Een Acceptable Use Policy, kortweg AUP, legt vast wat wel en niet mag met je Google Workspace-omgeving. Het is geen juridisch boekwerk dat in een la verdwijnt, maar een praktisch document dat medewerkers helpt verantwoord met bedrijfsmiddelen om te gaan. In dit artikel laten we zien hoe je een AUP opstelt die werkt.
Wat een Acceptable Use Policy is en waarom je er een nodig hebt
Een AUP beschrijft de spelregels voor het gebruik van IT-middelen, in dit geval Google Workspace. Het document maakt duidelijk wat de organisatie verwacht en wat de grenzen zijn. Zonder zo'n document is onduidelijk of een medewerker bedrijfsdata in een privé-Drive mag zetten, of werkmail privé mag gebruiken en hoe om te gaan met vertrouwelijke informatie.
De AUP beschermt twee kanten. Het beschermt de organisatie tegen misbruik en juridische risico's, en het beschermt de medewerker doordat duidelijk is wat mag. Bij twijfel kan iemand de policy raadplegen in plaats van te gokken.
De AUP staat niet op zichzelf
Een AUP hangt samen met je privacybeleid, je informatiebeveiligingsbeleid en bij veel organisaties met afspraken rond de AVG. Zorg dat deze documenten elkaar niet tegenspreken en naar elkaar verwijzen waar dat logisch is.
Welke onderwerpen je moet behandelen
Een goede AUP dekt de belangrijkste gebruiksvormen af zonder uit te dijen tot een onleesbaar geheel. De volgende onderwerpen horen er in elk geval in.
| Onderwerp | Wat je vastlegt |
|---|---|
| E-mailgebruik | Wat wel en niet mag met zakelijke mail, inclusief persoonlijk gebruik |
| Datadeling | Hoe en met wie bestanden gedeeld mogen worden, intern en extern |
| Beveiliging | Verplichtingen rond wachtwoorden, tweestapsverificatie en apparaten |
| Privacy | Hoe de organisatie omgaat met data en wat medewerkers mogen verwachten |
| Naleving | Wat de gevolgen zijn bij overtreding van de policy |
Bij elk onderwerp geef je concrete voorbeelden. Schrijf dus niet "ga zorgvuldig om met data", maar "zet vertrouwelijke documenten nooit in een persoonlijke Drive en deel ze alleen via gedeelde Drives met de juiste rechten". Concreet maakt een policy bruikbaar.
Persoonlijk gebruik en privacy
Een van de gevoeligste onderdelen is persoonlijk gebruik. Mag iemand zijn werkmail gebruiken voor een privé-bestelling? Mag de werklaptop voor privédoeleinden? Wees hier eerlijk en realistisch. Een policy die alle persoonlijk gebruik verbiedt, wordt genegeerd. Een policy die redelijk persoonlijk gebruik toestaat binnen grenzen, wordt gerespecteerd.
Wees transparant over monitoring
Wees expliciet over wat de organisatie wel en niet kan inzien. Medewerkers hebben recht te weten of hun mail gemonitord kan worden en onder welke voorwaarden. In Nederland gelden hier strikte regels rond privacy op de werkvloer. Vraag bij twijfel juridisch advies en wees transparant, want stiekem meekijken is zowel juridisch riskant als slecht voor het vertrouwen.
De policy opstellen en laten leven
Een AUP schrijven is een ding, hem laten leven is een ander. Veel policies worden ondertekend bij indiensttreding en daarna nooit meer bekeken. Dat is zonde.
Een AUP opstellen en invoeren
- Inventariseer de risico's en gebruiksvormen die spelen binnen jouw organisatie.
- Schrijf de policy in heldere taal, met concrete voorbeelden per onderwerp.
- Laat de policy juridisch en door de ondernemingsraad of personeelsvertegenwoordiging toetsen.
- Communiceer de policy actief, niet als bijlage maar met uitleg waarom hij er is.
- Laat medewerkers de policy expliciet accepteren, bijvoorbeeld digitaal bij onboarding.
- Herzie de policy jaarlijks en bij grote wijzigingen in tools of wetgeving.
Maak een korte samenvatting
Zet een samenvatting van een halve pagina met de belangrijkste do's en don'ts naast het volledige document. De meeste mensen lezen geen tien pagina's, maar een heldere samenvatting met de kernpunten blijft wel hangen. Het volledige document is er voor wie de details wil.
Rolverdeling bij de AUP
Een AUP wordt pas effectief als rollen helder verdeeld zijn. Twee rollen springen eruit.
Beheerder (admin). Als beheerder vertaal je de policy naar technische instellingen waar dat kan. Verbiedt de policy het extern delen van bepaalde data, dan stel je dat ook af in de Admin-console, zodat de regel niet alleen op papier bestaat.
IT-manager. Als IT-manager stel je de policy op, stem je hem af met juridische zaken en HR, en bewaak je dat hij actueel blijft. Jij zorgt dat de policy bekend is en geaccepteerd wordt.
Veelgestelde vragen
Is een AUP wettelijk verplicht?
Een AUP zelf is niet altijd wettelijk verplicht, maar verwante verplichtingen rond gegevensbescherming en informatiebeveiliging zijn dat vaak wel. Een AUP helpt je aan die verplichtingen te voldoen en bewijst dat je medewerkers hebt geïnformeerd.
Hoe lang moet een AUP zijn?
Zo kort als kan en zo lang als nodig. Voor de meeste organisaties is een paar pagina's genoeg, met een samenvatting van een halve pagina. Een te lang document leest niemand en mist daardoor zijn doel.
Moet de ondernemingsraad de AUP goedkeuren?
Bij regelingen die het gedrag of de privacy van medewerkers raken, heeft de ondernemingsraad vaak instemmingsrecht. Betrek hen vroeg in het proces, dat voorkomt vertraging en zorgt voor draagvlak.
Hoe handhaaf ik een AUP?
Combineer technische maatregelen met duidelijke communicatie. Leg vast wat de gevolgen zijn bij overtreding en pas die consistent toe. Een policy zonder enige handhaving wordt na verloop van tijd genegeerd.
Waar bewaar ik de AUP zodat iedereen hem vindt?
Zet de policy op een vaste, vindbare plek zoals een gedeelde Drive of het intranet, en verwijs ernaar in het onboardingmateriaal. Koppel er waar mogelijk een digitale acceptatie aan, zodat je kunt aantonen wie hem heeft gelezen.
Lees ook thuiswerkbeleid en documentatiebeleid voor de bredere beleidskaders.