Beveiligingsbeleid van Optimo

Laatst gewijzigd: vrijdag 29 juni

Definities:

Optimo Groep: In dit beveiligingsbeleid staat het beleid geldend voor de Optimo Groep en tot de Optimo Groep behorende vennootschap, te weten: Optimo ERP B.V. (KvK: 32120864), Optimo ERP & Data Control B.V. (KvK: 67851223), Optimo Payroll & HR Services B.V. (KvK: 60063084) en Optimo Staffing B.V. (KvK: 65704258), die op grond van de Dienstverleningsovereenkomst diensten verstrekt aan de Klant.

YourAbility: deze vennootschap hoort niet bij de Optimo Groep en/of onderliggende entiteiten. Zij gebruiken faciliteiten van de Optimo Groep in samenwerking met de Optimo Groep.

De beveiliging van informatie is belangrijk. De persoonlijke gegevens van medewerkers en klanten van Optimo Groep, hierna Optimo, dienen beschermd te worden. Vanuit Optimo doen wij er alles aan om deze informatie te beschermen, zowel digitaal als fysiek. In dit document beschrijven wij op welke manieren Optimo hiervoor zorgdraagt.

Doelstelling

In het kader van de aanscherping van de AVG wetgeving heeft Optimo dit beleid opgesteld en zal zij deze binnen de organisatie bekend maken en periodiek reviewen. In dit beleid wordt aandacht gegeven aan de volgende aspecten op gebeid van beveiliging:

  • (Data) Beveiliging algemeen;
  • (Data) Beveiliging Optimo ICT omgeving;
  • Gedragsregels medewerkers van Optimo;
  • Gedragsregels medewerker van Optimo m.b.t. uitwisseling data met derden;
  • Beveiliging van het kantoorpand en toegang daar toe;
  • Meldingsplicht data lek / beveiligingsincident;
  • YourAbility B.V.

(Data) Beveiliging Algemeen

Optimo moet beperkte, vertrouwelijke of gevoelige (persoons)gegevens beschermen tegen verlies / misbruik welke mogelijk schade kan veroorzaken voor de betrokken personen. Buiten de mogelijke schade voor de natuurlijke personen, is er natuurlijk ook kans op schade aan het imago voor zowel de klant als mede de verwerker van de data. In de meeste gevallen is Optimo de verwerker van de klantdata en zal hiervoor ook een verwerkingsovereenkomst aanbieden richting de klant; dit is een wettelijke verplichting.

Naast alle maatregels welke Optimo in dit beleid zal benoemen heeft Optimo ook een apart verzekering afgesloten om de risico’s en effecten van een data lek / beveiligingsincident voor zowel Optimo als de betrokkenen verantwoordelijke (lees: de klant) te verlagen en de schade te beperken. Uiteraard is het voornaamste dat de eventuele schade aan de natuurlijke personen te allen tijde beperkt moet worden, hiervoor worden ook alle beschikbare middelen ingezet.

Naast de maatregelen welke Optimo treft voor digitale data heeft Optimo (zie ook de sectie hieronder) de volgende zaken geregeld:

  • Voor op papier en/of op portable datadragers (externe harde disks / USB sticks etc.) is er een brandveilige kluis aanwezig waarbij de sleutel wordt beheerd door de Office- manager. Indien een medewerker voor een opdracht toegang moet hebben tot deze data dient het opgevraagd te worden bij de sleutelbewaarder en aan het einde van de werkdag wordt de data weer opgesloten.
  • Voor papieren met klantgegevens / klantdata en/of interne documenten heeft Optimo twee papier versnipperaars (shredders) beschikbaar welke gebruikt kunnen worden.
  • Ook heeft Optimo een apart papiercontainer (beveiligd) welke door een gespecialiseerd recycle bedrijf periodiek wordt afgevoerd ter vernietiging. Dit bedrijf is gecertificeerd.
  • In de toekomst zal Optimo alle papieren facturen bij ontvangst digitaliseren waarna de papieren kopie vernietigd zal worden. Dit proces wordt binnenkort ingevoerd.
  • Het uitprinten van data middels de aanwezige multi-functionals binnen het Optimo kantoor zijn voorzien van taglezers (dezelfde tags als worden gebruikt voor de toegang in en rond het kantoorpand aan de Wijersstraat 1, te Amersfoort). Zonder tag kan er niet geprint worden en tevens kan alleen de eigenaar van de tag zijn of haar print opdrachten daadwerkelijk uitprinten. Hiervoor moet de medewerker dus fysiek naar het apparaat lopen om de print opdracht te bevestigen, hierdoor kan vertrouwelijke data nooit onderschept worden.

(Data) Beveiliging Optimo ICT omgeving

Binnen de dienstverleningen welke Optimo aanbiedt is bijna alle informatie digitaal. Deze informatie welke wij bijvoorbeeld verwerken voor onze klanten wordt digitaal aangeleverd, verwerkt en indien nodig ook opgeslagen. Binnen Optimo hebben wij een centrale externe ICT omgeving welke wordt beheerd door onze ICT partner.

In dit deel van het beleid benoemen wij de maatregels welke Optimo heeft genomen om binnen ICT omgeving de hoogst mogelijke beveiliging te kunnen garanderen.

  • De medewerkers van Optimo hebben de beschikking tot een laptop / desktop welke standaard zijn voorzien van:
  • Microsoft Windows besturingssysteem (Pro versie);
  • Encryptie van de interne harddisk;
  • De laatste beveiligingsupdates van het operating system zoals aangeleverd door de leverancier i.s.m. de externe ICT leverancier;
  • De laatste drivers / stuurprogramma’s (indien deze een risico vormen) behorende bij de laptop / desktop zoals aangeleverd door de hardware leverancier i.s.m. de externe ICT leverancier;
  • De laptop / desktop is voorzien van antivirus software welke voorzien is van de laatste definities zoals aangeleverd door de leverancier i.s.m. de externe ICT leverancier;
  • De externe ICT omgeving van Optimo voldoet standaard aan de volgende specificaties:
  • Een afgeschermde Microsoft RDS omgeving met daarin de volgende virtuele/fysieke servers:
  • Virtuele Applicatie Server (141APPS01) met SLA type A;
  • Virtuele DomainController (141DC01) met SLA type A;
  • Virtuele FileServer (141FILE01) met SLA type A;
  • Virtuele FTPServer (141FTP01) met SLA type A;
  • Virtuele RDS Server (141RDS01) met SLA type A;
  • Fysieke RDS Server (141RDSH01);
  • Fysieke RDS Server ( 141RDSH02);
  • Virtuele SQL Server (141SQL01);
  • VPN Xcellent;
  • Virtuele Firewall;
  • Internet van Eurofiber;
  • Windows server standaard (voor de RDS servers);
  • Windows Remote Desktop Services;
  • NextGen Firewall diensten met daarin IPS (Intrusion Prevention System), AMP (Advanced Malware Protection) en URL filtering & Application Visibility Co
  • Office 365 (2TCloud) met daarin Enterprise E3, Exchange Online Plan 1 en Visio Pro Office 365;
  • Storage Raid 5 medium performance per BG;
  • Security AV Defender;
  • Een ICT leverancier met ISO 27001 / ISO 9001 / NEN 7510 / ISAE 3402 certificering;
  • Ook de Optimo website + gerelateerde zaken zijn ondergebracht bij een externe leveranciers; te weten: Savvii / Traffic Builders / Codely
    • Onze servers worden adequaat beveiligd en in de Europese Unie gehost.
    • Wij gebruiken fysieke toegangscontroles voor (server)ruimtes waarin persoonsgegevens zijn opgeslagen.
    • Onze website maakt gebruik van een beveiligde verbinding.

‘Bring your own device’ is binnen Optimo niet toegestaan. Een device wat niet door Optimo is uitgeleverd mag geen gebruikmaken van het Optimo netwerk en de daarbij behorende diensten. Gast apparatuur mag enkel gebruik maken van het gasten Wifi netwerk.

Indien een Optimo medewerker op klantlocatie en/of thuislocatie werk verricht voor Optimo en/of de klanten van Optimo dient men gebruik te maken van het door Optimo voorziene apparaat (laptop /desktop).

In de nabije toekomst gaat Optimo ook maatregelen treffen betreft mobile device in de vorm van telefoons / tablets door MDM (mobile device management) te implementeren. Hiermee kan Optimo centraal elk verbonden device op afstand beheren. Hiermee kan bijvoorbeeld bij verlies of diefstal van een telefoon alle data op afstand worden gewist.

Gedragsregels medewerkers van Optimo

In kader van de dienstverlening welke Optimo aanbiedt is het zeer relevant om voor nieuwe en bestaande medewerkers duidelijke richtlijnen op te stellen betreft de regels waar men zich aan moet houden.

Bij Optimo is ervoor gekozen om in de arbeidsvoorwaarden van elke medewerker de reguliere gedragsregels op te nemen, als-mede te laten tekenen voor de ICT gedragsregels. In deze ICT gedragsregels is speciaal aandacht voor de medewerker omtrent het gebruik van USB sticks / portable hard disk om data uit te wisselen. In sommige gevallen is het noodzakelijk, maar dient het voorkomen te worden.

Indien gewenst door de klant kan er ook een VOG (Verklaring Omtrent Gedrag) op gevraagd worden (kosten hiervoor zijn voor rekening van de klant). Voor de aangescherpte privacy wetgeving heeft Optimo ook verplichte kennis sessies ingericht en zal deze kennis sessies periodiek blijven aanbieden (ook verplichte sessies).  Dit is tevens een verplichting vanuit diverse certificeringstrajecten.

Naast de reguliere / ICT / AVG gedragsregels zal Optimo ook specifiek voor de verschillende dienstverleningen kennis sessies organiseren. Hierin komen bepaalde onderwerpen aan het licht welke de medewerker in het dagelijks werk kan gebruiken.

Alle medewerker van Optimo staan in hun recht om bij overtredingen van de verantwoordelijke dit aan te kaarten bij de klant en de FG van Optimo. Als er door de klant dus opdracht wordt gegeven iets uit te voeren (te verwerken) wat in strijd is met de privacy en/of reguliere wetgeving mag dit worden geweigerd.

Als laatste onderdeel in deze sectie wil Optimo graag vermelden dat alle medewerkers van Optimo zich bewust zijn van het principe van data-minimalisatie. De medewerkers dienen te allen tijde bewust te zijn van het doel van het vastleggen van persoonsgegevens. Hierbij houdt men dus rekening met de vraag: “wordt er niet méér vastgelegd dan voor de verwerking nodig is”. Als een bepaald gegeven niet noodzakelijk is voor het nakomen van een contractuele verplichting / wetgeving (of niet nodig is bij / tijdens / na de verwerking) dient het niet opgeslagen te worden / verwijderd te worden. De Optimo medewerker dient dit ook aan te geven bij de klant en de FG van Optimo moet worden ingelicht.

Gedragsregels medewerker van Optimo m.b.t. uitwisseling data met derden

Dit onderwerp valt uiteraard onder het voorgaande deel van dit beleid, echter in het kader van de aangescherpte AVG wetgeving benoemen wij dit in meer detail.

Zoals al benoemd onder de sectie: “Gedragsregels medewerkers van Optimo”, zijn er al veel zaken geborgd binnen dit beleid. Echter hebben Optimo medewerkers toegang tot (in lijn met de functie(s) welke zij binnen Optimo vervullen) grote hoeveelheden klant data.

Gezien onze dienstverleningen zitten daar in bijna alle gevallen ook persoonsgegevens bij. Immers kan een verloning niet worden uitgevoerd / ingericht zonder een basis persoonsgegevens. Dit is ook in lijn met de landelijke wetgeving.

Deze data wordt in de meeste gevallen door de klant aangeleverd en in sommige gevallen wordt er ook data teruggestuurd. Omdat het persoonsgegevens kan bevatten hebben wij binnen Optimo extra gedragsregels opgenomen om de kans op privacy incidenten te verkleinen.

Zo heeft Optimo al een aantal maatregelen ingevoerd om de medewerkers van Optimo mogelijkheden te geven om data op een veilige manier uit te wisselen. De mogelijkheden zijn als volgt:

  • Uitwisseling via een sFTP server. Dit is een beveiligde FTP server waarbij de data op een server kan worden neergezet en opgehaald. Deze inhoud is middels autorisatie te beveiligen en zo zal er voor elke klant (indien gewenst) een apart stuk worden aangemaakt waar enkel de klant en geautoriseerde Optimo medewerkers bij kunnen. Het daadwerkelijk over en weer sturen van data kan op twee manieren, zijnde via een webportal en/of FTP-client waarbij elke gebruiker zich met een gebruikersnaam en wachtwoord moet inloggen. Deze gebruikersaccounts worden zowel voor de klant als Optimo medewerkers op (persoonlijk) e-mail adres aangemaakt.
  • Naast het gebruik van sFTP kan een Optimo medewerker en de klant ook gegevensuitwisseling doen via de klantportal (Outsite) van Optimo. Op dit beveiligde onderdeel van de klantportal dient een klant middels een gebruikersnaam (e-mail adres) en wachtwoord in te loggen voor men de data kan uitwisselen. Dit geldt overigens ook voor de Optimo medewerker.
  • Uitwisseling via e-mail waarbij de bestanden (welke verstuurd moeten worden) door middel van een compressie tool, worden gecomprimeerd en gecodeerd met een wachtwoord op basis van AES-256 encryptie. Volgens de regelgeving wordt e-mail niet gezien als een veilig communicatiemiddel echter beveiligen wij de bijlage (persoonsgegevens) middels een wachtwoord tegen onbevoegde toegang. Het gegenereerd wachtwoord wordt via een SMS bericht op een mobiele telefoon verstuurd. De nadruk ligt hierbij op de scheiding tussen de data en het gegenereerde wachtwoord. De ene gaat via e-mail de ander dan via SMS.

De aankomende tijd zal er binnen Optimo kennis worden gedeeld (verplichte sessies) om deze methodes te introduceren en hierover kennis te delen. Voor het einde van het jaar (2018) zal iedere Optimo medewerker enkel nog met deze 3 mogelijkheden werken. Later zal ook dit worden verwerkt in de ICT gedragsregels waarvoor de medewerker moet tekenen.

Beveiliging van het kantoorpand en toegang daartoe

In het kantoorpand aan de Wijerstraat 1 te Amersfoort is er sprake van meerdere huurders. Optimo is een van de huurders. Hierdoor zijn sommige faciliteiten gedeeld en liggen buiten ons beheer. De toegang tot zowel de garage als het bovenliggend kantoorpand is beveiligd met toegangscontrole. Geregistreerde medewerkers van Optimo / Philadelphia hebben middels een tag toegang tot verschillende gezamenlijke ruimtes.

Bij alle geregistreerde tags is aangegeven tot welke delen van het kantoorpand een medewerker toegang heeft. De medewerkers van Optimo krijgen dus ieder een tag waarmee zij de gezamenlijke ruimtes kunnen betreden alsmede de toegangsdeuren van de 4de etage van de Wijerstraat 1.

Voor het gehele kantoorpand is ook (buiten kantoortijden) beveiligingspersoneel aanwezig, welke toegang heeft tot het gehele gebouw. Zij zorgen op de daluren (voor 08:00 & na 18:00) voor de bemanning van de gezamenlijke receptie. Tijdens reguliere kantooruren is de receptie op de begane grond ook altijd bemand en bezoekers dienen zich te allen tijde te melden. Dit geldt zowel voor toegang tot het pand via de hoofdingang als bij het inrijden van de garage.

Een bezoeker zal bij aankomst (en na het melden bij de receptie) ook geregistreerd worden door de receptie van Philadelphia (ook voor BHV doeleinde). Na de registratie zal de bezoeker worden aangemeld bij Optimo, de bezoeker kan vervolgens worden opgehaald en onder begeleiding van een Optimo medewerker middels de lift of trap naar de vierde verdieping kunnen. Indien de bezoeker zelf naar de vierde verdieping gaat kan hij of zij deze en andere verdiepingen niet zelfstandig opkomen omdat de deuren op slot zitten. De bezoeker kan dan aanbellen waarna een Optimo medewerker de bezoeker kan binnen laten.

Eventuele leveranciers van goederen kunnen afhankelijk van de gemaakte afspraken de goederen bij de centrale receptie achterlaten of deze naar de vierde verdieping brengen (waar zij dus binnen gelaten moeten worden door een medewerker van Optimo). Of de leverancier zich ook moet registreren bij de centrale receptie ligt buiten onze verantwoording.

Binnen ons kantoorpand wordt er door een extern bedrijf schoongemaakt buiten kantoortijden, medewerkers van deze externe organisatie hebben ook geheimhouding getekend en dienen bij deze externe organisatie ook de reguliere gedragsregels te hebben geaccordeerd.  Helaas kunnen wij als Optimo de geheimhouding wel eisen maar hier buiten ligt het buiten onze verantwoordelijkheid.

De registratie van de tags en de benodigde toegangsrechten worden beheerd door Philadelphia, wij zullen periodiek een overzicht vragen van de beheerder om de toegang te kunnen controleren. De toegangsrechten worden op basis van profielen / groepen toebedeeld. De inrichting van deze profielen / groepen is gedocumenteerd en geverifieerd.

Meldingsplicht data lek / beveiligingsincident

In het kader van de aangescherpte privacy wetgeving (AVG) nemen wij in een apart amendement in de arbeidsovereenkomst een apart document mee waarbij alle Optimo medewerkers moet tekenen voor de meldplicht bij elke beveiligingsincident- of het nu duidelijk is dat het een datalek is of niet. Alle uitzonderingen op de gedocumenteerde bedrijfsprocessen welke een risico vormen voor de verantwoordelijke (lees: klant) en/of Optimo (of onderliggende Optimo entiteiten) zelf, dienen altijd kenbaar gemaakt te worden.

De functionaris voor de gegevensbescherming (FG) of een van de vervangers moet elke melding aangeleverd krijgen. Na de registratie in het Optimo Incidenten Register en het doorlopen van het Optimo Incident Registratie proces bepaalt de uitkomst van o.a. de classificatie of een incident een data lek is of iets anders.

Het niet melden is dus direct tegen de gedragsregels en kan ernstige gevolgen hebben voor de betrokken medewerker(s).

YourAbility

YourAbility is een jong, groeiend bedrijf welke een nauwe samenwerking heeft met Optimo. Om deze reden mag YourAbility gebruik maken van de faciliteiten welke Optimo aanbiedt aan het personeel. De medewerkers van YourAbility hebben met een geregistreerde tag toegang tot het pand, tot sommige ruimtes op de vierde verdieping hebben zij geen toegang.

Voor YourAbility zal in de nabije toekomst een separaat Wifi netwerk worden geplaatst, zodat deze gescheiden zijn van het Optimo bedrijfsnetwerk. Tevens wordt er een scheiding aangebracht binnen de inrichting van de Exchange Server (E-mail), op dit moment wordt zowel @optimo.nl als @yourability.nl op dezelfde server gehost.