Clean desk policy en vernietiging: voorbeeldbeleid voor kantoor
Een opgeruimd bureau is meer dan netjes. Het is een van de simpelste en goedkoopste maatregelen tegen datalekken. Een vergeten loonstrook op een bureau, een klantdossier dat blijft liggen, een usb-stick naast het toetsenbord, allemaal risico's die een clean desk policy wegneemt. Toch blijft het bij veel organisaties bij een goede bedoeling, omdat er geen vastgelegd beleid is en geen duidelijke route naar vernietiging.
In dit artikel leest u wat een clean desk policy inhoudt, waarom het onder de AVG verstandig is, hoe u het invoert en handhaaft, plus hoe u het koppelt aan veilige vernietiging. U vindt bovendien een kant-en-klaar voorbeeldbeleid dat u direct kunt overnemen en aanpassen.
Waarom een clean desk policy?
De meeste datalekken zijn geen spectaculaire hacks maar alledaagse slordigheden. Een document blijft op de printer liggen, een bezoeker leest mee op een onbeheerd scherm, of een opgeruimde stapel belandt onversnipperd bij het oud papier. Een clean desk policy pakt precies die situaties aan. Het zorgt ervoor dat vertrouwelijke informatie aan het eind van de dag uit het zicht is en dat er een vaste plek is voor wat vernietigd moet worden.
De AVG noemt een clean desk policy niet bij naam, maar vraagt in artikel 32 wel om passende technische en organisatorische maatregelen. Een opgeruimd bureau is zo'n organisatorische maatregel, eenvoudig in te voeren en goed uit te leggen aan een auditor. Hoe het past in het bredere geheel leest u in AVG-eisen voor het MKB.
Wat regelt een clean desk policy?
Een goed beleid legt vast dat vertrouwelijke informatie niet onbeheerd in het zicht ligt en regelt waar stukken eindigen. Het beleid stopt dus niet bij opruimen, maar wijst ook de route naar vernietiging aan. De kern bestaat uit een paar afspraken over bureaus, schermen, datadragers en de vernietigingsbak.
Voorbeeldbeleid om over te nemen
Kopieer onderstaand voorbeeld en pas het aan op uw organisatie.
Clean desk policy [organisatie]
1. Aan het einde van elke werkdag is het bureau leeg. Documenten met persoonsgegevens of bedrijfsgevoelige informatie liggen niet onbeheerd in het zicht.
2. Vertrouwelijke documenten die weg mogen, gaan in de afgesloten vernietigingsbak, niet in de prullenbak of bij het oud papier.
3. Datadragers zoals usb-sticks en externe schijven worden opgeborgen in een afsluitbare kast.
4. Schermen worden vergrendeld bij het verlaten van de werkplek.
5. Documenten worden direct na het printen opgehaald en niet onbeheerd bij de printer gelaten.
6. De vernietigingsbakken worden periodiek opgehaald en vernietigd door een gecertificeerde partij, met certificaat.
7. Bij vragen of incidenten is [verantwoordelijke / functionaris gegevensbescherming] het aanspreekpunt.
Hoe voert u het in?
Een beleid op papier verandert nog geen gedrag. Vier stappen maken het verschil tussen een document in een la en een echt opgeruimd kantoor.
- Communiceer het beleid. Leg kort uit waarom het er is, niet alleen wat moet. Mensen houden zich beter aan een regel die ze begrijpen.
- Maak het makkelijk. Plaats een afgesloten vernietigingsbak op een logische plek, bijvoorbeeld bij de printer en de receptie. Drempel weg, naleving omhoog.
- Neem het op in de onboarding. Nieuwe medewerkers krijgen het beleid bij hun start, zodat het vanaf dag een normaal is.
- Doe af en toe een steekproef. Een korte ronde aan het eind van de dag laat zien of het werkt, zonder een controlecultuur te creeren.
Van bureau naar vernietiging
Het sluitstuk van een clean desk policy is de vernietigingsroute. Plaats afgesloten bakken in plaats van open papierbakken, zie het verschil in locked consoles versus open bakken. Een open bak nodigt uit tot meelezen of meenemen, een afgesloten console met eenrichtingssleuf niet.
Laat de inhoud periodiek ophalen en vernietigen. Wie raakt het materiaal onderweg aan? Dat leest u in chain of custody. Hoe vaak u laat ophalen hangt af van uw volume, de afweging staat in recurring vernietiging of eenmalig. Na elke ophaal hoort u een certificaat van vernietiging te ontvangen dat u in uw AVG-dossier bewaart.
Wat levert een clean desk policy op?
De winst is groter dan een net kantoor. U verkleint de kans op datalekken, want vertrouwelijke stukken liggen niet meer rond. U bent beter voorbereid op een audit, omdat u een concrete maatregel kunt laten zien. En u straalt professionaliteit uit naar bezoekers en klanten, die zien dat u zorgvuldig met gegevens omgaat. Voor de medewerkers zelf geeft een opgeruimde werkplek bovendien rust en overzicht.
Een voorbeeld uit de praktijk
Stel, een accountantskantoor krijgt een onaangekondigd bezoek van een potentiele klant. In een kantoor zonder clean desk policy liggen op verschillende bureaus dossiers open, met namen, bedragen en soms een kopie van een identiteitsbewijs. De bezoeker ziet dat in een oogopslag. In een kantoor met een clean desk policy ligt er niets. De indruk die de klant meeneemt is professioneel en betrouwbaar. Er is geen enkel risico op onbedoelde inzage. Datzelfde geldt voor schoonmakers, koeriers en monteurs die buiten kantooruren binnenkomen. Hetzelfde geldt voor de avondploeg en voor flexkrachten die maar kort op de werkplek zitten.
Clean desk policy bij thuiswerken
Sinds veel mensen deels thuiswerken, eindigt vertrouwelijk papier steeds vaker op de keukentafel. Een clean desk policy houdt daar rekening mee. Spreek af dat medewerkers thuis een afsluitbare lade of kast gebruiken voor papier met persoonsgegevens. Dat papier gooien zij niet bij het eigen oud papier maar nemen zij mee naar kantoor voor veilige vernietiging. Voor wie volledig digitaal werkt, geldt hetzelfde principe voor het scherm. Vergrendel het apparaat bij het verlaten van de werkplek, ook thuis, zodat huisgenoten of bezoekers niet meelezen. Zo blijft het beleid werken, ongeacht waar iemand die dag zit.
Veelgemaakte fouten
- Wel opruimen, niet vernietigen. Een opgeruimde stapel bij het oud papier is alsnog een datalek.
- Open bakken gebruiken. Zonder afsluiting blijft vertrouwelijk papier toegankelijk.
- Het beleid niet uitleggen. Een regel zonder reden wordt slecht nageleefd.
- Thuiswerken vergeten. Ook op de keukentafel horen vertrouwelijke stukken niet open te liggen.
Vernietigingsbakken met periodieke ophaal?
Wij plaatsen afgesloten bakken en halen de inhoud periodiek op voor vertrouwelijke vernietiging, met certificaat. Geen voorrijkosten binnen 20 km van Amsterdam.
Vraag een offerte aanVeelgestelde vragen
Wat is een clean desk policy?
Een afspraak dat medewerkers hun bureau aan het eind van de dag leeg en opgeruimd achterlaten, zonder vertrouwelijke documenten in het zicht. Het verkleint de kans op datalekken en onbevoegde inzage.
Is een clean desk policy verplicht onder de AVG?
Niet met naam, maar de AVG vraagt in artikel 32 om passende organisatorische maatregelen. Een clean desk policy is een eenvoudige en effectieve maatregel die daaraan bijdraagt.
Hoe koppel je een clean desk policy aan vernietiging?
Plaats afgesloten vernietigingsbakken op kantoor en laat de inhoud periodiek ophalen en vernietigen met een certificaat. Zo eindigt elk vertrouwelijk document veilig.
Geldt een clean desk policy ook bij thuiswerken?
Ja. Ook thuis horen vertrouwelijke documenten niet open te liggen. Maak afspraken over een afsluitbare lade en het meenemen van papier voor vernietiging op kantoor.
Hoe handhaaf je een clean desk policy?
Door het beleid te communiceren, het op te nemen in de onboarding en af en toe een steekproef te doen. Een afgesloten bak bij elke werkplek maakt naleving makkelijk.
Conclusie
Een clean desk policy is een goedkope, zichtbare maatregel die direct bijdraagt aan uw informatiebeveiliging. Neem het voorbeeld hierboven over, leg uit waarom het er is, plaats afgesloten vernietigingsbakken en regel een periodieke ophaal met certificaat. Zo verandert een goede bedoeling in een opgeruimd kantoor waar elk vertrouwelijk document veilig eindigt.
Vernietiging structureel regelen voor uw kantoor? Vraag een offerte aan via desnipperaar.nl of bekijk hoe u papier kunt laten versnipperen. Binnen 5 minuten heeft u een vaste prijs.