Algemeen

Deel 1.

Het huidige gegevensbeschermingsproces van Dasagroup BV regelt de verwerking van persoonsgegevens. Voor zover nodig wordt dit basisproces geconcretiseerd en aangevuld met gegevensbeschermingsconcepten speciaal afgestemd op individuele projecten. De gegevens die door de Opdrachtgever worden verstrekt voor verwerking, verschillen afhankelijk van het doel van de verwerking. De Opdrachtgever bepaalt het doel van gebruik.

Deel 2: Bijzondere taken van de bedrijfsleiding

2.1 Het bedrijfsmanagement draagt ​​de verantwoordelijkheid voor een toereikende bescherming van de gegevens. Om de naleving van de voorschriften inzake gegevensbescherming te waarborgen en controleren, benoemt de bedrijfsleiding de functionaris voor gegevensbescherming. Niettemin moeten de projectmanagers en projectmedewerkers zorgen voor een onafhankelijke en toereikende verantwoordelijkheid voor voldoende gegevens-bescherming in de afzonderlijke projecten.

2.2 Indien persoonsgegevens worden verwerkt, worden deze beschermd tegen ongeoorloofde toegang. Het bedrijfsmanagement is verantwoordelijk voor de toewijzing van  toegangsrechten voor deze gegevens. De toewijzing van de sleutels wordt uitgevoerd volgens de noodzaak aan gebruik. Alle sleutelhouders worden opgenomen in een lijst. Het sleutelbezit wordt regelmatig gecontroleerd. Als een sleutelhouder van het bedrijf uit dienst treedt, moet hij onmiddellijk  alle sleutels teruggeven. Verlies moet onmiddellijk aan het management worden gemeld.

Deel 3: Projectmedewerkers

 3.1 Dasagroup BV draagt er zorg voor dat de personen die belast zijn met de gevoelige  delen van het productieproces nodig zijn om de specifieke taken van de kennis uit te voeren. Als speciale kennis en beschermende maatregelen vereist zijn, zullen deze worden gecommuniceerd aan projectmedewerkers in proces gerelateerde trainingsmaatregelen.

3.2 Alle leden zijn op de hoogte van de regels inzake gegevensbescherming voor de verwerking van persoonsgegevens door de Wet AVG en voldoen aan deze voorschriften. Medewerkers worden regelmatig op de hoogte gebracht van hun verplichting om zich aan de voorschriften te houden.

Deel 4: behandelen persoonsgegevens

inrichting voor gegevensverwerking volgens de AVG alsmede begrip omtrent gegevensbescherming

4.2 De betreffende informatie en/of informatiedragers worden digitaal op projectbasis opgeslagen in beschermde Microsoft Sharepoint omgeving) en alleen gebruikt ten behoeve van project-omschreven en projectgerelateerde doeleinden. Toegang tot projectgerelateerde documenten is alleen toegestaan ​​aan bevoegde medewerkers van het betreffende project. De databestanden automatisch worden na verloop van tijd (ca. 3 maanden) vernietigd en niet meer bij Dasagroup BV aanwezig zijn.

4.2 Na overleg en in opdracht met de Opdrachtgever kunnen reeds verwerkte gegevens om economische redenen worden opgeslagen voor eventuele noodzakelijke postproductie voor een gedefinieerde periode . Alleen de afdelingsmanager of projectmedewerkers hebben toegang tot de documenten. Na verwerking of afloop van de overeengekomen bewaarperiode worden de gegevens die bij een project horen, automatisch vernietigd.

De Opdrachtgever is de verantwoordelijke instantie volgens AVG. Tussen de Opdrachtgever en Dasagroup BV wordt een verklaring van verbintenis tot gegevensbescherming gesloten op basis van een bestelling. Dit definieert de reikwijdte van gebruikte computerprogramma’s, gegevensbescherming en veiligheidsmaatregelen van de aannemer (Privacy-Verdrag) en het gezag van de Opdrachtgever met alle gegevensbescherming relevante kwesties.

Deel 5: Gegevensverzameling en back-up

5.1 De computeradministratie is de verantwoordelijkheid van de ICT-partner. Alle computers in het bedrijfsnetwerk zijn beveiligd met een wachtwoord en een 2-factor identificatie. Toegang tot computers waarop persoonsgegevens worden verwerkt, is ook alleen toegestaan ​​aan bevoegde medewerkers.

5.2 De wachtwoorden zijn persoonlijk en daarom exclusief bekend aan de medewerkers en zijn gecodeerd. Alleen de systeembeheerder en de ICT-partner hebben toegang tot alle gegevens van het projectpersoneel in opdracht van het management. Het wordt schriftelijk vastgelegd op welke gegevens / netwerkgebieden de respectieve projectmanager toegang heeft.

5.3 Met de Microsoft Sharepoint omgeving van Dasagroup BV kunnen meerdere personen bestanden delen en ermee samenwerken. Elke gebruiker kan afzonderlijke dataruimten aanmaken en andere personen uitnodigen om bestanden uit te wisselen. De gegevens die zijn opgeslagen in de Microsoft Sharepoint zijn altijd gecodeerd.

Deel 6: Behandeling van persoonlijke gegevens

6.1 Persoonlijke gegevens worden uitsluitend opgeslagen voor verwerking volgens de bepalingen van de Opdrachtgever in het bedrijf.

6.2 Persoonlijke gegevens worden zo snel mogelijk verwijderd of vernietigd. Uiterlijk 90 dagen na de afgifte van de post / goederen of na het verstrijken van de overeengekomen bewaringstermijn.

6.3 Dasagroup BV verzamelt geen persoonlijke gegevens, maar verwerkt deze uitsluitend volgens de specificaties en doelstellingen van de Opdrachtgever.

6.4 Als persoonsgegevens in een project verder worden verwerkt, is de verwerking van deze gegevens alleen toegestaan ​​aan de bevoegde medewerkers. Productiemedewerkers komen indirect en alleen in het kader van zijn taak in contact met persoonsgegevens.

6.5 De projectmanager en het geautoriseerde projectpersoneel zijn verantwoordelijk voor de vernietiging van gegevens of gegevensdragers die niet meer nodig zijn, evenals alle andere persoonlijke documenten die niet langer nodig zijn.

6.6 Er is geen publicatie van persoonlijke gegevens. Samples moeten altijd worden gemaakt met Voorbeeldgegevens sets (“De heer Model”).

Deel 7: hantering voor verwerking geleverde data

7.1  Bij ontvangst van de data worden deze door de projectleider onder  het vastgelegd project opgeslagen in het beveiligde SHAREPOINT netwerk (Data Room).

7.2 De verwerking van gegevens is uitsluitend voorbehouden aan medewerkers die zich hebben gecommitteerd aan het gegevensgeheim. Elk projectlid mag alleen gegevens bewerken voor het project waarin hij werkt.

7.3 Eventuele gegevensdragers worden altijd in beveiligde opslagruimten opgeslagen verwerking. Het is niet toegestaan ​​om gegevensdragers of tussenproducten onbeheerd achter te laten in de werkruimten.

7.4 Direct na afronding van de verwerking worden de verwerkte datadragers door de projectmanager of een van de formeel verplichte projectmedewerkers in een beveiligde ruimte teruggezet en verzegeld.

Deel 8: Inzet van toeleveranciers

8.1  Dasagroup BV heeft al haar suppliers geselecteerd op het mogelijk verwerken van Data. Deze suppliers worden verplicht geacht zich aan alle AVG regelgevingen te houden. Indien niet aan één van deze voorwaarden is voldaan, kan van samenwerken geen sprake zijn.

Deel 9: doelstellingen van de beveiliging, beschikbaarheid van diensten en/of functies van het IT-systeem

De ideale situatie is dat functies van een IT-systeem continu actief zijn of binnen een bepaalde tijd beschikbaar worden gemaakt en dat het functioneren en functionaliteit van het IT-systeem nimmer tijdelijk of niet permanent beperkt wordt. In deze context kan de noodzaak tot beschikbaarheid van informatie of gegevens aanzienlijk zijn.

Integriteit van informatie of gegevens:

Deze mogen alleen door geautoriseerde personen worden gewijzigd en mogen niet op ongepaste wijze worden gewijzigd. Programma’s worden ook beïnvloed door deze basisbedreiging, omdat de integriteit van de gegevens alleen kan worden gegarandeerd als ze op de juiste manier worden verwerkt en verzonden. Daarnaast zijn de integriteit, volledigheid, consistentie en juistheid belangrijk.

Deel 10: Slotbepalingen

Dit concept gegevensbescherming is beschikbaar voor alle projectdeelnemers.

IT security concept: Extra uitleg over de technische en organisatorische maatregelen

1. Toegangscontrole

Het voorkomen van toegang van onbevoegde personen in het gebouw, als ook individuele beveiligde gebieden binnen het gebouw wordt verzekerd door de hieronder beschreven toegangscontrole:

1.1 Gebouw heeft een toegangsbeperking bij de ingang van de parkeerplaats en de ingang van het Personeel d.m.v. een persoonlijk uitgereikte ‘druppel’. Bezoekers hebben alleen via de hoofdingang toegang tot het gebouw die uitsluitend kan worden geopend door een elektronisch deuropeningssysteem en wordt ten alle tijden persoonlijk ontvangen en begeleid.

1.2 Alle afdelingen worden bewaakt door bewegingsmelders. In het geval van een inbraak, zal het alarm worden gemeld aan de politie en het management van Dasagroup BV.

2. Beheer IT-administratie Systeembeheer

 Registratie van gegevensverzameling, de traceerbaarheid en documentatie van het gegevensbeheer worden verzekerd door de logbestanden binnen SHAREPOINT. Dit maakt het mogelijk om vervolgens te controleren of- en door wie gegevens zijn ingevoerd, gewijzigd, verwijderd of verwijderd. Alle logbestanden kunnen afzonderlijk worden opgeslagen op verzoek van de Opdrachtgever en kunnen worden getoond aan de gebruikers.

Het bevoegdheidsbereik van de individuele gebruikers is gedefinieerd en bekend.

3. Toegangsbeheer

Om voldoende bescherming van de systemen tegen virusaanvallen van internet of andere soorten virusoverdracht te bieden, heeft de ICT partner van Dasagroup BV uitgebreide antivirussoftware en firewallbescherming geïnstalleerd.

De werkstations en het mailsysteem worden beschermd door de software, die de huidige antivirusbestanden regelmatig van internet verzamelt en automatisch naar alle systemen distribueert. Regelmatige updates worden uitgevoerd.

3.1 De werkstations (Thin Clients) worden beschermd door antivirus software en firewall Bescherming. Er kan uitsluitend worden gewerkt op de beschermde Cloud Server. De Thin Clients kunnen niet stand alone gegevens verzamelen of op het internet. komen Toegang tot het netwerk wordt beveiligd door individuele wachtwoorden. Wachtwoordbeleid: combinatie van letters, cijfers en speciale tekens.

3.2 Elk inkomend en uitgaand e-mailverkeer dat alleen via een mailserver verloopt, wordt gecontroleerd door een speciaal geïnstalleerde ‘agent’ en gecontroleerd op virussen.

4. Vertrouwelijkheid

4.1 Alle medewerkers van Dasagroup BV zijn geïnstrueerd in overeenstemming met § 5 en § 43 van de AVG en hebben zich contractueel gecommitteerd aan geheimhouding, in het bijzonder met betrekking tot Opdrachtgevergegevens. De functionaris voor gegevensbescherming is naar behoren benoemd. Uitsluitend werknemers van het bedrijf verblijven op het terrein van Dasagroup BV. In het geval van de in dienst name van een persoon, wordt die direct onderworpen zijn aan de beschermende bepalingen volgens AVG.

4.2 Er wordt een overeenkomst gesloten om de vertrouwelijkheid en gegevensbescherming te garanderen met leveranciers die in opdracht van Dasagroup BV de werkzaamheden uitvoeren. Deze overeenkomst omvat ook een toezegging van geheimhouding aan de werknemers van de leverancier. In dit geval van onder aanneming van een dienst, is een ieder onderworpen aan de beschermingsvoorschriften volgens AVG.

4.3 In het kader van een naadloze gegevensbescherming worden onbruikbare halffabricaten en stuklopers alsook de restantmaterialen tijdens én na het leveren van de opdracht afgevoerd in afsluitbare en beveiligde containers gecertificeerd vernietigd.

5. Toegangscontrole

Systemen die door verschillende gebruikers worden gebruikt, moeten worden beschermd door toegangscontroles. In termen van toegangscontrole is dit de algemene toegang. De toegangen worden opgegeven op directoryniveau. De gedeelde mappen en directory’s op de verschillende data-opslag-servers worden beheerd via gerelateerde toestemmingen, zodat alleen de werknemers in bepaalde werkgebieden toegang hebben tot hun relevante directories. In het beheersgebied daarentegen worden de toegangsrechten voor de individuele gebruiker aan de gedeelde mappen opnieuw per afdeling beheerd. In SHAREPOINT is er ook een Opdrachtgeverspecifieke afbakening.

5.1 Ter bescherming tegen ongeautoriseerde toegang worden alle werkstations beschermd door de Active Directory van het Windows-domein. Elke medewerker met een pc-werkstation heeft zijn eigen stamrecord van de gebruiker in de ADS-database van het Windows-domein. Wanneer u de computer opstart, is er een aanmelding bij een domein controller nodig om toegang tot bedrijfskritische data in het netwerk te krijgen en in staat zijn om te werken op server niveau. De wachtwoorden van de gebruikersaccounts zijn onderworpen aan bepaalde richtlijnen waaraan moet worden voldaan bij het toewijzen van een wachtwoord. Bij het verlaten van de werkplek worden de werknemers geïnstrueerd om hun computerwerkstation te vergrendelen. Bovendien wordt de activering van de schermbeveiliging met geactiveerde wachtwoordbeveiliging na 15 minuten ingesteld. Door Groepsbeleid op alle pc-werkstations uit te voeren en door het automatisch uitvoeren van een login-script bij aanmelding bij het Windows-domein, worden aanvullende beveiligingsinstellingen geactiveerd. De vermelde veiligheidsmaatregelen worden afzonderlijk verdeeld op basis van functionele gebieden.

5.2 De servers bevinden zich in de cloud. Alleen de medewerkers van de ICT Partner hebben toegang tot de servers via één beheerdersaccount. De door de gebruiker gedefinieerde beheerdersaccountwachtwoorden zijn onderworpen aan een hoger wachtwoordbeleid zoals beschreven in Paragraaf 3.1. Toegangsgegevens voor universeel gebruikte service- of beheerdersaccounts zijn alleen bekend bij de medewerkers van de IT / administratie. Alleen de systeembeheerder heeft onbeperkte toegang tot alle mappen.

5.3 Wijzigingen in de gegevens kunnen ongedaan worden gemaakt met behulp van systeemback-ups. De door de Opdrachtgever geleverde datasets worden versleuteld opgeslagen op de SHAREPOINT server. De verwerking vindt alleen plaats op een kopie van de originele gegevens. Dagelijkse, wekelijkse en maandelijkse back-ups worden uitgevoerd. De database op de FTP-server van de Opdrachtgever is uitgesloten van de back-up. Dagelijkse en wekelijkse back-ups omvatten niet de volledige database.

6. Beschikbaarheidscontrole

 Om de gegevensbeveiliging van bedrijfskritieke gegevens te waarborgen, maakt Dasagroup BV gebruik van een beveiligingsproces. Opgemerkt moet worden dat de technologieën die in het concept worden gebruikt, actueel zijn, maar worden bijgewerkt naarmate de technologie vordert.

6.1 Om de IT-omgeving te beveiligen, heeft Dasagroup BV haar gehele beveiligingsproces middels een cloud server omgeving uitbesteed aan hun ICT Partner. Het niveau van veiligheid omvat de algemene elementaire bescherming van de IT-infrastructuur in dat geval in het bijzonder externe beschikbaarheid van het systeem, data-integriteit, vertrouwelijkheid van gegevens, het gebruik van IT, het gebruik van de notebook computers, gebruiker en het beheer van rechten, de afhandeling van Datadragers evenals de beveiligingsregels bij interventies van externe serviceproviders in onze netwerkinfrastructuur. Ook inbegrepen is veiligheid op werkplaatsniveau, waaronder briefing van werknemers, ontwerp van werkstations en gebruik van IT-systemen.

7. Referentieregeling

Om te beschermen tegen ongeoorloofde toegang via internet en e-mail tot Opdrachtgeverrelevante gegevens, heeft Dasagroup BV de hieronder beschreven methoden en mechanismen geïntegreerd in de overdrachtsprocessen. Transmissiekanalen buiten Dasagroup BV worden vastgelegd in de vorm van lijnbeschrijvingen om zo snel mogelijk te reageren in geval van nood en om het probleem met behulp van de juiste provider voor de verantwoordelijke datalijn op te lossen.

7.1 De beschikbare datavoorraad voor verzending wordt beschikbaar gesteld aan de Opdrachtgever via de SHAREPOINT-server van Dasagroup BV. Gegevens- en toegangsbescherming zijn gegarandeerd voor zover de verzending van data loopt via onze SHAREPOINT server. De Opdrachtgever logt in met een gebruikersnaam en wachtwoord die zijn opgezet en beheerd door Dasagroup BV om zijn gegevens op te halen. Toegang tot specifieke gegevens voor de Opdrachtgever wordt voor iedereen individueel beveiligd door middel van machtigingen voor een specifieke mapstructuur.