Den dag chefen bad folk bruge deres egen mobil
Sikkerhed og compliance i erhvervstelefoniSikkerhed, privatliv og backup

Den dag chefen bad folk bruge deres egen mobil

Jesper Lundqvist

Har du også prøvet at få en mail fra chefen om, at nu skal alle bare bruge deres egen telefon til arbejde, fordi det er mere fleksibelt og smart?

Hvad BYOD egentlig er, og hvorfor det så tit går galt

BYOD betyder “Bring Your Own Device”. På dansk: medarbejderen bruger sin egen mobil, tablet eller pc til arbejdet.

På papiret lyder det fint. Du slipper for to telefoner i lommen, virksomheden sparer hardware, og alle kan bruge de enheder, de bedst kan lide.

I virkeligheden går det typisk skævt tre steder:

  • Privatliv: Medarbejderen er bange for, at IT kan læse private beskeder og billeder.
  • Sikkerhed: IT er bange for, at virksomhedens data ender i et usikkert rod af apps og gamle styresystemer.
  • Support: Ingen ved helt, hvad IT hjælper med, og hvad medarbejderen selv står med.

Det er her en tydelig BYOD-politik gør forskellen. Ikke et 14 siders juridisk dokument, som ingen læser, men en kort, klar aftale med nogle faste regler, alle kan forstå.

Mit mål her er ret enkelt: Du skal kunne tage den her tekst, copy-paste skabelonen nederst, sende den til HR/IT og sige: “Skal det her ikke være vores BYOD-politik?”.

Vælg sikkerhedsmodel: container vs. fuld styring af telefonen

Før du skriver én eneste regel, skal I vælge, hvad det er for en BYOD-model, I vil køre med.

Der er grundlæggende to modeller:

Model 1: Container / Work Profile / managed apps

Det her er den “minimalt invasive” model, som jeg personligt anbefaler til BYOD i Danmark.

Ideen er, at arbejdet lever i sin egen lille boble på telefonen:

  • På Android bruger du Work Profile via f.eks. Android Enterprise / MDM.
  • På iPhone bruger du managed apps (typisk via et MDM-system).

Hvad betyder det i praksis?

  • Virksomheden kan styre arbejdsapps (Outlook, Teams, CRM osv.).
  • Virksomheden kan slette arbejdsdata uden at røre private billeder, apps, beskeder.
  • IT kan stille krav til skærmlås, kryptering og OS-version, hvis du vil have adgang til arbejdsdata.
  • Din Instagram, dine Messenger-beskeder og dine feriebilleder er udenfor rækkevidde.

Det her er ret nemt at kommunikere til medarbejdere: “Vi kontrollerer kun arbejdsdelen, ikke din private telefon”.

Model 2: Fuld device management (typisk ikke til BYOD)

I den model melder telefonen sig ind som en firmatelefon:

  • IT kan styre hele enheden, installere/afinstallere apps og håndhæve flere regler.
  • I nogle opsætninger kan IT lave remote wipe af hele telefonen.

Det kan give mening for deciderede firmatelefoner, men kolliderer hurtigt med privatliv, hvis det er medarbejderens egen mobil.

Hvis I absolut vil denne vej, skal jura og HR være med fra start. Og I skal være meget, meget tydelige om, hvad virksomheden konkret kan og ikke vil gøre. For eksempel via klare formuleringer i politik og ansættelseskontrakter.

Min erfaring: Til BYOD i en dansk kontekst bør udgangspunktet næsten altid være model 1 med container/Work Profile/managed apps.

12 regler din BYOD-politik skal have på plads

Nu kommer vi til det, du faktisk kan skrive direkte ind i jeres BYOD-politik. Jeg deler det op, som jeg selv ville gøre det til en mindre eller mellemstor virksomhed.

1. Krav til styresystem og opdateringer

Gamle telefoner uden sikkerhedsopdateringer er gift for en BYOD-ordning.

Jeg vil anbefale noget i denne stil:

  • Android: Mindst Android 11 (og krav om seneste sikkerhedsopdateringer).
  • iPhone: Mindst iOS 15 (og krav om seneste sikkerhedsopdateringer).

Formuler fx:

“For at bruge privat mobil til arbejde skal enheden køre en understøttet version af Android eller iOS og være opdateret med seneste sikkerhedsrettelser.”

Sæt også en linje om, at adgang til arbejdsapps kan blokeres, hvis telefonen ikke holdes opdateret.

2. Skærmlås, kode og biometrisk sikkerhed

Her skal I være skarpere end “det må du selv om”. Skriv fx:

  • Telefonen skal have skærmlås aktiveret (PIN, kode, mønster, Face ID, fingeraftryk).
  • Koden må ikke være 0000, 1234 eller lignende åbenlyse varianter.
  • Telefonen skal låse automatisk efter maks. 5 minutters inaktivitet (jeg foretrækker 1-2 min i praksis).

På Android Work Profile og iPhone managed apps kan MDM typisk håndhæve det teknisk, men skriv det alligevel i politikken, så alle ved hvorfor.

3. Kryptering og backup

De fleste nyere Androids og alle nyere iPhones er krypterede som standard. Her kan du nøjes med at skrive:

“Enheden skal understøtte enhedskryptering. Medarbejderen må ikke deaktivere kryptering, hvis det er muligt at slå fra.”

Backup er mere tricky. I container-modellen ligger arbejdsdata typisk i virksomhedens egen sky (M365, Google Workspace, CRM osv.). Her vil jeg hellere stille krav til, at apps synker korrekt, end at folk roder med system-backup.

4. Adskillelse af arbejds- og privatdata

Det her er betingelsen for, at folk overhovedet tør BYOD.

På Android betyder det typisk:

  • IT opretter en Work Profile med arbejdsapps.
  • Arbejdsmail, kalender, Teams osv. kører kun i arbejdsprofilen.
  • Data fra arbejdsprofilen kan ikke frit kopieres over i private apps.

På iPhone betyder det typisk:

  • Arbejdets apps installeres som “managed” via MDM.
  • IT kan styre, hvad der må deles mellem arbejdsapps og private apps.

I politikken kan du skrive noget i stil med:

“Virksomheden benytter en løsning med adskilt arbejdsområde på enheden (Work Profile/managed apps). Virksomheden har kun adgang til og kontrol over det arbejdsområde, ikke medarbejderens private apps, billeder, beskeder eller øvrige data.”

Det er også en god idé at forklare det her i jeres onboarding, ikke kun i et PDF-bilag. Mange medarbejdere har nul idé om, hvad Work Profile faktisk gør.

5. Hvad IT må gøre – og hvad de ikke må gøre

Her bliver det ofte følsomt. Jeg vil anbefale, at I adskiller tre ting meget tydeligt:

  1. Hvad IT kan teknisk set.
  2. Hvad IT gør som standard.
  3. Hvad IT aldrig gør i en BYOD-ordning.

Et realistisk niveau for container/managed apps kunne være:

  • IT kan se, at enheden er registret, OS-version, og om sikkerhedskrav er opfyldt.
  • IT kan fjerne arbejdsprofil/arbejdsapps (remote wipe af arbejdsdata).
  • IT kan kræve skærmlås og visse sikkerhedsindstillinger for at give adgang til arbejdsdata.

Og så bør I skrive sort på hvidt, at IT ikke:

  • læser private beskeder, mail, fotos eller noter.
  • overvåger lokation ud over det, som er nødvendigt for specifikke arbejdsapps (hvis relevant).
  • sletter private billeder, apps eller data ved offboarding.

Jeg plejer også at være ret klar: Hvis I bruger et MDM-system, som teknisk set kunne se mere, så beskriv i politikken, at I ikke bruger de funktioner på BYOD-enheder.

Henvis også til Datatilsynet, og få jeres jurist/HR til at sikre, at det matcher GDPR og ansættelsesret.

6. Brug af apps, deling og filhåndtering

BYOD fejler ofte, fordi data smutter ud i den forkerte app. Lige pludselig ligger kundelister i en privat Dropbox eller i medarbejderens personlige Gmail.

Lav nogle enkle, forståelige linjer:

  • Arbejdsfiler skal ligge i virksomhedens godkendte løsninger (SharePoint, OneDrive Business, Google Drive mv.).
  • Deling af filer til private mails eller private cloud-tjenester er ikke tilladt.
  • Brug kun godkendte apps til chat med kunder og kolleger (fx Teams, Slack, firmatelefoni-app).

Henvis evt. til jeres eksisterende politik for mobil sikkerhed, hvis I har sådan en, så det hænger sammen.

7. Brug af kamera og optagelser

I mange virksomheder bruges telefonens kamera til at tage billeder af whiteboards, dokumenter eller ude hos kunder.

Her bør politikken sige noget om:

  • Om billeder med arbejdsindhold må ligge i privat kamerarulle.
  • Om de skal gemmes direkte i arbejdsapps (OneDrive/SharePoint/CRM).
  • Om automatisk upload til fx iCloud/Google Fotos er acceptabelt, hvis der er følsomme data.

Mit råd: Hvis der er bare en snert af følsomme eller personhenførbare data, så styr folk hen til arbejdsapps, der gemmer direkte i virksomhedens systemer.

8. Håndtering af tabt eller stjålet telefon

Her skal der stå helt konkret, hvad medarbejderen skal gøre. Fx:

  • Medarbejderen skal straks spærre SIM hos sin egen udbyder.
  • Medarbejderen skal straks kontakte IT, så arbejdsprofil/arbejdsapps kan fjernes.
  • Medarbejderen skal melde det til nærmeste leder, hvis der kan være lækket følsomme data.

Og så må I internt aftale, hvor hurtigt IT skal reagere (fx inden for almindelig arbejdstid eller også aften/weekend i særlige funktioner).

9. Hvad virksomheden betaler – og hvad medarbejderen selv dækker

BYOD uden klare økonomiske linjer ender altid med diskussioner.

Derfor: skriv det ned.

Eksempler på modeller:

  • Virksomheden betaler et fast mobilabonnement, medarbejderen stiller telefonen til rådighed.
  • Virksomheden giver et fast månedligt mobiltilskud.
  • Medarbejderen betaler selv alt, men får evt. et årligt tilskud til udstyr.

Og så skal I være enige om, hvad der sker ved:

  • Skærmen smadrer (typisk medarbejderens ansvar, når det er egen enhed).
  • Ekstra opladere, covers, headsets osv.

Her er der ikke en rigtig eller forkert model, bare sørg for at den er tydelig, så ingen bliver overraskede.

10. Arbejdstid, tilgængelighed og notifikationer

Når du blander privat og arbejde på én telefon, flyder grænsen nemt.

Det skal ikke kun være et arbejdsmiljøspørgsmål, det skal også stå i BYOD-politikken, hvordan I forventer, at folk bruger telefonen:

  • Skal arbejdsapps være lydløse efter arbejdstid?
  • Er der en tilkaldevagt-ordning, hvor det forventes, at man reagerer på notifikationer?
  • Må medarbejderen selv styre notifikationer fuldt ud, så længe vedkommende er tilgængelig i arbejdstiden?

Her er min erfaring, at folk er mere villige til at sige ja til BYOD, hvis du samtidig siger tydeligt: “Vi forventer ikke, at du svarer på Teams kl. 22 en tirsdag”.

11. Support: hvad hjælper IT med, og hvad er “selvbetjening”

BYOD handler også om, hvor meget jeres IT-afdeling gider (og kan) bruge tid på at nørkle med 25 forskellige Android-modeller.

Definér et niveau. Fx:

  • IT hjælper med: installation af arbejdsprofil/arbejdsapps, login til mail/kalender, fejlsøgning i arbejdsapps.
  • IT hjælper ikke med: private apps, batteriproblemer, skærmreparation, generel performance på telefonen.

Og vær ærlig: “Vi gør vores bedste inden for rimelighedens grænser” er tit bedre end at love fuld support på alt, der kan ringe og vibrere.

12. Offboarding: når medarbejderen stopper

Det skal være helt forudsigeligt, hvad der sker med arbejdsdata, den dag en medarbejder stopper.

En BYOD-politik bør sige fx:

  • Medarbejderen mister adgang til mail, kalender, Teams mv. på sidste arbejdsdag.
  • IT fjerner arbejdsprofil/arbejdsapps via MDM (remote wipe af arbejdsdata).
  • Private apps, billeder, kontakter og data berøres ikke.

Hvis I har telefoni-apps eller softphones knyttet til medarbejderens nummer, så husk at få beskrevet, hvordan nummeret håndteres. Der kan du hente inspiration i artikler om erhvervstelefoni, hvor nummerhåndtering og omstilling ofte er med.

Supportniveau: hvem gør hvad i hverdagen

Jeg plejer at lave en lille rollefordeling i BYOD-politikken. Ikke fordi det er sexet, men fordi det forhindrer misforståelser.

Groft sagt:

  • Medarbejderen er ansvarlig for selve enheden: fysisk sikkerhed, opdateringer, skærmlås, at sige til hvis noget går galt.
  • Virksomheden/IT er ansvarlig for: arbejdsapps, adgang til systemer, sikkerhedspolitik på arbejdssiden, reaktion ved hændelser.

I kan konkret tilføje en lille tabel eller punktopstilling med “IT gør” og “medarbejderen gør”. Den del bliver ofte læst overraskende flittigt, fordi det er hverdagen, folk sejler rundt i.

Sådan ruller du BYOD ud uden modstand

Jeg har set flere forsøg på BYOD falde til jorden, ikke fordi teknikken var dårlig, men fordi medarbejderne blev bange eller trætte.

Mit bud på en fornuftig rollout:

  1. Lav politikken færdig sammen med HR og jura
    Ikke bare IT alene. Det her handler både om sikkerhed og om ansættelsesvilkår.
  2. Kør en lille pilot
    Vælg 5-10 medarbejdere fra forskellige funktioner. Giv dem BYOD-opsætningen og bed om ærlig feedback. Justér politikken efter deres oplevelser.
  3. Hold en kort, konkret intro-session
    15-30 minutter, hvor du viser:
    – Sådan ser Work Profile/managed apps ud
    – Hvad IT kan se
    – Hvordan man selv kan styre notifikationer og arbejds-/privatliv fremover
  4. Skriv i almindeligt dansk
    Skær teknisk jargon og juridiske formuleringer ned til noget, folk faktisk kan læse på mobilen i frokostpausen.
  5. Lav en lille 1-sides “brugervejledning”
    Det kan være en PDF eller side på intranettet med skærmbilleder: Sådan installerer du, sådan fjerner du, sådan kontakter du IT ved problemer.

Skabelon til BYOD-politik – lige til at kopiere

Her får du en tekst, du kan tage direkte ind i jeres interne dokumenter og tilpasse. Skift “[Virksomhedsnavn]” og detaljer, så det passer til jer.

BYOD-politik for [Virksomhedsnavn]

1. Formål
Denne politik beskriver rammerne for, at medarbejdere kan bruge egen mobiltelefon til arbejdsrelaterede formål. Målet er at beskytte både medarbejderens privatliv og [Virksomhedsnavn]s data.

2. Omfang
Politikken gælder for alle medarbejdere, konsulenter og andre tilknyttede, der får adgang til [Virksomhedsnavn]s systemer via egen mobiltelefon.

3. Teknisk model
[Virksomhedsnavn] bruger en løsning med adskillelse mellem arbejds- og privatdata (Work Profile på Android / managed apps på iPhone). Virksomheden har kun kontrol over arbejdsområdet og arbejdsapps, ikke den private del af enheden.

4. Krav til enheden
– Enheden skal køre en understøttet version af Android eller iOS.
– Enheden skal løbende opdateres med seneste sikkerhedsopdateringer.
– Enhedskryptering må ikke deaktiveres, hvis dette kan styres på enheden.

5. Skærmlås og sikkerhed
– Enheden skal have aktiv skærmlås (kode, PIN, mønster eller biometrisk løsning).
– Koder som 0000, 1234 eller lignende er ikke tilladt.
– Skærmen skal låse automatisk efter maks. [X] minutters inaktivitet.

6. Arbejdsapps og data
– Arbejdsrelaterede mails, kalendere, dokumenter og chat skal så vidt muligt håndteres via godkendte arbejdsapps.
– Arbejdsdokumenter skal gemmes i [angiv systemer, fx SharePoint/OneDrive/Google Drive].
– Overførsel af arbejdsdata til private cloud-tjenester eller private mailkonti er ikke tilladt.

7. Hvad IT kan se og gøre
IT kan:
– Se, at enheden er registreret, samt styresystemversion og sikkerhedsstatus.
– Håndhæve sikkerhedskrav (skærmlås, kryptering, OS-version) for at give adgang til arbejdsapps.
– Fjerne arbejdsprofil/arbejdsapps og tilhørende data ved tab, tyveri eller fratrædelse.

IT kan ikke og gør ikke:
– Tilgå medarbejderens private beskeder, billeder, mail eller apps.
– Overvåge medarbejderens lokation ud over det, som er nødvendigt for specifikke arbejdsapps, hvor dette er beskrevet særskilt.
– Slette private data på enheden.

8. Tabt eller stjålet enhed
Ved tab eller tyveri af enheden skal medarbejderen:
– Straks kontakte sin mobiludbyder for at spærre SIM-kort.
– Straks informere IT, så adgang til arbejdsdata kan fjernes.
– Informere nærmeste leder, hvis der kan være kompromitteret følsomme oplysninger.

9. Økonomi
[Beskriv om virksomheden betaler abonnement, giver tilskud, eller om medarbejderen selv betaler. Beskriv også, hvem der betaler for reparationer, covers, headsets osv.]

10. Arbejdstid og tilgængelighed
[Virksomhedsnavn] forventer, at medarbejdere er tilgængelige via arbejdsapps i aftalt arbejdstid. Uden for aftalt arbejdstid forventes det som udgangspunkt ikke, at medarbejderen reagerer på arbejdsrelaterede beskeder, medmindre der er indgået særskilt aftale (fx vagtordning).

11. Support
IT understøtter installation og brug af arbejdsprofil/arbejdsapps. IT yder ikke support på private apps, generelle performanceproblemer eller fysisk skade på enheden.

12. Fratrædelse
Ved fratrædelse fjerner IT adgang til [Virksomhedsnavn]s systemer og sletter arbejdsprofil/arbejdsapps fra enheden. Private data berøres ikke.

13. Godkendelse
Brug af privat mobil til arbejde forudsætter, at medarbejderen har læst og accepteret denne BYOD-politik.

En sidste bemærkning fra ham med alt for mange telefoner

BYOD kan faktisk fungere rigtig fint, hvis du får styr på rammerne fra starten. Især hvis du holder fast i container/Work Profile-modellen og er benhård på at forklare, at du ikke vil snage i folks privatliv.

Og hvis det hele alligevel ender i kaos med tre forskellige MDM-løsninger og sure mails om roamingregninger, så trøster jeg mig med, at det stadig er nemmere end dengang, jeg prøvede at forklare min mor forskellen på mobildata og WiFi over telefonen.

Få skriftligt samtykke til den præcise MDM-funktionalitet, hvad virksomheden kan slette, samt regler ved opsigelse. Beskriv datatilgang, logning og auditmuligheder, ansvarsfordeling ved databrud, og henvis til GDPR-kompliance. Få altid juridisk eller HR-godkendelse før udrulning.
Tilbyd alternativer som firmatelefon, kompensation til køb af en kompatibel enhed eller begrænset adgang fra desktop. Dokumentér valg og konsekvenser, så adgang til følsomme systemer ikke automatisk følger en medarbejders private telefon.
Budgettet dækker normalt MDM-licenser per bruger, initial opsætning, integration og løbende support. Der findes gratis/indbyggede funktioner i Android og iOS, men forvent stadig timeforbrug til politik, træning og håndtering af undtagelser.
Angiv i politikken at IT kun supporterer arbejdsprofilen/managed apps og ikke private apps, billeder eller personlige indstillinger. Beskriv procedurer for OS-opdateringer, hardwarefejl og hvornår medarbejderen selv må betale reparation eller afvise support.

Jesper Lundqvist

hverdagstekno-nørd med kærlighed til telefoner

Jesper Lundqvist er hverdagstekno-nørden på Telefonxperten, der altid lige har prøvet den nye mobilfunktion af i virkeligheden, før han anbefaler den til dig. Han brænder for at gøre telefoner, apps og erhvervstelefoni forståeligt for helt almindelige brugere. Hos Telefonxperten deler han konkrete tips, løsninger og ærlige vurderinger, så du får mere ud af din mobil – både privat og i din virksomhed.

13 articles

Jeg elsker, når en telefon bare gør sit arbejde så godt, at du glemmer, hvor besværligt det plejede at være. Hvis jeg kan hjælpe nogen med at nå dertil – uden teknisk volapyk – så er jeg ret tilfreds.
— Jesper Lundqvist

Telefonxperten er din uvildige guide til telefoner, mobilabonnementer og erhvervstelefoni. Her finder du faglige forklaringer, konkrete eksempler og rolig rådgivning uden salgspres.

Målet er, at du – og din virksomhed – kan træffe klogere valg om mobiler, udstyr og telefonsystemer og få mere ud af de løsninger, I allerede betaler for.

Sider

Forside Blog Om os Ofte stillede spørgsmål Kontakt os Privatlivspolitik

Kategorier

Mobiltelefoner og smartphones Abonnement, dækning og økonomi Erhvervstelefoni og telefonsystemer Tilbehør og udstyr Apps, funktioner og smarte løsninger Trends, teknologi og brancheindsigt

Kontakt

Har du spørgsmål til telefoni, udstyr eller valg af løsninger til dig selv eller din virksomhed, er du altid velkommen til at skrive.

Email: kontakt@telefonxperten.dk

© Telefonxperten
Privatlivspolitik Kontakt