toepassen van redundantie. Complexiteitsreductie Het concept-ontwerp van de server infrastructuur is logisch opgebouwd, vanuit logische, identificeerbare onderdelen en bouwstenen, dat er voor zorgt dat het beheer zoveel mogelijk volgens logische stappen gestructureerd kan plaatsvinden. Veiligheid Performance Beheer last Documentatie Beperkingen Plan van aanpak Participerend karakter van de aanbieder Het concept-ontwerp van de server infrastructuur wordt getoetst op genomen maatregelen om het systeem af te schermen voor bepaalde groepen. Het concept-ontwerp van de server infrastructuur wordt getoetst op genomen maatregelen om de performance te optimaliseren en rekening te houden met een aantal KPI s Belangrijk bij het opstellen van het concept-ontwerp van de server infrastructuur zijn de beheersmatige aspecten. Er vindt een toetsing plaats op maatregelen die genomen zijn om het noodzakelijk onderhoud van een systeem te minimaliseren, in zowel personele- als financiële zin. Het concept-ontwerp van de server infrastructuur is duidelijk en schematisch gedocumenteerd. Bij het concept-ontwerp van de server infrastructuur zal gekeken worden naar de beperkingen van het systeem.. Er vindt een toetsing plaats op een beschrijving van de realisatie van het conceptontwerp van de server infrastructuur in termen van o.a. taken, duur en doorlooptijd (incl. mijlpalen), interne personele inzet, documentatie en opleidingen, oplevering en acceptatie-procedure, De combinatie van o.a. het concept-ontwerp van de server infrastructuur, garantie en service en het plan van aanpak bepaalt in hoeverre de opdrachtgever ontzorgt wordt. BYOD, Tablet en Cloud beleid 43

44 Bijlage 6: Risico s van BYOD Uit een recent onderzoek onder IT-gebruikers en -beheerders uit verschillende sectoren verspreid over elf landen blijkt dat een op de drie medewerkers, die hun privéapparaat ook zakelijk gebruiken, geen risico zien bij het gebruik van hun eigen apparaat in een werkcontext (Magazine, 2012). Medewerkers willen graag hun eigen apparaten voor het werk gebruiken, maar zijn vaak niet bereid verantwoordelijkheid te nemen om de beveiliging van hun toestel aan de organisatie over te laten. Slechts 25 procent erkent het aanzienlijke risico dat zij vormen voor de bedrijfsbeveiliging. In de Benelux is dit percentage nog lager: slechts 17 procent. Alleen Frankrijk scoort nog lager: slechts 12 procent van de ondervraagden ziet de potentiële risico s in relatie tot BYOD. Slechts een op de tien IT-managers denkt dat alle BYOD-gebruikers de risico s onderkennen en minder dan een op de vijf gelooft dat alle gebruikers de toegang en de rechten tot hun mobiele apparaten begrijpen. Hieronder volgt een opsomming van risico s die gemoeid zijn met het gebruik van persoonlijke devices in het bedrijfsnetwerk: Eventueel gegevensverlies en blootstelling aan kwaadwillige IT-bedreigingen. Zodra een toestel is afgeschreven dient alle data zorgvuldig te worden verwijderd. Men is inmiddels wel zo verstandig om de harde schijf van afgeschreven computers te vernietigen of grondig te wissen, alvorens de kast wordt weggegeven of doorverkocht. Maar dit is nog geen standaardhandeling bij smartphones en tablets. De kleinere schermen van smartphones maken het eenvoudiger een vervalste website te presenteren en lastiger om te zien of de verbinding met de betreffende website is beveiligd. Een fake app is vooralsnog helaas iets te eenvoudig op de Androidmarkt te plaatsen. Veel applicaties verzamelen meer persoonlijke gegevens dan nodig is, waaronder het delen van gegevens ten behoeve van gerichte advertenties. Een studie van SMobile naar bijna apps in de Androidmarkt toonde aan dat 1 op de 5 apps toegang vroeg tot persoonlijke of gevoelige gegevens die met verkeerde oogmerken gebruikt konden worden. 1 op de 20 applicaties was in staat om een willekeurig telefoonnummer te bellen zonder toestemming (of benodigde handeling) van de gebruiker. ENISA wijst op twee risco s van ios. Het adresboek van de gebruiker is toegankelijk voor alle apps, inclusief de persoonlijke gegevens van de gebruiker. Hetzelfde geldt voor het cache van het toetsenbord. De wachtwoorden worden weliswaar niet in de cache opgeslagen, maar door het opslaan van alle andere gegevens is het effectief een key-logger. Door de opkomst van social media is het risico van onbedoeld verspreiden van gevoelige informatie aanzienlijk groter geworden. De organisatie loopt het risico op imagoschade bij verlies van gevoelige informatie. Werknemers omzeilen het bedrijfsbeleid met betrekking tot BYOD, ondanks het risicobesef. Uit een internationale enquête van Fortinet (2012) blijkt dat 69% van de 3800 respondenten interesse heeft in BYOA (Bring Your Own Application). De organisatie loopt met de introductie van BYOD het risico licentietechnisch niet meer compliant te zijn. En dan gaat het niet zozeer over de applicaties die medewerkers zelf op de devices installeren, maar bijvoorbeeld over toegang tot de Microsoft Exchange server (mail, agenda, contacten). Heeft de organisatie de hiertoe benodigde CAL s op basis van gebruikers (named user) of devices afgenomen? BYOD, Tablet en Cloud beleid 44

45 Door de organisatie ENISA (European Network and Information Security Agency) is een risicotabel opgesteld waarin tien risico s met betrekking tot het gebruik van smartphones en tablets zijn geclassificeerd op impact: Een complete lijst van aandachtspunten rondom BYOD vindt u in bijlage 2. BYOD, Tablet en Cloud beleid 45

46 Bijlage 7: Aandachtspunten en business case cloud computing. Organisaties ontkomen er niet aan om hierover een standpunt in te nemen. Het Ministerie Binnenlandse Zaken raadt het gebruik van de cloud af vanwege de vaak onduidelijke juridische voorwaarden en het feit dat de gegevens van de Nederlandse overheid op buitenlandse servers komt te staan. Het Rijk kiest er voor om een rijkscloud te ontwikkelen (Kamerbrief over cloud computing, 2011). Bij cloud computing spelen daarnaast ook nog een aantal juridische vragen een rol zoals bijvoorbeeld de toepassing van de Wet Bescherming Persoonsgegevens, maar soms ook vreemd recht zoals de Patriot Act uit 2003 en de Safe Harbor Agreement. (Dr. Colette Cuijpers, 2011). Door de laatste overeenkomst onderschrijven Amerikaanse bedrijven dat ze de Europese wet- en regelgeving gebruiken bij het naleven van de privacy richtlijnen van Europese klanten. Computerworld heeft hier een interessant overzichtsartikel over geschreven. (Teunissen, 2012) Overige aandachtspunten omtrent cloud computing zijn: Beveiliging: Wanneer data en applicaties uit handen worden gegeven, worden ook controle en beveiliging uit handen gegeven. Hoe wordt gegarandeerd dat de data veilig is en niet in verkeerde handen kan vallen? In het verleden is wel eens gebleken dat sommige aanbieders van Public Clouddiensten misbruik maken van de door de gebruikers opgeslagen informatie door deze te gebruiken voor andere (marketing) doeleinden. Het vertrouwen van dit soort organisaties en diensten is hierdoor onder druk komen te staan. Een ander belangrijk aspect met betrekking tot het beveiligen van gegevens in de cloud is hoe vaak alle data veiliggesteld wordt door middel van een geautomatiseerd back-upproces. Worden daar logs van bewaard en worden van gewijzigde bestanden ook meerdere versies opgeslagen? Kan er in geval van corrupte of verdwenen data worden teruggegrepen naar deze back-up bestanden? Afhankelijkheid: Een serverruimte in eigen beheer is in feite gebaseerd op een werkgeverwerknemers relatie. De lijntjes zijn kort en er is geen kloof tussen Informatisering en Automatisering. Bij het outsourcen van gegevens naar de cloud in bijvoorbeeld een commercieel datacenter vindt er een verschuiving plaats van werkgever-werknemers relatie naar klant-leverancier relatie. Nadat een organisatie al haar bedrijfsgegevens in een cloud heeft gezet, stap je niet zomaar even over naar een andere dienstverlener. De organisatie wordt afhankelijk van een commercieel bedrijf of datacenter dat maar één doel heeft: zo veel mogelijk geld verdienen. Bovendien is het mogelijk dat de dienstverlening en/of de service erg tegenvalt. Even vlug migreren naar een andere cloud is geen eenvoudige optie. Daarnaast wordt de betreffende organisatie in tijden van bezuinigingen beperkt in haar mogelijkheden om geld te besparen. Met een eigen serverruimte kan men bijvoorbeeld nog besluiten om de airco een paar jaar langer te gebruiken, of die ene server toch maar niet te vervangen. Bij de overstap naar een cloud verlies je een bepaalde mate van (financiële) controle. Faillissement: Indien een cloud dienstverlener failliet gaat, heeft dit grote gevolgen voor de continuïteit van de bedrijfsvoering van de klant. Het risico op faillissement wordt aanzienlijk kleiner bij grote datacenters zoals KPN of Google, maar wat bij de grote partijen wel als risico kan worden BYOD, Tablet en Cloud beleid 46

47 beschouwd is een mogelijke overname. Wat gebeurt er dan met de bedrijfsgegevens van de organisatie? Blijven die in Nederland of worden delen van gegevens opgeslagen in het buitenland? Standaarden: Omtrent datacenters zijn nog geen standaarden gedefinieerd en bestaat er (nog) geen wet- en regelgeving die hulp kunnen bieden in het kader van afhankelijkheid. Burgers zijn afhankelijk van elektriciteit. Indien een burger ontevreden is over de dienstverlening van bijvoorbeeld NUON, kan men overstappen naar een andere energieleverancier zoals Eneco. Er is regelgeving die de burger daarbij ondersteunt. Met betrekking tot datacenters is dit niet het geval. Zij hebben de touwtjes eigenlijk volledig in handen. Een veelgehoord argument tegen Cloud Computing is de zogeheten vendor lock-in. Hoewel de IT-sector vele standaarden kent, kan het voorkomen dat bepaalde leveranciers eigen standaarden en/of eigen ontwikkelde systemen gebruiken, waardoor een eventuele overstap naar een andere leverancier wordt bemoeilijkt of zeer kostbaar wordt. Beschikbaarheid: Dit refereert naar de hoeveelheid tijd dat een netwerk beschikbaar is voor gebruikers en kan worden uitgedrukt in percentage uptime per jaar, maand, week, dag of uur. De notatie moet minstens twee cijfers na de komma bevatten, bijvoorbeeld 99,95%. Een uptime van 99,95% betekent een wekelijkse downtime van 5 minuten. Dat is over het algemeen acceptabel. Eén aandachtspunt omtrent cloud computing is evident: de continuïteit van de cloud-dienst is afhankelijk van de (internet)verbinding. Om te kunnen werken is een verbinding noodzakelijk en de werking van deze verbinding kan afhankelijk zijn van meerdere factoren: van de verbinding zelf, van de betreffende ISP (Internet Service Provider) en van de verbinding van de cloud-leverancier. In verband met bovengenoemde aandachtspunten dient het gebruik van clouddiensten op mobile devices onder voorwaarden te worden toegestaan. Deze voorwaarden zijn verderop in dit document gedefinieerd. Onderstaande tabel geeft een voorbeeld business case voor de implementatie van clouddiensten (Surfnet, 2012): BYOD, Tablet en Cloud beleid 47

48 Aantal gebruikers clouddiensten 47 gebruikers Kosten clouddienst per gebruiker 5 per maand Intern uurtarief 50 euro Technische systeembeheer/it helpdesk (2e lijns) 4 uur per maand Vragen bij de leverancier clouddiensten (3e lijns) 5 per maand Kapitaalslasten backoffice systeem 750 per maand Gebruikerslicentie backoffice systeem 100 per gebruiker Update, service en beheer contract 250 per maand Kosten Uren eenmalig Uren structureel Eenmalige kosten Structurele kosten p/m Eenmalig totaal Out-of-pocket kosten Kosten clouddienst (abonnement) Upgrade internetverbinding organisatie e lijns ondersteuning bij leverancier clouddiensten Redundancy, backup faciliteit Projectkosten invoering clouddiensten Inrichtingskosten Plan van aanpak inrichting clouddiensten Aanbesteding c.q. onderhandeling met de leverancier Contract met leverancier Op orde brengen van de te migreren data naar de cloud Uitwerken, configureren van gewenste functionaliteit in de clouddienst Koppelingen aanleggen met andere (lokale) systemen Technische test van de clouddienst Migratie van gegevens naar de clouddienst Opleiden van gebruikers Functionele test van de clouddienst door gebruikers Definitieve omschakeling naar clouddienst beheerskosten Functioneel beheer Totaal inclusief alle opties: Structureel totaal p/jaar Baten Uren Uren Eenmalige Structurele Eenmalig Structureel eenmalig structureel baten baten p/m totaal totaal p/m Kapitaalslasten backoffice systeem Gebruikerslicentie backoffice systeem Update, service en beheer contract Out-of-pocket baten minder uren IT helpdesk/systeembeheer Minder uren systeembeheer Totaal inclusief alle opties: BYOD, Tablet en Cloud beleid 48

49 Bijlage 8: Over Native Consulting Native is een onafhankelijk adviesbureau op het gebied van informatie- en organisatiemanagement, die een persoonlijke benadering en een pragmatische aanpak hoog in het vaandel heeft. Wij helpen organisatie met strategische bedrijfsvoering (het nieuwe werken, zaakgericht werken), bezuinigingsvraagstukken, informatiemanagement, informatiebeleid, beheersvraagstukken, projectmatig werken en projectmanagement. Wij onderscheiden ons door: Onze mensen: Ons team bestaat uit strategie adviseurs, verandermanagers, specialisten in HRM, informatiemanagement en organisatieontwikkeling, juristen, implementatiespecialisten voor ICT systemen en interim- project- en programmamanagers. Onze adviseurs zijn persoonlijk, breed opgeleid, ervaren en opereren op alle niveaus van bestuur tot beleid en operatie. Alle consultants zijn gecertificeerd. Visualisatie: Native gebruikt altijd visualisaties om strategieën, plannen, architecturen, samenwerkingen en andere vraagstukken begrijpelijk in beeld te brengen voor alle stakeholders. Dit leidt tot een brede acceptatie, overzicht en begrip. Enterprise architecturing: Wij zijn gespecialiseerd in het aanbrengen van structuur en overzicht op het terrein van strategie, dienstverlening, informatievoorziening en ICT, door gebruik te maken van architectuur principes. De menselijke maat: Ons doel is samen met u een realistisch doel te bereiken. Daar hebben we u en uw organisatie bij nodig; verandermanagement zien wij als een basiscompetentie bij onze consultants. Trajecten doen we niet voor u, maar met u. Concrete producten zijn visie-ontwikkeltrajecten, quickscans, advies-begeleidingstrajecten, architectuurtrajecten, informatiebeleidsplannen, aanbestedingen en verandermanagement. Wij hebben vanuit de praktijk een aantal producten ontwikkeld dat zich heeft bewezen voor tal van organisaties en ons helpt bij onze advisering en, samen met u, het behalen van resultaten. Meer info: Kees van den Tempel J.H. Derksenstaat WH METEREN tel: k.van.den.tempel@nativeconsulting.nl KvK nummer: BTW nummer: NL B03 bezoek onze website BYOD, Tablet en Cloud beleid 49