Het ‘groenste’ datacenter ter wereld is te vinden in een groene heuvel in Noorwegen. Het verbruik van energie is een van de meest bepalende remmende factoren en bedreigingen van de huidige informatieverwerking.

Ieder jaar is er wereldwijd 4300 miljard euro mee gemoeid. Carolien Schönfeld onderzocht dertig mislukte projecten en probeerde te achterhalen wat er mis ging. En dat is geslaagd in Hoe IT-projecten slagen en falen, een boek dat ik vanmiddag kocht en in een ruk uitlas in de trein van Amsterdam (via Rotterdam en Breda) naar het zuiden. Mislukte projecten zijn veel interessanter dan geslaagde: van kislukte projecten kan veel meer geleerd worden. Ik heb het altijd al jammer gevonden dat men zo weinig ruchtbaarheid gaf aan weer een mislukking.

Die 4300 miljard is schrikbarend, maar moet wel gerelativeerd worden: het bevat ook gederfde omzet en verlies aan marktaandeel. Want als Schönfeld iets duidelijk maakt is het wel dat de overheid niet het patent heeft op mislukkingen. Scala, een erotische groothandel, opende in 2004 een distributiecentrum waarvan de IT het liet afweten met een omzetdaling van ongeveer 10 procent als gevolg.

IT is niet meer weg te denken, dus grote projecten zullen altijd worden gestart. Jaar na jaar gaat het ook beter. Maar dat zegt niet zoveel: over 2010 lukte wereldwijd 38 procent van alle projecten, 62 procent mislukte, waarvan 21 procent volledig.

Schönfeld sprak met verantwoordelijken van mislukte projecten, op basis van strikte anonimiteit. Namen van opdrachtgevers blijven ook geheim, al herken ik zo hier en daar toch wel wat partijen. De redenen van mislukken zijn inmiddels welbekend en zijn niet nieuw: te grote complexiteit, te grote ambitie, slecht opdrachtgeverschap, onvolgroeidheid van het product en onvolwassenheid van de markt. Die worden aangewezen en door iedereen erkend. Achteraf.

Schönfeld bevroeg niet alleen anderen, haar eigen ervaring liegt er ook niet om bij de fusie van de rijksdiensten voor archeologie en monumenten. Dat kenmerkte zich door het totale pandemonium van vervuilde bestanden, bosentde culturen, uitbesteding aan derden tegen een te laag budget, onduidelijkheid over de eisen en een opleverdatum die nog niet bereikt is, terwijl de doelstelling van het systeem is veranderd. De persoonlijke (pijnlijke) les van de schrijver: als stuurgroepleider nooit (met nadruk) instappen in een al lopend project, want je haalt je kennisachterstand nooit meer in.

Het boek gaat uitgebreid in op de verschillende rollen bij een IT-project en de (tegenwoordig bijna heilige) methode voor projectmanagement: Prince2. De projectleider moet een schaap met vijf poten zijkn en ervaren in IT, organisatieverandering, motiveren, aansturen en meer. Dat maakt die job ondoenlijk. Het helpt wel als die projectleider niet wordt gewisseld en als hij de steun en vertrouwen van de directie geniet. Als dat laatste niet het geval is, kun je als projectleider maar een ding doen: opstappen !

Leveranciers ontaarden vaak in misplaatst optimisme, met te strakke deadlines, grote beloften en een te lage prijsstelling voor technologie die uiteindelijk niet doet wat was beloofd. Leveranciers hebben wel geleerd waar het bij de klant mis kan gaan en zijn eerlijker eerlijker als de wensen of verwachtingen van een klant onvervulbaar zijn.

De lessons learned vormen een aardige lijst: aanpassen is vaak meer werk dan nieuwbouw. Ingehuurde projectleiders hebben te weinig kennis van de organisatiecultuur. Ontwikkelmodel voorzien niet in tussentijdse evaluaties door de gebruiker. Schönfeld zet van o.a. de bank Van Lanschot, een Londense ambulancedienst en P-Direct, het roemruchte HR-systeem waar 130.000 rijksambtenaren onder vallen, de geleerde lessen op een rij.

Het boek trekt een aantal nuttige algemene conclusies. Elke organisatie moet een gedegen zelfonderzoek uitvoeren, alvorens aan een IT-project te beginnen: is er voldoende kennis en ervaring, heersen er geen weerstand of verborgen conflicten rond de verandering? Zo’n check kan een boel ellende voorkomen. Schönfeld vindt dat het tijd wordt om het ontwikkelsysteem Prince2 met zijn formele opzet aan te passen voor alle zachte kanten van het proces, waarbij de interactie tussen alle mensen die erbij betrokken zijn, meer aandacht krijgt.

Volgens Schönfeld loopt de overheid wel degelijk een groter risico dan marktpartijen. Het zou helpen als politieke ambitie kan worden ingedamd tot werkbare proporties en termijnen. Directies van overheidsorganisaties zouden niet langer de ICT-beslissingen aan anderen mogen overlaten: zij zouden zelf verantwoordelijk moeten worden voor het slagen en mislukken van het IT-beheer. Een uitvoeringstoets vooraf, die duidelijk maakt of de vaak politiek gedreven ambities haalbaar zijn en een sterke ambtelijke leiding die ook de minister  bij de les houdt, zouden behulpzaam zijn.

Hoe IT-projecten slagen en falen zet, goed met casuïstiek onderbouwd, op een rij waar het mis kan gaan. Tot echt nieuwe inzichten leidt dat niet. Maar het biedt voldoende om het oeverloze optimisme in te kunnen dammen en de tomeloze ambitie naar de prullenbak te verwijzen.

Ik besteed niet vaak aandacht aan verschenen boeken. Maar hiervoor maak ik een uitzondering. Goed geschreven en begrijpelijk voor  IT-leken die dit soort projecten vaak leiden. Verplichte literatuur voor iedere informatieprofessional !

Onder ’bedrijfsvoering’ vallen in dit verband de volgende onderwerpen: organisatie, personeel, huisvesting, ICT, facilitair, inkoop en informatiehuishouding. De rapportage over 2011 bevat voor het eerst ook de onderdelen die voorheen in een afzonderlijk Sociaal Jaarverslag waren opgenomen. Naast de personele omvang en de uitgaven aan personeel en materieel, biedt de jaarrapportage ook informatie over de voortgang van het uitvoeringsprogramma Compacte Rijksdienst. 

Het rapport biedt inzicht (vanuit het oogpunt van het ministerie) van datgene dat binnen het Rijk speelt, waarbij we ons hier vooral concentreren op archiefachterstanden.

Het rapport gaat in op de rapportages aangaande grote en risicovolle ICT-projecten, Gateway Review, de digitale werkomgeving van de rijksdienst, de Rijkspas, de Archiefachterstanden en personeel en kwaliteit. Interessant hier zijn vooral de manier waarop de overheid probeert grote en complexe projecten te managen en, zoals hierboven gezegd, de achterstanden in de archiefbewerking, die overigens al jarenlang aan de orde van de dag zijn en waarvoor de overheid ook jaren lang de kop in het zand gestoken heeft. Totdat de Algemene Rekenkamer aan de bel trok, en zelfs dat hielp niet echt….

Eind 2011 werden 49 grote en risicovolle ICT-projecten uitgevoerd bij het Rijk. De totale meerjarige kosten van deze ICT-projecten bedragen € 2.409 miljoen (klint dat vriendelijker dan 2,5 miljard ?) Deze rapportage omvat twaalf nieuwe projecten ten opzichte van de rapportage over 2010. De meerjarige kostenschattingen van de 26 projecten die al in 2010 liepen en die ook in 2012 doorlopen namen eind 2011 netto toe met 1,7% ten opzichte van de vorige jaarrapportage. De Tweede Kamer is ingelicht over de grootste toenames die aan deze stijging ten grondslag liggen. Ter vergelijking met de vorige jaarrapportage: de meerjarige kostenschattingen van de 23 projecten die al in 2009 liepen en die in 2011 doorliepen namen eind 2010 toe met 11,4%.

De jeugd krijgt stress van sociale media, volgens onder andere  NOS Journaal, Metro en Trouw. De berichten zijn gebaseerd op onderzoek van de Nationale Academie Media & Maatschappij. Een mooie naam, maar heeft die organisatie ook met  wetenschap iets te maken ? 

Het persbericht is hijgerig van toon: ‘Uit het meest recente onderzoek van de Nationale Academie voor Media & Maatschappij blijkt dat jongeren tussen 13 en 18 jaar lijden aan een serieuze vorm van Social Media Stress (SMS). De Sociale Media blijken met hun subtiele stimuli zoals geluiden, pushberichten, aandacht en beloningen jongeren in hun greep te houden. Jongeren geven aan niet meer zelfstandig te kunnen stoppen, omdat zij bang zijn buitengesloten te raken. Wanneer deze angst ernstige vormen aanneemt kan men spreken van FOMO – Fear of Missing Out.’

Het onderzoeksrapport bevat geen volledige beschrijving van de methode; het theoretisch kader is ontleend aan een wikipediapagina over onderzoek met dieren uit 1930. Bij het lezen van het rapport valt op dat de interpretaties van de auteurs niet overeenkomen met de gepresenteerde data. De belangrijkste conclusie, nl. dat jongeren aan stress lijden, wordt niet onderbouwd door de cijfers.

© Bron: Onderzoek Media en Maatschappij.

Deze infogrammen betekenen dat de helft van de jeugd zich helemaal niet gestresst voelt door de sociale media. En zeggen dat je stress hebt betekent niet dat je dat daadwerkelijk ook hebt. De auteurs zeggen nergens in het rapport wat ze er eigenlijk mee bedoelen. Moedwillige misinterpretaties ? Waarschijnlijk wel, want elders komen we dat soort afwijkingen ook tegen. Zo voelt 59 procent zich niet buitengesloten als ze wat missen.

De auteurs hebben weinig inzicht in jeugdculturen en in onderzoek dat daarnaar gedaan is. Jongeren zijn gericht op hun leeftijdsgenoten (Ja). Jongeren vergelijken zich veel met hun leeftijdsgenoten (Ja). Jongeren krijgen een goed gevoel als leeftijdsgenoten aardig tegen hen doen (Ja).Dat is al decennia bekend uit jeugdonderzoek. Maken sociale media dat erger? Dat is twijfelachtig en wordt in deze rapportage niet vastgesteld.

Waarschijnlijk geldt die druk van sociale media voor iedereen, niet alleen voor jeugdigen. Volgens de Dauteurs zijn jongeren bijzonder kwetsbare wezens zijn vanwege hun ‘niet volledig ontwikkelde prefrontale cortex’ (blz.10). Alsof hersenen zodra we volwassen zijn zich niet meer ontwikkelen. Alsof leeftijd garant staat voor bescherming tegen externe prikkels.

Volgens de auteurs is ‘Fear of Missing Out’ (FOMO) in Amerika ‘een veelbesproken en veelvuldig onderzocht verschijnsel’ (p.12). Geen wetenschappelijke argumentatie daarvoor, maar een presentatie op South By South West. Google Scholar leert dat FOMO bij allerlei groepen wetenschappelijk is onderzocht: vrouwelijke managers, koopjesjagers, bejaarden, allemaal niet in de context van sociale media.

En het instituut ? Het is in ieder geval geen onafhankelijk onderzoeksinstituut. Het is een ‘een idealistisch instituut’, dat diensten verkoopt, zoals een cursus Social Media Professional. De auteurs zijn ‘lifecoach’, actief in de verkoop van cursussen ‘mediawijsheid’ en een van hen zit achter Mediarakkers, een stichting die zich richt op ‘verantwoorde reclame’ voor kinderen (met grote sponsors).

De journalisten die dit ‘onderzoek’ als waarheid hebben overgenomen zonder zelf onderzoek te doen, dienen zich te schamen. Het rapport heeft geen universitaire opleiding nodig om er gaten in te schieten. Journalisten zouden geen reclame moeten maken voor een schimmige marketingactiviteit, waarvan de belangenverstrengeling afspat. Waren het dezelfde journalisten die kwaad spraken van Stapel en consorten ?

De wet is zonder stemming aangenomen, waardoor netneutraliteit een wettelijke garantie is. Dat betekent dat internet- en telecomproviders internetdiensten, bijvoorbeeld Skype of WhatsApp, niet apart mogen belasten of belemmeren. Wel wil een meerderheid van de Eerste Kamer een uitzondering op netneutraliteit.

Het gaat om een uitzondering die filteren op eigen verzoek mogelijk maakt. Sommige gebruikers zouden websites willen filteren – bijvoorbeeld uit ideologische of pedagogische motieven – maar zelf niet de technische vaardigheden bezitten om websites te blokkeren, aldus een meerderheid van VVD, CDA, SP, ChristenUnie en SGP. Die uitzondering op de netneutraliteit zou alleen geoorloofd zijn na uitdrukkelijke toestemming van de internetter en alleen als de internetprovider er geen financieel voordeel uithaalt. 

De steun van de Eerste Kamer aan netneutraliteit stond om het gebrek aan een uitzondering allerminst vast. Minister Verhagen zegde toe een uitzondering mogelijk te willen maken, en zal later deze week een brief naar de Eerste Kamer sturen over de mogelijkheden. Na die toezegging schaarde een meerderheid zich achter het wetsvoorstel.

Mogelijk wordt de uitzondering in een nieuw wetsvoorstel vastgelegd. Verhagen waarschuwde echter niet te kunnen garanderen dat dat wetsvoorstel het ook echt gaat halen. De huidige Tweede Kamer stemde namelijk nog tegen een dergelijke uitzondering, hoewel PvdA aanvankelijk per ongeluk instemde. Stemfouten kunnen niet ongedaan worden gemaakt, waardoor er een reparatiewet nodig was. Die reparatiewet is, in tegenstelling tot de telecomwet, nog niet door de Eerste Kamer goedgekeurd. Of dat gebeurt, hangt af van de tevredenheid van de partijen met de brief van Verhagen. Haalt de reparatiewet het niet, dan blijft de uitzondering op netneutraliteit bestaan. Op 15 mei wordt duidelijk of de reparatiewet wordt goedgekeurd.

Nederland is na Chili nu het tweede land ter wereld dat netneutraliteit wettelijk heeft vastgelegd. Eurocommissaris Neelie Kroes zei de netneutraliteitregels eerder ‘voorbarig’ te vinden, omdat er nog geen Europese concensus was. Verhagen noemde de Nederlandse situatie echter ‘uniek’, omdat een bedrijf – KPN – daadwerkelijk op het punt stond om diensten te blokkeren. De nieuwe wetgeving heeft geen gevolgen voor het blokkeren van websites door de rechtbank: er is een uitzondering gemaakt voor gerechtelijke bevelen. De Pirate Bay-blokkade zal dus niet als gevolg van de nieuwe telecomwet ongedaan worden gemaakt.

Kaminsky legt uit dat er een enorm convervatieve houding heerst in de beveiligingswereld. ‘Do what everyone else is doing, whether or not it works. It’s not about surviving, it’s about claiming you did due diligence’, zo stelt Kaminsky. ‘That’s good if you’re trying to keep a job. It’s bad if you’re trying to solve a technical problem’. Zoals dus het beveiligen van IT-systemen en netwerken.

‘In reality’, zo zegt Kaminsky, ‘No one knows how to make a secure network right now. There’s no obvious answer that we’re just not doing because we’re lazy. Simply installing firewalls and intrusion detection systems and keeping anti-virus signatures up to date won’t cut it anymore — especially since most companies never know they’ve been hit until someone outside the firm tells them. If someone walks up to you on the street and hits you with a lead pipe, you know you were hit in the head with a lead pipe. Computer security has none of that knowing you were hit in the head with a lead pipe’.

Wired haalt securityfirma Mandiant aan die op basis van eigen metingen stelt dat het gemiddelde cyberspionagegeval maar liefst 416 dagen ongedetecteerd blijft. Bedrijven ontdekken dus pas na ruim een jaar dat ze zijn gehackt. Enkele jaren geleden lag dit gemiddelde nog op twee tot drie jaar, meldt Mandiant, dat onder meer Google heeft geholpen met forensisch IT-werk en opruiming na een succesvolle cyberaanval.

Google is eind 2009 gehackt, door aanvallers vanuit China. Daarbij zijn niet alleen de Gmail-accounts van Chinese dissidenten gekraakt, maar is ook code buitgemaakt. Anonieme bronnen hebben begin 2010 gemeld dat dit ook broncode van het inlogsysteem van de internetreus omvat.

Security-specialist Mandiant weet te vertellen dat de detectietijd voor cyberspionage weliswaar is afgenomen, maar dat dit niet te danken is aan de getroffen bedrijven zelf. Eventuele betere interne monitoring heeft de ontdekking van cyberaanvallers niet bevorderd. Toegenomen waakzaamheid, detectie en actieve meldingen door overheidsinstanties hebben geholpen. Mandiant noemt naast de FBI ook speciale onderzoeksdiensten van de Amerikaanse marine en luchtmacht.

Experts van die organen begeven zich ook op hackerforums om informatie te verzamelen. Daarbij recruteren ze ook echte hackers, om die als informanten in te zetten. Toch is de toegenomen overheidswaakzaamheid en -optreden geen reden tot optimisme. De FBI zelf geeft toe dat de huidige aanpak – door overheden én bedrijven – om cyberaanvallers af te weren niet vol te houden is. Er zijn teveel hackers, die te getalenteerd zijn, en de beschikbare verdedigingsmiddelen zijn te zwak om ze tegen te houden.

Kaminsky is niet zo pessimistisch. De IT-expert houdt voor dat het barsten van de security-zeepbel de deur openzet voor innovatie. ‘The status quo is unacceptable. What do we do now? How do we change things? There really is room for innovation in defensive security. It’s not just the hackers that get to have all the fun’.

Kaminsky stelt bijvoorbeeld voor om de doelwitten te verkleinen door serverinstallaties op te delen in kleinere eilanden. ‘Rather than one large server farm, you want to create small islands, as small as is operationally feasible. When you shrink your perimeter you need to interact with people outside your perimeter and figure out how to do that securely using encryption and authentication between systems that once communicated freely. It changes the rules of the game. You can’t trust that your developers’ machines aren’t compromised. You can’t trust that your support machines aren’t compromised’. Kaminsky erkent wel dat dit een dure oplossing is en dat niet iedereen in staat is dit toe te passen.

Vorig jaar is al gebleken dat zelfs certificatenverstrekker DigiNotar een dergelijke – eigenlijk verplichte – scheiding van bedrijfskritieke systemen niet had doorgevoerd. Een andere optie is het radicaal afschaffen van de huidige infrastructuur en het opbouwen van een geheel nieuwe. Ook daarbij is segmentering aan te raden, al was het maar voor de security-afdeling die de verdedigingsplannen voor de rest van de IT-omgeving formuleert.

Voormalig FBI-topman Henry adviseert: ga ervan uit dat de vijand al op je netwerk zit. Die aanname dwingt tot een andere benadering van het netwerk: van wat er wel en wat er niet op hoort te zitten, en hoe wel aanwezige informatie opgeslagen en verzonden dient te worden. Dit alles is veel meer werk dan het netjes bijhouden van Windows- en applicatiepatches, maar het belooft wel iets meer veiligheid.

Burgers zijn nergens meer veilig in hun privédomein nu blijkt dat de overheid, die de expliciete taak van privacybescherming heeft, via spionage van burgers op het internet, privésites en social media toevallige en vermeende fraudeurs laat opsporen. Buiten elk toezicht om en buiten elk juridisch kader. Verdachte zoektermen zijn onder andere ‘vakantie’ en ‘auto’, dus iedere burger is potentiële verdachte. Kinderen van vermeende fraudeurs worden doorgelicht in de hoop meer informatie over de ouders te krijgen.

Het scannen van alle nummerborden op de ring van Amsterdam en het opslaan van bijbehorende gegevens is een andere aap uit de hoge hoed van Opstelten. Vanuit het door hem geprezen motto: iedereen is verdacht totdat het tegendeel bewezen is.

Rechtsprincipes wordt omgedraaid bij het volgen en monitoren van burgers of er wordt geen verantwoording afgelegd middels de inhuur van spionagebureaus. Voor Privacy First de zoveelste stap van een op hol gedraaide en oncontroleerbare overheid die haar eigen burgers niet vertrouwt. Burgers die belasting betalen en als dank bespioneerd worden door een onbetrouwbare overheid.

De gevallen van function creep zijn legio. Vele initiatieven die gestart zijn vanuit veiligheid en milieuargumenten monden uit in systemen voor controle van alle bewegingen van de burger. De nummerplaatdetectie voor vuile vrachtauto’s wordt een opsporingsapparaat voor frauderende burgers, de beveiligingscamera’s in de steden de basis voor automatische gezichtsherkenning. Zelfs de parkeerautomaten in Amsterdam zijn uitgerust met een camera. Wat wordt de volgende functie die toegevoegd wordt ?

Nu de overheid steeds meer overgaat tot het massaal bespioneren van burgers om vervolgens “profiling” toe te passen is het hoog tijd dat er een zeer strakke wetgeving hiervoor komt. En een nationaal debat hierover. Profiling is altijd gekoppeld aan totale screening. Onze wetgeving kan niet bindend getoetst worden aan de Grondwet en op geen enkele manier een waarborg geven voor de basisgrondsteen van individuele vrijheid: privacy. Een overheid die vanuit wantrouwen overgaat tot screening van alle burgers, zet (on)bewust aan tot zelfcensuur en een ‘klik’-samenleving.

Het privédomein wordt steeds meer onder druk gezet. De overheid neemt de laatste jaren steeds meer maatregelen om profiling (on)bedoeld beter mogelijk te maken:

• Verplichte speekseltesten bij automobilisten, nu voor drugs, vervolgens willekeurig en algemeen ook DNA.
• Het geïntroduceerde fenomeen van de “lone wolf” maakt van iedere burger een potentiële en te bespioneren verdachte.
• Het beperken van de vrijheid op internet vanuit (nu nog illegaal) downloaden, Wikileaks en vervolgens sites die niet gewenste oproepen of meningen verspreiden.
• Wetgeving die voorziet in een beperking van het recht op gezichtsbescherming, vervolgens in te zetten om digitale 3D-gezichtsherkenning mogelijk te maken.
• Het plaatsen van sensoren en richtmicrofoons in de openbare ruimte (Birmingham) om “schoten” te signaleren, om vervolgens alle geluid te traceren, tot op individueel niveau.
• Het opslaan van DNA van alle burgers in een databank, om vervolgens genetische verdachten te kunnen opsporen, lang voordat ze “in de fout” kunnen gaan.
• Het continue streven naar massale databases, waarbij de menselijk maat volledig uit het oog wordt verloren en identity theft, gestolen databestanden en andere vormen van misbruik aan de orde van de dag zijn.
• De enorme drang om de vervoersbewegingen van iedere burger te monitoren, eerst met spionagekastjes, vervolgens met trajectcontroles, intelligente camera’s op de weg en nu weer via door de ANWB-gesponsorde zwarte dozen, gedwongen via leasebedrijven.
• Inzet van microbiologische chips voor geneeskunde, gekoppeld aan een massaal centraal EPD, uitgroeiend tot verplicht chippen bij epidemieën en reizen? Natuurlijk met biometrische herkenning.

Tijd voor een maatschappelijke discussie waarin vanuit de principes van onze rechtsstaat keuzes worden gemaakt en wetgeving volgt. Niet andersom, zoals dat nu gebeurt. En met versterking van de rechterlijke macht en onafhankelijke instanties ter correctie met toetsing aan de Grondwet, in plaats van het verder verfreelancen van onze rechterlijke macht waardoor wederom de menselijke maat verdwijnt.

Weinig technologische trends hebben zich binnen mum van tijd een vaste plek weten te verwerven binnen de zakelijke wereld. Bring Your Own Device (BYOD) vormt een uitzondering. De trend werd ingezet in 2007 door de introductie van de iPhone, maar kreeg pas voet aan de grond halverwege 2010 toen Apple zakelijke beheer- en beveiligingsfeatures aan IOS 4 toevoegde. IT kon niet langer vasthouden aan een beleid waarin alle consumentenapparatuur van het netwerk werd geweerd en veel bedrijven schakelden over op een BYOD-policy, zodat werknemers hun iPhones, iPads en Android-toestellen op de werkvloer zouden kunnen gebruiken.

De iPad was daarin de belangrijkste actor, aangezien bedrijven het voordeel daarvan inzagen en automatisch ook de iPhone (hetzelfde qua beheer en security) gingen ondersteunen. Motorola en Samsung voegden vergelijkbare beheerfeatures toe waardoor IT niet langer ‘nee’ kon zeggen tegen flitsende Android-apparatuur.

In de nabije toekomst zullen werknemers hun eigen technologie zelf verzorgen (BYOD) of gaan bedrijven werknemers keuze bieden uit meerdere apparaten (Choose Your Own Device, of CYOD). Het is niet zo gek dat het management van bedrijven het steeds vaker gaat hebben over werknemers die hun eigen pc’s meenemen, met daarop Windows 7, Windows 8 of OS X in een formfactor (desktop, laptop, tablet) naar keuze.

Phil Asmundson van Deloitte denkt dat BYOD zijn langste tijd gehad heeft. Zijn argumentatie: niet omdat het een slecht idee is zal BYOD falen, maar omdat de technologie BYOD mogelijk maakt, wordt het tegelijkertijd onmogelijk gemaakt. Een van de voornaamste redenen dat werknemers BYOD op de agenda hebben gezet, is omdat ze de tools willen gebruiken die ze graag gebruiken; dat zijn niet de tools die de werkgever uitkiest. Ze hebben deze apparatuur ook thuis, waar ze de apparaten ook voor werk gebruiken. Waarom zou je deze realiteit niet formaliseren? Voor PC’s geldt dat het niet zozeer een BYOD-fenomeen, maar meer een CYOD-fenomeen is. Voor mobiele apparatuur is het wel BYOD, omdat mensen niet met twee apparaten willen lopen. Of het nu om BYOD of CYOD draait is in feite irrelevant. Apparatuur wordt zowel voor persoonlijke als zakelijke doeleinden ingezet. Op dit punt wordt technologie dus belangrijk.

Asmundson merkt op dat een groot percentage mensen hun laptop thuis laten en een tablet mee op reis nemen. De iPad zal alleen maar verder groeien qua capaciteiten, terwijl Windows 8-tablets ervoor zullen zorgen dat nog meer mensen hun laptop laten voor wat deze is. Tablets zijn ongelooflijk licht en draagbaar. Twee van deze apparaten wegen minder en nemen minder ruimte in dan de meeste laptops. Met andere woorden, het meenemen van een persoonlijke unit en ééntje van werk is geen zware last. Dit betekent dat het opnieuw verschillende apparaten kunnen worden en persoonlijke apps op een zakelijke tablet voorkomen worden, vice versa. Hetzelfde geldt voor smartphones. Asmundson merkt op dat veel bedrijven nog steeds zakelijke toestellen uitgeven die volledige netwerktoegang bieden, ondanks dat ze werknemers persoonlijke apparaten laten gebruiken voor beperkte zakelijke toegang. Twee smartphones meedragen hoeft niet als last te worden ervaren.

Persoonlijke/zakelijke dualiteit is het werkelijke issue voor IT, aangezien die ervoor moet zorgen dat gebruikers niet getroffen worden door malware en/of verlies van zakelijke data. Nu iOS (en tot op zekere hoogte Android) zich op zakelijke beveiliging en informatiemanagement kunnen legitimeren, kunnen bedrijven hun medewerkers meer keuze bieden in mobiele platforms; er is niet langer een gapend gat tussen iPhones en BlackBerry’s om BYOD rechtvaardigen. Het gevolg is dat gebruikers zelf verantwoordelijkheid moeten gaan dragen voor hun acties.

Er zal een berg aan keuzes komen, gebaseerd op factoren die voor ieder bedrijf anders zullen zijn: de werkelijke behoefte aan veiligheid en beheer, de mate waarin compliance hierin meespeelt, bedrijfscultuur en het aantal medewerkers in de buitendienst en op een andere locatie. Asmundson’s voostel kan goed werken binnen bedrijven als Deloitte, waar sprake is van conservatieve IT-requirements vanwege compliance en vertrouwelijkheidskwesties. Er zijn echter nog steeds randgevallen zoals de politie, waar sprake is van een streng gecontroleerde omgeving, en kleinere bedrijven, waar het simpelweg aan de kennis en resources ontbreekt om verder te gaan dan eenvoudige policies.