Beleid inzake aanvaardbaar gebruik

Het Beleid inzake aanvaardbaar gebruik (AUP) stelt de normen vast voor verantwoordelijk, veilig en rechtmatig gebruik van de informatiesystemen, IT-middelen en gegevensactiva van een organisatie. Het overkoepelende doel is het definiëren van zowel aanvaardbare als verboden activiteiten bij interactie met de computingmiddelen van het bedrijf, waaronder werkstations, mobiele apparaten, servers, clouddiensten en netwerken. Dit beleid waarborgt dat alle gebruikers, van werknemers en contractanten tot derdepartijleveranciers, zich bewust zijn van hun verantwoordelijkheden bij het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatieactiva van de organisatie. Volgens het beleid is de scope uitgebreid en omvat deze iedere persoon en entiteit aan wie toegang is verleend, evenals alle vormen van technologie en bedrijfsgegevens. Het is van toepassing op bedrijfs- en kantoorlocaties, werken op afstand en veldlocaties. Niet alleen traditionele IT-gebruikers moeten voldoen, maar ook iedereen die werkt onder Bring Your Own Device (BYOD)-regelingen of in hybride omgevingen. Elke gebruiker moet beleidskennisname bevestigen als voorwaarde voor systeem- en gegevenstoegang; deze kennisname wordt bijgehouden voor audit en naleving. De doelstellingen van het beleid benadrukken het belang van duidelijke grenzen voor toegestane en verboden handelingen. Het verplicht het voorkomen van ongeautoriseerde toegang of datalekken door gedragsgedreven dreigingen zoals nalatig gebruik, installatie van ongeautoriseerde software of omzeiling van beveiligingsmaatregelen. Ter borging van naleving worden rollen en verantwoordelijkheden afgebakend voor topmanagement (beleidsgoedkeuring en toezicht), IT- en beveiligingsteams (technische afdwinging, monitoring, onderzoek), managers (lokaal toezicht, afhandeling van kleine overtredingen), Human Resources en Juridische Zaken (disciplinaire maatregelen, rechtmatigheid van beleid) en alle gebruikers (ethisch gebruik, incidentmelding, beveiligen van inloggegevens). Governance- en handhavingsmaatregelen zijn zorgvuldig ontworpen. Gebruikers moeten formele beleidskennisname en terugkerende training volgen, waarmee bewustwording en ethisch gedrag worden versterkt. IT- en beveiligingsteams implementeren webfiltering, web- en e-mailfiltersystemen, endpointbeveiliging en monitoring van beveiligingssystemen om regels technisch af te dwingen, terwijl periodieke beoordelingen waarborgen dat beheersmaatregelen doeltreffend blijven. Verboden activiteiten worden expliciet opgesomd, waaronder ongeautoriseerde toegang, het uitrollen van malware, gebruik voor persoonlijk gewin, overmatig gebruik van middelen en pogingen om authenticatiemechanismen of andere beveiligingsmechanismen te omzeilen. Er is ook strikte behandeling van Bring Your Own Device (BYOD)-gebruik, encryptie en werken op afstand, met technische en procedurele eisen voor apparaat- en gegevensbeveiliging. Incidentresponsmechanismen vereisen dat gebruikers beveiligingsgebeurtenissen, ongeautoriseerde toegang of verlies van apparaten onverwijld melden via officiële kanalen. Overtredingen worden beantwoord met proportionele disciplinaire maatregelen, van gerichte hertraining en opschorting van toegang tot beëindiging of juridische vervolging, alles gedocumenteerd voor juridische en auditdoeleinden. Belangrijk is dat het beleid de anonimiteit van klokkenluiders beschermt en represailles verbiedt, wat een cultuur van verantwoordingsplicht bevordert. In lijn met erkende internationale normen zoals ISO/IEC 27001:2022 (Clause 5.10 en geselecteerde Annex A-beheersmaatregelen), NIST SP 800-53, EU AVG, NIS2, EU DORA en COBIT 2019 is de AUP opgesteld om toetsing door compliance-, juridische en auditfuncties te doorstaan. Het wordt beheerd via voorgeschreven herzieningscycli, versiebeheer en documentbeheervereisten om relevant te blijven naarmate risico’s evolueren en de regelgevende omgeving verandert. Verder koppelt het beleid expliciet aan gerelateerde kernbeleidslijnen zoals Beleid inzake toegangscontrole, risicobeheer en Beleid inzake werken op afstand, wat een holistische, gelaagde benadering van governance van cyberrisico’s binnen de organisatie ondersteunt.