Beleid voor aanvaardbaar gebruik van technologie op de werkplek

Wat is een Beleid voor aanvaardbaar gebruik (AUP)?

Iedereen die ooit eigenaar is geweest van (of heeft gewerkt in) een bedrijf van enige omvang, is wel eens in aanraking gekomen met een Beleid voor aanvaardbaar gebruik. Of ze nu de opdracht kregen om er een te maken of, waarschijnlijker, om het te lezen en te ondertekenen als een erkenning dat ze het gedrag en de acties begrijpen die door hun werkgever van het individu worden verwacht.

AUP's zijn overal, niet alleen in de bedrijfsomgeving. Van softwarelicentieovereenkomsten tot de toegang tot informatie van websites, een beleid voor aanvaardbaar gebruik is gemeengoed en wordt door veel organisaties toegepast, ook al blijven ze soms onopgemerkt omdat 'de kleine lettertjes' de neiging hebben te worden weggemoffeld.

Niettemin zijn AUP's, of ze nu vluchtig worden bekeken of grondig worden doorgespit, bindende overeenkomsten tussen de aanbieders van een product of dienst en de gebruikers van het product of de dienst.

Maar voordat we ingaan op de vraag waarom AUP's belangrijk zijn en wat erin staat, laten we eerst een definitie geven.

Aangezien er geen directe definitie voor AUP voorhanden is (in het woordenboek, tenminste), zullen we het uitsplitsen in de twee basisbegrippen: 'aanvaardbaar gebruik' en 'beleid'.

Het eerste begrip is eenvoudig: aangenaam voor de ontvanger; bevredigend; aangenaam; welkom

Het tweede begrip, beleid: een welbepaalde koers of methode van handelen gekozen uit alternatieven en in het licht van gegeven omstandigheden om huidige en toekomstige beslissingen te sturen en te bepalen.

Maar voeg beide samen en je komt tot het basisbegrip dat Beleid voor aanvaardbaar gebruik betekent: een reeks toegepaste regels die de manieren beperken waarop een product of dienst mag worden gebruikt, terwijl richtlijnen worden gegeven over hoe het moet worden gebruikt.

Vaak kunnen AUP's ook woorden bevatten die specifiek gedrag en acties identificeren die beperken hoe hun product moet worden gebruikt.

Wat betreft het gebruik van technologiebeleid op de werkplek, worden AUP's geschreven voor bedrijven, scholen en dienstverleners zoals ISP's, cloud-gebaseerde toepassingen en websites, vaak om:

• De wettelijke aansprakelijkheid te verminderen
• De kwaliteit van de dienstverlening (QoS) te handhaven
• Verwachtingen voor het gebruik op te stellen
• Te voldoen aan regelgevend toezicht
• Bedrijfspraktijken en continuïteit te handhaven

AUP-voorbeeld: gegevens en streaming

Een organisatie die onlangs is overgestapt op een externe werkomgeving vertrouwt erop dat haar werknemers productief blijven om de bedrijfsvoering voort te zetten. Daartoe heeft het bedrijf werknemers voorzien van MacBook Pro-laptops en Apple iPhones die eigendom zijn van de organisatie, als onderdeel van een COPE-eigendomsmodel waardoor eindgebruikers de apparaten ook voor persoonlijke doeleinden kunnen gebruiken.

Een algemene verwachting bij zakelijke mobiele abonnementen is dat datapools worden gedeeld door alle werknemers. Als een werknemer vijftig procent van de toegewezen data voor de maand gebruikt door de hele dag video's te streamen, kan dat twee problemen opleveren:

1. Het is mogelijk dat de werknemer zijn werk niet afkrijgt omdat hij videostreams bekijkt in plaats van productief te zijn tijdens werkuren;
2. Door het buitensporige gebruik van bandbreedte kunnen datapools sneller dan verwacht leeglopen, waardoor er weinig tot geen bandbreedte beschikbaar is voor andere gebruikers die proberen productief te blijven.

Door te eisen dat alle gebruikers de regels lezen en erkennen dat zij deze begrijpen door een AUP te ondertekenen, kunnen bijvoorbeeld de volgende acties worden ondernomen:

1. Beperkingen instellen op de toegang tot streaming platforms tijdens werktijd;
2. Uitwerken hoe datapools werken en elke werknemer voorzien van zijn theoretische limiet.

Wat neem je op in een AUP?

Alles! Ok, misschien niet alles, maar zeker alles wat nodig is om je beleid voor aanvaardbaar gebruik voor werknemers effectief te laten zijn. Er bestaat geen standaardoplossing voor AUP's. Er zijn AUP-sjablonen die je op weg kunnen helpen, maar AUP's zullen onbedoeld van organisatie tot organisatie verschillen, net zoals hun behoeften verschillen.

Desondanks volgen hier enkele richtlijnen voor het opstellen van beknopte, effectieve AUP's:

• Geef voorbeelden en/of toegestane alternatieven
• Dekking van zowel opzettelijke als onopzettelijke schendingen
• Leg uit hoe je de naleving van het beleid bewaakt en afdwingt
• Beschrijf corrigerende maatregelen en de gevolgen van overtredingen in detail
• Neem alle soorten gebruikers op, zonder uitzonderingen
• Schets de do's en don'ts van het gebruik van sociale media
• Maak het uniek voor jouw organisatie
• Wees glashelder in de formulering en laat niets aan interpretatie over

Aanvullende punten die je in je AUP kunt opnemen

CYOD/COPE

Verstrekt jouw organisatie hardware aan werknemers voor gebruik tijdens het werk? Is persoonlijk gebruik toegestaan? Zo ja, in welke mate?

BYOD

Moeten apparaten die eigendom zijn van werknemers zich aanmelden bij het MDM van het bedrijf? Wat voor soort commando's zullen beheerders kunnen uitvoeren op apparaten die persoonlijk eigendom zijn?

Privacy

Hoe wordt met de privacy van de eindgebruiker omgegaan? Tot welke gegevens heeft de organisatie toegang? Waar slaat de organisatie deze gegevens op en voor hoe lang?

Werkomgevingen

Als je organisatie volledig op afstand werkt, hybride is of van plan is dat te worden, zorg er dan voor dat je vermeldt hoe het beleid van toepassing is wanneer gebruikers op verschillende fysieke locaties en in andere landen werken. Het is belangrijk te erkennen dat sommige regio's strengere wetten hebben dan andere en dat dit een directe invloed heeft op de nauwkeurigheid en doeltreffendheid van de AUP.

Internationale overwegingen

Als je organisatie bijvoorbeeld met gegevens uit Europa werkt, kun je onder de AVG-wetgeving vallen. Als een werknemer software gebruikt dat niet AVG-gecertificeerd is, kan dit leiden tot compliance-overtredingen, ongeacht waar het hoofdkantoor van je bedrijf gevestigd is.

Naleving

Je organisatie, en de werknemers die haar ondersteunen, kunnen onderworpen zijn aan lokale, staats-, federale en/of regiospecifieke wetten. Dit omvat diverse voorschriften die regio-, land- en/of sectorspecifiek kunnen zijn. Kennis van de ins en outs is van cruciaal belang om kostbare overtredingen te voorkomen, die kunnen leiden tot dure civiele en/of strafrechtelijke sancties.

Waarom zijn AUP's belangrijk voor werknemers?

De organisatie die een product of dienst beheert, stelt de AUP's op, zoals hierboven vermeld. Dit gebeurt in de eerste plaats om hun belangen te beschermen. Een goed geschreven AUP bestaat echter niet alleen uit duidelijke, beknopte taal waarin de verwachtingen rond het gebruik van een product of dienst worden uitgelegd, maar biedt ook een mate van bescherming voor de gebruiker (in dit geval de werknemers).

AUP's vormen een integraal onderdeel van een solide kader voor informatiebeveiliging. Door te identificeren wat gebruikers wel en niet mogen doen en wel en niet moeten doen, kunnen gebruikers acties vermijden die mogelijk een negatieve invloed op hen (en het bedrijf) kunnen hebben. Dit helpt hen situaties te vermijden die als oneerlijk kunnen worden beschouwd en die zelfs kunnen leiden tot administratieve en/of juridische stappen.

Hoe kan mijn organisatie AUP's afdwingen?

Om terug te komen op het bovenstaande scenario: de werknemer heeft een document ondertekend waarin het aanvaardbare gebruik staat beschreven. De richtlijnen zijn duidelijk en gemakkelijk te begrijpen. Maar wat nu? Verhindert een AUP really dat de werknemer onder werktijd streamt en de gedeelde datapool opgebruik?

In één woord, nee. Maar zoals met de meeste IT-gerelateerde zaken, zijn er meerdere manieren om controles samen te stellen om beheerbeleid af te dwingen. Met AUP's is dat niet anders, behalve dat ze de schriftelijke richtlijnen geven waarin wordt uitgelegd hoe eindgebruikers geacht worden zich te gedragen, en wat zij wel en niet mogen doen.

Door dit te combineren met software die contentfiltering biedt en dataplafonds afdwingt, zoals Jamf Data Policy, kunnen IT-beheerders nu beveiligingscontroles implementeren die voorkomen dat bepaalde websites kunnen worden bereikt bij het afdwingen van richtlijnen voor aanvaardbaar gebruik. Wanneer de werknemer bewust of onbewust een geconfigureerde drempel bereikt, ontvangen beheerders bovendien een waarschuwing. Vervolgens zal de oplossing automatisch de toegang tot internetbronnen blokkeren of hun mobiele verbinding tot een veel lagere snelheid beperken.

Wat kan software die AUP's afdwingt voor mijn bedrijf betekenen?

• Een hoge rekening vermijden als gevolg van overmatig gebruik van bandbreedte
• Dataplafonds instellen voor gebruikers om overmatig gebruik te beperken
• Zorgen voor gedetailleerde logboekregistratie van het gebruik
• De toegang tot illegale/niet-conforme websites beperken
• Ervoor zorgen dat werknemers productief kunnen zijn
• Real-time waarschuwingsmeldingen bieden voor gebruikers en beheerders
• De IT-afdeling toestaan om configuraties te wijzigen, indien nodig

Uiteindelijk zal wat je in je AUP opneemt en hoe je naleving wilt afdwingen uitsluitend afhangen van de behoeften van je organisatie, de producten en diensten die je levert en de manier waarop je werknemers geacht worden zich te gedragen. Besteed extra aandacht aan de locatie van alle bedrijfslocaties en de locaties waar eindgebruikers en klanten of cliënten gevestigd zijn. Besteed tijd aan alle andere details die cruciaal zijn voor de werking van je producten en diensten of die uniek zijn voor jouw organisatie.