Universiteit Leiden Richtlijn mobiele apparatuur BYOD en CYOD Februari 2015 auteur: J.W. H. Brock, H.M. Damen en A.F. Erdman versie: 0.9 1
Inhoudsopgave Inleiding... 3 Visie... 3 Impact... 3 BYOD... 4 Definitie... 4 U moet... 4 U krijgt... 4 CYOD... 5 Definitie... 5 U moet... 5 U krijgt... 5 PDC... 6 2
Inleiding We willen dat U overal altijd gebruik kunt maken van bedrijfsinformatie. Ook willen we voorkomen dat hierbij iets mis gaat. Daarom worden in deze notitie de richtlijnen voor BYOD en CYOD beschreven. Dit wordt gedaan in termen van wat U krijgt en wat U moet. De definitieve notitie wordt vertaald in een bericht op de website voor de eindgebruikers. Dit kader is gebaseerd op door het CvB vastgestelde informatiebeveiligingsbeleid. Visie Apparatuur (BYOD en CYOD) is geen doel op zich. Het is een middel om medewerkers efficiënter, effectieven of plezieriger te laten werken. Het beleid van de Universiteit is er dan ook niet op gericht om BYOD of CYOD te promoten of juist ontmoedigen. Het is wel een gegeven dat dergelijke apparatuur ingezet worden en dat dit komende jaren zal toenemen. We moeten hierop voorbereid zijn. De dienstverlening is gericht op het faciliteren van BYOD en CYOD Er is in geen geval sprake van een algemeen verbod op BYOD voor studenten of medewerkers Voor medewerkers is het aan het bestuur van de eenheid of faculteit om te bepalen of zij een apparaat mogen uitzoeken (CYOD) Voor studenten is CYOD in principe niet bedoeld. Zij kunnen gebruik maken van de (vaste) studentenwerkplekken of een privé apparaat (BYOD). Het is aan het bestuur van de eenheid of faculteit om hiervan af te wijken Leiden biedt geen eigen appstore. Apps worden aangeboden via de Android Market en/of Appstore. Wanneer vanuit SURF het initiatief gestart wordt tot een SURF appstore heeft de Universiteit de intentie om daarbij aan te sluiten. Impact Na opstelling van de conceptrichtlijn is het ISSC gevraagd hierop een haalbaarheidsanalyse te doen. De uitkomsten daarvan zijn opgenomen in de bijlage. Na positieve besluitvorming zal het ISSC worden gevraagd de ontbrekende diensten in te richten. Sinds 1 januari 2015 is de Universiteit verplicht de werkkostenregeling toe te passen. Deze regeling omvat een andere wijze van belastingheffing van vergoedingen aan werknemers. De Universiteit heeft de regeling al eerder ingevoerd en besloten het bestaande pakket arbeidsvoorwaarden te handhaven. Het verstrekken van mobiele apparatuur heeft geen consequenties voor de belastingaangifte van de medewerkers. 3
BYOD Definitie BYOD: een bring your own device is een apparaat dat U privé heeft aangeschaft en dat U ook zakelijk gebruikt. Dat wil zeggen dat U toegang heeft tot bedrijfsinformatie op het apparaat en ook informatie via het apparaat uitwisselt. Het persoonlijk gebruik van het apparaat valt niet onder de beleidskaders en de werkgever kan daar niets over voorschrijven of verbieden. Uitgangspunt is om de verantwoordelijkheid bij de gebruiker te leggen in plaats van met technische middelen door de universiteit af te dwingen. U moet Uw apparaat op afstand kunnen wissen (remote wipe instellen) Een wachtwoord of pincode instellen op uw apparaat. Na maximaal 10 keer een fout wachtwoord moet het apparaat gewist worden (wipen). Er voor zorgen dat er altijd een kopie van bedrijfsinformatie op een van de universitaire systemen staat (voor SharePoint App, SurfDrive App, de remote werkplek, Exchange mail is dit automatisch geregeld). Uw apparaat niet onbeheerd achterlaten Geen gmail, hotmail, etc gebruiken op uw apparaat voor uitwisseling van bedrijfsinformatie Geen bedrijfsinformatie met een hoog risico 1 opslaan op het apparaat, tenzij deze afdoende is versleuteld. Gegevens waarmee beroepshalve wordt gewerkt zijn altijd vertrouwelijk, tenzij het tegendeel onomstotelijk vaststaat. Dit is ter beoordeling van de security officer die zich baseert op de handreiking IB vooraf afspraken maken met uw leidinggevende over een vergoeding voor zakelijke applicaties uit het budget van de eenheid of faculteit. U krijgt Toegang tot universitaire mail, agenda, SurfDrive, EduRoam, SharePoint en remote werkplek (de remote werkplek is niet aangepast voor gebruik op zeer kleine schermen) Instructies op de website Ondersteuning door het ISSC bij het instellen van bovenstaande diensten en het oplossen van problemen met deze diensten advies over handige apps en papierloos vergaderen van collega s; advies over de werkwijze en applicaties bij faculteiten en eenheden van secretariaten of de facultaire informatiemanager De mogelijkheid om te printen (na de geplande vervanging van de MPF s en chipknip) 1 Informatie met een hoog risico is bijvoorbeeld personeelsdossiers, contracten, informatie met persoonsgegevens, 4
CYOD Definitie CYOD: met een choose your own device wordt binnen de Universiteit Leiden een (unmanaged) laptop, smartphone of tablet bedoeld, die door de werkgever via het ISSC is aangeschaft ter ondersteuning van het werk. Het apparaat is eigendom van de faculteit of eenheid. De beleidskaders betreffen het algehele gebruik van het apparaat, er is hier geen onderscheid tussen zakelijk en privé gebruik, omdat men ervan uitgaat dat het apparaat voor meer dan 90% voor zakelijke doeleinden wordt ingezet. U moet Een gebruikersovereenkomst ondertekenen bij uitlevering door het ISSC en op de hoogte zijn van de voorwaarden; Het apparaat inleveren bij het ISSC als U uit dienst gaat of bij een andere eenheid of faculteit gaat werken; het apparaat wordt dan gewist en gebruiksklaar gemaakt; Een wachtwoord of pincode instellen op uw apparaat; Na maximaal 10 keer een fout wachtwoord moet het apparaat gewist worden (wipen). Er voor zorgen dat er altijd een kopie van bedrijfsinformatie op een van de universitaire systemen staat (voor SharePoint App, SurfDrive App, de remote werkplek, Exchange mail is dit automatisch geregeld); Uw apparaat niet onbeheerd achterlaten; Aan uw leidinggevende vragen of U het apparaat mag meenemen op vakantie, er is geen centraal beleid dat hierover een uitspraak doet; Geen gmail, hotmail, etc, gebruiken voor uitwisseling van bedrijfsinformatie; Geen bedrijfsinformatie met een hoog risico opslaan op het apparaat, tenzij deze afdoende is versleuteld. Gegevens waarmee beroepshalve wordt gewerkt zijn altijd vertrouwelijk, tenzij het tegendeel onomstotelijk vaststaat. Dit is ter beoordeling van de facultaire security officer die zich baseert op de handreiking IB Zorgen dat de veiligheidsupdates van het OS worden geïnstalleerd (en indien technisch mogelijk ook dat er antivirus en malware software is geïnstalleerd); Het apparaat deugdelijk gebruiken (waarvoor het bedoeld is); Geen jailbreak / root installeren; Een melding doen bij uw leidinggevende en de ISSC-helpdesk als u het apparaat verloren hebt; Aangifte doen als het apparaat gestolen is en dit melden bij de ISSC-helpdesk; Vooraf afspraken maken met uw leidinggevende over een vergoeding voor zakelijke applicaties uit het budget van de eenheid of faculteit. U krijgt Ondersteuning door de ISSC-helpdesk bij remote wipe bij verlies of diefstal; Toegang tot bedrijfsinformatie: mail, agenda, surfdrive, sharepoint, eduroam en remote werkplek (netwerkschijven); 5
PDC een handleiding op website en lokale ondersteuning bij het instellen (configureren) van het apparaat zodat bovenstaande diensten toegankelijk zijn; Ondersteuning en hulp indien U vragen heeft of problemen ondervindt (helpdesk); Advies (op de website) over handige apps ter ondersteuning van het werk en papierloos vergaderen, zowel op het apparaat zelf als voor de desktop en voor de werkprocessen die daarbij horen; Advies van de ISSC-helpdesk over het installeren van antivirus-software Advies van de ISSC-helpdesk over de mogelijkheden van encryptie van mailverkeer en documenten De mogelijkheid om aanvragen te doen voor campusbrede licenties voor apps die voor een grote groep interessant zouden kunnen zijn via de facultaire informatiemanager Een vervangend apparaat bij schade, verlies of diefstal wanneer U zorgvuldig en conform afspraken met het apparaat bent omgegaan Garantieafhandeling door het ISSC In de productcatalogus van het ISSC zijn managed laptops en desktops opgenomen die door de gebruikers afgenomen kunnen worden. Hierbij wordt de keuze (op basis van de behoefte van de gebruikers) door het ISSC gemaakt en wordt er middels een aanbesteding voor een langere periode een leverancier gekozen. Deze apparaten zijn ingericht op basis van de NUWD-afspraken. Derhalve is hier geen sprake van CYOD. 6