隐私和自带设备(BYOD)

BYOD如何与数据保护要求相协调?

当员工使用智能手机或笔记本电脑等个人设备作为工作工具时,对雇主来说就变得很复杂。一方面,员工希望在自己熟悉的设备上工作,但另一方面,管理层又有义务遵守数据保护。然而,这种实用性与合规性之间的两难局面是可以解决的。

自带设备还是自带德赛斯特?

那么,员工的个人设备上有公司数据有什么关键呢?很简单,雇主失去了对自己公司数据的控制。虽然乍一看,允许员工使用个人设备似乎是个好主意,但仔细一想,很遗憾,并非如此。有了BYOD,私人数据和公司数据就会混在一起。此外,数据丢失的风险也会增加,因为这些设备在私人领域的使用更多(例如:聚会、旅行、朋友的私人访问、休闲活动)。

由于雇主也有责任遵守数据保护要求,他必须采取适当的数据安全措施。这意味着他必须保护公司数据不丢失或破坏。在这方面,如果员工能访问自己的电子邮件账户,并能将附件(客户和员工的数据、业务伙伴的数据)下载到私人设备上就可以了。但与此同时,员工对自己设备上的私人数据也有保密权。用人单位不能为了保证数据安全,对不属于自己的智能手机进行简单的长期 “屏蔽”。最后,必须要有使用的游戏规则和技术方案,这样才不会让BYOD成为灾难。

移动设备的数据保护

各种基本的数据保护法规(如 “GDPR”)对于BYOD策略并没有太大变化。然而,有必要考虑对现有的条例进行一些修改。数据应保持在雇主的控制范围内,如果建立虚拟专用网络(VPN)连接,就可以确保这一点。这将允许员工在移动设备上查看数据,但不能将其存储在设备上。这种方法的好处是,如果设备丢失或毁坏,公司数据不会受到影响。但是,它也有一个缺点:无法在离线模式下进行编辑。特别是对于国际团队或外地工作人员来说,不受地点限制的工作是很重要的,这通常包括在 “路上 “工作,几乎没有稳定的网络连接的机会。如果这样做太过拖累生产力,就应该考虑其他的技术解决方案。

另一种选择是设备本身的加密存储区域。这样就可以将公司数据和私人数据分开,防止混为一谈。如果这时公司自己的应用也在这个受保护的存储区域内运行,这就是所谓的 “沙盒 “原理。同样,受保护的环境和沙盒外没有互动。  如果将公司的操作系统和公司的应用系统与私有区域分开运行,这些解决方案被称为 “虚拟化”。这也使公司能够影响操作系统的最新性,并确保其保持安全。如果在设备上同时运行两个系统,势必会对硬件资源和性能产生影响(关键词:电池性能)。

隐私和自带设备(BYOD) 1在这种情况下,必须制定规章制度,确保员工的操作系统适应自己公司的安全。尤其是禁止对操作系统进行修改,如对iOS设备进行 “越狱 “或对Android设备进行 “root”。另外,还要考虑允许员工登录安全区域的安全要求。指纹等生物识别传感器不应列入等式,因为它们不够可靠。设备的物理安全可以通过策略进行更详细的定义。作为一种补充和辅助措施,对员工进行意识培训是有用的,因为他们最终要面对限制使用其私人设备的问题。

实施BYOD战略

员工越是知道自己在某些情况下应该怎么做,使用BYOD就越安全。 那么,现在应该对哪些点进行监管呢?

  • 购置或损坏设备时的费用保障,但也包括使用SIM卡打电话的费用。
  • 核准的设备型号、操作软件系统和应用程序的版本(黑/白名单)。
  • 安全保管规定(如将笔记本电脑留在车内、儿童玩手机等)。
  • 协助设备维护(设置、更新
  • 访问权限和控制(在被盗时远程删除)。
  • 报告损失的义务–注意根据GDPR的规定,数据泄露的报告时间为72小时!
  • 密码的安全要求
  • 违反使用政策的后果(如改用公司设备)
  • 离开公司或休假时归还数据 限制访问授权
  • 参加培训课程以提高安全意识
  • 关于数据保密的信息,用于遵守商业和公司秘密的规定
  • 在处理活动登记簿中补充BYOD战略。
  • 开展数据保护影响评估

结论

很明显,最简单的方案就是指私人和专业用的两种设备,但实际情况却不一样。 在很多情况下,BYOD战略的实施会耗费大量的成本,也很复杂,但如果能有效实施,就会成为员工和公司的 “双赢 “局面。一方面,用户可以使用自己熟悉的设备进行工作,另一方面,可以通过安全理念来降低现有的风险。

Mag. Karin Dietl ist selbständige Unternehmensberaterin und Spezialistin für Datenschutz-Compliance. Sie startete ihre Ausbildung als Textilchemikerin, absolvierte neben der Anwaltsprüfung mehrere Jahre in internationalen Wirtschaftskanzleien und beschäftigt sich seit 2010 mit der Digitalwirtschaft. Derzeit berät sie Unternehmen zu den Themen Informationssicherheit, Datenschutz, Risikomanagement sowie Digitaler Ethik und Corporate Digital Responsibility. Sie führt zudem Datenschutz-Audits durch und wird für Unternehmen als Datenschutzbeauftragte tätig. Darüber hinaus ist sie Fachvortragende bei Veranstaltungen und Autorin zahlreicher Fachpublikationen.

Comments are closed.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More