Data sikkerhed,  Device Management,  Mobility,  Overvågning,  Smartphone

Spørgsmål fra en kritisk medarbejder.

Jeg har modtaget nedenstående email, hvor Lars stiller nogle interessante “paranoide” spørgsmål i forbindelse med virksomhedernes administration af medarbejdernes mobile enheder.

Det er spørgsmål, som jeg tit møder, når jeg er ude på foredrag eller workshops, så jeg tænker at jeg vil svare på Lars’ spørgsmål her.

Lars spørgsmål er faktisk ganske relevante for ganske mange ansatte rundt omkring i danske virksomheder og offentlige organisationer.

Det væsentligste her er 1) om Lars mobile enhed bliver administreret af et Mobile Device Management (MDM) (benævnes også EMM eller UEM) system og derefter 2) hvad dette system kan sættes op til netop for at håndtere lovgivningens krav.

Hvis Lars’ mobile enhed bliver administreret af et MDM system, det være sig AirWatch (VMware), Xenmobile (Citrix), Intune,(Microsoft), MobileIron, Maas360 (IBM), Sophos Mobile, SOTI, 7P (bl.a. Telenor), Capa System, Miraki, Llightspeed, Jamf, mfl. så skal kravet til MDM løsningen være, at den godt nok kan administrere enhederne, men at den IKKE kan se hvilke private apps, der er installeret på enheden.

Ligeledes må løsningen ikke kunne give administrator (eller IT helpdesk) mulighed for at se enhedens GPS position.

Dette forudsætter at MDM løsningen kan indrulle enhederne som private ejede og ikke firmaejede.

Jeg har skrevet et længere blog indlæg om dette her:

Dette skal dit device management system, som minimum kunne!

Nu er AirWatch den absolut markedsledende MDM/EMM/UEM løsning, og løsningen kan sættes op til at differentiere mellem corporate og private enheder.

Så Lars, det kommer an på hvordan din enhed er rullet ind i systemet, samt hvordan din virksomhed har sat systemet op. Du kunne jo spørge dem, og bede dem demonstrere dette for dig. det ville også være i deres interesse, ikke kun overfor dig, men for dine andre kollegaer.

Ingen MDM løsninger kan se ind i dine egne apps. Det vil sige læse dine Facebook opdateringer, dine koder på dit Nem ID eller kreditkortoplysninger. Så her kan du være ganske rolig.

Desværre er det de færreste MDM løsninger idag, der sikrer at fx. IT afdelingens folk IKKE vil kunne gå ind på en medarbejders mobile enhed og se hvilke apps, som denne har på enheden. Kan de dette, er det min klare vurdering at der er tale om en overtrædelse af GDPR, jf. bl.a. det indlæg, som jeg refererer til ovenfor.

Jeg ville udfordre IT-afdelingen i de virksomheder, der adminstrerer de mobile enheder vha. en MDM løsning, og bede dem dokumentere at de ikke kan se hverken privat installerede apps eller GPS positionen på de enheder, som du, som medarbejder enten selv har medbragt (ofte benævnt BYOD – Bring-your-own-device) eller de firmaudleverede enheder, som medarbejderen må benytte privat (betaler skat af eller “Bruttoløns betalt”).

Så Lars, hvis din virksomhed har sat jeres AirWatch løsning korrekt op, og kan dokumentere dette overfor dig, så kan du roligt bruge denne iPhone 7. Og du kan roligt installere dine private apps på enheden.

Jeg synes lige at det er vigtigt at en af de væsentlige årsager til at vi får en smartphone af vores virksomhed(som vi så betaler skat for), er jo at virksomheden opnår en øget effektivitet.

Når vi rejser på ferie til Tyrkiet, og straks finder hotellets WiFi, så modtager vi ikke kun Facebook opdateringer, men firma mails tikker ind. Det kunne også være i lægens venteværelse eller til en kedelig konference, ja måske endda en konfirmation. Kort sagt virksomheden vil gerne have at vi kan svare på mails, mv. på alle tider af dagen. Dette er også en fordel for medarbejderen, idet vi jo kan arbejde, selv om vi sidder i venteværelset midt i arbejdstiden.

Så hvis vi vælger, som du Lars overvejer, at anskaffe os vores private telefon, så vil vi jo ligge arbejdstelefonen fra os, når vi går hjem. Dette vil sjældent være i virksomhedens interesse.


Jeg har skrevet flere indlæg, som uddyber ovenstående. Prøv fx at læse dette indlæg:

Hvorfor løser en Container løsning GDPR udfordringerne?