Clean Desk PolicyJe gaat even naar het toilet en dat resulteert in een gesprek op de gang wat zomaar een kwartier kan duren. Herkenbaar? Ondertussen, terwijl je op de gang bent, kan er vertrouwelijke informatie op je bureau liggen of op je computerscherm zichtbaar zijn die eenvoudig gelezen kan worden door toevallige voorbijgangers waarvoor deze informatie niet bedoeld is. Of erger nog, de toevallige voorbijganger gaat aan de haal met de informatie. Een doemscenario, want als bedrijf wil je niet dat je vertrouwelijke informatie op straat komt te liggen. Om dit soort situaties te voorkomen kun je denken aan een Clean Desk Policy en een Clear Screen Policy. Daarmee wordt de kans dat een ongeautoriseerd persoon aan de haal gaat met vertrouwelijke informatie, zowel in fysieke als digitale vorm, aanzienlijk kleiner.

Wat is een Clean Desk Policy?

Een beleid waarmee ervoor gezorgd wordt dat gevoelige informatie, zowel in fysieke als digitale vorm, en apparaten, zoals laptops, telefoons en tablets, niet onbeschermd worden achtergelaten in persoonlijke en publieke werkruimten zodra iemand de werkplek verlaat.

Een Clean Desk Policy betekent simpel gezegd dat er zo min mogelijk op je bureau ligt. Spullen als notitieblokken, brieven, contracten, etc. zijn netjes opgeborgen en slingeren niet overal rond. Enkel de spullen die je nodig hebt tijdens je werk, zoals je laptop, telefoon en kopje koffie, zijn aanwezig. Zodra je de werkplek verlaat berg je eventuele vertrouwelijke documenten en apparaten waar je mee aan het werk bent veilig op achter slot en grendel in een daarvoor bestemde kast of lade. Voor wat betreft documenten die belangrijke informatie bevatten, zoals arbeidscontracten, is het van belang dat deze netjes opgeborgen worden in een personeelsdossier dat alleen toegankelijk is voor degene die er vanuit zijn of haar functie – zoals HR – iets mee moet doen. Op die manier kunnen ongeautoriseerde personen niet met de informatie aan de haal gaan als jij even niet op je plek zit. Dat betekent overigens ook dat whiteboards na een meeting dienen te worden gewist en de afdrukken opgehaald worden uit de printer.

Meer informatie? [Whitepaper]

Een Clean Desk Policy en/of een Clear Screen Policy zijn een verplicht onderdeel van de ISO 27001 norm. Wil je meer weten over deze norm voor informatiebeveiliging? Download dan onze handige informatiegids ‘Informatiebeveiliging met ISO 27001’.

DOWNLOAD INFORMATIEGIDS


Informatiegids ISO 27001

Wat is een Clear Screen Policy?

Een Clear Screen Policy betekent onder andere dat je als werknemer verplicht bent om je computerscherm te vergrendelen zodra je de werkplek verlaat. Het scherm kan enkel weer ontgrendeld worden door het invoeren van een wachtwoord. Op deze manier is de content op het scherm beveiligd tegen onbedoelde gebruikers. Tevens is het van belang dat er zo min mogelijk bestanden op het bureaublad van je computer staan. Mocht je dan per ongeluk een keertje vergeten om je computer te locken als je wegloopt, dan kan een toevallige gebruiker in elk geval niet direct vanaf je bureaublad in al je bestanden.

Verder is het vanuit een Clear Screen beleid o.a. van belang dat computerschermen in een kantoorruimte zodanig geplaatst worden dat toevallige voorbijgangers niet de kans krijgen om op het scherm te kijken. Daarnaast betekent het ook dat je aan het einde van de dag de computer helemaal uitschakelt, zodat deze is uitgelogd op het netwerk. Dat geldt ook voor de printer en andere netwerkapparatuur.

Een Clean Desk en Clear Screen beleid vormen onderdeel van de ISO 27001 norm. Wil je meer weten over ISO 27001? Lees dan het artikel: ‘Wat is ISO 27001? Een introductie op de norm voor informatiebeveiliging‘.

De voordelen van Clean Desk en Clear Screen Policies

Het invoeren van een Clean Desk Policy en Clear Screen Policy heeft diverse voordelen. Hieronder benoemen we er een aantal:

  • Ongeautoriseerde gebruikers kunnen vanaf de werkplek niet in computers en andere apparaten en dus geen digitale informatie ontvreemden.
  • Er slingeren geen vertrouwelijke documenten rond in kantoor, zodat deze ook niet meegenomen kunnen worden door toevallige voorbijgangers.
  • Opgeruimde bureaus zorgt voor een professionele uitstraling richting klanten.
  • Je kunt als organisatie eenvoudiger flexibele werkplekken inrichten, aangezien er niet overal documenten van iemand anders op bureaus liggen.
  • Uit onderzoek is gebleken dat werknemers beter functioneren in een goed georganiseerde omgeving.
  • Het is voor de facilitaire dienst makkelijker om de bureaus te poetsen.
  • Wanneer je van plan bent om een ISO 27001 certificering te gaan behalen, dan maken beide policies daar verplicht onderdeel van uit.

Lees ook het artikel: Wat is een ISMS in de ISO 27001 norm?

Clear Screen en Clean Desk Policy Tips

Clean Desk Policy VoorbeeldDoorgaans gaat het invoeren van een Clean Desk en Clear Screen Policy niet zonder slag of stoot. Het beleidsmatig beschermen van informatie heeft de meeste kans als het binnen de organisatie breed gedragen wordt. Het is dus belangrijk dat er draagvlak wordt gecreëerd onder medewerkers, zodat zij het belang inzien van het beschermen van informatie. Hieronder een aantal Clear Screen en Clean Desk Policy tips om bewustwording te creëren en om het invoeren van een Clean Desk en Clear Screen Policy makkelijker te maken:

  1. Maak duidelijke werkinstructies voor medewerkers, zodat iedereen op de hoogte is van het beleid en weet wat hij/zij moet doen. Maak daarbij ook steeds duidelijk wat de risico’s en consequenties zijn.
  2. Bewustwording onder medewerkers kan op allerlei manieren gecreëerd worden. Denk aan posters, e-mail alerts, nieuwsbrieven, alerts op kantoor etc. Houd het laagdrempelig en denk out-of-the-box.
  3. Het management dient zich bewust te zijn van het feit dat het een voorbeeldfunctie heeft. Het gedrag dat zij vertonen wordt doorgaans gekopieerd door medewerkers.
  4. Maak eventueel iemand op kantoor verantwoordelijk voor het bewaken van het Clean Desk en Clear Screen beleid. Deze persoon kan anderen stimuleren.
  5. Richt de digitale werkplek zo optimaal mogelijk in en geef voldoende instructie hierover. Op die manier kan iedereen digitaal werken, waardoor het printen zoveel mogelijk beperkt wordt.
  6. Maak gebruik van een wachtwoordmanager of een wachtwoordbeleid. Instrueer medewerkers hier ook over. Op die manier gaat iedereen veilig om met wachtwoorden.
  7. Zorg voor een goede back-up. Op die manier zijn documenten altijd terug te halen als er per ongeluk iets wordt weggegooid.
  8. Zorg voor voldoende ‘vergrendelde gebieden’, zoals afsluitbare laden, archiefkasten en kluizen waarin documenten en apparaten opgeborgen kunnen worden.
  9. Schaf een shredder aan, zodat fysieke documenten die gevoelige informatie bevatten eenvoudig vernietigd kunnen worden.
  10. Bij grotere bedrijven met meerdere kantoorruimtes kan gedacht worden aan toegangsautorisatie per ruimte. Daarmee wordt voorkomen dat mensen zich begeven tot een ruimte waar zij in feite geen toegang toe zouden moeten hebben.

Artikeltip: Dataclassificatie bij informatiebeveiliging: Beschikbaarheid, Integriteit en vertrouwelijkheid (BIV)

Clean desk policy voorbeeld

Om diverse zaken kracht bij te zetten geven we hieronder nog drie keer een clean desk policy voorbeeld, zodat het wat concreter wordt:

1. Een medewerker heeft een fysieke presentielijst waarop gegevens staan van mensen die hebben deelgenomen aan een evenement. Deze gegevens neemt de medewerker over in een digitaal systeem. Vervolgens wordt de papieren presentielijst vernietigd in de shredder, zodat deze gegevens niet inzichtelijk zijn voor andere medewerkers en onnodig in het kantoor blijven rondslingeren.

2. De financieel medewerker krijgt regelmatig post, papieren afschriften, facturen ed. met daarop bedrijfs-, klant- of personeelsgegevens. Deze papieren worden netjes bewaard in een afgesloten kastje waarvan de financieel medewerker de sleutel heeft. Deze papieren liggen in elk geval niet open en bloot op zijn of haar bureau, zodat iedereen die voorbijkomt ze in kan zien.

3. Een medewerker heeft een USB-stick waarop informatie van het bedrijf staat. Deze stick ligt op zijn of haar bureau. Het is van belang dat deze stick dagelijks goed wordt opgeborgen, zodat deze niet rond blijft slingeren en iedereen toegang heeft tot de informatie. Beter nog, zet de informatie op de stick digitaal in de cloud, zodat je niet eens een stick meer nodig hebt.

Thijs Baars van onze klant Fastned: “Het hele ISO-traject heeft een (positieve) cultuurverandering teweeggebracht binnen onze organisatie. Gelukkig hebben we voor het gehele traject de begeleiding ingeschakeld van CertificeringsAdvies Nederland, want zonder hen waren we als een kip zonder kop aan de slag gegaan. Vooral de pragmatische inval hadden we niet zonder hen kunnen doen.”
Wil je de hele ervaring van Thijs lezen? Bekijk dan de klantcase van Fastned.

Meer informatie?

Wil je weten hoe je aan de slag gaat met een Clean desk en/of clear screen policy? Of kun je wel wat ondersteuning gebruiken bij de implementatie of optimalisatie van ISO 27001 werkzaamheden? Neem dan gerust contact met ons op! Onze adviseurs helpen je graag op weg.


Download Informatiegids ISO 27001

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl

Dit artikel is gepubliceerd op 18 december 2019. Het artikel is van een update voorzien op 10 november 2020.