Direct naar de inhoud
AMPthilly-startpagina
Aan de slag
Compliance en audit

Wat is een acceptable use policy?

Acceptable use policy uitgelegd: een begrijpelijke betekenis, voorbeeldclausules voor internet, e-mail, wachtwoorden en privégebruik, hoe je er een opstelt, wat er gebeurt bij overtreding, en het verschil met een BYOD-beleid.

AMPthilly Bijgewerkt

Een acceptable use policy (AUP) beschrijft hoe medewerkers bedrijfsapparatuur, netwerken en data mogen gebruiken, en welk gebruik verboden is.

Een acceptable use policy (AUP), in het Nederlands ook wel een gebruikersreglement, is een document dat beschrijft hoe medewerkers bedrijfsapparatuur, netwerken en data mogen gebruiken - en welk gebruik verboden is. Het is de overeenkomst achter elke overgedragen laptop en telefoon: de organisatie levert de uitrusting, en de gebruiker accepteert de regels die daarbij horen. De term komt uit de informatica, waar een AUP regelde wie wat mocht op een gedeeld netwerk; vandaag bestrijkt die de hele werkomgeving - apparaten, internettoegang, e-mail, cloudaccounts en de data die daar doorheen loopt. Omdat het grootste deel van die uitrusting een data-bearing device is, gaat de AUP evenzeer over databescherming als over hardware.

In gewone taal is de betekenis van een AUP simpel: het is het reglement voor het veilig en wettig gebruiken van bedrijfstechnologie, geschreven zodat een gewone medewerker het kan lezen en weet waar de grenzen liggen. Het staat naast het assetmanagementbeleid, dat de uitrusting vanuit de organisatie regelt, en het is het document dat mensen daadwerkelijk ondertekenen wanneer apparatuur van hand wisselt.

Wat je gaat leren

Wat een AUP dekt

Het typische beleid behandelt, in begrijpelijke taal:

  • Zorg voor en bewaring van apparatuur - het apparaat blijft bij de medewerker aan wie het is uitgegeven, verlies, schade of diefstal wordt direct gemeld, en alles wordt teruggegeven bij einde dienstverband.
  • Toegestaan en verboden gebruik - of redelijk privégebruik is toegestaan, en de harde verboden: illegale content, intimidatie, ongelicenseerde software, nevenactiviteiten op bedrijfsapparatuur.
  • Internet- en netwerkgebruik - waar de bedrijfsverbinding voor is, welke categorieën sites of diensten verboden zijn, en de verwachting dat werkverkeer voorgaat.
  • Beveiligingsgedrag - scherm vergrendelen, geen credentials delen, geen beveiliging uitschakelen, geen onbekende drives aansluiten.
  • Omgaan met data - wat lokaal mag worden opgeslagen, wat in goedgekeurde systemen moet blijven, en wat nooit de organisatie mag verlaten.
  • Monitoring en consequenties - wat de werkgever mag inspecteren of loggen, en wat er gebeurt bij overtreding.

De lijst hierboven is het skelet; de secties hieronder vertalen elk onderdeel naar het soort concrete clausule dat zoekers daadwerkelijk in hun eigen document willen overnemen.

Voorbeelden van een acceptable use policy (clausules om over te nemen)

Wie zoekt op acceptable use policy voorbeeld is meestal op zoek naar voorbeeldclausules om te herschrijven, niet naar juridisch jargon. Hier zijn de soorten clausules die een AUP voor de werkvloer bevat, gegroepeerd per thema. Behandel ze als patronen om aan je eigen systemen en lokaal recht aan te passen - geen kant-en-klaar sjabloon.

  • Internet en surfen - “Bedrijfsinternet is primair voor werk. Redelijk privésurfen is toegestaan tijdens pauzes, mits het wettig is, geen overmatige bandbreedte verbruikt en het netwerk niet aan risico blootstelt.” Sites met illegale content, gokken of malware worden doorgaans als verboden benoemd.
  • E-mail en berichten - “Zakelijke e-mail- en berichtenaccounts zijn voor zakelijk gebruik. Stuur geen vertrouwelijke data naar privéadressen, stuur geen kettingmail door, en gebruik het account niet op een manier die het bedrijf verkeerd voorstelt.” Veel reglementen voegen toe dat e-mail een bedrijfsrecord is en kan worden bewaard.
  • Sociale media - “Plaats niets namens het bedrijf zonder toestemming, en deel geen vertrouwelijke of klantinformatie. Persoonlijke meningen vanaf privéaccounts mogen niet als standpunt van het bedrijf worden gepresenteerd.”
  • Wachtwoorden en credentials - “Deel geen wachtwoorden, hergebruik geen privéwachtwoord voor een werkaccount, en schrijf credentials niet op waar anderen ze kunnen vinden. Schakel multifactorauthenticatie (MFA) in waar die beschikbaar is.” Credentialhygiëne is een van de meest voorkomende clausules in moderne reglementen.
  • Software-installatie - “Installeer alleen software die door IT is goedgekeurd. Installeer geen ongelicenseerde, illegale of niet-gecontroleerde applicaties, en schakel beveiligingstools of updates niet uit.”
  • Verwisselbare media - “Sluit geen onbekende USB-drives of externe opslag aan op bedrijfsapparaten. Gebruik alleen goedgekeurde media om bedrijfsdata over te zetten.”
  • Redelijk privégebruik - “Beperkt privégebruik van bedrijfsapparatuur is toegestaan zolang het werk niet wordt verstoord, geen andere clausule van dit reglement wordt geschonden en geen privébestanden worden opgeslagen die werkdata verdringen.”

Een praktische AUP heeft zelden meer dan een pagina of twee aan clausules als deze nodig. De kunst is ze specifiek genoeg te houden om af te dwingen en kort genoeg dat mensen ze lezen.

Gangbare regels voor laptops en telefoons

De clausules die het verschil maken zijn de saaie. Geen persoonlijke cloudaccounts voor werkbestanden - want daar verdwijnen data wanneer iemand vertrekt. Geen familieleden op de werklaptop - want “mijn kind heeft het geïnstalleerd” is een echte incidentcategorie. Schade direct melden in plaats van bij teruggave - want een gebarsten scherm dat elf maanden later wordt ontdekt, is niet meer toe te schrijven. En geef het apparaat zelf terug, zonder fabrieksreset: wissen is de taak van de organisatie, via correcte data sanitization, zodat bewijs en data bewust worden behandeld in plaats van vernietigd door een goedbedoelende vertrekker.

Dezelfde logica geldt voor telefoons. Een werktelefoon bevat e-mail, berichten en opgeslagen logins, dus de AUP vereist meestal een schermvergrendeling of biometrische ontgrendeling, snel melden bij verlies, en geen jailbreaken of sideloaden. Geen van deze regels is exotisch - het zijn simpelweg de dagelijkse gewoonten die een data-bearing device ervan weerhouden een datalek te worden.

Hoe stel je een acceptable use policy op

Veel zoekopdrachten naar een acceptable use policy template gaan eigenlijk over “hoe maak ik er een”. Je hebt geen download nodig - je hebt een methode nodig. Een werkbare AUP komt in acht stappen tot stand:

  1. Bepaal de reikwijdte en op wie die van toepassing is. Benoem de betrokken mensen - medewerkers, freelancers, uitzendkrachten, en externe klanten of partners die toegang of apparatuur krijgen.
  2. Maak een lijst van de gedekte assets en systemen. Laptops, telefoons, gereedschap, het netwerk, e-mail, cloudaccounts en eventuele bedrijfsspecifieke systemen. Een informatie-assetregister of algemeen assetregister maakt deze lijst makkelijk actueel te houden.
  3. Stel toegestaan versus verboden gebruik vast. Benoem de ruimte voor redelijk privégebruik en de harde verboden duidelijk, zodat er niets te gissen valt.
  4. Leg beveiligings- en dataregels vast. Wachtwoorden en MFA, schermvergrendelingen, goedgekeurde software, verwisselbare media, en waar bedrijfsdata wel en niet mag staan.
  5. Wees transparant over monitoring. Vertel mensen vooraf wat er kan worden gelogd of geïnspecteerd, zodat monitoring transparant is en geen verrassing.
  6. Benoem de gevolgen. Werk uit wat er gebeurt bij overtreding (zie hieronder) - een niet-benoemd gevolg is lastig af te dwingen.
  7. Leg een ondertekende bevestiging vast bij overdracht. De handtekening maakt van een document een overeenkomst; verzamel die wanneer apparatuur en toegang worden uitgegeven.
  8. Herzie en laat opnieuw bevestigen bij materiële wijziging. Herzie het reglement volgens schema en telkens als iets materieels verandert - nieuwe tools, nieuwe werkpatronen - en laat mensen opnieuw tekenen.

Volg die stappen en het reglement krijgt een ruggengraat: reikwijdte, assets, regels, beveiliging, monitoring, gevolgen, handtekening, herziening.

Wie moet een AUP ondertekenen

Een AUP beschermt je alleen als de mensen die eronder vallen er daadwerkelijk mee akkoord zijn gegaan, dus wees expliciet over wie tekent:

  • Medewerkers tekenen bij onboarding, op het moment dat ze apparatuur en accounts ontvangen.
  • Freelancers en uitzendkrachten tekenen volgens hun opdrachtvoorwaarden - vaak een kortere versie die dezelfde beveiligings- en dataregels voor de duur van het werk dekt.
  • Externe klanten en partners aan wie assets worden uitgegeven of toegang wordt verleend, tekenen ook. In een systeem met een aparte Client-rol zien die externe gebruikers alleen hun eigen assets, maar de gebruiksregels gelden nog steeds voor hen.

Wie ook tekent, het principe is hetzelfde als achter een afgiftebewijs of een bruikleenovereenkomst: de bevestiging is gekoppeld aan de persoon en de uitrusting die hij houdt, en wordt vastgelegd op een plek waar je die later terugvindt.

Waarom medewerkers tekenen bij apparatuuroverdracht

Een AUP werkt via bevestiging. Het standaardpatroon: het beleid wordt ondertekend tijdens onboarding, op hetzelfde moment dat laptop, telefoon of gereedschapskist van hand wisselt, zodat regels en verantwoordelijkheid samen beginnen. De handtekening doet twee dingen - die maakt de regels afdwingbaar, en neemt het “niemand heeft het me verteld”-verweer weg. Het overdrachtsrecord telt net zo zwaar als de handtekening; in AMPthilly legt de uitgifte vast wie welke asset ontving en wanneer, terwijl de retour conditie en opmerkingen registreert, wat naadloos aansluit op een ondertekende AUP in het dossier.

BYOD en thuiswerken: de AUP uitbreiden naar persoonlijke apparaten

Hybride en thuiswerken duwden de AUP voorbij de bedrijfslaptop. Wanneer mensen persoonlijke telefoons en thuisnetwerken voor werk gebruiken - bring your own device, of BYOD - moet het reglement vastleggen hoe goed gedrag eruitziet buiten het kantoornetwerk:

  • Veilige verbindingen - een VPN of een goedgekeurd veilig netwerk gebruiken voor werk, niet open openbare wifi, bij het verwerken van bedrijfsdata.
  • MFA op bedrijfsaccounts - zodat een gestolen wachtwoord op een persoonlijk apparaat geen open deur wordt.
  • Geen bedrijfsdata op persoonlijke cloudaccounts - werkbestanden blijven in goedgekeurde systemen, niet op een persoonlijke drive of fotobibliotheek.
  • Vertrouwelijke data op thuisnetwerken - verstandig omgaan met gevoelige informatie bij thuiswerken, inclusief wie er nog meer naar het scherm kan kijken.
  • De exitclausule - bedrijfsdata op een persoonlijk apparaat wordt verwijderd als de persoon vertrekt, net zoals een bedrijfsapparaat wordt gewist.

Hier komen de AUP en de BYOD-regels samen. Veel organisaties nemen de regels voor persoonlijke apparaten simpelweg op in de AUP in plaats van een apart BYOD-document bij te houden, wat één ondertekende overeenkomst oplevert in plaats van twee.

Wat er gebeurt bij overtreding van de AUP

Een reglement zonder tanden is decoratie. De meeste organisaties hanteren gefaseerde, progressieve handhaving zodat de reactie bij de overtreding past:

  • Kleine misstap (een per ongeluk aangeklikte link, een eenmalige overschrijding van privégebruik) - een mondelinge of schriftelijke waarschuwing en een snelle opfrissing van de regels.
  • Matige inbreuk (beveiligingsregels negeren, niet-goedgekeurde software installeren) - een formele waarschuwing en, waar gerechtvaardigd, opgeschorte of beperkte toegang.
  • Ernstige of herhaalde inbreuk (opzettelijke datablootstelling, aanhoudende veronachtzaming) - disciplinaire maatregelen tot en met ontslag.
  • Strafbaar gedrag (fraude, diefstal, illegale content) - doorverwijzing naar de bevoegde autoriteiten.

Twee principes maken handhaving verdedigbaar. Ten eerste: een gevolg moet in het ondertekende reglement staan - je kunt iemand niet ontslaan voor het overtreden van een regel die nooit is opgeschreven. Ten tweede moet het reglement consistent worden toegepast; een AUP die wel tegen sommigen en niet tegen anderen wordt gehandhaafd, is moeilijk te verdedigen. Het helpt ook om monitoring vooraf te melden, zodat medewerkers weten wat er kan worden gelogd - behandeld naast het bewaarbeleid in je bewaarbeleid - in plaats van het achteraf te ontdekken. Waar de inbreuk een teruggegeven of in beslag genomen apparaat betreft, zijn de chain of custody en het audittrail van de asset wat “we denken dat hij het deed” verandert in iets waarop je kunt handelen.

AUP versus BYOD, IT-beveiliging en bewaarbeleid

De AUP is een van een cluster overlappende documenten die mensen routinematig verwarren. Zo verdelen ze de taken:

  • Acceptable use policy - op de gebruiker gerichte regels voor het gebruik van bedrijfsuitrusting, netwerken en data. Dit is het document dat medewerkers lezen en ondertekenen.
  • BYOD-beleid - het specifieke geval van persoonlijke apparaten die voor werk worden gebruikt. Vaak een sectie van de AUP in plaats van een apart beleid.
  • IT- of informatiebeveiligingsbeleid - het hogere, strategische bovenliggende document dat de algehele beveiligingshouding van de organisatie bepaalt, waarvan de AUP de dagelijkse, leesbare uitdrukking is. Kaders als ISO 27001-assetmanagement bevinden zich op dit niveau.
  • Assetmanagementbeleid - de op de organisatie gerichte regels voor hoe apparatuur wordt ingekocht, geregistreerd, onderhouden en buiten gebruik gesteld. Zie het item assetmanagementbeleid voor de volledige tegenstelling.
  • Bewaarbeleid - welke data wordt bewaard, waar, en hoe lang voordat die wordt verwijderd.

Kort gezegd: de AUP vertelt een persoon wat hij mag doen; het beveiligingsbeleid bepaalt de strategie achter die regels; het assetbeleid regelt de uitrusting zelf; en het bewaarbeleid regelt de levensduur van de data. Ze overlappen met opzet, en een nette set beleidsregels verwijst naar elkaar in plaats van te dupliceren.

De AUP bij einde dienstverband en einde apparaat

De laatste clausules gelden bij vertrek. Apparatuur wordt teruggegeven en afgevinkt tegen het overdrachtsrecord; wat niet terugkomt, wordt nagebeld zolang de vertrekker bereikbaar is. Teruggegeven apparaten vallen daarna niet meer onder de AUP en gaan de buitengebruikstelling in: de data wordt gewist of het apparaat gaat via ITAD, waarbij vernietiging wordt aangetoond in plaats van aangenomen. Een goede AUP stelt duidelijk dat bedrijfsdata op persoonlijke apparaten bij vertrek ook wordt verwijderd - de clausule die iedereen vergeet tot het ertoe doet.

Veelgemaakte fouten

  • Eén beleid voor elk publiek. Kantoorpersoneel, buitendiensttechnici en freelancers gebruiken apparatuur anders; één generieke AUP past nergens.
  • Onvindbare handtekeningen. Een ondertekende AUP die drie jaar later niet te vinden is, bestaat feitelijk niet.
  • Regels zonder overdrachtsspoor. “U bent verantwoordelijk voor uw apparatuur” is niet afdwingbaar als niemand heeft vastgelegd welke apparatuur u daadwerkelijk heeft.
  • Geen voorbeeldclausules of detail. Een reglement dat “gebruik apparatuur verantwoord” zegt zonder wachtwoorden, software, verwisselbare media of privégebruik te benoemen, laat elk grijs gebied over aan discussie.
  • Instellen en vergeten. Een AUP die ouder is dan thuiswerken, of dan de tools die mensen echt gebruiken, wordt genegeerd - en selectief genegeerde beleidsregels zijn het moeilijkst af te dwingen.

FAQ

Wanneer moeten medewerkers de acceptable use policy ondertekenen? Vóór of op het moment dat ze apparatuur of systeemtoegang ontvangen - meestal tijdens onboarding, naast de overdracht van laptop en accounts. Achteraf ondertekenen verzwakt het document: het punt is dat iemand de regels accepteert vóór ze kunnen worden overtreden. Laat opnieuw bevestigen wanneer het beleid materieel wijzigt, en bewaar het ondertekende exemplaar op een plek waar u het jaren later nog vindt.

Is een acceptable use policy juridisch bindend? Het kan echt gewicht hebben als het goed is opgezet - duidelijk gecommuniceerd, schriftelijk bevestigd en consistent toegepast. Werkgevers vertrouwen op een ondertekende AUP om disciplinaire maatregelen te rechtvaardigen, beschadigde of niet-teruggegeven apparatuur terug te vorderen en due diligence aan te tonen na een beveiligingsincident. Een AUP die niemand heeft gezien, of die alleen tegen sommigen wordt gehandhaafd, is weinig waard. Exacte afdwingbaarheid hangt af van lokaal arbeidsrecht.

Wat is het verschil tussen een AUP en een assetmanagementbeleid? De AUP richt zich op de gebruiker: die vertelt een medewerker wat wel en niet mag met de laptop, telefoon, het netwerk en de data voor zich. Het assetmanagementbeleid richt zich op de organisatie: hoe apparatuur wordt ingekocht, geregistreerd, onderhouden en buiten gebruik gesteld. Ze komen samen bij overdracht - het assetproces levert het apparaat uit, en de AUP regelt het gebruik vanaf dat moment.

Wat moet er in een acceptable use policy staan? Een werkbare AUP behandelt de reikwijdte (op wie en wat die van toepassing is), de assets en systemen die eronder vallen, toegestaan versus verboden gebruik, beveiligings- en dataregels, wachtwoord- en credentialhygiëne, een melding over monitoring, de gevolgen van overtreding, en een ondertekende bevestiging. De sterkste reglementen benoemen ook een redelijke ruimte voor privégebruik en een exitclausule die bedrijfsdata van persoonlijke apparaten verwijdert, zodat niets dubbelzinnig blijft.

Wat is het verschil tussen een acceptable use policy en een BYOD-beleid? Een AUP is het brede, op de gebruiker gerichte reglement voor bedrijfsapparatuur, netwerken en data. Een BYOD-beleid (bring your own device) is de smallere set regels voor persoonlijke telefoons en laptops die voor werk worden gebruikt - wat beveiligd moet zijn, welke data mag worden opgeslagen, en wat wordt verwijderd als iemand vertrekt. In veel organisaties worden de BYOD-regels in de AUP opgenomen in plaats van als apart document geschreven.

Wat zijn de gevolgen van het overtreden van een acceptable use policy? De meeste organisaties hanteren gefaseerde gevolgen: een mondelinge of schriftelijke waarschuwing en bijscholing bij een kleine misstap, opgeschorte toegang bij een ernstiger inbreuk, ontslag bij een opzettelijke of herhaalde overtreding, en doorverwijzing naar de autoriteiten als het gedrag strafbaar was. Twee dingen maken die gevolgen houdbaar - de sanctie moet in het ondertekende reglement staan, en die moet consistent op iedereen worden toegepast.

Is privégebruik van bedrijfsapparatuur toegestaan onder een AUP? Meestal een beetje, binnen grenzen. Veel AUP’s staan redelijk, incidenteel privégebruik toe - licht surfen of een snel bericht in een pauze - terwijl ze harde grenzen trekken rond illegale content, intimidatie, een neventaak op bedrijfsapparatuur, en het opslaan van privébestanden die werkdata verdringen. Het doel van de clausule is een expliciete verwachting neerzetten in plaats van medewerkers te laten gissen wat redelijk is.

De kern

Een acceptable use policy is het leesbare reglement voor bedrijfstechnologie: het bepaalt wie eronder valt, wat hij wel en niet mag met apparaten, netwerken en data, hoe beveiliging en privégebruik worden geregeld, wat er wordt gemonitord, en wat er gebeurt bij overtreding. De sterkste reglementen zijn specifiek (echte clausules, geen “gebruik verantwoord”), worden bij overdracht ondertekend, uitgebreid naar BYOD en thuiswerken, en consistent toegepast. Koppel elke bevestiging aan de persoon en de uitrusting die hij daadwerkelijk houdt, en de AUP houdt op een dossierdocument te zijn en wordt iets dat je kunt afdwingen.

Tools die dit makkelijker maken

AMPthilly houdt de assetkant van een AUP eerlijk. Elke laptop, telefoon of stuk gereedschap krijgt een printbaar QR-label dat het record opent in elke telefoonbrowser - geen app om te installeren. Geef een item uit aan een medewerker, freelancer of klant en het systeem legt vast wie het houdt en wanneer; retouren registreren conditie en opmerkingen; en onboarding- en offboardingtemplates zorgen dat de juiste uitrusting de deur uitgaat en weer terugkomt. Elke uitgifte, retour, overdracht en statuswijziging belandt in de audithistorie van de asset, zodat een ondertekende AUP altijd het overdrachtsspoor achter zich heeft. Gratis starten - 3 gebruikers en 25 assets, geen creditcard nodig - of neem contact op over een grotere uitrol.

Gerelateerde termen

  • Assetmanagementbeleid - de op de organisatie gerichte tegenhanger van een op de gebruiker gerichte AUP
  • Data-bearing device - de apparatuurcategorie die een AUP vooral moet beschermen
  • Bewaarbeleid - hoe lang gemonitorde data en records worden bewaard
  • Afgiftebewijs - de ondertekende bevestiging dat een asset van hand is gewisseld
  • Data sanitization - wat er met de data van een apparaat gebeurt nadat de AUP-bewaring eindigt
  • ITAD - de afvoerroute voor teruggegeven IT-apparatuur
  • Certificate of destruction - bewijs dat data op een teruggegeven apparaat is vernietigd
  • E-waste - waar afgedankte apparatuur niet zomaar mag belanden
Begrippenlijst

Verder lezen

Gerelateerde gidsen

Begrippen uit deze gids

Gratis starten, geen creditcard nodig

Laat uw register het werk doen

AMPthilly geeft elk asset een eigenaar, een locatie en een geschiedenis - uitgifte en retour, printbare QR-labels, servicedesk en audittrail op één plek. Het gratis abonnement is goed voor 3 gebruikers en 25 assets, inclusief SSO en MFA.

Gratis starten Bekijk de functies