Bijlage II - Technische en organisatorische maatregelen
Globalization Partners is door onafhankelijke auditors gecertificeerd en bevestigd om naleving van SOC-2normen te bevestigen. Rapporten van Service Organization Controls (SOC) tonen onze toewijding aan het beveiligen van klantgegevens. Het beveiligingsprogramma van Globalization Partners is ontworpen om:
-
de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens in het bezit van Globalization Partners te beschermen of waartoe Globalization Partners toegang heeft;
-
Te beschermen tegen verwachte bedreigingen of gevaren voor de vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens;
-
Beschermen tegen onbevoegde of onwettige toegang, gebruik, openbaarmaking, wijziging of vernietiging van Klantgegevens;
-
Beschermen tegen onopzettelijk verlies of vernietiging van, of schade aan, Klantgegevens; en
-
Bescherm informatie zoals uiteengezet in alle regelgeving waarmee Globalization Partners kan worden gereguleerd.
Het volgende beschrijft de functies, processen, controles, systemen, procedures en maatregelen die Globalization Partners heeft genomen om de veiligheid van de verwerking van klantgegevens te waarborgen:
1) TECHNISCHE MAATREGELEN OM GEGEVENSPRIVACY EN -BESCHERMING TE WAARBORGEN
a) Privacy by Design and Default:Globalization Partners houdt rekening met de vereisten van artikel 25 AVG in de conceptie- en ontwikkelingsfase van productontwikkeling. Processen en functionaliteiten worden zodanig ingericht dat de beginselen van gegevensbescherming zoals wettigheid, transparantie, doelbeperking, gegevensminimalisatie, enz. en de beveiliging van de verwerking in een vroeg stadium worden overwogen.
b) Versleuteling van persoonsgegevens:Ervoor zorgen dat persoonsgegevens alleen in het systeem worden opgeslagen op een manier die derden niet in staat stelt om de betrokkene te identificeren.
-
Database- en opslagversleuteling:
Op alle databases die door Globalization Partners worden gebruikt, wordt een versleuteling “in rust” volgens de stand van de techniek gebruikt, zodat de gegevens uit de database alleen kunnen worden gelezen na de juiste verificatie op het respectieve databasesysteem.
-
Versleuteling van mobiele datamedia:
Het gebruik van mobiele gegevensdragers voor het opslaan van klantgegevens is niet toegestaan.
-
Versleuteling van gegevensdragers op laptops:
Op de laptops van alle medewerkers is de juiste, geavanceerde versleuteling van de harde schijf geïnstalleerd.
-
Versleutelde uitwisseling van informatie en bestanden:
De uitwisseling van informatie en bestanden wordt in principe direct versleuteld via een speciale applicatie. Als persoonsgegevens of vertrouwelijke informatie moeten worden overgedragen naar servers die niet kunnen worden verzonden via TLS-gecodeerde HTTPS-uploads, worden deze overgedragen met behulp van Secure File Transfer Protocol (SFTP), gecodeerde envelopservice of een ander versleuteld mechanisme volgens de stand van de techniek.
-
E-mailcodering:
In principe zijn alle e-mails die door werknemers van Globalization Partners worden verzonden versleuteld met TLS. Uitzonderingen kunnen zijn als de ontvangende mailserver geen TLS ondersteunt. De Klant dient ervoor te zorgen dat de overeenkomstige mailservers die binnen het toepassingsgebied van de bestelling worden gebruikt, TLS-versleuteling ondersteunen
c) ToegangscontroleToelatingscontroles zijn bedoeld en ingesteld om het gebruik en de verwerking van gegevens te voorkomen die door onbevoegde personen worden beschermd door de wetgeving inzake gegevensbescherming.
-
Gebruik van authenticatiemethoden
Toegang tot persoonsgegevens gebeurt altijd via versleutelde protocollen: SSH, SSL/TLS, HTTPS of vergelijkbare protocollen. Authenticatieprocedure voor IT-systeem: Multifactor authenticatie inloggen op IT-systeem.
-
Automatische blokkering in geval van inactiviteit
Laptops die door werknemers van Globalization Partners worden gebruikt en die zijn vergrendeld met wachtwoord- of pincodebeveiliging wanneer ze niet in gebruik zijn door de gebruiker. Daarnaast wordt een automatische schermvergrendeling met wachtwoordbeveiliging ingesteld na 15 minuten van inactiviteit.
-
Gebruik van antivirussoftware
Laptops die door werknemers van Globalization Partners worden gebruikt, zijn uitgerust met geavanceerde antivirussoftware die op alle operationele of zakelijke IT-systemen wordt bijgewerkt. In principe mogen geen computers worden gebruikt zonder bescherming tegen ingezeten virussen, tenzij andere gelijkwaardige, geavanceerde beveiligingsmaatregelen zijn genomen of er geen risico is. Standaard beveiligingsinstellingen mogen niet worden gedeactiveerd of omzeild.
-
“Clean Desk-beleid”
Werknemers van Globalization Partners worden geïnstrueerd om persoonsgegevens van betrokkenen niet af te drukken of lokaal op te slaan, om werkmaterialen niet achter te laten op een locatie waar ze door derden kunnen worden bekeken en om al het werkmateriaal op de juiste manier op te slaan. Documenten die Globalization Partners wettelijk verplicht is op papier te bewaren, worden opgeslagen in afgesloten kasten.
d) Toegangscontroles Binnen de toegangscontroles van het platform zorgen ervoor dat personen die bevoegd zijn om een verwerkingssysteem te gebruiken alleen toegang hebben tot de persoonsgegevens die onder hun toegangsautorisatie vallen.
-
Rollen en autorisatie
-
Rollen en autorisatieplatform – Klanttoegang Klantgebruikers kunnen klantaccountinformatie bekijken en bewerken.
-
Rollen- en autorisatieplatform – Professionele gebruikers van Professional Access kunnen hun eigen professionele informatie bekijken en bewerken.
Beroepsbeoefenaren kunnen ook de rol van klanttoegang krijgen na vereiste + goedkeuring
-
Rollen en autorisatieplatform – Interne toegang
Interne toegang gebruikers hebben verschillende rollen. Ze hebben gevarieerde toegang om het volgende te creëren, bekijken, bewerken en goedkeuren:
-
Klantinformatie
-
Factureringsinformatie
-
Informatie over partners
-
Informatie over professionele personeelsdossiers
Toegang tot het admin-systeem is over het algemeen beperkt tot getrainde werknemers op het gebied van klantenondersteuning en productontwikkeling.
e) Firewall as a ServiceGlobalization Partners Globalizationgebruikt een externe firewall als een service waarmee het toegang tot websites kan verlenen of blokkeren om ervoor te zorgen dat systemen geen toegang hebben tot kwaadaardige inhoud en om de toegang tot ongepaste inhoud te beperken.
f) Registratie van inloggen op het PlatformGlobalizationGlobalization Partners houdt een registratie bij van alle inlogactiviteiten.
g) Scheidbaarheid Ervoor zorgen dat persoonsgegevens die voor verschillende doeleinden worden verzameld, afzonderlijk kunnen worden verwerkt en zodanig van andere gegevens en systemen worden gescheiden dat ongepland gebruik van deze gegevens voor andere doeleinden wordt uitgesloten.
-
Scheiding van ontwikkelings-, test- en operationele omgevingen
Gegevens uit de werkomgeving mogen alleen worden overgedragen naar test- of ontwikkelingsomgevingen als deze volledig anoniem zijn gemaakt vóór de overdracht. De overdracht van de geanonimiseerde gegevens moet worden versleuteld of via een betrouwbaar netwerk.
-
Scheiding in netwerken
Globalization Partners scheidt zijn netwerken op basis van taken. De volgende netwerken worden permanent gebruikt: operationele omgeving (“Productie”), testomgeving (“Staging”, “Sandbox”), ontwikkelingsomgeving (“Dev”) kantoor IT-personeel. Naast deze netwerken worden indien nodig ook andere afzonderlijke netwerken gecreëerd, bijvoorbeeld voor hersteltests en penetratietests. Afhankelijk van de technische mogelijkheden worden de netwerken fysiek of via virtuele netwerken gescheiden.
h) BeschikbaarheidscontroleGlobalizationGlobalization Partners neemt de volgende stappen om ervoor te zorgen dat persoonsgegevens worden beschermd tegen onopzettelijke vernietiging of verlies.
-
Procedures voor gegevensbescherming/back-ups
Om adequate beschikbaarheid te garanderen, implementeert Globalization Partners dagelijkse snapshots van zijn database met replicatie naar een andere regio. Er worden ook maatregelen genomen om ervoor te zorgen dat werknemers met taakgebaseerde noodzaak om gegevens te beoordelen alleen toegang krijgen tot replica datasets.
-
Georedundantie met betrekking tot serverinfrastructuur van productieve data en back-ups
-
IT incident management (“Incident Response Management”)
Er is een concept en gedocumenteerde procedures voor het omgaan met incidenten en veiligheidsgerelateerde gebeurtenissen. Dit omvat de planning en voorbereiding van de respons op incidenten, procedures voor het bewaken, opsporen en analyseren van beveiligingsrelevante gebeurtenissen en de definitie van overeenkomstige verantwoordelijkheden en rapportagekanalen in geval van een schending van de bescherming van persoonsgegevens in het kader van de wettelijke vereisten.
2) ORGANISATORISCHE MAATREGELEN OM GEGEVENSPRIVACY EN -BESCHERMING TE WAARBORGEN
Globalization Partners heeft de volgende organisatorische maatregelen genomen om ervoor te zorgen dat de organisatie op een manier werkt die voldoet aan de vereisten voor gegevensprivacy en -bescherming.
a) Organisatorische instructiesGlobalizationGlobalization Partners heeft een programma voor gegevensbeheer ontwikkeld en ontwikkelt dit, inclusief beleid, procedures en richtlijnen die werknemers moeten volgen. Documentatie omvat hoe problemen met gegevensprivacy kunnen worden geïdentificeerd en beheerd, best practices voor het waarborgen van privacynaleving en beleid voor het aanpakken van privacy-incidenten.
b) Toewijding aan vertrouwelijkheid en gegevensbeschermingGlobalizationGlobalization Partners heeft een programma voor gegevensbeheer ontwikkeld en ontwikkelt dit, inclusief beleid, procedures en richtlijnen die werknemers moeten volgen. Alle werknemers en aannemers zijn schriftelijk gebonden aan vertrouwelijkheid en gegevensbescherming, evenals andere relevante wetten. Alle werknemers krijgen privacy- en beveiligingstraining. Interne audits van gegevensbescherming en informatiebeveiliging worden regelmatig uitgevoerd. Audits worden uitgevoerd op basis van gemeenschappelijke testcriteria/-schema's. De werknemers en aannemers van Globalization Partners worden geïnstrueerd om persoonsgegevens alleen te verwerken om wettige redenen, overeenkomstig toepasselijke contracten met de klant en professional, met inachtneming van uitdrukkelijke toestemming die door de betrokkene wordt gegeven of ingehouden, en in overeenstemming met elke wettige plicht van de organisatie.
c) Gegevensbeschermingstraining Alle werknemers ontvangen privacy- en beveiligingstraining die op elk moment beschikbaar blijft voor beoordeling in het trainingsplatform van Globalization Partners .
d) Fysieke toegangscontrolesGlobalizationGlobalization Partners heeft de volgende fysieke controles om onbevoegde personen toegang te weigeren tot IT-systeemapparatuur die wordt gebruikt voor verwerking.
-
Elektronische deurbeveiliging
De toegangsdeuren tot de gebouwen van Globalization Partners -kantoren zijn altijd vergrendeld en elektronisch beveiligd. De deuren worden geopend via een persoonlijke elektronische transponder.
-
Gecontroleerde verdeling van sleutels
Een centrale, gedocumenteerde toewijzing van sleutels aan de werknemers van Globalization Partners vindt plaats. Deze elektronische transponders/sleutels kunnen centraal worden gedeactiveerd door elke kantoormanager of de afdeling People Resources.
-
Toezicht op en begeleiding van externe personen
Externe dienstverleners en andere derden kunnen alleen toegang krijgen tot het terrein via voorafgaande toestemming of wanneer ze worden begeleid door een werknemer van Globalization Partners. Globalization Partners past zijn schriftelijke bezoekersbeleid toe wanneer bezoekers worden uitgenodigd op het terrein.
-
Beveiliging van gebouwen met verhoogde behoefte aan bescherming
Gebouwen of kasten met verhoogde beschermingseisen, zoals juridische kantoren en bepaalde Operations locaties, zijn uitgerust met vergrendelingskasten en laden. Kasten en laden waar juridische documenten, contracten en vertrouwelijke documentatie worden bewaard, moeten te allen tijde worden vergrendeld, behalve wanneer ze in gebruik zijn.
-
Gesloten deuren en ramen
Werknemers worden organisatorisch geïnstrueerd om ramen en deuren buiten kantooruren gesloten of vergrendeld te houden.
e) HerstelbaarheidGlobalisatieGlobalization Partners zorgt ervoor dat systemen in gebruik kunnen worden hersteld in geval van fysieke of technische storingen.
-
Regelmatige tests van het gegevensherstel (“Hersteltests”)
Er worden regelmatig volledige hersteltests uitgevoerd om de herstelbaarheid in geval van nood/ramp te garanderen.
-
Noodplan (“Ontspanningsconcept”)
Er is een concept voor de behandeling van noodsituaties/rampen en een bijbehorend noodplan. Globalization Partners zorgt voor het herstel van alle systemen op basis van de back-ups/back-ups van gegevens, meestal binnen 48 uur.
-
Beoordelings- en evaluatiemaatregelen
Presentatie van de procedures voor regelmatige beoordeling, beoordeling en evaluatie van de effectiviteit van de technische en organisatorische maatregelen.
f) Privacyteam De organisatie heeft een Global Data Privacy Office dat is belast met het plannen, implementeren, evalueren en aanpassen van maatregelen op het gebied van gegevensbescherming.
g) Risicomanagement Er is een proces voor het analyseren, evalueren en toewijzen van risico’s en voor het afleiden van maatregelen op basis van deze risico’s.
3) ONAFHANKELIJKE BEOORDELING VAN INFORMATIEBEVEILIGING
a) Uitvoeren van audits Interne audits op gegevensbescherming en informatiebeveiliging worden regelmatig uitgevoerd. Audits worden uitgevoerd op basis van gemeenschappelijke testcriteria/-schema's.
b) Beoordeling van naleving van beveiligingsbeleid en -normen Naleving van de toepasselijke beveiligingsrichtlijnen, -normen en andere beveiligingsvereisten voor de verwerking van persoonsgegevens wordt regelmatig gecontroleerd. Waar mogelijk worden deze controles op willekeurige en onverwachte basis uitgevoerd.
c) Verificatie van naleving van technische specificaties Regelmatige geautomatiseerde en handmatige kwetsbaarheidsscans worden uitgevoerd door de IT-afdeling of ander gekwalificeerd personeel om de beveiliging van de toepassingen en infrastructuur te verifiëren, evenals de regelmatige ontwikkeling van het product. Gedetailleerde penetratietests worden uitgevoerd door een externe dienstverlener om specifiek de applicaties en infrastructuur te onderzoeken op kwetsbaarheden.
d) Verwerking op instructie De werknemers van Globalization Partners worden geïnstrueerd om persoonsgegevens alleen te verwerken om wettelijke redenen, overeenkomstig toepasselijke contracten met de klant en professional, met inachtneming van uitdrukkelijke toestemming die door de betrokkene wordt gegeven of onthouden, en in overeenstemming met elke wettelijke plicht van de organisatie.
e) Zorgvuldige selectie van leveranciersGlobalizationGlobalization Partners houdt zich aan het Prekwalificatieproces voor leveranciers bij het selecteren van leveranciers die beschermde gegevens kunnen tegenkomen. Dit proces omvat feedback van de afdelingen Finance en Legal/Privacy en omvat stappen voor risicobeoordeling, beveiligingsprekwalificatie en documentatiecertificering. Leveranciers die beschermde gegevens verwerken, moeten aantonen dat ze zich houden aan de toepasselijke wetgeving inzake gegevensbescherming, inclusief artikel 28 AVG voor gedekte gegevens.