# BYOD-beleid instellen voor persoonlijke apparaten in Workspace Medewerkers willen hun werkmail op hun eigen telefoon. Begrijpelijk, maar het roept een vraag op: hoe bescherm je bedrijfsdata op een toestel dat je niet bezit? Een BYOD-beleid (Bring Your Own Device) geeft het antwoord. In Workspace richt je het zo in dat je de bedrijfsdata controleert zonder in het privéleven van medewerkers te graven. ## De kern van BYOD Bij BYOD gebruikt iemand een eigen toestel voor werk. Het spanningsveld is duidelijk: jij wilt bedrijfsdata veilig houden, de medewerker wil zijn privacy behouden. Een goed beleid lost dat op door alleen de werkcontext te beheren, niet het hele toestel. :::info title="App-niveau versus toestel-niveau" Workspace ondersteunt beheer op app-niveau, waarbij je alleen de Google-apps en hun data beheert, en toestel-niveau, waarbij je het hele apparaat beheert. Voor BYOD kies je vrijwel altijd app-niveau, zodat je privédata met rust laat. ::: ## Basic of advanced management Workspace biedt twee niveaus mobiel beheer. Basic mobile management dwingt eenvoudige eisen af zoals een schermvergrendeling, zonder dat gebruikers een apart beheerprofiel hoeven te installeren. Advanced mobile management geeft meer controle (apparaatbeleid, app-beheer, netwerkinstellingen, gedetailleerd wissen) maar vraagt om een beheerprofiel op het toestel. Voor BYOD is basic vaak voldoende en het minst opdringerig. Kies advanced alleen als je beveiligingseisen dat echt nodig maken. Houd er rekening mee dat synchroniseren van OS-versie en versleutelingsstatus bij basic management een paar dagen kan duren, wat van belang is als je Context-Aware Access gebruikt. :::howto title="Een BYOD-beleid opzetten" 1. Ga in de Admin Console naar **Devices > Mobile & endpoints > Settings > Universal**. 2. Kies per organisatie-eenheid **Basic** of **Advanced** mobile management. 3. Dwing een schermvergrendeling en minimale wachtwoordsterkte af. 4. Eis apparaatversleuteling waar het besturingssysteem dat ondersteunt. 5. Stel in dat je alleen bedrijfsdata kunt wissen (`Wipe account`), niet het hele toestel. 6. Communiceer het beleid en de privacy-implicaties duidelijk naar medewerkers. ::: ## Account-wipe versus volledige wipe Het belangrijkste BYOD-principe: je wist alleen bedrijfsdata, niet het privétoestel. Een account-wipe (ook wel selective wipe) verwijdert de Workspace-accountdata en laat foto's, privé-apps en persoonlijke berichten ongemoeid. Dat is essentieel voor zowel privacy als juridische zuiverheid. Een volledige device-wipe is alleen mogelijk bij advanced management en hoort niet thuis in een BYOD-scenario. :::warn Een volledige device-wipe op een privétoestel kan persoonlijke data van een medewerker vernietigen en juridische problemen opleveren. Configureer BYOD altijd op account-wipe en maak in je beleid expliciet dat je alleen bedrijfsdata verwijdert. ::: ## Privacy en transparantie BYOD valt of staat met vertrouwen. Leg in je beleid duidelijk vast wat je wel en niet ziet en kunt. Medewerkers moeten weten dat je hun locatie, foto's en privéberichten niet inziet, en dat je bij verlies of vertrek alleen de werkdata verwijdert. Transparantie voorkomt weerstand en juridische discussies. :::tip title="Laat de overeenkomst ondertekenen" Schrijf een korte, leesbare BYOD-overeenkomst die medewerkers ondertekenen voordat ze hun toestel koppelen. Benoem expliciet wat je wel en niet kunt zien en wat er bij verlies of uitdiensttreding gebeurt. Dat schept duidelijkheid voor beide kanten. ::: ## Beheer bij verlies en vertrek Stel een procedure op voor verloren toestellen en vertrekkende medewerkers. Bij verlies voer je direct een account-wipe uit. Bij uitdiensttreding ook, gekoppeld aan het offboarding-proces. Controleer regelmatig in het apparaatoverzicht welke toestellen nog gekoppeld zijn en ruim verouderde registraties op. :::faq ### Kan ik een privételefoon volledig wissen? Technisch kan het bij advanced management, maar voor BYOD doe je dat niet. Je configureert een account-wipe, zodat alleen bedrijfsdata verdwijnt en privédata intact blijft. ### Heeft de medewerker iets te installeren? Bij basic mobile management meestal niet, de eisen worden via het Google-account afgedwongen. Advanced management vraagt wel om een beheerprofiel op het toestel. ### Zie ik de privé-apps en foto's van medewerkers? Nee. Met beheer op app-niveau zie en beheer je alleen de Google-werkapps en hun data, niet de persoonlijke inhoud van het toestel. ### Wat gebeurt er bij uitdiensttreding? Je voert een account-wipe uit als onderdeel van offboarding, zodat de bedrijfsdata van het privétoestel verdwijnt terwijl de medewerker zijn eigen toestel en data houdt. ### Welke Workspace-edities ondersteunen mobiel beheer? Mobiel beheer zit in vrijwel alle betaalde edities, waaronder Business Plus, Enterprise Standard en Plus, en de Education- en Frontline-edities. Controleer in de Admin Console welke opties jouw abonnement biedt. ### Werkt BYOD voor zowel Android als iOS? Ja. Basic en advanced management werken op beide platformen. Bij iOS kan voor advanced management een apart beheerprofiel of de Google Device Policy-app nodig zijn. :::