Privé-apparaten op het werk: het gebeurt vaker dan je denkt

    - - / 6 November 2025

    Heb je dit wel eens meegemaakt?

    • Je werkt snel iets af op je privélaptop, die thuis ook door je kinderen wordt gebruikt. Via de browser log je in op Teams of SharePoint om nog even dat ene document af te maken.
    • Een collega stuurt je een reactie op een klantvraag: “Verzonden vanaf mijn iPhone”. Zijn werkmail staat kennelijk op zijn privételefoon.
    • Tijdens een overleg zie je een collega typen op haar eigen tablet. “Mijn werkapparaat is te sloom”, zegt ze, “dus ik pak liever even deze.”
    • Een programmeur besluit aan het eind van de werkdag de code waar hij aan werkte, te ‘pullen’ op zijn privé-apparaat. “Dan kan ik er vanavond nog even aan verder werken zonder dat ik weer moet inloggen op die trage beveiligde omgeving.”

    In al deze situaties kiezen de medewerkers voor de weg van de minste weerstand. Ze willen snel kunnen werken; dat is begrijpelijk. Maar ondertussen verliest de organisatie ongemerkt de grip op haar data. Want bedrijfsinformatie wordt in dit geval verwerkt op apparaten waarop geen monitoring of beveiliging is ingericht.

    Zonder dat je het doorhebt, ontstaat zo een werkwijze waarin gevoelige gegevens buiten het zicht van IT en Security omgaan en dat is precies waar het spannend kan worden.

    We hebben het dan over BYOD: Bring Your Own Device: het gebruik van privé-apparaten voor werkdoeleinden.

    Dat hoeft niet per se fout te zijn. Maar het verschil tussen een gereguleerde en een ongecontroleerde vorm van BYOD is van cruciaal belang.

    Twee smaken BYOD: geregeld of ongezien

    Het gebruik van privé-apparaten voor werk komt in vrijwel elke organisatie voor. Maar er is een wereld van verschil tussen een situatie waarin dat goed geregeld is en een waarin het stilzwijgend gebeurt.

    Gereguleerde BYOD

    Bij gereguleerde BYOD heeft de organisatie beleid opgesteld rondom het gebruik van privé-apparaten. Dat betekent niet automatisch dat BYOD wordt toegestaan, het kan ook betekenen dat er juist duidelijke kaders zijn geformuleerd om het gebruik te verbieden, inclusief technische maatregelen om dit af te dwingen.

    Het belangrijkste kenmerk van deze vorm van BYOD: er is nagedacht over de potentiële risico’s en er zijn maatregelen genomen om die risico’s tot een acceptabel niveau te beperken. De regels zijn niet vrijblijvend, maar onderbouwd, vastgelegd in beleid en helder gecommuniceerd.

    Je herkent gereguleerde BYOD bijvoorbeeld aan:

    • Een duidelijk beleid waarin staat of BYOD is toegestaan en onder welke voorwaarden;
    • Medewerkers weten wat wel en niet mag én waarom;
    • Er is afgestemd met IT en security: de aanpak is onderdeel van het bredere informatiebeveiligingsbeleid;
    • Er is zicht op welke apparaten toegang hebben tot welke systemen of informatie en ongeautoriseerde toegang is geblokkeerd.

    Ongereguleerde BYOD

    Bij ongereguleerde BYOD heeft de organisatie geen of onvoldoende maatregelen getroffen om het gebruik van privé-apparaten te reguleren en de bijbehorende risico’s te beperken. Er is geen beleid, of het beleid bestaat alleen op papier, zonder dat het is gecommuniceerd en ook technisch wordt afgedwongen.

    Alleen opschrijven dat iets niet mag, is niet genoeg. Als medewerkers technisch wel gewoon kunnen inloggen met hun privé-apparaat, dan is het risico niet gemitigeerd.

    In de praktijk zie je dit terug in situaties zoals:

    • Een SharePoint-omgeving die via een persoonlijk apparaat vanaf de webbrowser benaderd kan worden zonder dat er enige controle plaatsvindt op het apparaat;
    • Medewerkers die toegang hebben tot een gevoelige ontwikkelomgeving (zoals een codebase) vanaf hun privé-apparaat, terwijl het beleid zegt dat dit niet is toegestaan;
    • Toegang tot een database met productiedata, die beschikbaar is via het publieke internet, ook voor privé-apparaten door in te loggen met MFA, ondanks interne richtlijnen die dat zouden uitsluiten.

    Soms ontbreekt het beleid volledig. Soms is het beleid wel duidelijk, maar ontbreken de technische maatregelen om het ook echt af te dwingen. Je kunt nog zo duidelijk opschrijven dat medewerkers geen privé-apparaten mogen gebruiken, maar als er niets is ingericht om dat te voorkomen, is het alsof je een bordje ‘verboden toegang’ ophangt zonder de deur op slot te doen.

    In beide gevallen is het resultaat hetzelfde: privé-apparaten worden gebruikt zonder toezicht, zonder controle en zonder dat je als organisatie grip hebt op de risico’s. Dat is waar we spreken van ongereguleerde BYOD.

    Waarom ongereguleerde BYOD een serieus risico vormt

    Zolang medewerkers met hun eigen apparaten toegang houden tot bedrijfsomgevingen, zonder dat dit technisch of organisatorisch is geregeld, open je als organisatie de deur naar een breed scala aan risico’s. Denk aan beveiligingslekken, verlies van grip op persoonsgegevens en een potentieel gebrek aan compliance met wet- en regelgeving.

    De kwetsbaarheid die hierbij centraal staat, is het ontbreken van voldoende maatregelen om BYOD te reguleren. Die kwetsbaarheid maakt de organisatie gevoelig voor allerlei dreigingen: van malware op privé-apparaten tot datalekken via onbeveiligde netwerken. Samen vormen die dreigingen en die kwetsbaarheid het risico.

    We lichten de belangrijkste risico’s hieronder toe:

    Scherm­afbeelding 2025-11-06 om 12.28.08

    Onbeheerste privé-apparaten vergroten het aanvalsoppervlak aanzienlijk. Volgens Microsoft werd in 2023 meer dan 80% van de ransomware-aanvallen uitgevoerd via zogeheten unmanaged devices, apparaten buiten het formele IT-beheer.

    Zolang je deze toegang niet reguleert, laat je een van de grootste risico's van dit moment ongemoeid.

    Gereguleerde BYOD: werkbaar en veilig(er), mits goed ingericht

    BYOD hoeft niet per definitie riskant te zijn. Zolang het gebruik van privé-apparaten bewust wordt gereguleerd, met duidelijke beleidskaders en technische beheersmaatregelen, is er veel mogelijk zonder dat de veiligheid in het geding komt.

    Gereguleerde BYOD betekent dat de organisatie een doordacht standpunt heeft ingenomen: of BYOD nu wordt toegestaan of juist uitgesloten, er is over nagedacht én gehandeld. Denk aan:

    • Een formeel beleid waarin staat of BYOD is toegestaan en onder welke voorwaarden;
    • Medewerkers weten wat mag, wat niet mag, en waarom;
    • Toegang tot bedrijfsdata is alleen mogelijk via gecontroleerde toegangsmethoden, bijvoorbeeld:
      • Mobile Device Management (MDM): voor beheer en monitoring van toegestane apparaten;
      • Mobile Application Management (MAM): om werkapplicaties gescheiden te houden van privégebruik;
      • Conditionele toegang binnen de authenticatieprovider (zoals Microsoft Entra ID of Google Workspace): alleen toestaan vanaf goedgekeurde apparaten of locaties;
      • Virtual Desktop Infrastructure (VDI) of Remote Desktop Services (RDS): waarbij data op een centrale omgeving blijft staan;
      • Dataclassificatie, datalabeling en Data Loss Prevention (DLP): om gevoelige gegevens automatisch te herkennen, te labelen en te beschermen tegen ongewenst delen of uitlekken naar privé-apparaten.

    Daarbij sluit gereguleerde BYOD aan op ISO/IEC 27001:2022 Annex A.8.1 'User endpoint devices'

    “Informatie die is opgeslagen op, wordt verwerkt door of toegankelijk is via ‘user endpoint devices’ moet worden beschermd.”

    Oftewel: zodra bedrijfsinformatie via een eindapparaat benaderd kan worden, moet je die toegang beheersen. Dit geldt dus ook voor privé-apparaten.

    Van beleid naar praktijk: grip houden op de uitvoering

    Het opstellen van beleid is een eerste stap; de daadwerkelijke uitvoering bepaalt of BYOD echt onder controle is. Een werkbare aanpak bevat minimaal:

    • Inventarisatie: breng in kaart welke apparaten nu toegang hebben tot bedrijfsdata.
    • Besluitvorming: bepaal of en onder welke voorwaarden BYOD wordt toegestaan.
    • Beleid en communicatie: leg regels formeel vast, licht ze toe aan medewerkers, en zorg dat iedereen weet wat wel en niet mag.
    • Technische afdwinging: controleer periodiek of MDM, MAM of conditionele toegang correct functioneren.
    • Toezicht en naleving: wijs eigenaarschap toe (bijvoorbeeld CISO, FG of IT-beheer) en voer periodieke controles uit.

    Zo blijft gereguleerde BYOD geen papieren afspraak, maar een aantoonbaar onderdeel van het informatiebeveiligingsbeleid.

    Afsluiting

    Het gebruik van privé-apparaten is in veel organisaties niet meer weg te denken. Maar dat het gebeurt, betekent niet dat je er geen grip op kunt of moet hebben. Door BYOD bewust te reguleren, zowel organisatorisch als technisch, zorg je voor een werkbare praktijk, zonder dat je de controle over je data en je verantwoordelijkheden verliest.

    Bovendien helpt een goed ingerichte BYOD-aanpak je om aan te sluiten op relevante wettelijke kaders en normen. Denk aan wetgeving zoals NIS2 en DORA, of aan compliance vereisten aan informatiebeveiligingsstandaarden zoals de NEN 7510 voor zorgorganisaties of de BIO voor overheidsorganisaties. Die stellen stuk voor stuk eisen aan toegangsbeheer, controle over apparaten en het veilig verwerken van data; ook wanneer dat gebeurt via privé-apparaten.

    Ben je benieuwd hoe goed jouw organisatie BYOD heeft geregeld? Of wil je eens kritisch sparren over de risico’s, beheersmaatregelen of compliance-verplichtingen? Neem gerust contact op met ons. We denken graag met je mee.

    Contact opnemen
    Terug naar overzicht

    Thijs Pas

    Information Security Consultant
    Lees meer
    Blog CTA - algemeen

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram