Informatiebeveiligingsbeleid - Yours Clothing Limited


Introduction

Yours Clothing Limited moet bepaalde informatie over personen verzamelen en gebruiken. Dit omvat persoonlijke informatie en gegevens van klanten, leveranciers, zakelijke contacten, werknemers en andere mensen met wie de organisatie een relatie heeft en waarmee ze in contact komen.

Dit gegevensbeschermingsbeleid beschrijft hoe deze persoonlijke gegevens moeten worden verzameld, verwerkt en opgeslagen om te voldoen aan de wet en voldoen aan de normen voor gegevensbescherming.

Waarom dit beleid bestaat

Dit gegevensbeschermingsbeleid zorgt ervoor dat Yours Clothing Limited:

  • Voldoet aan de wetgeving inzake gegevensbescherming en correcte werkwijzen volgt
  • De rechten van personeel, klanten en zakelijke partners beschermt
  • Open is over de wijze waarop het bedrijf persoonlijke gegevens opslaat en verwerkt
  • Zichzelf beschermt tegen de risico's van een datalek

De wet op gegevensbescherming

De Data Protection Act 1998 (wet op gegevensbescherming) beschrijft hoe organisaties - inclusief Yours Clothing Limited - persoonlijke informatie moeten verzamelen, verwerken en opslaan.

Deze regels zijn van toepassing ongeacht of gegevens elektronisch, op papier of op andere materialen worden opgeslagen.

Om te voldoen aan de wet, moet persoonlijke informatie op eerlijke wijze worden verzameld en gebruikt, veilig worden opgeslagen en niet onwettig worden bekendgemaakt.

Mensen, risico's en verantwoordelijkheden

Beleidsperspectief

Dit beleid is van toepassing op het hoofdkantoor, alle winkellocaties, alle personeelsleden en vrijwilligers, en alle contractanten, leveranciers en andere mensen die werkzaam zijn uit naam van Yours Clothing Limited.

Het is van toepassing op alle gegevens die het bedrijf bewaart met betrekking tot identificeerbare personen, zelfs als die informatie technisch buiten de wet op gegevensbescherming uit 1998 valt; het omvat, maar is niet beperkt tot de volgende persoonlijke gegevens:

  • Namen
  • Postadres
  • E-mailadres
  • Telefoonnummers
  • Betalingsinformatie
  • Foto's
  • Locaties
  • IP-adres
  • Online gedrag
  • Speciale categoriegegevens zoals: religie en gezondheidsinformatie

Gegevensbeveiligingsrisico’s

Dit beleid helpt bij de bescherming tegen enkele zeer reële gegevensbeveiligingsrisico's, waaronder:

  • Schendingen van vertrouwelijkheid. Bijvoorbeeld informatie, die verkeerd wordt vrijgegeven.
  • Nalaten van aanbieden van keuzes. Zo zouden bijvoorbeeld alle personen vrij moeten kunnen kiezen hoe het bedrijf de gegevens gebruikt die op hen betrekking hebben.
  • Reputatieschade. Het bedrijf zou bijvoorbeeld reputatieschade kunnen lijden als hackers met succes toegang zouden krijgen tot gevoelige gegevens.

Verantwoordelijkheden

Iedereen die voor of met het bedrijf werkt, is er verantwoordelijk voor dat gegevens op de juiste manier worden verzameld, opgeslagen en verwerkt.

Elk team dat persoonlijke gegevens verwerkt, moet ervoor zorgen dat gegevens worden afgehandeld en verwerkt in overeenstemming met dit beleid en de gegevensbeschermingsbeginselen.

De volgende personen hebben echter zeggenschap over de belangrijkste verantwoordelijkheidsgebieden:

  • De Raad van Bestuur is de uiteindelijke verantwoordelijke voor de waarborg dat aan wettelijke verplichtingen wordt voldaan.
  • De Nalevingsverantwoordelijke is verantwoordelijk voor:
    • Het geïnformeerd houden van de raad ten aanzien van gegevensbeschermingsverantwoordelijkheden, -risico's en -problemen.
    • Beoordeling van alle procedures voor gegevensbescherming en gerelateerd beleid, in overeenstemming met een afgesproken schema.
    • Organiseren van trainingen en advies inzake gegevensbescherming voor personen die onder dit beleid vallen.
    • Afhandelen van vragen over gegevensbescherming van personeel en andere personen die onder dit beleid vallen.
  • De Bedrijfssecretaris is verantwoordelijk voor:
    • Afhandelen van verzoeken van individuen om de gegevens die over hen worden bewaard te bekijken (ook wel 'Toegangsverzoeken van betrokkenen' genoemd).
    • Controleren en goedkeuren van contracten of overeenkomsten met derde partijen die mogelijk omgaan met de gevoelige gegevens van het bedrijf.
  • De IT-manager is verantwoordelijk voor:
    • De waarborg dat alle systemen, services en apparatuur die worden gebruikt voor het opslaan van gegevens voldoen aan acceptabele beveiligingsstandaarden.
    • Uitvoering van regelmatige controles en scans om ervoor te zorgen dat de beveiligingshardware en -software correct werkt.
    • Evalueren van services van derden die het bedrijf overweegt te gaan gebruiken voor het opslaan of verwerken van gegevens. Bijvoorbeeld cloud computing-services.
  • De Algemeen directeur is verantwoordelijk voor:
    • Goedkeuring van alle gegevensbeveiligingsverklaringen die worden bijgevoegd bij communicaties, zoals e-mails en brieven.
    • Behandelen van vragen over gegevensbescherming van journalisten of media zoals kranten.
    • Waar nodig, samenwerken met andere medewerkers om ervoor te zorgen dat marketinginitiatieven voldoen aan de beginselen voor gegevensbescherming.

Algemene veiligheidsrichtlijnen

  • De enige personen die toegang kunnen krijgen tot gegevens die onder dit beleid vallen, moeten degenen zijn die deze voor hun werk nodig hebben.
  • Gegevens mogen niet op informele wijze worden gedeeld. Wanneer toegang tot vertrouwelijke informatie vereist is, kunnen werknemers dit bij hun lijnmanagers aanvragen.
  • Alle medewerkers zullen een training ontvangen om hen te helpen hun verantwoordelijkheden te begrijpen bij het omgaan met gegevens.
  • Medewerkers moeten alle gegevens veilig houden door verstandige voorzorgsmaatregelen te nemen en de onderstaande richtlijnen te volgen.
  • In het bijzonder moeten sterke wachtwoorden worden gebruikt en mogen deze nooit worden gedeeld.
  • Persoonlijke gegevens mogen niet worden bekendgemaakt aan ongeautoriseerde personen, binnen het bedrijf of erbuiten.
  • Gegevens moeten regelmatig worden gecontroleerd en bijgewerkt als blijkt dat ze verouderd zijn. Als ze niet langer nodig zijn, moeten ze worden verwijderd en vernietigd.
  • Medewerkers moeten de hulp inroepen van hun lijnmanager of de persoon die verantwoordelijk is voor naleving als ze niet zeker zijn over een aspect van gegevensbescherming.

Gegevensopslag

Deze regels beschrijven hoe en waar gegevens veilig moeten worden opgeslagen. Vragen over het veilig opslaan van gegevens kunnen worden gericht aan de IT-manager of de gegevensbeheerder.

Wanneer gegevens op papier worden bewaard, moeten deze worden bewaard op een veilige plaats waar onbevoegde personen ze niet kunnen zien.

Deze richtlijnen zijn ook van toepassing op gegevens die gewoonlijk elektronisch worden opgeslagen, maar om de een of andere reden zijn afgedrukt:

  • Wanneer dit niet nodig is, moet het document of de bestanden in een afgesloten lade of archiefkast worden bewaard.
  • Medewerkers moeten ervoor zorgen dat papier en afdrukken niet worden achtergelaten op plaatsen waar onbevoegde personen ze kunnen zien, zoals op een printer.
  • Gegevensafdrukken moeten worden versnipperd en veilig worden verwijderd als ze niet meer nodig zijn.

Wanneer gegevens elektronisch worden opgeslagen, moeten deze worden beschermd tegen ongeautoriseerde toegang, onbedoelde verwijdering en kwaadwillende hackpogingen:

  • Gegevens moeten worden beschermd door sterke wachtwoorden die regelmatig worden gewijzigd en die nooit worden gedeeld met andere werknemers.
  • Gegevens die worden opgeslagen op verwisselbare media moeten veilig worden opgeborgen als ze niet worden gebruikt.
  • Gegevens mogen alleen worden opgeslagen op daarvoor aangewezen stations en servers en mogen alleen worden geüpload naar een goedgekeurde cloud computing-service.
  • Servers die persoonlijke gegevens bevatten, moeten zich op een veilige locatie bevinden, uit de buurt van de algemene kantoorruimte.
  • Gegevens moeten regelmatig worden geback-upt. Die back-ups moeten regelmatig worden getest, in overeenstemming met de standaardprocedures voor back-ups van het bedrijf.
  • Gegevens mogen nooit rechtstreeks worden opgeslagen op laptops of andere mobiele apparaten, zoals tablets of smartphones.
  • Alle servers en computers die gegevens bevatten, moeten worden beschermd door goedgekeurde beveiligingssoftware en een firewall.

Gebruik van gegevens

Persoonlijke gegevens hebben voor Yours Clothing geen waarde, tenzij het bedrijf er gebruik van kan maken. Maar juist wanneer persoonlijke gegevens worden geopend en gebruikt, kan dit het grootste risico op verlies, beschadiging of diefstal inhouden:

  • Bij het werken met persoonlijke gegevens moeten werknemers ervoor zorgen dat de schermen van hun computers altijd vergrendeld zijn wanneer ze niet worden gebruikt.
  • Persoonlijke gegevens mogen niet op informele wijze worden gedeeld. In het bijzonder mogen ze nooit per e-mail worden verzonden, omdat deze vorm van communicatie niet veilig is.
  • Gegevens moeten worden gecodeerd voordat ze elektronisch worden overgedragen. De IT-manager kan uitleggen hoe gegevens naar geautoriseerde externe contactpersonen kunnen worden verzonden.
  • Medewerkers mogen geen kopieën van persoonlijke gegevens opslaan op hun eigen computers. Open altijd de meest recente versie van het document uit het hoofdbestand en update de versie.

Nauwkeurigheid van de gegevens

De wet vereist dat Yours Clothing redelijke stappen onderneemt om ervoor te zorgen dat de gegevens accuraat en up-to-date worden gehouden.

Hoe belangrijker het is dat de persoonlijke gegevens nauwkeurig zijn, des te meer moeite moet worden gedaan om de nauwkeurigheid ervan te waarborgen.

Alle medewerkers die met gegevens werken, hebben de verantwoordelijkheid om redelijke stappen te ondernemen om ervoor te zorgen dat deze zo accuraat en up-to-date mogelijk worden gehouden.

  • Gegevens worden op zo min mogelijk plaatsen bewaard. Medewerkers mogen geen onnodige aanvullende gegevenssets maken.
  • Medewerkers moeten elke gelegenheid aangrijpen om ervoor te zorgen dat gegevens worden bijgewerkt. Bijvoorbeeld door de gegevens van een klant te bevestigen wanneer ze bellen.
  • Maak het voor betrokkenen gemakkelijk om informatie die over hen wordt bewaard, bij te werken. Bijvoorbeeld via hun online account.
  • Gegevens moeten worden bijgewerkt als er onnauwkeurigheden worden ontdekt. Als een klant bijvoorbeeld niet langer kan worden bereikt op zijn opgeslagen telefoonnummer, moet het worden verwijderd uit de database.

Toegangsverzoeken van betrokkenen

Alle personen van wie persoonlijke gegevens worden bewaard, hebben het recht:

  • Te vragen welke informatie het bedrijf over hen bewaart en waarom.
  • Te vragen hoe ze er toegang toe kunnen krijgen.
  • Op de hoogte te worden gehouden over de wijze waarop ze up-to-date kunnen worden gehouden.
  • Op de hoogte te worden gehouden over de wijze waarop het bedrijf aan zijn verplichtingen inzake gegevensbescherming voldoet.

Als een persoon contact opneemt met het bedrijf en deze informatie opvraagt, wordt dit genoemd een Toegangsverzoek van betrokkene. Toegangsverzoeken van betrokkenen moeten per e-mail worden ingediend.

Aan toegangsverzoeken van betrokkenen zijn geen kosten verbonden, maar ze kunnen naar goeddunken van het bedrijf in rekening worden gebracht als een verzoek als buitensporig wordt beschouwd. De gegevensbeheerder streeft ernaar de relevante gegevens binnen 14 dagen te verstrekken, maar niet later dan 30 dagen nadat het eerste verzoek is ontvangen.

De gegevensbeheerder moet altijd de identiteit van iedereen verifiëren die een toegangsverzoek van betrokkene indient, alvorens enige informatie over te dragen.

Gegevens bekendmaken om andere redenen

In bepaalde omstandigheden staat de wet op de gegevensbescherming toe dat persoonlijke gegevens aan wetshandhavingsinstanties worden bekendgemaakt zonder de toestemming van de betrokkene.

In deze omstandigheden zal Yours Clothing de gevraagde gegevens vrijgeven. De gegevensbeheerder moet echter verifiëren dat het verzoek legitiem is, en zo nodig de hulp van de raad en de juridische bedrijfsadviseurs inroepen.

Informatie verstrekken

Yours Clothing stelt zich ten doel om ervoor te zorgen dat mensen zich ervan bewust zijn dat hun gegevens worden verwerkt en dat ze begrijpen:

  • Hoe de gegevens worden gebruikt
  • Hoe ze hun rechten kunnen uitoefenen

Hiertoe beschikt het bedrijf over een privacybeleid waarin wordt uiteengezet hoe gegevens over personen door het bedrijf worden gebruikt. De nieuwste versie van dit beleid is beschikbaar op de bedrijfswebsite www.yoursclothing.co.uk

Sign Up for Exclusive News and Offers >Close