Het privacybeleid van Dextools.nl

1. Inleiding
Dit privacybeleid gaat over het beschermen van persoonsgegevens in alle relevante processen van Dextools. Onder persoonsgegevens wordt verstaan alle informatie over of herleidbaar tot een natuurlijk persoon (de betrokkene). Voor de hand liggende persoonsgegevens is bijvoorbeeld een naam, adres, BSN en een emailadres. Maar financiële gegevens, IP-adressen of foto’s kunnen ook onder persoonsgegevens worden geschaard.

Het doel van dit beleid is medewerkers te informeren over de wijze waarop Dextools met persoonsgegevens omgaat.


1.1 Beheer privacybeleid
De directie is verantwoordelijk voor het beheer van het privacybeleid.


1.2 Werkingsgebied
Dit beleid is van toepassing op de gehele Dexman organisatie en van iedere medewerker wordt geacht dat hij/zij hieraan voldoet.


1.3 Doel
De doelstelling van privacy is het waarborgen van de beveiliging en de rechtmatige verwerking van de persoonsgegevens van de Dextools-medewerkers en de Dextools-relaties. Iedereen moet erop kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd en worden verwerkt voor het doel waarvoor het is verzameld. Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens.

Het is voor de directie van Dexman van essentieel belang dat cliënten, medewerkers en andere belanghebbenden kunnen werken in een veilige omgeving waarbij een zorgvuldige en respectvolle omgang met elkaar en met privacygevoelige informatie gewaarborgd is.

De waarde van privacy voor Dextools

Teneinde van waarde te zijn voor Dextools, moet privacy haar primaire processen en organisatiedoelstellingen ondersteunen. Hierbij staat steeds de cliënt en de medewerker centraal.
De uitkomst hiervan is:
– zorgdragen dat mensen en middelen veilig kunnen werken;
– het voldoen aan randvoorwaardelijke eisen van privacy. Verlies van beschikbaarheid, integriteit en vertrouwelijkheid van informatie vergroot de kans op privacyincidenten;
– vertrouwen bieden in een zorgvuldige omgang met privacy gevoelige informatie;
– het voldoen aan relevante wet- en regelgeving;
– het beschermen en uitbouwen van haar reputatie.
– het voldoen aan interne kwaliteitseisen.

2. Beleid
Dextools wil een omgeving bieden waarin de privacy van cliënten, medewerkers en andere belanghebbenden wordt geborgd en waarin duidelijk is wat de rechten en plichten zijn van alle partijen. Zowel voor cliënten als voor medewerkers betekent dit dat ze gerust kunnen zijn in het besef dat zorgvuldig en discreet met privacygevoelige informatie omgegaan wordt.
Concreet betekent dit dat ten allen tijde de toegang tot privacygevoelige informatie beperkt is tot de vastgestelde verantwoordelijken en de cliënt zelf en waar benodigd ondersteunende diensten zoals beheer.

Een veilige werkomgeving wordt bereikt door teamwork. Iedereen is verantwoordelijk voor zijn eigen handelen en voor elkaar. Het is daarom van groot belang om elkaar te helpen en elkaar aan te spreken op onveilig gedrag.

– Dextools streeft ernaar te voldoen aan alle, van toepassing zijnde, wet- en regelgeving, waarbij dit beleid is gericht op de Algemene Verordening Gegevensbescherming;
– Dextools voert een actief beleid om het beveiligingsbewustzijn te stimuleren van eenieder die werkzaamheden verricht in naam van Dextools;
– Dextools hanteert een gedegen inwerkprogramma voor al haar medewerkers met aandacht voor de omgang met privacygevoelige informatie;
– Dextools hanteert een clean desk, clear screen beleid;
– Dextools hanteert een beleid dat alle cliëntgegevens in [naam applicatie] verwerkt worden;
– Dextools hanteert een beleid dat alle medewerkergegevens in Multivers verwerkt worden;
– Er wordt geen vertrouwelijke informatie op verwijderbare media zoals USB-sticks opgeslagen
– De ICT afdeling draagt zorg voor het ter beschikking stellen van de benodigde ICT middelen en de beveiliging daarvan.

Privacydoelstellingen
– De directie van Dextools draagt het privacybeleid actief uit en verwacht van alle medewerkers dat zij dat ook doen en ieders verantwoordelijkheid daarin neemt;
– Zorgdragen dat incidenten ontdekt, gemeld en afgehandeld worden;
– Zorgdragen dat tekortkomingen afgehandeld worden;
– Het waarborgen van de privacy van de informatie van cliënten;
– Zorgdragen voor bescherming van de informatie en haar onderliggende systemen tegen cyber criminaliteit;
– Zorgdragen dat kwetsbaarheden geïdentificeerd en weggenomen worden;
– Zorgdragen dat informatiesystemen te allen tijde up to date zijn;
– Zorgdragen voor de beschikbaarheid van de informatiesystemen;
– Het waarborgen van de privacy van de personeelsinformatie;
– Zorgdragen dat het personeel adequaat getraind is om de aan haar toegewezen privacytaken –en verantwoordelijkheden te vervullen
– Zorgdragen dat personeel geschikt is voor de functie waarvoor ze in aanmerking komt;
– Zorgdragen voor bescherming van de informatie en haar onderliggende systemen tegen criminele risico’s (diefstal, inbraak).


2.1 Reikwijdte en de rol van Dextools
Dit beleid is van toepassing op alle bedrijfsprocessen, informatiesystemen, netwerken, toepassingen, locaties en medewerkers onder de noemer Dextools

Dexman heeft twee rollen in het kader van het verwerken van persoonsgegevens: verwerker en verwerkingsverantwoordelijke.

Verwerker
Dextools verwerkt in het kader van de Dextools organisatie gegevens van leveranciers die diensten verlenen. Dextoolsis verantwoordelijk voor de verwerking van de persoonsgegevens maar heeft een deel uitbesteed aan grizzly marketing. In deze hoedanigheid verwerkt Dextools persoonsgegevens van leveranciers en heeft de gedelegeerde plicht om op een verantwoorde wijze met de persoonsgegevens om te gaan.

Verwerkingsverantwoordelijke
Dextools heeft daarnaast in de rol als verantwoordelijke direct zeggenschap over:
– Personeelsgegevens (als werkgever), sollicitanten en ingehuurde medewerkers;
– Gegevens van cliënten (bijvoorbeeld via camerabeelden en andere informatiekanalen).

Externe partijen
Dextools huurt specifiek in het kader van salarisverwerking van medewerkers ADP in en hiervoor is wel een verwerkersovereenkomst opgesteld die wederzijdse afspraken vastlegt omtrent de verwerking van deze persoonsgegevens.

2.2 Definities
Component : Alles wat voor Dextools een waarde vertegenwoordigt, in de vorm van fysieke objecten of informatie; synoniem met bedrijfsmiddel en asset.
Beveiligingsstandaard : Standaardniveau van beveiliging.
Eigenaar, Eigendom : Als er wordt gesproken over eigenaar of eigendom van een component wordt hiermee bedoeld de verantwoordelijkheid voor de werking ervan.
Beschikbaarheid : De mate waarin geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot componenten.
Integriteit : De mate van correctheid en volledigheid van informatie en informatieverwerking.
Vertrouwelijkheid : De mate waarin informatie beschermd moet worden tegen ongeautoriseerde openbaarmaking.
Incident : Een gebeurtenis met ongewenste gevolgen; bijvoorbeeld een beveiligingsincident.
Dreiging : De kans dat een bepaald incident zich voor doet.
Kwetsbaarheid : De verwachte (financiële) impact van een incident.
Risico : De combinatie van dreiging en kwetsbaarheid op een bepaalde component.
Restrisico : Het risiconiveau dat achterblijft na het nemen van maatregelen; de aanname hierbij is dat risico’s, hoe klein ook, altijd blijven bestaan.
Datalek : Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

3. Verantwoordelijkheden

3.1 Managementverantwoording

Beheersing van kwaliteit en informatiebeveiliging en privacy aspecten wordt bereikt door een stelsel van organisatorische en technische maatregelen. Deze maatregelen betreffen: een strategisch beleid, richtlijnen, procedures, gedragscodes, werkinstructies, een organisatie en controles. Medewerkers dienen bewust te worden gemaakt van het belang van deze maatregelen en daar waar nodig geïnstrueerd te worden.

Hierbij neemt Dextools het volgende standpunt in: Dextools treft al die maatregelen die noodzakelijk en in economische zin rendabel zijn om de veiligheid van de informatie en het personeel te waarborgen, aan de relevante wet- en regelgeving te voldoen, de continuïteit van de bedrijfsvoering te waarborgen en om de reputatie te beschermen.

De directie van Dextools is verantwoordelijk voor de borging van privacy zal via delegatie naar medewerkers de taken en verantwoordelijkheden beleggen voor de implementatie en beheer van maatregelen voortkomend uit dit beleid.

3.2 Medewerkersverantwoording

Alle medewerkers van Dextools hebben de verantwoording tot naleving van dit beleid en opvolging van de maatregelen welke voortvloeien uit dit beleid. Identificatie van incidenten of non compliance t.a.v. dit beleid dienen gemeld te worden aan de leidinggevende.

3.3 Beoordeling en corrigerende maatregelen

Dextools zal de maatregelen welke voortkomen uit dit beleid periodiek controleren middels controles en eventueel interne en externe audits t.a.v. (kosten)effectiviteit. Jaarlijks zal de directie effectiviteit van dit privacybeleid beoordelen op basis van verzamelde gegevens en informatie.

Input voor deze beoordeling is o.a.:
– Registratie van incidenten en non-compliance issues
– Registraties van controle, interne en externe audits
– Klanttevredenheidsonderzoeken
– Leveranciersbeoordelingen
– Risicoanalyse output
– Privacy Impact Assessments
– Medewerkerscompetenties
– Bewustwording en training
– Wet- & regelgeving
Op basis van de (tussentijdse) beoordelingen zullen waar mogelijk corrigerende en of preventieve maatregelen worden doorgevoerd. Corrigerende en preventieve maatregelen kunnen ook voortkomen uit overleggen en bijbehorende rapportages. Op een dusdanige wijze dat de kans op herhaling geminimaliseerd wordt.

3.4 Documentatie

3.4.1 Gedocumenteerde informatie

Dextools draagt zorg voor de verplichte documentatie die binnen de scope van het privacybeleid vallen. Daarnaast wordt bepaald welke aanvullende documentatie benodigd is om de effectiviteit van het privacybeleid te borgen.

3.4.2 Classificatie van gegevens

Voor een effectieve bescherming van de privacy is vereist dat de waarde van de informatie voor de onderneming bekend is. Classificatie van privacy gevoelige informatie in termen van vereiste vertrouwelijkheid, integriteit en beschikbaarheid:
– informeert het management en medewerkers over wat moet worden beschermd en hoe informatiemiddelen op een standaard manier kunnen worden beschermd;
– toont de waarde van middelen aan medewerkers, zodat het bewustzijn van beveiliging binnen hun dagelijkse werkzaamheden wordt gestimuleerd;
– stelt Dextools in staat te voldoen aan eventuele wettelijke en contractuele verplichtingen.
De eigenaar van de informatie blijft verantwoordelijk voor het up-to-date houden van de identificatie van informatiemiddelen en de toegekende waarde van elk van de geïdentificeerde middelen.

4. Aanpak van privacy

4.1 Risicomanagement

4.1.1 Risicobewustzijn

Risicobewustzijn van alle medewerkers van Dextools is de sleutel tot een effectief privacybeleid. Risicobewustzijn wordt volledig ondersteund door de directie van Dextools en zal gestimuleerd worden door middel van training en publicaties. Het risicobewustzijn wordt ook ondersteund door het opstellen en naleven van reglementen en zal indien nodig ook aandacht krijgen in functiebeschrijvingen en arbeidscontracten of inhuurovereenkomsten.

4.1.2 Risico-identificatie

Via een vastgestelde methodiek worden mogelijke dreigingen ten aanzien van privacyrisico’s geïdentificeerd en geïndexeerd. Het management zal de resultaten hieruit voortkomend beoordelen en ‘zo kosten effectief mogelijk’ maatregelen implementeren ter vermindering van het risico tot een acceptabel niveau.

4.2 Beperkte toegang

Toegang tot informatie en IT-faciliteiten zal op basis van ‘need to know’ worden beperkt zodat gebruikers toegang krijgen tot datgene wat noodzakelijk is voor het uitvoeren van de functie. Dit is één van de essentiële principes van veilig informatiebeheer. Toegang tot informatiesystemen wordt geïnitieerd door de leidinggevende van de medewerker op basis van toegekende autorisaties en de medewerkersrol. Na het accorderen door de informatie- of informatiesysteemeigenaar zullen de autorisaties worden toegekend.

4.3 Informatie eigendom

ICT middelen die aan Dextools medewerkers beschikbaar worden gesteld, dienen voor zakelijke doeleinden toegepast te worden. Opgeslagen en verwerkte informatie van of voor Deman op systemen van de onderneming blijft te allen tijde eigendom van de Dexman organisatie. De internationale en lokale privacywetgeving zal gehandhaafd worden wanneer een beroep wordt gedaan op eigendomsrechten.