2LRN4 security awareness platform
← Terug naar kennisbank

Beleid voor aanvaardbaar gebruik (AUP): wat er in moet staan

Praktische uitleg over beleid voor aanvaardbaar gebruik aup voor organisaties die veilig gedrag structureel willen verbeteren.

Recent bijgewerkt

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

Een beleid voor aanvaardbaar gebruik (Acceptable Use Policy, AUP) is de schriftelijke afspraak tussen organisatie en medewerker over wat wel en niet mag op werkapparatuur, met werkdata en op zakelijke accounts. Het is een van de meest praktische sturingsinstrumenten die u heeft: korter dan een ISMS, concreter dan een gedragscode, en juist daarom in de Cbw-, AVG- en AI Act-context een onmisbaar document. Wat hoort erin, hoe houdt u het werkbaar, en hoe verankert u het in awareness?

Wat is een AUP en wat doet hij?

Een AUP beschrijft op één toegankelijk document de regels voor gebruik van bedrijfsmiddelen: laptops, mobiele apparaten, e-mail, internet, samenwerkingssoftware, cloud-diensten, AI-tools, en zakelijke accounts. Hij vertaalt het bredere informatiebeveiligingsbeleid en de AVG naar concreet gedrag op de werkvloer. Anders dan een dik handboek is een AUP bedoeld om gelezen en begrepen te worden.

In juridische zin biedt de AUP een onderbouwing voor maatregelen wanneer iemand er overheen gaat. Tegelijk is hij een communicatiemiddel: hij legt uit waarom een regel bestaat, niet alleen wat de regel is. Een AUP die uitsluitend uit verboden bestaat, werkt op de werkvloer slecht. Een AUP die kort en menselijk uitlegt waarom iets veilig of onveilig is, helpt mensen om er ook bij hoge werkdruk naar te handelen.

Onder de Cbw en AVG is een AUP geen verplichting in naam, maar wel in werking. Toezichthouders vragen bij elk onderzoek naar het beleid dat regelt hoe medewerkers met informatie omgaan. Een organisatie zonder AUP slaagt zelden in een audit zonder aanvullende toelichting, en bij een datalek is het ontbreken ervan een direct strafrisico.

Wat moet er minimaal in een moderne AUP staan?

Een werkbare AUP is kort: vijf tot acht pagina's, in begrijpelijke taal. De volgende onderwerpen horen er in 2026 in:

  • Doel en reikwijdte. Voor wie geldt het (medewerkers, externen, vrijwilligers) en op welke middelen (apparaten, accounts, data).
  • Algemene gedragsregels. Wachtwoorden, MFA, vergrendeling, melding bij verlies, omgang met persoonsgegevens, scheiding werk en privé.
  • E-mail, internet en samenwerking. Wat mag en mag niet met zakelijke e-mail, surfgedrag, sociale media, externe samenwerking en gastaccess.
  • Goedgekeurde diensten en shadow IT. Welke clouddiensten zijn goedgekeurd, hoe vraagt u een nieuwe dienst aan, wat is verboden (gratis AI-prompts met vertrouwelijke data, ongekeurde vertaaldiensten).
  • AI-gebruik. Sinds de EU AI Act onmisbaar. Welke AI-diensten zijn intern beschikbaar, welke gegevens mogen er in (en welke niet), wie is aanspreekpunt bij twijfel.
  • Persoonsgegevens en AVG. Basisregels voor het verwerken, delen en bewaren van persoonsgegevens; de meldroute bij een vermoedelijk datalek.
  • Privégebruik. Mag het, en in welke mate; wat zijn de grenzen aan het meekijken door werkgever (privacy van medewerker is hier een tegenoverliggende belang).
  • Sancties en escalatie. Wat gebeurt er bij overtreding; welke route is er voor signaleren van problemen.

Wat in 2026 nieuw of verzwaard hoort in een AUP

Drie onderwerpen die vroeger optioneel waren en in 2026 echt thuishoren:

AI-gebruik. Zonder duidelijke regels gebruiken medewerkers gratis AI-diensten voor vertrouwelijk werk en deelt u onbewust data met derden. Beschrijf welke diensten goedgekeurd zijn, welke gegevens niet in publieke modellen horen (klantgegevens, gezondheidsgegevens, intellectueel eigendom), en hoe iemand een nieuwe AI-dienst kan laten beoordelen.

Mobiel en thuiswerk. De grens tussen kantoor en buiten kantoor is vervaagd. Beschrijf wat geldt voor laptops in cafés en treinen, wat voor mobiele toestellen op privénetwerken, en hoe het werk- en privégebruik op zakelijke telefoons wordt gescheiden.

Meldgedrag. Een goede AUP zegt expliciet dat melden niet leidt tot sancties wanneer iemand zelf een fout heeft gemaakt (een klik, een verkeerde mail, een gedeeld document). Zonder die expliciete uitnodiging om te melden zonder schaamte, daalt de meldcultuur en daarmee uw vroege detectie.

Hoe schrijft u een AUP die mensen lezen?

Een AUP van vijf pagina's wordt gelezen, één van vijfentwintig niet. Drie technieken die het verschil maken:

Schrijf in u-vorm en korte zinnen. Vermijd juridisch jargon waar het kan. Vervang "ten aanzien van" door "over", "bij gelegenheid van" door "bij", "is gehouden tot" door "moet". Een AUP is een gebruiksaanwijzing, geen contract.

Geef voorbeelden waar dat helpt. "Deel een gevoelig document niet met externen via een persoonlijke Google Drive" is bruikbaarder dan "draag zorg voor adequate beveiliging van vertrouwelijke gegevens". De AUP wint aan kracht door concreet te zijn op de plekken waar dat het meeste verschil maakt.

Verklaar waarom. Een regel die wordt uitgelegd wordt geaccepteerd; een regel die wordt geboden wordt omzeild. "We vragen u gratis online vertalers te vermijden voor klantdocumenten omdat die diensten uw invoer kunnen bewaren en gebruiken voor modeltraining" is veel sterker dan "het gebruik van externe diensten is verboden".

Hoe houdt u de AUP actueel en levend?

Een AUP veroudert snel. Cloud-diensten breiden uit, AI-tools verschijnen, aanvallen verschuiven. Drie praktische maatregelen:

Actualiseer minstens jaarlijks. Maak het onderdeel van de jaarcyclus van het ISMS of het awareness-programma. Een AUP uit 2022 is in 2026 op AI-gebied vrijwel onbruikbaar.

Gebruik versie-historie. Welke veranderingen zijn waarom doorgevoerd; welke datum gold welke versie. Onder de Cbw is dit auditmateriaal.

Vraag actief acceptatie. Bij indiensttreding én bij elke majeure update. Een ondertekende acceptatie kan via een eenvoudige knop in het awareness-platform, met automatische registratie van datum en versie. Vermijd dat acceptatie verdwijnt in een mailbox: dat is bij een incident geen werkbaar bewijs.

Hoe u dit verankert in een awareness-programma

Een AUP staat niet op zichzelf. Hij wordt levend door koppeling aan training en gedrag. Praktische opbouw:

Behandel de AUP in de onboarding van nieuwe medewerkers. Eén korte module van vijf minuten die de tien belangrijkste regels uitlegt, plus een acceptatie-vinkje. Onder de Cbw is aantoonbaarheid hier cruciaal.

Refereer in awareness-modules expliciet aan de AUP. "De regel voor het delen van klantgegevens vindt u in de AUP, sectie 4". Daarmee leeft het document, raakt het bekend, en wordt het niet pas opgevraagd bij een incident.

Werk samen met HR en de privacy-officer. De AUP raakt arbeidsrecht (sancties), AVG (persoonsgegevens en privacy van medewerkers), en informatieveiligheid. Eén beleidsdocument dat door drie disciplines wordt gedragen, werkt sterker dan drie losse documenten.

Van uitleg naar aanpak

Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.

Bekijk de NIS2-pagina

Gerelateerde artikelen

Bronnen

FAQ

Wat is een Acceptable Use Policy (AUP)?

Een schriftelijke afspraak tussen organisatie en medewerker over wat wel en niet mag op werkapparatuur, met werkdata en op zakelijke accounts. Concreter dan een ISMS, korter dan een handboek.

Is een AUP verplicht?

Niet in naam in een specifieke wet, wel in werking. Toezichthouders vragen bij audit en incident naar het beleid dat regelt hoe medewerkers met informatie omgaan. Ontbreken van een AUP is bij een datalek of audit een direct risico.

Hoe lang mag een AUP zijn?

Vijf tot acht pagina's in begrijpelijke taal werkt het best. Langer wordt niet gelezen, korter mist essentiële onderwerpen. Voorbeelden en uitleg waarom een regel bestaat zijn belangrijker dan volledigheid.

Wat hoort er in 2026 nieuw in?

AI-gebruik (welke diensten goedgekeurd, welke gegevens niet in publieke modellen), mobiel en thuiswerk, en expliciete uitnodiging om te melden zonder schaamte bij eigen fouten.

Hoe vaak moet ik een AUP actualiseren?

Minstens jaarlijks, en bij elke majeure verandering in tools of regelgeving. AI-paragrafen verouderen sneller dan algemene gedragsregels.

Moet een AUP getekend worden?

Acceptatie is sterk aan te raden en bij Cbw aantoonbaar nodig. Een eenvoudige acceptatie-knop in het awareness-platform met datum en versie volstaat; ondertekende papieren zijn niet meer nodig.

Mag privégebruik in de AUP worden verboden?

Volledig verbod is in Nederland praktisch ongebruikelijk en zelden werkbaar. Beter is een gedragen middenweg: privégebruik mag binnen redelijke grenzen, met duidelijke uitzonderingen voor specifieke gevallen en zonder dat de werkgever onbeperkt meekijkt op zakelijk apparaten.

Externe bron: Digital Trust Center - NIS2

Lees ook
Gegevensbescherming en privacy: AVG-essentials voor medewerkers → Wat is het verschil tussen beveiligingstraining en compliance-training? →
Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen