Bescherming van privacygevoelige persoonsgegevens wordt steeds belangrijker in onze maatschappij. Aan organisaties en dienstverleners worden dan ook steeds meer eisen gesteld aan het structureel borgen van processen en systemen rondom (persoons)gegevens en vertrouwelijke informatie. Het goed inrichten van processen, het risicomanagement en het ICT-management zijn hiervoor cruciale items

Dagelijks verwerkt Impress – 4DMS informatie voor onze klanten. Als professionele partner en dienstverlener zijn we ons als medewerkers en directie zeer bewust van de verantwoordelijkheden en risico’s die horen bij het verwerken van persoonsgegevens. Deze informatie moeten én willen wij vertrouwelijk behandelen. Wij willen een hoog beveiligingsniveau kunnen garanderen zodat onze klanten hun informatie met een gerust hart aan ons kunnen toevertrouwen. De risico’s worden periodiek geïnventariseerd en hieruit volgen adequate mitigerende maatregelen.

Deze risico’s zijn vastgelegd in onze procedures en processen die gewaarborgd en getoetst worden aan de hand van de ISO9001, ISO27001, NEN7510 en ISAE3402 normen. Voor al deze normeringen geldt dat deze jaarlijks getoetst worden door middel van zowel interne als externe audits. Certificaten en rapporten hiervan zijn dan ook aanwezig en op verzoek ter inzage.

Contact met Data Privacy Officer

De Data Privacy Officer van Impress – 4DMS kan bereikt worden via het emailadres dataprivacyofficer@impress-4dms.nl

Impress – 4DMS wordt op o.a. op de onderstaande items ge-audit:

  • Fysieke beveiliging en beveiliging van de omgeving;
  • Beheer van bedrijfsmiddelen;
  • Personele beveiligingseisen;
  • Beheer van communicatie- en bedieningsprocessen;
  • Toegangsbeveiliging;
  • Verwerving, ontwikkeling en onderhoud van informatiesystemen;
  • Beheer van informatiebeveiligingsincidenten, bedrijfscontinuïteitsbeheer en naleving;
  • Ontwikkeling van software;
  • Change management;
  • Service Levelmanagement.

Fysieke logische (digitale) toegang is vastgelegd middels een uitgebreide autorisatiematrix. Data is alleen toegankelijk op ‘need to know’ en ‘need to have’ basis en rechten worden alleen toegekend volgens de procedure gebruikersbeheer. De autorisatiematrix wordt periodiek getoetst en gecontroleerd op volledigheid en correctheid.

Datalekken worden voorkomen door de eerder genoemde mitigerende maatregelen voortkomend uit de verschillende normen, vastgelegd in procedures, processen en werkwijzen. Voorbeelden hiervan zijn closed loop verwerking en diverse tussen- en eindcontroles in onze productie, IT wijzigingsbeheer en testprocedures en classificatie en acceptatie van nieuwe opdrachten.

Bij het onverhoopt constateren van een datalek zijn de procedures duidelijk en wordt de opdrachtgever/eigenaar van de data direct volledig geïnformeerd. Vervolgens zal er een oorzaakanalyse plaatsvinden waaruit corrigerende maatregelen zullen volgen om herhaling te voorkomen. Impress is voorbereid op de AVG/GDPR als vervanger van de WBP. Per 1 februari 2017 heeft Impress – 4DMS een ISC2-gecertificeerde Information Security Professional (CISSP) Data Privacy Officer aangesteld. Deze functionaris heeft enerzijds een adviserende rol (bijvoorbeeld bij het opstellen van het privacy beleid van Impress – 4DMS) en anderzijds een toezichthoudende rol door te beoordelen of de organisatie het vastgestelde beleid naleeft.