💼 Management Samenvatting
Acceptable use policies (AUP’s) vormen de basisafspraken over hoe medewerkers, leveranciers en ketenpartners AI- en clouddiensten mogen gebruiken. Voor Nederlandse overheidsorganisaties zijn deze afspraken cruciaal om misbruik, datalekken en reputatieschade te voorkomen en om aan wet- en regelgeving te voldoen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
80u (tech: 40u)
Van toepassing op:
✓ Azure
✓ M365
✓ AI Services
✓ M365
✓ AI Services
Zonder duidelijke en gehandhaafde acceptable use policies ontstaat een grijs gebied waarin gebruikers zelf interpreteren wat wel en niet mag. Dit leidt tot ongecontroleerd delen van gevoelige informatie met AI-assistenten, het gebruik van niet-goedgekeurde cloudoplossingen en onveilige werkwijzen zoals het uploaden van persoonsgegevens naar publieke AI-diensten. Voor de overheid vergroot dit de kans op AVG-incidenten, schendingen van de BIO en verlies van vertrouwen bij burgers en toezichthouders.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Azure Portal
Connection:
Required Modules: Microsoft.Graph, ExchangeOnlineManagement
Connection:
Connect-MgGraph, Connect-ExchangeOnlineRequired Modules: Microsoft.Graph, ExchangeOnlineManagement
Implementatie
Dit artikel beschrijft hoe overheidsorganisaties een samenhangend stelsel van acceptable use policies voor AI en cloud kunnen ontwerpen, implementeren en handhaven. We behandelen de inhoudelijke bouwstenen van een AUP, de relatie met bestaande beveiligings- en privacybeleid, de wijze waarop beleid wordt vertaald naar technische maatregelen in Microsoft 365 en Azure, en hoe monitoring en rapportage in de praktijk worden ingericht. Het artikel biedt concrete richtlijnen, voorbeeldformuleringen en een aanpak om beleid periodiek te actualiseren op basis van nieuwe dreigingen, technologische ontwikkelingen en veranderende regelgeving.
Governance en Juridische Context van Acceptable Use Policies
Acceptable use policies staan nooit op zichzelf, maar vormen een integraal onderdeel van de bredere informatiebeveiligings- en governance-architectuur van een overheidsorganisatie. In de Nederlandse context sluiten AUP’s aan op onder meer de BIO, de AVG, de Wet open overheid (Woo) en sector-specifieke kaders zoals NVIG, zorgspecifieke normen of gemeentelijke verordeningen. Een goed ontworpen AUP concretiseert deze kaders naar praktisch toepasbare gedragsregels voor medewerkers en externe partijen die AI- en clouddiensten gebruiken, zoals Microsoft 365, Azure en AI-assistenten zoals Copilot. Daarmee vormt de AUP de brug tussen formeel beleid en het dagelijkse handelen in de organisatie.
Voor AI-toepassingen is de noodzaak van duidelijke acceptable use policies extra groot. AI-systemen verwerken vaak grote hoeveelheden gegevens, genereren nieuwe informatie en kunnen beslissingen of advies geven dat direct impact heeft op burgers. Tegelijkertijd is het voor eindgebruikers niet altijd duidelijk welke gegevens op de achtergrond worden opgeslagen, waar deze worden verwerkt en wie er toegang toe heeft. Zonder duidelijke kaders is het bijvoorbeeld verleidelijk om concept-besluiten, juridische documenten of gevoelige casuïstiek in een AI-chatvenster te plakken om snel een samenvatting of herformulering te krijgen. Een AUP moet expliciet maken welke soorten gegevens wel en niet in AI-systemen ingevoerd mogen worden, onder welke voorwaarden dat mag en welke alternatieven er zijn voor zeer gevoelige informatie.
Daarnaast zorgt een AUP voor afstemming tussen juridische, organisatorische en technische maatregelen. Juridisch wordt vastgelegd welke verplichtingen medewerkers hebben, welke sancties kunnen worden opgelegd bij misbruik en hoe de organisatie omgaat met aansprakelijkheid richting burgers en ketenpartners. Organisatorisch worden rollen vastgelegd, zoals de rol van CISO, FG en proceseigenaren bij het opstellen en actualiseren van beleid. Technisch worden de AUP-vereisten vertaald naar configuraties, zoals data loss prevention-beleid in Microsoft 365, conditional access rules voor toegang van buitenaf en logging van AI-gebruik ten behoeve van audits. Een volwassen organisatie zorgt ervoor dat deze drie perspectieven elkaar versterken en dat het beleid niet alleen op papier bestaat, maar aantoonbaar wordt nageleefd in de praktijk.
In governance-termen moet een acceptable use policy aansluiten op bestaande beleidslagen: een strategisch informatiebeveiligingsbeleid beschrijft de ambitie en het risicobeleid, tactisch beleid vertaalt dit naar kaders voor onder meer gebruik van AI en cloud, en operationele procedures en werkinstructies geven aan hoe medewerkers het beleid concreet toepassen. Bij de introductie van nieuwe AI-functionaliteiten, zoals Copilot in Microsoft 365 of specifieke Azure AI-services, moet het AUP-kader vooraf worden herijkt: passen de nieuwe mogelijkheden binnen het bestaande risicoprofiel, welke aanvullende restricties zijn nodig en hoe wordt dit gecommuniceerd naar gebruikers? Door deze herijking expliciet te organiseren, voorkomt de organisatie dat technologie sneller wordt uitgerold dan het bijbehorende governancekader.
Ontwerp en Inhoud van Acceptable Use Policies
Het ontwerpen van een effectieve acceptable use policy begint met een heldere definitie van de scope: voor welke systemen, data en gebruikersgroepen geldt de policy? Voor AI- en clouddiensten binnen de overheid ligt het voor de hand om in ieder geval Microsoft 365, Azure, publieke AI-diensten, test-omgevingen en mobiele toegang tot werkzaamheden onder de AUP te brengen. De policy beschrijft vervolgens in begrijpelijke taal wat van gebruikers wordt verwacht. Dit gaat verder dan een verbod op misbruik; de nadruk ligt op veilig en verantwoord gebruik in lijn met de publieke taak. Denk aan regels over het delen van informatie met externe partijen, het gebruik van eigen apparaten, het werken vanuit huis en het gebruik van generatieve AI bij het opstellen van beleidsstukken of besluiten.
Een kernonderdeel van de AUP is de classificatie van gegevens en de koppeling daarvan aan concreet gedrag. Medewerkers moeten begrijpen dat het verwerken van bijvoorbeeld staatsgeheime of bijzondere persoonsgegevens wezenlijk andere eisen stelt dan het werken met algemeen toegankelijke informatie. In de policy wordt uitgelegd welke classificatiecategorieën de organisatie hanteert, zoals openbaar, intern, vertrouwelijk en zeer vertrouwelijk, en welke gedragsregels horen bij het gebruik van AI en cloud per categorie. Voor vertrouwelijke en zeer vertrouwelijke data kan bijvoorbeeld worden vastgelegd dat deze niet mogen worden ingevoerd in publieke AI-diensten en alleen in strikt afgeschermde, door de organisatie beheerde AI-omgevingen verwerkt mogen worden. Zo wordt het abstracte begrip ‘gevoelige data’ vertaald naar herkenbare voorbeelden voor de dagelijkse praktijk.
Naast dataclassificatie beschrijft de AUP welke typen gebruik expliciet zijn toegestaan, beperkt of verboden. Toegestaan gebruik kan bijvoorbeeld zijn het samenvatten van interne beleidsnotities met behulp van Copilot, zolang de informatie binnen de vertrouwde Microsoft 365-omgeving blijft en de gebruiker eindverantwoordelijk blijft voor de inhoud. Beperkt gebruik kan betrekking hebben op het verwerken van persoonsgegevens: dit mag alleen wanneer er een passende verwerkingsgrondslag is, de FG is betrokken bij de risicoanalyse en de gebruikte AI-dienst contractueel is afgedekt. Verboden gebruik omvat bijvoorbeeld het invoeren van wachtwoorden, authenticatiemiddelen, staatsgeheime documenten of informatie over lopende strafrechtelijke onderzoeken in AI-systemen. De policy werkt deze categorieën uit met concrete voorbeelden, zodat gebruikers niet hoeven te gissen naar de bedoeling van het beleid.
Tot slot bespreekt de AUP hoe verantwoordelijkheden en toezicht zijn georganiseerd. De policy maakt duidelijk dat eindverantwoordelijkheid voor besluiten altijd bij de mens blijft, ook wanneer AI-ondersteuning is gebruikt. Medewerkers wordt uitgelegd dat AI-uitvoer gecontroleerd moet worden op juistheid, bias en volledigheid, en dat zij nooit automatisch AI-gegenereerde teksten mogen overnemen in officiële besluiten of brieven zonder eigen beoordeling. Managers en proceseigenaren krijgen de opdracht om het beleid uit te dragen, teamafspraken te maken en voorbeeldgedrag te tonen. De policy wijst daarnaast vast aanspreekpunten aan, zoals de servicedesk, CISO-office en FG, waar medewerkers terecht kunnen met vragen of twijfelgevallen. Hiermee wordt voorkomen dat medewerkers uit angst voor fouten helemaal geen AI meer durven te gebruiken, terwijl de organisatie juist verantwoord gebruik wil faciliteren.
Technische Handhaving in Microsoft 365 en Azure
Een moderne acceptable use policy wordt niet alleen via documenten afgedwongen, maar vooral via technische configuratie in de gebruikte platformen. In Microsoft 365 betekent dit dat beleid wordt vertaald naar instellingen in onder meer Exchange Online, SharePoint, Teams, OneDrive, Purview en de verschillende Copilot-functionaliteiten. Voorbeelden zijn data loss prevention-beleid dat voorkomt dat documenten met gevoelige persoonsgegevens buiten de organisatie worden gedeeld, gevoeligheidslabels die automatisch worden toegepast bij het opslaan van documenten, en conditional access-regels die het aanmeldgedrag van gebruikers controleren op basis van locatie, apparaat en risicosignalen. Door deze maatregelen te combineren ontstaat een technische veiligheidsriem die gebruikers helpt het beleid onbewust goed na te leven, in plaats van uitsluitend te vertrouwen op bewust gedrag.
Voor AI-gebruik is het essentieel om inzicht te hebben in welke gegevens een AI-assistent kan raadplegen en onder welke voorwaarden. In Microsoft 365 Copilot wordt dit grotendeels bepaald door het bestaande autorisatiemodel in SharePoint, OneDrive en Teams: de AI kan alleen werken met informatie waartoe de gebruiker normaliter al toegang heeft. Toch kan de impact van AI op de beleving van privacy groot zijn, omdat informatie sneller en in bredere context wordt ontsloten. De technische vertaling van de AUP richt zich daarom op het beperken van overmatige toegang, het voorkomen van wildgroei aan Teams-sites en SharePoint-omgevingen en het toepassen van least privilege-principes. Daarnaast kunnen organisaties specifieke instellingen configureren voor het verzamelen van gebruikstelemetrie, het beperken van exportmogelijkheden en het uitsluiten van bepaalde datasets of locaties van AI-indexering wanneer de gevoeligheid dat vereist.
In Azure ligt de nadruk op het afdwingen van beleid via Azure Policy, role-based access control (RBAC) en netwerksegmentatie. Acceptable use-richtlijnen voor ontwikkelteams, zoals het niet gebruiken van publieke testdatasets met echte persoonsgegevens of het niet zomaar koppelen van ontwikkelomgevingen aan productiegegevens, worden vertaald naar beleidsregels die deze fouten technisch onmogelijk of in ieder geval aantoonbaar uitzonderlijk maken. Denk aan policies die alleen geanonimiseerde of synthetische data toestaan in ontwikkelabonnementen, of aan het verplichten van privé-eindpunten en versleutelde verbindingen voor AI-services. Door de technische configuratie te koppelen aan het AUP-document ontstaat een sluitende keten: wat op beleidsniveau is afgesproken, is aantoonbaar ingericht in de cloudomgeving en kan via rapportages aan bestuur en toezichthouders worden verantwoord.
Om te controleren of de technische maatregelen daadwerkelijk aansluiten op de AUP, is continue monitoring noodzakelijk. Securityteams richten dashboards in op basis van Microsoft Defender, Purview en Azure Monitor om gebruikspatronen te analyseren: worden er nog steeds documenten met gevoelige labels naar externe domeinen gemaild, welke AI-functionaliteiten worden het meest gebruikt, en zijn er plotseling pieken in downloadgedrag of externe shares? Afwijkingen worden niet alleen gezien als incidenten, maar ook als signaal dat het beleid mogelijk niet goed begrepen wordt of dat de organisatie aanvullende ondersteuning moet bieden. Door op deze manier een feedbacklus te creëren tussen beleid, techniek en gedrag, blijft de AUP levend en relevant en groeit de organisatie richting een volwassen AI- en cloudgovernance.
Monitoring, Bewustwording en Continue Verbetering
Gebruik PowerShell-script acceptable-use-policies.ps1 (functie Invoke-Monitoring) – Voert een basiscontrole uit op de aanwezigheid en actualiteit van acceptable use policies en rapporteert de status..
Monitoring van acceptable use policies is niet beperkt tot technische logs; het gaat om het totaalbeeld van beleid, gedrag en effectiviteit. De organisatie stelt indicatoren vast die laten zien of het beleid werkt: hoeveel medewerkers hebben de AUP gelezen en expliciet geaccepteerd, welke trainingsmodules over veilig AI-gebruik zijn doorlopen, hoeveel incidenten en bijna-incidenten zijn gemeld, en hoe vaak uitzonderingen op het beleid nodig blijken. Deze informatie wordt periodiek verzameld en besproken in een governance-structuur waarin CISO, FG, CIO en proceseigenaren zijn vertegenwoordigd. Op basis van deze data wordt besloten of het beleid moet worden aangescherpt, vereenvoudigd of beter moet worden uitgelegd.
Bewustwording is een cruciale succesfactor. Een AUP die alleen als PDF op het intranet staat, verandert weinig aan dagelijks gedrag. Overheidsorganisaties combineren daarom het formele beleidsdocument met praktische communicatievormen: e-learnings met herkenbare scenario’s, korte video’s voor nieuwe AI-functionaliteiten, voorbeeldteksten voor e-mails naar ketenpartners en interactieve sessies waarin medewerkers hun vragen kunnen stellen. Bij de introductie van nieuwe AI- en clouddiensten wordt de AUP expliciet meegenomen in onboarding-trajecten en verandercommunicatie. Medewerkers leren niet alleen wat niet mag, maar vooral hoe zij AI verantwoord kunnen inzetten om hun werk beter, sneller en foutlozer te doen binnen de afgesproken kaders.
Continue verbetering betekent dat de AUP regelmatig wordt geëvalueerd en aangepast aan nieuwe risico’s en technologische ontwikkelingen. De opkomst van generatieve AI, strengere regelgeving zoals de EU AI Act of gewijzigde dreigingsbeelden kunnen aanleiding zijn om bepaalde passages aan te scherpen of juist te versoepelen. De organisatie legt vast hoe vaak de AUP wordt herzien, wie daarvoor verantwoordelijk is en hoe wijzigingen worden goedgekeurd en gecommuniceerd. Daarbij wordt nadrukkelijk gekeken naar ervaringen uit audits, penetratietests, incidentanalyses en signalen van medewerkers en ketenpartners. Zo blijft de acceptable use policy geen statisch document, maar een dynamisch instrument dat bijdraagt aan veilige en verantwoorde inzet van AI en cloud binnen de Nederlandse overheid.
Praktische Remediatie en Implementatiestappen
Gebruik PowerShell-script acceptable-use-policies.ps1 (functie Invoke-Remediation) – Genereert een basistemplate voor acceptable use policies en een overzicht van acties om beleid en configuratie op elkaar af te stemmen..
Wanneer uit monitoring blijkt dat de organisatie geen volledig uitgewerkte acceptable use policy heeft voor AI en cloud, of dat bestaand beleid onvoldoende wordt nageleefd, is een gestructureerde remediatieaanpak nodig. De eerste stap is het in kaart brengen van de huidige situatie: welke beleidsdocumenten bestaan er al, welke scope dekken zij af en waar zitten hiaten? Vaak blijkt dat er wel algemene ICT-reglementen of informatiebeveiligingsbeleid zijn, maar dat specifieke afspraken over AI-gebruik, het gebruik van publieke clouddiensten of het delen van gegevens met externe leveranciers ontbreken of versnipperd zijn over meerdere documenten. Door deze documenten te inventariseren en te vergelijken met een gewenste AUP-structuur, ontstaat een duidelijk beeld van de noodzakelijke verbeteringen.
Vervolgens wordt een multidisciplinair team samengesteld met vertegenwoordigers van informatiebeveiliging, privacy, juridische zaken, HR, architectuur, IT-beheer en de belangrijkste businessdomeinen. Dit team krijgt de opdracht om binnen een afgebakende periode een consistente AUP te ontwikkelen of te actualiseren. Daarbij wordt gewerkt met een template waarin alle relevante onderdelen zijn opgenomen: scope en definities, rollen en verantwoordelijkheden, gedragsregels per type dienst en dataclassificatie, afspraken over monitoring en handhaving, en verwijzingen naar toepasselijke wet- en regelgeving. Door tijdens dit proces actief feedback op te halen bij gebruikersgroepen, zoals klantcontactcentra, beleidsafdelingen en toezichthoudende diensten, wordt voorkomen dat de AUP te theoretisch blijft en niet aansluit bij de dagelijkse praktijk.
De laatste stap is de daadwerkelijke implementatie. Dit omvat zowel het formeel vaststellen van de AUP in de governance-structuur van de organisatie als het aanpassen van technische configuraties in Microsoft 365 en Azure om het beleid te ondersteunen. Denk aan het koppelen van de AUP aan inlogportalen, het periodiek opnieuw laten accepteren van voorwaarden, het instellen van data loss prevention-regels die risicovol gedrag blokkeren of waarschuwen, en het opnemen van AUP-onderwerpen in onboarding en periodieke awareness-campagnes. Door de voortgang te volgen via duidelijke mijlpalen en rapportages aan het bestuur, wordt remediatie geen eenmalig project maar een doorlopende inspanning richting volwassen AI- en cloudgovernance.
Compliance & Frameworks
- BIO: 09.01, 09.02, 12.02 - Gedragsregels en gebruiksvoorwaarden voor informatievoorziening en gebruik van IT-middelen binnen de overheid.
- ISO 27001:2022: A.5.1, A.6.1, A.8.1 - Informatiebeveiligingsbeleid, verantwoordelijkheden en aanvaarde gebruiksregels voor informatie en middelen.
- NIS2: Artikel - Beleid en procedures voor beveiligingsmaatregelen en verantwoord gebruik van kritieke diensten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Monitoring en remediatie voor Acceptable Use Policies (AUP) voor AI- en clouddiensten.
.DESCRIPTION
Voert een basiscontrole uit op de aanwezigheid en actualiteit van acceptable use policies
en kan een basistemplate genereren wanneer beleid ontbreekt.
.NOTES
Filename: acceptable-use-policies.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Last Modified: 2025-11-26
Version: 1.0
Related JSON: content/ai/governance/acceptable-use-policies.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\acceptable-use-policies.ps1 -Monitoring
Voert een controle uit op de aanwezigheid en actualiteit van AUP-documenten.
.EXAMPLE
.\acceptable-use-policies.ps1 -Remediation
Genereert een basistemplate voor een acceptable use policy.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
# Configuratie
$PolicyRootPath = "D:\Github\m365-tenant-best-practise\documentatie\beleid"
$PolicyFileName = "acceptable-use-policy-ai-cloud.md"
$MaxPolicyAgeDays = 365
function Test-AcceptableUsePolicies {
<#
.SYNOPSIS
Controleert de aanwezigheid en actualiteit van AUP-documenten.
.OUTPUTS
PSCustomObject met compliance resultaten.
#>
[CmdletBinding()]
param()
Write-Verbose "Controleren van acceptable use policies in: $PolicyRootPath"
if (-not (Test-Path -Path $PolicyRootPath)) {
Write-Host " Beleidfolder bestaat niet: $PolicyRootPath" -ForegroundColor Red
return [PSCustomObject]@{
IsCompliant = $false
PolicyPath = $null
Exists = $false
IsUpToDate = $false
DaysSinceUpdate = $null
ValidationMessages = @("Beleidfolder ontbreekt.")
}
}
$policyPath = Join-Path -Path $PolicyRootPath -ChildPath $PolicyFileName
$messages = @()
if (-not (Test-Path -Path $policyPath)) {
$messages += "AUP-document ontbreekt: $policyPath"
Write-Host " ❌ Acceptable use policy niet gevonden: $policyPath" -ForegroundColor Red
return [PSCustomObject]@{
IsCompliant = $false
PolicyPath = $policyPath
Exists = $false
IsUpToDate = $false
DaysSinceUpdate = $null
ValidationMessages = $messages
}
}
$policyFile = Get-Item -Path $policyPath
$daysSinceUpdate = (Get-Date) - $policyFile.LastWriteTime
$isUpToDate = $daysSinceUpdate.Days -le $MaxPolicyAgeDays
if ($isUpToDate) {
Write-Host " ✅ AUP-document aanwezig en actueel (laatste wijziging: $($policyFile.LastWriteTime.ToString('yyyy-MM-dd')))" -ForegroundColor Green
}
else {
Write-Host " ⚠️ AUP-document is verouderd (laatste wijziging: $($policyFile.LastWriteTime.ToString('yyyy-MM-dd')))" -ForegroundColor Yellow
$messages += "AUP-document ouder dan $MaxPolicyAgeDays dagen."
}
# Eenvoudige inhoudscontrole op enkele kernsecties
$requiredSections = @(
"## Scope",
"## Rollen en verantwoordelijkheden",
"## Gedragsregels",
"## Monitoring en handhaving",
"## Herziening en beheer"
)
$content = Get-Content -Path $policyPath -ErrorAction SilentlyContinue
foreach ($section in $requiredSections) {
if (-not ($content -match [regex]::Escape($section))) {
$messages += "Ontbrekende sectie in AUP: $section"
Write-Verbose "Ontbrekende sectie gedetecteerd: $section"
}
}
$isCompliant = $isUpToDate -and ($messages.Count -eq 0)
return [PSCustomObject]@{
IsCompliant = $isCompliant
PolicyPath = $policyPath
Exists = $true
IsUpToDate = $isUpToDate
DaysSinceUpdate = $daysSinceUpdate.Days
ValidationMessages = $messages
}
}
function New-AUPTemplate {
<#
.SYNOPSIS
Genereert een basistemplate voor een acceptable use policy.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$template = @"
# Acceptable Use Policy voor AI- en clouddiensten
**Laatste wijziging:** $(Get-Date -Format "yyyy-MM-dd")
**Eigenaar:** [Naam functie, bijv. CISO / Hoofd Informatievoorziening]
**Versie:** 1.0
## Scope
Deze acceptable use policy is van toepassing op alle medewerkers, externe inhuur, stagiairs en ketenpartners die AI- en clouddiensten gebruiken in het kader van de werkzaamheden voor [organisatie]. De policy bestrijkt onder meer Microsoft 365, Azure, goedgekeurde AI-assistenten (zoals Copilot) en andere door de organisatie aangewezen clouddiensten.
## Rollen en verantwoordelijkheden
Beschrijf hier de rollen (bijvoorbeeld bestuur, CISO, FG, proceseigenaren, leidinggevenden, gebruikers) en hun verantwoordelijkheden bij het opstellen, naleven en handhaven van de AUP.
## Gedragsregels
Beschrijf concreet welk gebruik is toegestaan, beperkt of verboden. Gebruik herkenbare voorbeelden, bijvoorbeeld over het invoeren van persoonsgegevens in AI-systemen, het delen van documenten via cloudopslag en het gebruik van privé-apparaten.
## Monitoring en handhaving
Beschrijf hoe naleving wordt gecontroleerd (bijvoorbeeld via logregistratie, DLP, audits), welke maatregelen worden genomen bij overtreding en hoe proportioneel wordt omgegaan met toezicht op gebruikersgedrag.
## Herziening en beheer
Beschrijf hoe vaak deze policy wordt herzien, wie de eigenaar is van het document en hoe wijzigingen worden goedgekeurd en gecommuniceerd.
"@
$folder = Split-Path -Path $OutputPath -Parent
if (-not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$template | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host " Template aangemaakt: $OutputPath" -ForegroundColor Green
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert monitoring uit op AUP-compliance.
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: Acceptable Use Policies voor AI en Cloud" -ForegroundColor Yellow
Write-Host "===================================================" -ForegroundColor Yellow
$result = Test-AcceptableUsePolicies
Write-Host "`nResultaten:" -ForegroundColor Cyan
Write-Host " Policy pad: $($result.PolicyPath)" -ForegroundColor Cyan
Write-Host " Bestaat: $($result.Exists)" -ForegroundColor Cyan
Write-Host " Actueel: $($result.IsUpToDate)" -ForegroundColor Cyan
if ($result.DaysSinceUpdate -ne $null) {
Write-Host " Dagen sinds laatste wijziging: $($result.DaysSinceUpdate)" -ForegroundColor Cyan
}
if ($result.ValidationMessages.Count -gt 0) {
Write-Host "`n Details:" -ForegroundColor Yellow
foreach ($msg in $result.ValidationMessages) {
Write-Host " - $msg" -ForegroundColor Yellow
}
}
if ($result.IsCompliant) {
Write-Host "`n✅ COMPLIANT - Acceptable use policy is aanwezig en voldoet aan basiscontroles." -ForegroundColor Green
return $result
}
else {
Write-Host "`n❌ NON-COMPLIANT - Er zijn aandachtspunten voor beleid en/of actualiteit." -ForegroundColor Red
Write-Host " Gebruik -Remediation om een basistemplate te genereren." -ForegroundColor Yellow
return $result
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert een basistemplate voor een acceptable use policy indien nodig.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: Acceptable Use Policy Template" -ForegroundColor Yellow
Write-Host "==========================================" -ForegroundColor Yellow
$policyPath = Join-Path -Path $PolicyRootPath -ChildPath $PolicyFileName
if ($WhatIf) {
Write-Host " [WhatIf] Zou template genereren op: $policyPath" -ForegroundColor Yellow
return
}
New-AUPTemplate -OutputPath $policyPath
Write-Host "`n✅ Basis-template voor acceptable use policy is aangemaakt. Vul dit document verder in volgens de organisatiespecifieke eisen." -ForegroundColor Green
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Acceptable Use Policies Monitoring" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($Monitoring) {
Invoke-Monitoring | Out-Null
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
# Standaard: voer een korte controle uit
$null = Invoke-Monitoring
}
}
catch {
Write-Error "Er is een fout opgetreden: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder heldere en gehandhaafde acceptable use policies voor AI en cloud lopen overheidsorganisaties een verhoogd risico op datalekken, AVG-incidenten, schendingen van de BIO en verlies van vertrouwen van burgers en toezichthouders.
Management Samenvatting
Richt een samenhangend stelsel van acceptable use policies in voor AI en cloud, vertaal dit naar technische maatregelen in Microsoft 365 en Azure, en monitor actief op naleving. Dit verkleint risico’s en maakt verantwoording richting bestuur en toezichthouders mogelijk.
- Implementatietijd: 80 uur
- FTE required: 0.4 FTE