Wat vraagt 'ISO 27001 A.6.7: werken op afstand' van je organisatie?
A.6.7 verplicht organisaties om maatregelen te nemen voor veilige toegang tot informatie buiten het kantoor. Dat geldt dus ook voor thuiswerken, flexwerken, telewerken of werken vanaf een koffietentje (remote). Denk aan:
🛡️ Techniek die helpt
- Gebruik een VPN of virtuele desktopomgeving
- Verplicht 2FA (twee-factor-authenticatie)
- Sla geen bestanden lokaal op privéapparaten op
- Beveilig apparaten met firewall, anti-malware en endpoint protection (EDR)
📱 Apparaatbeheer
- Zet Mobile Device Management (MDM) in voor centrale controle
- Schakel automatische schermvergrendeling en inactiviteitstimers in
- Versleutel laptops met BitLocker of FileVault
- Zorg dat je apparaten op afstand kunt wissen of blokkeren bij diefstal
🏠 Fysieke thuiswerkplek
- Laat geen documenten rondslingeren
- Gebruik afsluitbare kasten
- Beperk toegang voor huisgenoten of bezoekers
📘 Organisatorisch beleid
- Stel een duidelijke 'remote work policy' op
- Regel wie toegang heeft tot wat
- Zorg voor een incidentenprocedure
- Train medewerkers in veilig werken op afstand
🧠 Bewustwording
Zelfs met de beste tools gaat het mis als medewerkers niet weten wat ze beter níet kunnen doen. Bijvoorbeeld:
- Een bestand delen via een persoonlijk Google Drive-account
- Werken op de gezinslaptop “omdat de zakelijke traag is”
- Vergeten het scherm te vergrendelen met huisgenoten in de buurt
Bewustwording is geen eenmalige training, maar iets wat je levend moet houden:
- Korte microlearnings (Guardey) of e-learningmodules
- Campagnes rond actuele dreigingen (zoals phishing)
- Concrete gedragsregels: “Geen werk via openbare wifi zonder VPN”
Maak het veilig én werkbaar
Niemand zit te wachten op overbodige regels of moeilijk gedoe. Gelukkig hoeft veilig op afstand werken niet ingewikkeld te zijn. Een goed ingericht systeem maakt het voor medewerkers makkelijk en veilig om hun werk te doen. Denk aan:
✔️ Automatische schermvergrendeling
Bijvoorbeeld: als een medewerker even koffie haalt, wordt het scherm na 5 minuten automatisch vergrendeld. Zo voorkomt je dat iemand anders stiekem kan meekijken.
✔️ Centrale logging en monitoring
Bijvoorbeeld: als iemand om 03:00 uur inlogt vanuit het buitenland, krijgt IT automatisch een melding. Zo kunnen verdachte acties snel worden onderzocht.
✔️ Apparaten op afstand kunnen wissen bij verlies
Bijvoorbeeld: als een medewerker zijn laptop kwijtraakt in de trein, kan IT het apparaat op afstand wissen. Zo blijven bedrijfsgegevens beschermd.
✔️ Regelmatige awareness-trainingen
Bijvoorbeeld: medewerkers krijgen elk kwartaal een korte training en een phishingtest. Zo blijven ze alert op digitale dreigingen.
✔️ Werken met vooraf goedgekeurde tools en opslaglocaties
Bijvoorbeeld: bestanden mogen alleen opgeslagen worden in OneDrive of SharePoint. Tools als Dropbox of USB-sticks zijn geblokkeerd.
Wat kun je nu doen?
✅ Een 'Remote Work Security Policy' opstellen
✅ Laat jouw medewekers weten wat ze wel en niet mogen doen
✅ Gebruik technische tools om toegang te beperken en te monitoren
Wil je hier advies over of eens kijken naar jouw beleid? Plan een vrijblijvend adviesgesprek, we denken graag met je mee!
