iPhones, iPads en Android-apparaten houden ongemerkt bij waar hun eigenaars zoal gaan en staan, en dat kon IT wel eens voor een lastig dilemma plaatsen. Als een business manager aan IT vraagt die gegevens over te dragen, wat moet IT dan doen? Het moge duidelijk zijn dat een apparaat dat voor zakelijke doeleinden wordt gebruikt, maar daarnaast automatisch ook persoonlijke informatie bijhoudt, de scheidslijn tussen privé- en bedrijfsinformatie doet vervagen.

Maar eerst een stukje achtergrond. Onlangs werd bekend dat iPhones en iPads bijhouden waar hun eigenaren zich begeven en die informatie opslaan in niet-versleutelde bestanden op de apparaten zelf en op de computers van hun eigenaren. Android-apparaten doen hetzelfde, al worden die bestanden niet ook nog eens op computers bewaard.

In het geval van iPhones en iPads worden dagelijks zo’n honderd ‘datapoints’ opgeslagen: exacte informatie over de locatie waar een gebruiker op een specifiek moment verblijft. Een enkel bestand met datapoints bevat er al snel vele tienduizenden.

Omdat die bestanden met datapoints ook op de computers van de gebruikers staan, kan de IT-afdeling daar simpel bij. En zelfs in het geval van de Android-apparaten, waar de gegevens dus alleen op de toestellen zelf staan, kan IT daar vrij eenvoudig aankomen door simpelweg de bedrijfstoestellen in te nemen.

Gewoonlijk heeft een bedrijf vrije toegang tot alle informatie die op bedrijfshardware wordt opgeslagen. E-mail en informatie over de websites die een werknemer bezoekt zijn in principe vrij toegankelijk voor de werkgever.

Dat recht lijkt een werkgever ook te hebben als het om bedrijfs-tablets of –smartphones gaat. Email, internet en de gebruikte apps vallen allemaal onder het bedrijfsdomein, net als op een pc, en een werkgever heeft het recht daar toezicht op te houden. Maar geldt dat ook voor plaatsbepaling en locatiegegevens? Van werknemers wordt vaak verwacht dat ze altijd hun door het bedrijf verstrekte smartphones bij zich dragen – zelfs buiten kantooruren en in het weekend. En we weten nu dat alle plaatsen die ze bezoeken worden genoteerd en opgeslagen.

Dus laat me de vraag nogmaals stellen: heeft een werkgever het recht die gegevens te doorzoeken, als de werkgever eigenaar is van het apparaat waarop die gegevens worden opgeslagen? En als dat zo is, moet een werkgever recht willen uitoefenen? Gaat het de werkgever wel iets aan of een werknemer op zaterdagmiddag langs de lijn staat bij een hockeywedstrijd van zijn dochter? Of dat een werknemer op zaterdagavond een stripclub bezoekt? Ik kom er zelf nooit, maar toch ben ik geneigd te denken dat dat het bedrijf niets aangaat: dat soort informatie hoort privé te blijven.

Op IT-afdelingen zijn de technische mogelijkheden aanwezig om dat soort locatiegegevens te verzamelen, en dus is het onvermijdelijk dat ze direct of indirect met die problematiek te maken gaan krijgen. Maar zolang bedrijven geen heldere en wettelijk getoetste richtlijnen ontwikkelen over wat voor informatie wel en niet verzameld mag worden, zou IT hier niet aan moeten meewerken.

En dit is dan nog maar een van vele ingewikkelde dilemma’s die opdoemen aan de horizon. Als bijvoorbeeld iemand zijn eigen privé-smartphone gebruikt voor bedrijfsdoeleinden, is die telefoon dan meteen vogelvrij? Mag zijn werkgever dan meteen de hele telefoon doorlichten?

De conclusie: als IT-manager doe je er goed aan je bedrijf zo snel mogelijk heldere richtlijnen te laten ontwikkelen over data op mobiele apparatuur. Doe je het niet, dan kun je er donder op zeggen dat je in de toekomst voor keuzes komt te staan die je liever niet zou willen maken.