Clean desk-beleid en clear screen-beleid

Het Clean desk-beleid en clear screen-beleid (P10) stelt strenge beheersmaatregelen vast om ervoor te zorgen dat gevoelige informatie wordt beschermd tegen ongeautoriseerde toegang, openbaarmaking, verlies of diefstal binnen elke fysieke of hybride werkomgeving. Het ondersteunt wereldwijd erkende wettelijke verplichtingen zoals ISO/IEC 27001:2022 (met name clausules over fysieke en gedragsmatige beveiliging), GDPR-artikelen over gegevensbescherming en vertrouwelijkheid, en andere raamwerken waaronder NIST SP 800-53, EU NIS2, EU DORA en COBIT 2019. Dit beleid heeft een brede scope en is universeel van toepassing op vaste en tijdelijke werknemers, contractanten, dienstverleners van derde partijen en zelfs bezoekers die toegang kunnen hebben tot vertrouwelijke werkruimten. Het regelt strikt gedrag in individuele kantoren, open ruimtes, vergaderruimten en omgevingen voor werken op afstand of hybride werken zoals hot-desking. Het doel is om veilig gedrag te standaardiseren zodat al het personeel, ongeacht rol of werklocatie, zich aan dezelfde regels houdt voor het beschermen van informatie. Er worden duidelijke eisen vastgesteld voor zowel fysieke als technische middelen van beheersing. Gebruikers moeten bureaus vrijhouden van blootgestelde gevoelige documenten, schermen vergrendelen voordat zij weglopen, vertrouwelijke materialen veilig opslaan of afvoeren en geen inloggegevens of apparaten onbeheerd achterlaten. IT is verplicht systemen te configureren met schermvergrendelingstimers van maximaal 5 minuten, privacyfilters in drukbezochte gebieden uit te rollen en technische afdwinging te implementeren voor alle endpoints. Teams voor Facilitair en assetmanagement en fysieke beveiliging leveren afsluitbare opslag, versnipperaars en duidelijke bewegwijzering, voeren ook regelmatige nalevingsrondes uit en behandelen overtredingen. De verantwoordelijkheden voor handhaving en toezicht zijn verdeeld over uitvoerend leiderschap, de Chief Information Security Officer (CISO)/ISMS-manager, Facilitair en assetmanagement, IT en directe lijnmanagers, wat zorgt voor een gelaagde aanpak van verantwoordingsplicht. Het beleid verplicht een robuust trainingsprogramma, onboarding en periodieke opfristraining om al het personeel te informeren over de risico’s van onbeheerde gevoelige informatie. Regelmatige audits, statusopvolging van nalevingsmetrieken (zoals waargenomen overtredingen en registraties van voltooide opleidingen) en strikte escalatieprocedures voor niet-naleving, inclusief disciplinaire maatregelen door Human Resources (HR), tonen een inzet voor zowel operationele discipline als juridische gereedheid. Afhandeling van uitzonderingen en processen voor restrisico zijn eveneens ingericht en vereisen geavanceerde goedkeuring, documentatie en aanvullende beheersmaatregelen voor elke afwijking. In zijn geheel verenigt dit beleid gebruikersgedrag, werkplekontwerp, technische afdwinging en auditprocessen in een herhaalbaar kader dat essentieel is voor organisatorische veerkracht en naleving van de regelgeving. Alle updates zijn herzieningsgecontroleerd, worden via officiële kanalen gecommuniceerd en vereisen hernieuwde beleidskennisname. Afgestemde beleidslijnen inzake informatiebeveiligingsbeleid, risicomanagement, gegevensverwerking van bedrijfsmiddelen, gegevensclassificatie, bewaring, afvoer en monitoring versterken het governancesysteem verder.