Databescherming & informatiebeveiliging
Databescherming en informatiebeveiliging worden steeds belangrijker in onze gedigitaliseerde samenleving. Voor ons zijn ze prioriteit en we hebben specifieke structuren opgericht om erop toe te zien.
Databescherming
SARIA’s international organizational units safeguard the legal integrity of their data independently. Bij SARIA behandelen we de gegevens van onze zakenpartners en stakeholders met de hoogste zorgvuldigheid, ongeacht waar we actief zijn. Aangezien de specifieke wettelijke eisen van land tot land verschillen, is er gekozen voor een gedecentraliseerde aanpak, zodat elk internationaal SARIA-bedrijfsonderdeel de wettelijke naleving wat betreft gegevens onafhankelijk waarborgt.
Om samenhang binnen de SARIA Group te behouden, hebben we een databeschermingsorganisatie opgericht die vergelijkbaar is met onze compliance organisatie. Als internationaal overlegorgaan hebben we het Internationale Dataprivacycomité in het leven geroepen, diebestaat uit de plaatselijk verantwoordelijke databeschermingsmanagers. Het comité kwam voor het eerst samen in de herfst van 2022. Het beoordeelt groepsbrede dataprivacykwesties, ontwikkelt aanbevelingen en richtlijnen en volgt een alomvattende rapportageprocedure.
Eén van de hoekstenen van ons internationaal geldende databeschermingsbeleid is ons Groepsbrede Databescherming & -Privacybeleid, dat op 1 januari 2023 van kracht werd. Gezien de intentie om een beknopte, uniforme aanpak te creëren voor databescherming op internationale schaal, bevat dit beleid bindende voorschriften voor de omgang met persoonsgegevens en meerdere checks & balances, zoals de invoering van rapportage- en auditprocedures.
‘2022 Gegevensbeschermingsdagen’
in Duitsland
International Data Privacy Organization
In lijn met de hiervoor benoemde gedecentraliseerde aanpak van SARIA wat betreft de naleving van lokale privacywetgeving in elke landelijke divisie, gaan we hieronder in op de specifieke vooruitgang die door één van deze divisies is geboekt, namelijk SARIA Duitsland.
Wij zijn wettelijk verplicht om de dataverwerking te documenteren van onze videocamera’s die op onze bedrijfslocaties de veiligheid van onze werknemers waarborgen. Daarom hebben wij in 2022 een uitgebreide videobewakingsaudit uitgevoerd. Dankzij deze audit is elke dataverwerking als onderdeel van onze videobewaking nu naar behoren geregistreerd in ons centrale register in het digitale databeschermingsbeheersysteem.
Ook is er een nieuw wettelijk raamwerk aangenomen voor de gegevensuitwisseling tussen de verschillende juridische entiteiten in Duitsland. Dankzij dit raamwerk zullen we voortaan minder afhankelijk zijn van individuele overeenkomsten voor gegevensbescherming tussen verschillende onderdelen van SARIA.
Om de totstandkoming van deze waardevolle structuren en procedures voor gegevensbescherming aan te vullen, hebben we geïnvesteerd in de training van onze managers gegevensbescherming. Om al onze medewerkers gegevensbescherming in Duitsland te kunnen bereiken, hebben we in november 2022 een trainingsprogramma georganiseerd. Het is immers zeer belangrijk dat er uitwisseling van ervaringen uit verschillende operationele perspectieven kan plaatsvinden. Ook gaf het programma ons de kans om de juiste basis van kennis te scheppen door onze werknemers te informeren over de meest relevante eisen in de Duitse wetgeving met betrekking tot gegevensbescherming en relevante ontwikkelingen wat betreft EU-regelgeving.
In 2022 voerden we een uitgebreide videobewakingsaudit uit
Onze mensen naar behoren trainen is een cruciaal onderdeel van ons beleid gegevensbescherming
Op basis van de positieve feedback van de deelnemers en de algehele leerzaamheid van de training, hebben we besloten om deze jaarlijks te herhalen. Ook zijn we in samenwerking met ICT bezig met een bewustwordingscampagne over phishing. Met deze campagne willen we de naleving van relevante procedures onder onze werknemers stimuleren, o.a. door de inzet van gesimuleerde phishing-emails die onze werknemers wellicht een vals gevoel van veiligheid geven.
Om onze performance op het gebied van gegevensbescherming te meten, gebruiken we een meetsysteem wat controleert op acht aspecten van gegevensbescherming (zoals uiteengezet in de Algemene verordening gegevensbescherming van de EU). Onze voortgang wordt gemeten op basis van een volwassenheidsmodel wat de vorderingen bij elk aspect in overweging neemt. Vergeleken met het referentiejaar 2020 hebben we onze performance steeds verbeterd. In 2021 was er sprake van een verbetering van 6%, en in 2022 kwam daar nog eens 4% bij. Ons doel is om de algehele score nog eens 4% te verhogen in 2023.
Informatiebeveiliging
Vergelijkbaar met ons beheer gegevensbescherming, maakt ook ons informatiebeveiligingsnetwerk gebruik van een gedecentraliseerde aanpak met regelmatige uitwisseling en bundeling van kennis.
Elk bedrijfsonderdeel bepaalt in principe haar eigen focusgebieden voor de waarborging van informatiebeveiliging, met inachtneming van de ervaring en risicoanalyse van de relevante IT-specialist, kennis uit ons IT-beveiligingsnetwerk, en de resultaten van interne en externe audits, zoals de externe beveiligingsaudit die in 2022 in Duitsland werd uitgevoerd. Ook is het belangrijk om snel en gepast te kunnen handelen in respons op ontwikkelingen en externe invloeden.
Los van deze individuele focusgebieden berust onze overkoepelende aanpak wat betreft informatiebeveiliging op drie pilaren: technologische maatregelen, organisatorische maatregelen, en acties om bewustwording te promoten
"Het is cruciaal om onze informatiemiddelen te beschermen. Daarom zijn we bezig met het invoeren van gedegen cybersecuritymaatregelen, zodat we de desbetreffende risico’s in kunnen perken en weerbaarder zullen zijn. Elk jaar implementeren we een aantal initiatieven om het niveau van de cybersecurity binnen onze organisatie te verbeteren, zodat we de gegevens van onze klanten, werknemers en partners en onze toeleveringsketen naar behoren kunnen beschermen en het nakomen van verplichtingen ten opzichte van klanten en derden kunnen garanderen.”
Informatiebeveiligingsnetwerk
Ons beleid op het gebied van cybersecurity streeft uiteraard naar nul incidenten, maar 100% veiligheid bestaat helaas niet in het digitale landschap. Daarom werken we hard om onze systemen constant te verbeteren, en zullen we in 2023 onze inspanningen wederom uitbreiden.
De voorbeelden hieronder uit onze Duitse organisatie illustreren de manier waarop de verschillende instrumenten die wij gebruiken op elkaar inspelen.
e-mailbeveiliging
e-mailbeveiliging
Om onze mensen te ondersteunen in het gebruik van de vele wachtwoorden die in een moderne werkomgeving nodig zijn, hebben we een wachtwoordbeheertool ontwikkeld waarmee zij al hun verschillende wachtwoorden kunnen beheren.
Ook proberen we om de werkroutines waar mogelijk te stroomlijnen en beschermen we onze systemen met krachtige tools om spam en virussen via email tegen te gaan.
Om bewustwording onder alle werknemers te waarborgen, hebben we de e-learningmodule ‘Informatiebeveiliging’ verplicht gemaakt voor alle medewerkers in Duitsland. Sinds 2022 worden alle nieuwe werknemers automatisch ingeschreven voor deze module.
Om onze systemen te beschermen tegen ongeoorloofde toegang, gebruiken wij Azure Active Directory & Active Directory Security als centraal autorisatiesysteem. De beveiliging van deze systemen wordt regelmatig gecontroleerd door middel van externe audits en penetratietesten.
Verder hebben we multi-factorauthenticatie (MFA) geïntroduceerd voor de gehele SARIA Group, die bestand is tegen phishing. Onze werknemers moeten nu een aanvullende autorisatiestap uitvoeren om toegang te krijgen tot het merendeel van de beschikbare diensten.
We zullen beleid en procedures introduceren die duidelijkheid geven over hoe men wachtwoorden naar behoren instelt en gebruikt, waarom en wanneer wachtwoorden automatisch opnieuw ingesteld moeten worde. En wat men moet doen als het erop lijkt dat er een systeeminbreuk heeft plaatsgevonden.
Deze maatregelen worden doorgaans simpelweg ‘virusbescherming’ genoemd, maar gaan in de praktijk veel verder. Deze programma’s duiken diep in de besturingssystemen en houden toezicht op alle acties die op de desbetreffende apparaten worden uitgevoerd om ongewoon en ongewenst gedrag door programma’s te detecteren en te blokkeren. XDR correleert gegevens uit gangbare apparaten zoals laptops en PC’s met gegevens uit het netwerk en de Cloud.
Omdat dit onderwerp erg belangrijk is, hebben we een gespecialiseerde IT-beveiligingsfunctie opgezet binnen onze IT-organisatie, en zijn we bezig om de samenwerking en uitwisseling binnen SARIA en de gehele RETHMANN Group systematisch te versterken.
Een extern team van specialisten, een zogenaamde Security Operations Center (SOC), ondersteunt onze IT-beveiliging met aanvullende middelen en expertise. Zo gebruikt de SOC een beheersysteem voor beveiligingsinformatie en gebeurtenissen, een SIEM-systeem. Dit systeem analyseert informatie uit verschillende bronnen op patronen en ongewone activiteit om zo afwijkingen in een vroeg stadium te kunnen detecteren en bedreigingen te kunnen analyseren en afwenden.
In het verleden was het heel gewoon om verschillende apparaten te hebben (zoals servers, PC’s en telefoons) die via een netwerk met elkaar verbonden waren. Hierdoor konden indringers makkelijk via één van deze apparaten en het netwerk de andere apparaten bereiken en veel schade aanrichten. Om dit te voorkomen, gaan wij gesegmenteerde netwerken introduceren, waarin alle apparaten naar gelang belangrijkheid en functie in verschillende IP-netwerken worden ingedeeld. De communicatie tussen de verschillende netwerken vindt plaats via firewalls, welke enkel een tijdelijke verbinding tussen de desbetreffende apparaten toelaten.
Onze veilige internettoegangsvoorziening zorgt ervoor dat een beveiligde verbinding wordt gecreëerd wanneer een werknemer het internet op gaat. Ook kunnen pagina’s met ongewenste of ongeoorloofde inhoud worden geblokkeerd, en wordt er gecontroleerd op virussen en andere potentiële bedreigingen.