Gegevensbescherming

Informatiebeveiliging Technische en Organisatorische Maatregelen

De Radius groep hanteert een best-practice benadering van gegevensbescherming, volgens de richtlijnen van de ICO en in overeenstemming met de principes van de huidige wet- en regelgeving op het gebied van gegevensbescherming. Sinds 2014 hebben wij veel geïnvesteerd in nieuwe IT-infrastructuur en belangrijk personeel om te voldoen aan de ISO 27001-norm voor informatiebeveiligingsbeheer, ondersteund door een vooraanstaand adviesbureau voor informatiebeveiliging (IS). In 2018 hebben wij het ISO 27001-certificaat behaald en in Q1 van 2021 zijn wij opnieuw geaccrediteerd. Sinds 2016 hebben wij ook de Cyber Essentials Plus certificering behaald, in Q4 van elk daaropvolgend jaar.

Hieronder volgt een gestructureerde samenvatting van onze technische en organisatorische maatregelen voor informatiebeveiliging, die zijn gebaseerd op de ISO 27001-norm voor een beheersysteem voor informatiebeveiliging (Standard for an Information Security Management System - ISMS):

Management – Het Radius management erkent dat de informatie die het beheert met gepaste zorg behandeld moet worden (of die informatie nu eigendom is van de organisatie, klanten van de organisatie of gebruikers van diensten die door de organisatie worden geleverd), en zet zich in om de Vertrouwelijkheid, Integriteit en Beschikbaarheid ervan te waarborgen.

Informatiebeveiligingsbeleid – Er is een complete set informatiebeveiligingsbeleidslijnen die bestaat uit een overkoepelend informatiebeveiligingsbeleid met een bestuur verklaring en gedefinieerde doelstellingen, primaire informatiebeveiliging sub-beleidslijnen die van invloed zijn op alle werknemers, secundaire informatiebeveiliging sub-beleidslijnen die van invloed zijn op sommige werknemers en documenten met referentie informatiebeveiliging sub-beleidslijnen voor algemene richtlijnen.

Organisatie van Informatiebeveiliging –Rollen en verantwoordelijkheden voor het ISMS zijn gedefinieerd, waarbij het ISMS wordt beheerd door een team bestaande uit het hoofd van de informatiebeveiliging, informatiebeveiliging-auditors en de Cyber Security Analyst, rapporterend aan de Raad van Bestuur.

Personeelsbeveiliging – Alle medewerkers worden gescreend volgens de BPSS-norm en de belangrijkste medewerkers worden ook gecontroleerd op DBS - Er is een formeel proces voor starters/overplaatsers/verlaters en een formeel disciplinaire procedure - Alle medewerkers zijn verplicht om informatiebeveiligingstraining en -bewustzijn te volgen; dit gebeurt via een mainstream virtueel Learning Management System.

Asset Management –Er zijn drie soorten gegevensclassificatie gedefinieerd met richtlijnen voor de juiste verwerking - Informatiemiddelen worden geregistreerd en beheerd in een hoofdmiddelenregister, met vermelding van toegewezen eigenaren en locaties - Alle middelen die niet langer nodig zijn, worden veilig afgevoerd via verwerkers die geregistreerd zijn voor WEEE.

Toegangscontrole – Alle gebruikers krijgen standaard gebruikersaccounts met een ID en wachtwoord - Beheerders krijgen een extra gebruikersaccount met verhoogde privileges - Single Sign On en Multi-Factor Authentication wordt steeds meer toegepast in het hele gebouw - Het opnieuw certificeren van gebruikersaccount gebeurt regelmatig en sommige accounts worden maandelijks gecontroleerd.

Cryptografie – Een snel evoluerend en groeiend aspect van het bedrijf, met sleutels die centraal en in overeenstemming met best practices worden beheerd.

Fysieke en Omgevingsbeveiliging – Alle datacenters worden gehost in omgevingen met strikte fysieke beveiligingsmaatregelen - Een groeiend aantal kantoren, waaronder het hoofdkantoor, heeft toegangscontrole op basis van ID-kaarten, die uiteindelijk in alle kantoren zal worden ingevoerd - Hetzelfde geldt voor CCTV en ANPR-dekking - Maandelijkse Clear Desk-controle van kantoren.

Beveiliging van Operations – IT-teams volgens ITIL-principes - Wijzigingsbeheer wordt gecontroleerd door een Change Advisory Board-proces - Productieomgevingen zijn gescheiden van ontwikkel- en testomgevingen - Elk eindpunt van gebruikers is versleuteld en heeft anti-malwarebescherming - Alle systemen zijn NTP gesynchroniseerd - Logs worden 12 maanden bewaard - Software wordt centraal uitgerold, bijgewerkt en beheerd - Kwetsbaarheidsbeoordelingen worden met verschillende frequenties uitgevoerd.

Communicatiebeveiliging –De netwerken zijn gescheiden met enkele DMZ's - Processen voor informatieoverdracht zijn aanwezig - E-mailbeheer wordt dubbel gefilterd in de cloud - Non-Disclosure Agreements (NDA) zijn indien nodig aanwezig.

Aankoop, Ontwikkeling en Onderhoud van Systemen – Informatiebeveiliging is een vast onderdeel van de principes van Security by Design, waarbij de Projectmanagers voor alle verplichte wijzigingen een Data Protection Impact Assessment (DPIA) uitvoeren - Er worden verschillende ontwikkelomgevingen gebruikt - Alle wijzigingen worden getest door een intern testteam - Onafhankelijke penetratietests en kwetsbaarheidsbeoordelingen worden uitgevoerd op extern blootgestelde applicaties.

Relaties met Leveranciers – Leveranciers worden beoordeeld op hun interactie met Radius gegevens en systemen - Toezicht op naleving is doorlopend - Contracten/Overeenkomsten/NDA's zijn geïmplementeerd in overeenstemming met GDPR-vereisten.

Informatiebeveiliging Incident Management – Incidentrapportage beheerd via een register met een veilige opslagplaats voor bewijsmateriaal - Diverse geautomatiseerde bewakingstools - Rapportageproces voor datalekken aangevuld met een Retainer-service van een derde partij voor de aanpak van datalekken van een vooraanstaand Brits informatiebeveiligingsadviesbureau. Informatiebeveiligingsaspecten van Business Continuity Management – Business Continuity Plans aanwezig en tot op heden meerdere malen met succes toegepast - Disaster Recovery Plans gedefinieerd voor alle kernsystemen - Testschema aanwezig.

Naleving – Alle relevante wet- en regelgeving is geïdentificeerd en hierop is actie ondernomen - DPIA's uitgevoerd in lijn met GDPR - Onafhankelijke penetratietesten - ISMS onafhankelijk beoordeeld - Management Informatiebeveiliging Forum zorgt voor interne beoordeling van ISMS.

Deze Gegevensbeschermingsverklaring is voor het laatst herzien en bijgewerkt op 30 maart 2022 - Versie 1.4.