Laatst bijgewerkt: 18 december 2025
1.INLEIDING
Doel
Dit informatiebeveiligingsbeleid is een leidraad voor de medewerkers van Praxas om richtlijnen en beste praktijken vast te leggen voor de bescherming van vertrouwelijke, gevoelige of bedrijfseigen informatie tegen ongeoorloofde toegang, gebruik, bekendmaking, wijziging of vernietiging. Informatie is een goed en moet op gepaste wijze beschermd worden.
Definitie
Informatiebeveiliging zijn de processen die ontworpen zijn om gegevens te beschermen door risico’s te beperken. Het omvat digitale gegevens, fysieke gegevens en cyberbeveiliging.
Toepassingsgebied
Dit informatiebeveiligingsbeleid geldt voor alle medewerkers van Praxas, ongeacht hun arbeidsovereenkomst, functie of locatie. Het geldt ook voor alle aannemers en externe dienstverleners die toegang hebben tot bedrijfsinformatie en informatiesystemen.
Praxas leeft alle relevante wetten, voorschriften en industrienormen na met betrekking tot informatiebeveiliging op de plaatsen waar we zaken doen.
2. VERANTWOORDELIJKHEID
Praxas zal ervoor zorgen dat alle medewerkers worden opgeleid met betrekking tot hun verantwoordelijkheden en verplichtingen inzake informatiebeveiliging.
In het kader van dit beleid en sommige regionale regelgevingen is Praxas een Data Controller (DC) en zal het ervoor zorgen dat er waar nodig een Data Protection Officer (DPO) wordt aangesteld. Deze functie moet over voldoende middelen beschikken, verslag uitbrengen aan de directie en geen andere taken uitvoeren die tot belangenconflicten kunnen leiden. Zij zijn ook het aanspreekpunt voor regionale regelgevende instanties en personen van wie het bedrijf gegevens verwerkt.
Management
Directeuren, managers en supervisors zijn belast met het implementeren van en toezicht houden op beleid en procedures die het risico op datalekken verminderen en ervoor zorgen dat er voldoende planning is om te reageren op incidenten. Medewerkers moeten de juiste training krijgen, afhankelijk van hun rol en taken.
De IT-managers van CIMSense en de regionale IT-ondersteuningsmedewerkers zijn verantwoordelijk voor het up-to-date houden van software en apparaten met de nieuwste beveiligingspatches en -updates, het beschermen van netwerken tegen ongeautoriseerde toegang tot systemen en het toezicht houden op IT-training.
Werknemers
Alle werknemers zijn verplicht om:
- Zich houden aan alle beleidsregels van Praxas en alle aanvullende procedures en richtlijnen in hun personeelshandboek of ander relevant bedrijfsmateriaal met betrekking tot gegevensverwerking, e-mail- en internetgebruik, apparaatbeheer en sociale netwerken.
- Bescherm wachtwoorden en toegangsgegevens – maak sterke wachtwoorden, deel ze nooit, gebruik niet hetzelfde wachtwoord voor meerdere accounts en als je toegang hebt tot zakelijke e-mails en/of documenten op je persoonlijke mobiele apparaat, zorg er dan voor dat dit apparaat voldoende is beveiligd. Dit betekent minimaal dat het apparaat beveiligd moet zijn met een wachtwoord, pincode of biometrische ID-beveiliging.
- Rapporteer beveiligingsincidenten – wees waakzaam voor verdachte activiteiten (phishing e-mails, malware-infecties, verdachte aanmeldingen) en meld alle incidenten onmiddellijk aan een CIMSense IT-manager of een regionale IT-ondersteuningsmedewerker. Incidenten kunnen ook per e-mail worden gemeld op support@cimsense.com.
- Bescherm fysieke documenten – fysieke documenten met gevoelige informatie moeten goed worden beveiligd en veilig worden weggegooid als ze niet langer nodig zijn.
- Vermijd acties met een hoog risico – wees voorzichtig bij het gebruik van openbare WiFi-netwerken door ervoor te zorgen dat je apparaat beschermd is met bijgewerkte antivirussoftware. Download geen software van onbetrouwbare bronnen die de beveiliging van de bedrijfsinformatie in gevaar kan brengen. Denk goed na voordat je verwijderbare media gebruikt (bijv. USB-stick) en vergeet niet om deze van het hostapparaat te verwijderen.
3. TOEGANGSCONTROLE
Praxas zal alle medewerkers en andere gebruikers de informatie verstrekken die zij nodig hebben om hun verantwoordelijkheden doeltreffend en efficiënt uit te voeren. De toegang tot informatie en informatiesystemen wordt verleend volgens de beginselen van de minst geprivilegieerde en de “need-to-know”.
Op groepsniveau heeft CIMSense verschillende manieren om informatie te beschermen die aan hen kan worden verstrekt via haar bedrijven, waaronder Praxas. Deze omvatten maar zijn niet beperkt tot het toegangscontrolebeleid van CIMSense.
Fysieke toegangscontrole
Praxas-medewerkers die voor hun functie toegang nodig hebben tot vertrouwelijke en gevoelige informatie, worden getraind in het veilig omgaan met alle informatie en krijgen les in de procedures die bepalen hoe gegevens binnen het bedrijf worden gebruikt, opgeslagen, gedeeld en georganiseerd.
Persoonlijke en vertrouwelijke gegevens moeten achter slot en grendel worden bewaard als ze niet worden gebruikt en sleutels mogen niet in het slot van archiefkasten en deuren worden achtergelaten.
Digitale toegangscontrole
Gebruikersaccounts moeten worden aangemaakt met sterke wachtwoorden en de toegang moet worden ingetrokken bij beëindiging van het dienstverband of contract.
Gebruikers mogen hun inloggegevens niet met anderen delen of anderen toestaan hun account te gebruiken. Generieke ID’s of ID’s van groepen zijn normaal gesproken niet toegestaan.
Informatiesystemen moeten verificatie- en autorisatiemechanismen hebben om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot informatie, inclusief multifactorauthenticatie.
Externe gebruikers moeten worden geautoriseerd door een IT-manager van CIMSense of een regionale IT-ondersteuningsmedewerker. Ongecontroleerde externe toegang tot een netwerkapparaat of netwerksysteem is niet toegestaan.
4. GEGEVENSBESCHERMING
Alle gebieden
Praxas heeft een apart privacybeleid dat beschrijft hoe het bedrijf de privacy van individuen respecteert en zich inzet om persoonlijke gegevens te beschermen.
Vertrouwelijke, gevoelige of bedrijfseigen informatie wordt beschermd tegen ongeoorloofde toegang, gebruik, bekendmaking, wijziging of vernietiging. Gegevens van Praxas omvatten meestal namen of nummers. Voorbeelden hiervan zijn personeelsgegevens, productnamen, prijzen, kosten, belastingcodes, registratiemerken, codes en data.
Informatie wordt gerubriceerd op basis van de gevoeligheid en er worden passende controles geïmplementeerd om de informatie te beschermen.
Encryptie wordt gebruikt om gevoelige informatie te beschermen tijdens overdracht en opslag.
Derde partijen die digitale gegevens hosten, bijvoorbeeld Cloud Services, moeten aan strenge eisen en certificering voldoen.
Europese Unie en Verenigd Koninkrijk
De General Data Protection Regulations (GDPR) van de EU en de Data Protection Act 2018 van het Verenigd Koninkrijk die de GDPR-voorschriften implementeert, beschermen persoonlijke gegevens van EU-burgers of inwoners. Zoals hierboven vermeld, wordt in het Privacybeleid gedetailleerd beschreven hoe het Bedrijf persoonlijke gegevens behandelt en beschermt.
In overeenstemming met de GDPR-voorschriften worden betrokkenen binnen 72 uur na het incident op de hoogte gesteld van een inbreuk in verband met persoonsgegevens.
5. MONITORING
Informatiesystemen worden gecontroleerd op ongeoorloofde toegang, ongeoorloofd gebruik of ongeoorloofde openbaarmaking. Logboeken worden regelmatig bekeken en geanalyseerd om beveiligingsincidenten te detecteren en erop te reageren.
Kwetsbaarheidsrisicobeoordelingen en penetratietests worden periodiek uitgevoerd om potentiële beveiligingsrisico’s te identificeren en te beperken.
6. VEILIGHEIDSINCIDENTEN
Incidenten kunnen een enorme impact hebben op een bedrijf in termen van kosten, productiviteit en reputatie. Alle beveiligingsincidenten moeten onmiddellijk worden gemeld aan een CIMSense IT-manager en regionale IT-ondersteuningsmedewerkers, zodat het incident zo snel mogelijk kan worden ingeperkt en verholpen.
Er moeten incidentbestrijdingsplannen worden opgesteld en ingevoerd voor alle soorten beveiligingsinbreuken op lokaal en groepsniveau. Op groepsniveau heeft CIMSense een Incident Response Policy en een Incident Response Plan. Alle plannen moeten periodiek worden getest om hun effectiviteit te waarborgen.
7. NIET-NALEVING EN DISCIPLINAIRE MAATREGELEN
Overtredingen van dit beleid kunnen ernstige gevolgen hebben voor CIMSense en Praxas en persoonlijk leed veroorzaken. Elke overtreding zal grondig worden onderzocht en kan leiden tot disciplinaire maatregelen tegen de overtreder.