Werkgever verzoekt Intune op privé laptop te installeren

De juridische kant daargelaten, ik zou niks zakelijks op jouw privé spullen doen, laat staan deze dichttimmeren met een MDM oplossing.

Je kunt aangeven niet akkoord te gaan en Intune op een company device te testen.

Aangeven dat je laptop privé is en dat je in de toekomst geen gebruik zult maken van deze laptop voor werkdoeleinden. Want laten we wel zijn, als jij je laptop gebruikt voor zakelijke doeleinden (lezen van mail) dan kan ik me prima voorstellen dat de werkgever daar wat van vindt.

Dan gebruik je die privé apparaten toch niet meer zakelijk? Heb je ook die intune niet nodig.

Weet niet wat je onder achterlijke password policies bedoeld.

Maar dat je controle en zaken als conditional access wilt instellen als werkgever kan ik me wel voorstellen.
Maar dan moet de werkgeven wel ook werk laptops/macbooks etc geven.

Als je prive dingen hebt. Dan zijn dat prive spullen.
Je kan daar idd voor kiezen om die te enrollen in een byod policy (mogelijk is die wat minder streng dan een puurt corporate policy). Maar zou dat zeker niet verplicht willen stellen.

Je kunt vaak ook gewoon de webmail gebruiken voor toegang tot mail.
En verder gewoon zakelijk werken met de spullen van je klanten

Heel simpel, een test doe je om dingen te leren. Geef dus aan dat je dit te ver vindt gaan en zorg dat je geen zakelijke dingen doet op je privé devices. Betekent dit dat je buiten werktijd geen zakelijke emails/telefoontjes meer kunt doen? So be it.

Stiggy schreef op dinsdag 5 augustus 2025 @ 17:36:
[...]

Joh! Ik neem aan dat werkgever wel graag wil dat ze me kunnen bereiken, dus dan mogen ze daar een device voor verstrekken. Dat zou ook mijn standpunt zijn, maar leek me goed even wat info in te winnen over rechten en plichten.

Je moet alleen bereikbaar zijn als dat zo afgesproken is en je er ook voor betaald wordt. En dan mag de wg inderdaad zorgen dat je een device daarvoor krijgt.

Ik vind het hele idee van 'wat je via Intune kunt zien hangt af van de policy' ook niet zo'n strak plan. Lijkt me nogal naïef om te veronderstellen dat die policies niet wijzigen en dat je netjes op de hoogte gesteld wordt als ze dat doen.

Op zich heeft de werkgever best een probleem als ze dit niet goed regelen en er iemand moeilijk gaat doen. Maar ik ben er ook niet zo'n voorstander van, zeker niet op echte privé devices.

Met eigenlijk alle anderen hier:
Jouw laptop is van jou... daar heeft je werkgever niets op te installeren. Als je werkgever vindt dat werk en privé gescheiden moeten worden is de oplossing dat jij geen werkgerelateerde dingen meer op je privé-device(s) doet, en niet dat je werkgever software op de devices installeert die jij hebt aangeschaft.

Mocht dit leiden tot onoverkomelijke bezwaren qua bereikbaarheid en productiviteit, dan zal de werkgever moeten zorgen dat jij een laptop (en eventueel een telefoon) verstrekt krijgt. Daar kan 'ie alle policies op loslaten die hij nodig vindt.

Lijkt mij echt een absolute no go. Dit kan echt niet potentieel ook een inbreuk op jouw privacy. Straks vraagt hij ook je voordeursleutel en wil hij camera's in jouw huis. Dit is voer voor een OR, privacy officer en een jurist om je werkgever op te voeden. We zijn niet in Amerika.

Frogmen schreef op woensdag 6 augustus 2025 @ 20:47:
Lijkt mij echt een absolute no go. Dit kan echt niet potentieel ook een inbreuk op jouw privacy. Straks vraagt hij ook je voordeursleutel en wil hij camera's in jouw huis. Dit is voer voor een OR, privacy officer en een jurist om je werkgever op te voeden. We zijn niet in Amerika.

Dit is in Amerika staande praktijk?

Wolly schreef op woensdag 6 augustus 2025 @ 21:08:
[...]


Dit is in Amerika staande praktijk?

In Amerika is het inderdaad accepteren of ontslagen worden.

Er zitten twee kanten aan het verhaal, maar je zou altijd de keuze moeten hebben. Als jij het fijn vindt om je werk-mail te kunnen lezen vanaf je privé-device, bijvoorbeeld omdat je niet met twee laptops wilt zeulen, dan mag de werkgever daar best eisen aan stellen. Maar dan moet er dus wel een keuze voor een werk-laptop als alternatief.

ik heb zelf een privé-laptop en werk-laptop. De laatste staat onder beheer van mijn werkgever. Prima. Van mijn privé-laptop blijven ze af. Voor mijn telefoon is het anders. Maar daar hebben we keuze. Je krijgt of een telefoon van de organisatie, of een (prima) onkosten-vergoeding voor het gebruik van je eigen telefoon. In het laatste geval stellen ze wel eisen aan het beheer van die telefoon. Ik vind het persoonlijk niet fijn om met twee telefoons rond te lopen, dus heb ik voor de laatste optie gekozen. Maar dat is dus wel MIJN keuze.

Dan installeer je dat Intune-profiel toch niet? Wat is het probleem?

MarcoC schreef op woensdag 6 augustus 2025 @ 22:17:
Dan installeer je dat Intune-profiel toch niet? Wat is het probleem?

Dan kan je dus geen werkgerelateerde zaken op de prive apparatuur doen, wat voor sommigen ook wel wat waard kan zijn.

CH4OS schreef op woensdag 6 augustus 2025 @ 22:18:
[...]
Dan kan je dus geen werkgerelateerde zaken op de prive apparatuur doen, wat voor sommigen ook wel wat waard kan zijn.

Webmail is blijkbaar nog wel toegankelijk. Wat heb je nog meer nodig als je al een laptop van de opdrachtgever hebt?

Voor prive apparaten moet er gewoon een MAM policy ingesteld worden ipv een MDM policy. Daarmee kun je je mail checken, teams gebruiken etc. zonder dat je prive apparaat door je werkgever beheerd wordt.

Dat zou je dan gebruiken omdat je het handig vind, niet omdat het moet.

redwing schreef op woensdag 6 augustus 2025 @ 21:17:
[...]

In Amerika is het inderdaad accepteren of ontslagen worden.

Dan heb je dus ff geen prive device...... Wat gaat de werkgever dan doen?

bregweb schreef op woensdag 6 augustus 2025 @ 22:46:
[...]

Dan heb je dus ff geen prive device...... Wat gaat de werkgever dan doen?

Je ontslaan?

redwing schreef op donderdag 7 augustus 2025 @ 08:31:
[...]

Je ontslaan?

In Amerika kan dat. In Nederland niet.

remco_k schreef op donderdag 7 augustus 2025 @ 08:35:
[...]

In Amerika kan dat. In Nederland niet.

De opmerking ging ook over Amerika. In Nederland kan je werkgever hierover inderdaad niets eisen.

DarkSide schreef op dinsdag 5 augustus 2025 @ 17:17:
Weet niet wat je onder achterlijke password policies bedoeld.

Iedere policy die je verplicht iedere zoveel tijd je wachtwoord te veranderen én allerlei rare tekens verplicht stelt.
Niet van deze tijd.
Niet eens van dit millenium; De afgelopen decennia is er al regelmatig geschreven over de aperte onzin van dit soort policies.

https://learn.microsoft.c...tions?view=o365-worldwide

Advocaat van de duivel spelende.
Jij bent hier degene die de fout in gaat, door met privé middelen de data van de baas binnen te halen. Heb je hier expliciet toestemming voor? Heb je bedrijfsdata lokaal opgeslagen? Vanuit CS management bij JIJ met je privé laptop een "zwakke schakel", een plek waar ze geen controle hebben. Ik begrijp heel erg goed dat ze daar wat aan willen doen. Gaat het bedrijf toevallig op voor CS certificatie? dan komen vaak soort problemen boven tafel.

En nu de menselijke maat: ga naar je baas, stel dat je niet dit risico wilt lopen (prive spullen en bedrijfsdata), regel een zakelijke laptop. Ik snap helemaal dat je geen Intune op je hardware wilt, en hij zal ook snappen dat voor hem privé hardware een enorm risico blijft (ondanks Intune).

Succes!

Dat is echt een grote no-go. Je moet echt geen MDM van je werkgever op je eigen apparaten willen. Dat kan er alleen maar af als zij toestemming geven. Je geeft gewoon de controle over je eigen spullen af.

Als ze dergelijke zaken willen gebruiken, moeten ze daar de apparaten voor verstrekken. Eigenlijk is het al gek dat je überhaupt privé-apparatuur gebruikt (moet gebruiken?) voor zakelijke doeleinden, helemaal in de detachering.

TunderNerd schreef op donderdag 7 augustus 2025 @ 09:13:
Advocaat van de duivel spelende.
Jij bent hier degene die de fout in gaat

...ik denk niet dat er iemand is die hier de fout in gaat.

TS kon werkmail lezen op privé device en - aanname - dat vond werkgever tot nu prima.
Werkgever wil de boel wat veiliger hebben en zegt dus "als jij werkmail op je privé-device wil kunnen lezen, moet je Intune installeren.

Dus niemand hier die fout bezig is, lijkt mij. Het wordt pas fout als werkgever eist dat je je privé device blijft gebruiken voor werk EN eist dat je Intune installeert.

CH4OS schreef op woensdag 6 augustus 2025 @ 22:13:
[...]

Dus een werkgever moet een privé apparaat maar blind vertrouwen, terwijl de persoon die laptop (ook) wilt gebruiken voor werkgerelateerde zaken? Dat gaat dan ook niet helemaal samen natuurlijk. Gelukkig is het dus niet zo zwart-wit zoals je het nu schetst en een beetje organisatie heeft of een en ander gelaagd / afgeschermd, of gewoon overeenkomsten daarvoor.

Als de werkgever dat niet doet, dan moet de werkgever een device ter beschikking stellen. Dan is het de keus van de werknemer, waar hij voor kiest. Opleggen kan niet, zelfs niet de telefoon moeten gebruiken voor 2FA.

Frogmen schreef op donderdag 7 augustus 2025 @ 10:49:
Als de werkgever dat niet doet, dan moet de werkgever een device ter beschikking stellen. Dan is het de keus van de werknemer, waar hij voor kiest. Opleggen kan niet, zelfs niet de telefoon moeten gebruiken voor 2FA.

Is ook weer afhankelijk van de policy die het bedrijf hanteert. Een BYOD (wat prive devices basically ook zijn) kan prima toegestaan zijn, mits er aan bepaalde voorwaarden wordt voldaan. Het installeren van InTune en het installeren van een policy daarin kan daar dan prima een voorwaarde voor zijn. Een werkgeveer hoeft niet blindelings hardware te vertrouwen die het niet kent.

[ Voor 13% gewijzigd door CH4OS op 07-08-2025 11:38 ]

Oh we kunnen wellicht wat reacties copy-pasten uit dit topic: Werkgever verplicht urenregistratie app op privetelefoon

snmght schreef op donderdag 7 augustus 2025 @ 11:38:
Oh we kunnen wellicht wat reacties copy-pasten uit dit topic: Werkgever verplicht urenregistratie app op privetelefoon

Pssst: CH4OS in "Werkgever verzoekt Intune op privé laptop te installeren"

CH4OS schreef op donderdag 7 augustus 2025 @ 11:39:
[...]
Pssst: CH4OS in "Werkgever verzoekt Intune op privé laptop te installeren"

Niet gezien, sorry! Het door jou en mij gelinkte topic is verder ook niet de eerste in zijn soort volgens mij.

BYOD = wat mij betreft: jouw device op mijn netwerk. En daar stel ik eisen aan. Als ik daarnaast verbinding met webmail toesta vanaf een externe locatie is dat mijn keuze en niet jouw recht....

Alles wat zich op mijn netwerk en in mijn applicaties afspeelt dient 100% onder mijn controle te staan. Als dat niet zo is dan is dat 1) een gunst of 2) een ernstig beveiligingsissue.

Wolly schreef op woensdag 6 augustus 2025 @ 21:08:
[...]


Dit is in Amerika staande praktijk?

In Amerika hebben vakbonden dan ook nagenoeg niks in de melk te brokkelen. Met als gevolg dat werkgevers daar een schandelijke en schadelijke macht over werknemers hebben (voorbeeld: ziektekostenverzekering die gekoppeld is aan je baan. Geen werk, geen verzekering.)

Bovendien: wat Amerika doet mogen zij weten. Wij doen het op onze manier en dat mogen wij weten

De werkgever dient jou een laptop tot je beschikking te stellen en niets anders.
Deze mag wel eisen dat je dan de laptop alleen voor je werk en niet voor privé zaken mag gebruiken.
Tevens moet dan ook een vergoeding gegeven worden voor het gebruik van internet en stroom en als je de laptop gebruikt valt dat onder arbeid uren ook dat dient dan vergoed te worden.

Het gaat jou werk gever niets aan wat jij op een privé apparaat doet.

DjoeC schreef op donderdag 7 augustus 2025 @ 13:35:
BYOD = wat mij betreft: jouw device op mijn netwerk. En daar stel ik eisen aan. Als ik daarnaast verbinding met webmail toesta vanaf een externe locatie is dat mijn keuze en niet jouw recht....

Alles wat zich op mijn netwerk en in mijn applicaties afspeelt dient 100% onder mijn controle te staan. Als dat niet zo is dan is dat 1) een gunst of 2) een ernstig beveiligingsissue.

Ik heb ooit bij een bedrijf gewerkt waar veiligheid hoog in het vaandel stond, en waar voor BYOD gold: geen probleem... je zit op een (afgeschermd) gasten-wifi. Wil je er werkgerelateerde dingen op doen, dan doe je dat via de thuiswerk-omgeving... Met andere woorden, dan log je via een VPN, en krijg je vanuit daar toegang via een remote desktopverbinding tot de een (eigen) virtuele machine op de server omgeving.
Heb je geen thuiswerk-account? Dan zul je dat moeten aanvragen of je kunt gezellig internetten.. maar verder niets.

CH4OS schreef op donderdag 7 augustus 2025 @ 11:36:
[...]
Is ook weer afhankelijk van de policy die het bedrijf hanteert. Een BYOD (wat prive devices basically ook zijn) kan prima toegestaan zijn, mits er aan bepaalde voorwaarden wordt voldaan. Het installeren van InTune en het installeren van een policy daarin kan daar dan prima een voorwaarde voor zijn. Een werkgeveer hoeft niet blindelings hardware te vertrouwen die het niet kent.

Bij een BYOD hangt er eigenlijk altijd een beleid en een vergoeding aan vast dan ligt de zaak heel anders.

Stiggy schreef op donderdag 7 augustus 2025 @ 11:47:
En nogmaals: er staat in mijn mail geen gevoelige info (niveau: 'het secretariaat is vrijdag gesloten', 'kom naar onze zomerborrel', etc.).

Stiggy schreef op donderdag 7 augustus 2025 @ 11:47:
'kom naar onze zomerborrel', etc.

Mooi, dan weet ik wanneer jullie kantoor onderbemand is...

DjoeC schreef op donderdag 7 augustus 2025 @ 15:27:
[...]


Mooi, dan weet ik wanneer jullie kantoor onderbemand is...

Praktisch elk kantoor is onbemand tussen pak en beet 20:00 en 06:00. Daarvoor hoef je echt geen mail te hacken. Je kan ook langs rijden om te kijken of er nog lampen branden.

RoamingZombie schreef op donderdag 7 augustus 2025 @ 16:03:
[...]


Praktisch elk kantoor is onbemand tussen pak en beet 20:00 en 06:00. Daarvoor hoef je echt geen mail te hacken. Je kan ook langs rijden om te kijken of er nog lampen branden.

Yep, maar tijdens kantoortijden vind niemand het vreemd om (vreemde) mensen in en uit te zien lopen. Buiten kantoortijden ligt dat toch wat genuanceerder.

DjoeC schreef op donderdag 7 augustus 2025 @ 16:05:
[...]

Yep, maar tijdens kantoortijden vind niemand het vreemd om (vreemde) mensen in en uit te zien lopen. Buiten kantoortijden ligt dat toch wat genuanceerder.

Tja, jij begint over de borrels. Die zijn in mijn ervaring altijd na werktijd. Weinig mensen hebben er behoefte aan om in de middag al dronken te worden met collega's.

Iedereen heeft het hier over MDM, maar gaat het ook daadwerkelijk over MDM?
Het kan ook nog zijn (ik lees 'privé devices', niet per sé 'laptop') dat het gaat om MAM om mobiele devices. Om dan op je zakelijk mail te kunnen lezen (in Outlook) op je mobiele device, worden bepaalde policies op die app afgedwongen. Dat gebeurt via een broker app, die de tussenlaag vormt tussen de MAM backend en de apps op je device. Voor iOS is de authenticato app de broker app, voor Android devices de Company Portal app. Die app hoeft alleen maar geïnstalleerd te zijn, maar je hoeft niet daadwerkelijk je device te laten managen.
Dat management gebeurt in de apps zelf en dus ook alleen in zakelijke context van de apps. Je werkgever kan dan dus niet bij je privé data of bijvoorbeeld je hele toestel wipen, maar alleen je zakelijke data wissen binnen die app.
Wellicht slim om dit nog even te (laten) verduidelijken.

Ik zou vriendelijk bedanken en als werkgever je wilt bereiken in privé tijd of vraagt om af en toe mail te checken in privé tijd dan mag hij een laptop of iets anders verschaffen aan je

Frogmen schreef op donderdag 7 augustus 2025 @ 14:48:
[...]

Bij een BYOD hangt er eigenlijk altijd een beleid en een vergoeding aan vast dan ligt de zaak heel anders.

Sowieso ben je dan andersom aan het kijken. Een werkgever kan je nl. niet verplichten om een BYOD te kopen/hebben.Wel kan de werkgever je verplichten dat als je aan een regeling met een BYOD mee doet, dat je dat device dan ook zakelijk gebruikt. Maar dan heb je er ook zelf mee ingestemd.

SgtElPotato schreef op donderdag 7 augustus 2025 @ 16:14:
Ik zou vriendelijk bedanken en als werkgever je wilt bereiken in privé tijd of vraagt om af en toe mail te checken in privé tijd dan mag hij een laptop of iets anders verschaffen aan je

TS begon met "gedetacheerd". Dan heb je niks (weinig) te eisen en alleen maar "netjes te vragen". Dat doet er niets aan af dan dat je nog steeds kunt weigeren.

DjoeC schreef op donderdag 7 augustus 2025 @ 16:28:
[...]

TS begon met "gedetacheerd". Dan heb je niks (weinig) te eisen en alleen maar "netjes te vragen". Dat doet er niets aan af dan dat je nog steeds kunt weigeren.

Uiteraard. Maar gedetacheerd betekend of je eigen hardware meenemen en gebruiken volgens je eigen regels of de plek waar je zit zorgt voor hardware.

DjoeC schreef op donderdag 7 augustus 2025 @ 16:28:
TS begon met "gedetacheerd". Dan heb je niks (weinig) te eisen en alleen maar "netjes te vragen". Dat doet er niets aan af dan dat je nog steeds kunt weigeren.

Huh? Impliceer je nu dat als je gedetacheerd wordt, je om de een of andere reden minder rechten zou hebben dan iemand die niet gedetacheerd wordt als het gaat om de relatie met je werkgever?

Ik weet niet wat voor ervaringen jij hebt met detachering, maar de detacheerder (de werkgever dus) zal, net als elke andere werkgever, gewoon een device ter beschikking moeten stellen als ie wil dat een werknemer dingen doet waar een device voor nodig is.

Als de werknemer een prive-device gebruikt om die dingen te doen, hoort daar een vergoeding tegenover te staan, en mag de werkgever, als het de keuze van de werknemer is om een privé-device te gebruiken, inderdaad eisen stellen aan dat device in het kader van beveiliging.

Maar dat is echt niet anders als het een detacheerder betreft.

---

Of haal je gewoon opdrachtggever en werkgever door elkaar?

[ Voor 3% gewijzigd door Dido op 07-08-2025 16:54 ]

snmght schreef op donderdag 7 augustus 2025 @ 11:38:
Oh we kunnen wellicht wat reacties copy-pasten uit dit topic: Werkgever verplicht urenregistratie app op privetelefoon

Ik vind dat echt wel iets anders. Met Intune geef je het hele beheer en de mogelijke werking van de eigen laptop uit handen aan je werkgever. Dat zou een no go zijn voor mij.

Een appje die verder geen nadeel heeft behalve wat opslagruimte zou ik veel minder moeite mee hebben.

Dido schreef op donderdag 7 augustus 2025 @ 16:52:
[...]

Huh? Impliceer je nu dat als je gedetacheerd wordt, je om de een of andere reden minder rechten zou hebben dan iemand die niet gedetacheerd wordt als het gaat om de relatie met je werkgever?

Ik weet niet wat voor ervaringen jij hebt met detachering, maar de detacheerder (de werkgever dus) zal, net als elke andere werkgever, gewoon een device ter beschikking moeten stellen als ie wil dat een werknemer dingen doet waar een device voor nodig is.

Als de werknemer een prive-device gebruikt om die dingen te doen, hoort daar een vergoeding tegenover te staan, en mag de werkgever, als het de keuze van de werknemer is om een privé-device te gebruiken, inderdaad eisen stellen aan dat device in het kader van beveiliging.

Maar dat is echt niet anders als het een detacheerder betreft.

---

Of haal je gewoon opdrachtggever en werkgever door elkaar?

Nee, hier spelen "werkgever" (ik had hier iets onbehoorlijks staan), "werknemer" (al dan niet in ZZP verband), "opdrachtgever" (ook wel: eindklant), soms met nog wat schakels er tussen.

Als werknemer "nee" zegt tegen opdrachtgever kan een probleem ontstaan tussen opdrachtgever en werkgever, al dan niet met gevolgen voor de zakelijke relatie. Dat werknemer voor zijn werkgever de relatie met opdrachtgever "goed" wil houden is te begrijpen net als dat werknemer zijn privacy wil bewaken.

Als opdrachtgever werknemer niet tegemoet wil komen moet werkgever ingeschakeld worden. Die zal dan vanuit zijn rol werknemer moeten beschermen en met opdrachtgever in gesprek moeten of zelf apparatuur beschikbaar stellen - opdrachtgever hoeft dat niet persee te regelen.

DjoeC schreef op donderdag 7 augustus 2025 @ 17:05:
[...]

Nee, hier spelen "werkgever" (ik had hier iets onbehoorlijks staan), "werknemer" (al dan niet in ZZP verband), "opdrachtgever" (ook wel: eindklant), soms met nog wat schakels er tussen.

Als werknemer "nee" zegt tegen opdrachtgever kan een probleem ontstaan tussen opdrachtgever en werkgever, al dan niet met gevolgen voor de zakelijke relatie. Dat werknemer voor zijn werkgever de relatie met opdrachtgever "goed" wil houden is te begrijpen net als dat werknemer zijn privacy wil bewaken.

Als opdrachtgever werknemer niet tegemoet wil komen moet werkgever ingeschakeld worden. Die zal dan vanuit zijn rol werknemer moeten beschermen en met opdrachtgever in gesprek moeten of zelf apparatuur beschikbaar stellen - opdrachtgever hoeft dat niet persee te regelen.

Dat snap ik allemaal, maar dat is allemaal niet relevant: de TS heeft het over zijn werkgever die wat van hem wil, en dat staat helemaal los van de opdrachtgever

Mijn laatste opmerking leek dus op zich redelijk de spijker op de kop te slaan

Ik werk voor drie organisaties, en heb mijn eigen agenda. Twee van de drie hebben ingesteld staan dat je Outlook alleen mag gebruiken op een door hun met MDM beveiligd apparaat. Zo kunnen zij bijv. bij diefstal ingrijpen ipv dat hun data op straat ligt. Snap ik helemaal. Het is wel knap onhandig. Vooralsnog is mijn workaround mijn agenda delen. Daarmee kan ik mijn afspraken wel elders zien. Ik nodig dan mijn andere account(s) mee uit als ik wat plan waarbij ik mijn agenda wil blokken. Niet optimaal, maar wel werkbaar. Ik heb wel even genoemd dat ik dit zo doe. Men keek wat ongemakkelijk, maar snapte het wel. Meer info hier: Uw agenda delen in de webversie van Outlook - Microsoft Ondersteuning.

Ik heb de agenda’s aan mijn zakelijke Microsoft 365 Business Standard toegevoegd, en dat account voeg ik dan toe aan de Outlook van mijn klanten. Ik dwing zelf natuurlijk geen MDM af. Ik heb dan bijv. de agenda “klant1 via MijnBedrijf”. Die toevoeging bleek handig omdat je anders door de bomen het bos niet meer ziet als Outlook weer eens met de volgorde of de zichtbaarheid van agenda’s gerommeld heeft.

[ Voor 19% gewijzigd door Milmoor op 07-08-2025 21:35 . Reden: Tweede alinea met verduidelijking toegevoegd ]

Een appje zoals Microsoft Authenticator installeren op een privé device vind ik verdedigbaar, een dergelijke app doet niks met het device en een extra device is dan voor beide partijen vaak niet handig. Maar een Intune koppeling zou ik ook zeker weigeren, dat gaat echt te ver. Laat ze maar een device verstrekken of bijvoorbeeld Outlook Web openzetten (als dat niet al zo is).

Milmoor schreef op donderdag 7 augustus 2025 @ 20:47:
Ik werk voor drie organisaties, en heb mijn eigen agenda. Twee van de drie hebben ingesteld staan dat je Outlook alleen mag gebruiken op een door hun met MDM beveiligd apparaat. Zo kunnen zij bijv. bij diefstal ingrijpen ipv dat hun data op straat ligt. Snap ik helemaal. Het is wel knap onhandig. Vooralsnog is mijn workaround mijn agenda delen. Daarmee kan ik mijn afspraken wel elders zien. Ik nodig dan mijn andere account(s) mee uit als ik wat plan waarbij ik mijn agenda wil blokken. Niet optimaal, maar wel werkbaar. Ik heb wel even genoemd dat ik dit zo doe. Men keek wat ongemakkelijk, maar snapte het wel. Meer info hier: Uw agenda delen in de webversie van Outlook - Microsoft Ondersteuning.

Ik heb de agenda’s aan mijn zakelijke Microsoft 365 Business Standard toegevoegd, en dat account voeg ik dan toe aan de Outlook van mijn klanten. Ik dwing zelf natuurlijk geen MDM af. Ik heb dan bijv. de agenda “klant1 via MijnBedrijf”. Die toevoeging bleek handig omdat je anders door de bomen het bos niet meer ziet als Outlook weer eens met de volgorde of de zichtbaarheid van agenda’s gerommeld heeft.

Snap je workaround maar weer een typisch voorbeeld van dat er maar van alles dichtgezet wordt, maar men vergeet dat er gewerkt moet worden. Ik vraag me af hier risico analyses aan ten grondslag liggen of dat men een systeembeheerder zijn gang heeft mogen gaan en de directie durft geen keuzes te maken.

Zeker is daar over na gedacht. Iedere medewerker krijgt een laptop van de zaak, ook ik als externe. In basis is het uitgangspunt dat eigen data alleen op eigen apparatuur mag staan. Men biedt nog wel de webversie van Outlook. Daarmee kan er ook zonder laptop nog best wel wat. Ik mag in mijn eigen Outlook nog steeds alle accounts van alle drie de organisaties opnemen. Alleen het scenario dat ik in hun Outlook ook een account van een andere organisatie die de boel ook aardig dichtgetimmerd heeft op kan nemen wordt niet ondersteund. Niet omdat ze daar principieel op tegen zijn, maar omdat de policies botsen en ze er geen tijd in gaan stoppen om dat uit te zoeken en vooral in dat te onderhouden. Dat hebben de twee organisaties trouwens los van elkaar besloten. Niet om het dicht te zetten, maar om het niet open te zetten. Het is al ingewikkeld genoeg. Microsoft blijft veranderen. Mijn use case is te uitzonderlijk. Dat ik als parttimer en zelfstandig ondernemer gedoe met agenda’s heb is een ongelukje. Dit vinden ze oprecht jammer voor me. Maar ze gaan gaan geen gaten prikken in de aangeraden beveiligingsinstellingen.

CH4OS schreef op woensdag 6 augustus 2025 @ 22:01:
En wat heeft de werkgever zelf gezegd toen je erover in gesprek ging met ze?

Vooral dit.

Stiggy schreef op donderdag 7 augustus 2025 @ 11:47:
En nogmaals: er staat in mijn mail geen gevoelige info (niveau: 'het secretariaat is vrijdag gesloten', 'kom naar onze zomerborrel', etc.).

Jou mail is meestal ook andermans mail. Op welke manier hou je bij je stelling rekening dat anderen heel anders over de inhoud kunnen denken? Bijvoorbeeld omdat jij niet gaat voorkomen wat anderen je (al dan niet perongeluk of omdat het kan) aan belangrijke of gevoelige informatie je (gaan) toezenden.

discussies over 'wie is er fout' en de zwakste schakel zijn, zijn helemaal niet aan de orde.

Dat je dit niet met je opdrachtgever bespreekt wil niet zeggen dat dit niet aan de orde is. Je bent geen werknemer van het bedrijf maar kennelijk ingehuurd als werknemer van een ander bedrijf. En dan gaat wel degelijk op of jij ( namens andermans detachiringsbedrijf) behoorlijk om gaat met het scheiden van bedrijfsgegevens van deze opdrachtgever, gegevens van andere opdrachtgevers, die van je detacheringsbedrijf en je privezaken. Als jij naar je opdrachtgever meer prioriteit legt bij gemakshalve maar alles willen combineren en daarbij ook nog geen blijk geeft risico's behoorlijk te doorgronden, dan kan die feedback bij de beveiligingsverantwoordelijke van het bedrijf dat kiest voor dit soort inhuurconstructies zorgen dat je nog zwaardere eisen krijgt of zelf contracten opgeschort worden.

Ik vraag me dan ook af waarom je dit allemaal zelf probeert 'op te lossen'. Heb je dit überhaupt al bij de verantwoordelijke van het bedrijf waar je werkelijk werknemer bent besproken? Ik lees je namelijk ook op geen enkele manier bewust zijn dat het detacheringsbedrijf hier waarschijnlijk ook eisen en verantwoording in heeft. Zowel naar zichzelf, naar het bedrijf dat jou gedetacheerd krijgt als naar andere klanten en naar jou.

[ Voor 8% gewijzigd door kodak op 09-08-2025 12:26 ]

Stiggy schreef op zaterdag 9 augustus 2025 @ 14:31:
[...]
Geen idee wat je hier allemaal op een nogal belerend toontje uit wilt leggen, want je lijkt vooral foutieve aannames te doen en alles door elkaar te halen. [....] als je mijn posts daadwerkelijk gelezen had.

Het heeft geen belerende bedoeling. Ik stel(de) enkele kritische opmerkingen, alleen ondanks het lezen van alle reacties had ik kennelijk de uitleg niet helemaal goed begrepen. Dat kan gebeuren. Zo te lezen was ik niet de enige. Beetje krom om dat dan maar meteen zo negatief op je vatten als mede-tweakers elkaar in principe proberen te helpen. Iig bedankt voor de verduidelijking over de werkrelaties.

Ongeacht dat de situatie anders blijkt, ik hoop wel dat je de kritiek over risico's van mail (ook door anderen gegeven) en andere kritische opmerkingen over het niet zo duidelijk scheiden van werk en privé constructief op vat. Dat je het zelf soms niet als belangrijk ziet wil niet zomaar betekenen dat anderen dat ook zo zullen of blijven opvatten. Op dit moment lijkt het misschien nog goed genoeg voor bijvoorbeeld jou of met wie je het niet helemaal eens was over de controle en inzet van middelen. Maar het kan zomaar zijn dat als anderen dat zien het anders opgevat kan worden. Zelfs dat de toezichthouder tot heel andere conclussies komt wat betreft waar welke gegevens verwerkt mogen worden en onder welke omstandigheden. Misschien is dat niet leuk om te horen of klinkt dat belerend, maar de wettelijke grenzen werden zo te lezen waarschijnlijk al overschreden en ik lees nog steeds niet dat het gescheiden genoeg is. En dat gaat om nogal basisprincipes: dat werk en prive in principe gescheiden horen te zijn en worden gehouden.

Een stukje context waarom die toeneemt is de vele aanvallen waarbij ondanks MFA accounts compromised raken. Het komt zo vaak voor dat een partij gehacked wordt en daarna vanuit de partij allerlei phishing mails worden gestuurd. Daar kan geen awareness tegenop omdat je een mail krijgt van jouw relatie waar je al zo vaak mee werkt.

Alleen conditional acces of een fido compliant MFA helpt hier tegen. Vandaar dat veel organisaties dat afdwingen.

Zelf zou ik kijken of je als consultant misschien weg komt met VM’s. Dan pak je 1 stevige laptop en installeer je voor iedere opdracht een VM.