Skip to content
Beveiliging calendar_today Bijgewerkt: 7 april 2026 schedule 4 min leestijd

Informatiebeveiligingsbeleid - Wat Moet Erin Staan?

Een informatiebeveiligingsbeleid beschrijft hoe je organisatie persoonsgegevens en bedrijfsinformatie beschermt. Dit artikel legt uit wat erin hoort, hoe je het opstelt en hoe je het actueel houdt.

summarize Kernpunten
  • check_circle Een informatiebeveiligingsbeleid beschrijft de regels en maatregelen waarmee je bedrijfsinformatie en persoonsgegevens beschermt
  • check_circle Het beleid moet praktisch zijn: medewerkers moeten het begrijpen en kunnen toepassen
  • check_circle Begin met de basis: wachtwoorden, toegang, clean desk, incidentmelding en gebruik van apparaten
  • check_circle Review het beleid minimaal jaarlijks en na elk beveiligingsincident

Waarom je een beveiligingsbeleid nodig hebt

Je kunt de beste technische beveiliging hebben, maar als je medewerkers niet weten welke regels er gelden, is het alsof je een alarmsysteem installeert maar de code op een post-it naast de deur plakt.

Een informatiebeveiligingsbeleid beschrijft de regels en verwachtingen voor iedereen in je organisatie. Het vertelt medewerkers wat ze wel en niet mogen doen met bedrijfsinformatie en persoonsgegevens. En het toont aan de toezichthouder dat je serieus met beveiliging omgaat.

Wat moet erin staan?

Doel en reikwijdte

Beschrijf kort waarom het beleid bestaat en voor wie het geldt. Doorgaans geldt het voor alle medewerkers, freelancers en stagiaires die toegang hebben tot bedrijfssystemen of -gegevens.

Wachtwoorden en authenticatie

  • Eisen aan wachtwoordsterkte en -uniekheid
  • Verplichting tot tweefactorauthenticatie waar beschikbaar
  • Verbod op het delen van wachtwoorden
  • Gebruik van een wachtwoordmanager

Toegangsbeheer

  • Rechten worden toegekend op basis van functie (need-to-know)
  • Bij functiewijziging worden rechten herzien
  • Bij vertrek worden alle toegangen direct ingetrokken
  • Periodieke review van toegangsrechten

Gebruik van apparaten

  • Regels voor het gebruik van bedrijfsapparaten
  • BYOD-beleid als medewerkers eigen apparaten gebruiken
  • Verplichting tot schijfversleuteling en schermvergrendeling
  • Regels voor werken op openbare netwerken (gebruik VPN)

Clean desk en clear screen

  • Documenten met persoonsgegevens worden opgeborgen bij het verlaten van de werkplek
  • Schermen worden vergrendeld bij afwezigheid
  • Vertrouwelijke prints worden direct opgehaald bij de printer

E-mail en communicatie

  • Richtlijnen voor het versturen van persoonsgegevens via e-mail
  • Wanneer encryptie nodig is
  • Hoe om te gaan met verdachte e-mails (phishing)
  • Gebruik van persoonlijke e-mailadressen voor werkzaken

Incidentmelding

  • Hoe medewerkers een beveiligingsincident moeten melden
  • Bij wie ze het melden
  • Binnen welke termijn (zo snel mogelijk)
  • Dat er geen negatieve gevolgen zijn voor het melden van fouten

Externe opslag en tools

  • Welke cloudopslagdiensten zijn goedgekeurd
  • Verbod op het gebruik van niet-goedgekeurde tools voor bedrijfsgegevens
  • Regels voor het delen van bestanden met externe partijen

Hoe stel je het op?

  1. Begin met een sjabloon - je hoeft het wiel niet opnieuw uit te vinden. Gebruik een bestaand sjabloon als basis en pas het aan
  2. Maak het praktisch - schrijf in begrijpelijke taal. Vermijd juridisch jargon
  3. Bespreek het met je team - zorg dat medewerkers input kunnen geven en vragen kunnen stellen
  4. Laat het ondertekenen - elke medewerker bevestigt dat die het beleid heeft gelezen en begrepen
  5. Maak het vindbaar - bewaar het op een plek waar iedereen er bij kan

Houd het levend

Een beveiligingsbeleid dat je schrijft en vergeet heeft weinig waarde. Review het:

  • Jaarlijks - is het nog actueel?
  • Na een incident - moet er iets worden aangescherpt?
  • Bij wijzigingen - nieuwe tools, nieuwe medewerkers, nieuwe werkwijzen?
auto_awesome Documenteer je beveiligingsaanpak

GDPRWise helpt je om je beveiligingsmaatregelen en beleidsdocumenten vast te leggen als onderdeel van je compliance dossier.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.