1. ALGEMENE CONTROLEMECHANISMEN
1.1 Ferrero heeft naar behoren gedocumenteerde en regelmatig bijgewerkte beleidsregels voor de bescherming van persoonsgegevens geïmplementeerd.
1.2 Ferrero’s procedures voor de bescherming van persoonsgegevens worden formeel gedocumenteerd, indien vereist periodiek geëvalueerd en onderbouwd met objectieve documenten (bijvoorbeeld notulen van vergaderingen, lijsten, IT-logboeken), waarmee de constante toewijding en waakzaamheid met betrekking tot de bescherming van persoonsgegevens in de uitgevoerde verwerkingsactiviteiten kunnen worden aangetoond.
1.3 Ferrero heeft zowel een beveiligingsfunctionaris als een functionaris voor gegevensbescherming (DPO) aangewezen die verantwoordelijk zijn voor het coördineren en monitoren van de regels en procedures voor de beveiliging en voor het naleven van de gegevensbescherming.
2. RECHTEN VAN BETROKKENEN (ART. 15 e.v. AVG)
2.1 Ferrero’s werknemers zijn zich bewust van de procedures waarmee betrokkenen hun recht van toegang kunnen uitoefenen en van de procedures voor het communiceren van verzoeken aan de verwerkingsverantwoordelijke om de rechten van betrokkenen uit te oefenen.
2.2 Ferrero onderhoudt een algemeen register waarin deze verzoeken, bijv. voor het uitoefenen van het recht van inzage, worden geregistreerd.
2.3 Ferrero heeft een persoon/functie (de DPO) aangewezen die verantwoordelijk is voor het geven van een schriftelijke uitleg aan de verwerkingsverantwoordelijke met betrekking tot verzoeken van betrokkenen.
2.4 Ferrero heeft een deadline ingesteld voor het communiceren van verzoeken aan de verwerkingsverantwoordelijke.
2.5 Ferrero beschikt over een procedure voor het schriftelijk documenteren van weigeringen van verzoeken van betrokkenen voor het uitoefenen van hun rechten op gegevenswissing, beperking van de verwerking of gegevensoverdraagbaarheid, en heeft een procedure om deze documentatie te delen met de verwerkingsverantwoordelijke.
3. PRIVACYBELEID (ART. 13 AVG) (waar van toepassing)
3.1 Ferrero’s werknemers en andere personen die verantwoordelijk zijn voor het geven van kennisgevingen over het privacybeleid/de bescherming van persoonsgegevens aan betrokkenen en/of verantwoordelijk zijn voor het verzamelen van de toestemming van betrokkenen, ook namens de verwerkingsverantwoordelijke, zijn specifiek getraind met betrekking tot de regels voor de bescherming van persoonsgegevens.
3.2 Ferrero controleert periodiek het gedrag van deze werknemers of andere personen, wanneer zij te maken hebben met betrokkenen.
3.3 Wanneer er kennisgevingen over het privacybeleid/de bescherming van persoonsgegevens aan betrokkenen worden gegeven, zijn Ferrero’s werknemers en andere verantwoordelijke personen in staat om deze betrokkenen mondeling of schriftelijk duidelijk op de hoogte te stellen van hun rechten.
3.4 Ferrero houdt een dossier bij van alle bronnen vanwaar het persoonsgegevens verkrijgt.
4. GEMACHTIGDE PERSONEN (ART. 29 AVG)
4.1 Ferrero heeft formeel gemachtigde personen aangewezen, hetzij individueel of als onderdeel van homogene categorieën.
4.2 Alle aangewezen gemachtigde personen hebben specifieke schriftelijke instructies ontvangen over hoe zij persoonsgegevens moeten verwerken en beschermen.
4.3 Ferrero heeft een actuele lijst van gemachtigde personen, en alle gemachtigde personen ontvangen adequate training en opleiding over de bescherming van persoonsgegevens. Deze training wordt op de juiste wijze gedocumenteerd.
4.4 De toegangsprivileges die aan gemachtigde personen worden verleend, zijn adequaat en actueel. De instructies die aan gemachtigde personen worden gegeven zijn actueel. Dit wordt periodiek bevestigd.
5. TRAINING
5.1 Nieuwe werknemers worden goed geïnstrueerd voordat ze beginnen met het verwerken van persoonsgegevens.
5.2 De integriteit en de betrouwbaarheid van werknemers wordt geëvalueerd voordat activiteiten aan hen worden toevertrouwd waarbij ze toegang hebben tot persoonsgegevens.
5.3 Alle gemachtigde personen ontvangen regelmatig operationele updates over beveiliging.
5.4 Ferrero verspreidt beveiligingsrichtlijnen onder alle gemachtigde personen.
5.5 Ferrero houdt documentatie bij voor het ondersteunen en aantonen van de uitgevoerde trainingsactiviteiten.
6. BELEIDSREGELS VOOR DE INFORMATIEBEVEILIGING
6.1 Ferrero heeft een set van criteria en beleidsregels gedefinieerd om zijn houding ten opzichte van en ondersteuning voor informatiebeveiliging te verhelderen, evenals beveiligingscontrolemechanismen met betrekking tot mobiele apparaten en telewerken (zoals thuiswerken, externe toegang en virtuele werkplekken).
6.2 Ferrero heeft afzonderlijke rollen en verantwoordelijkheden voor de informatiebeveiliging gedefinieerd en deze toegewezen aan de juiste individuen, teneinde conflicterende belangen te vermijden en ongepaste activiteiten te voorkomen.
6.3 Ferrero is adequate overeenkomsten aangegaan met sub-verwerker(s), waarin is vastgelegd dat zij geschikte technische en organisatorische beveiligingsmaatregelen moeten implementeren met betrekking tot de bescherming van persoonsgegevens.
7. BEVEILIGING VAN HUMAN RESOURCES
7.1 Er wordt nagedacht over de verantwoordelijkheden voor de informatiebeveiliging, vóór de indienstneming, wanneer er een werving of selectie plaatsvindt van werknemers, aannemers en tijdelijk personeel (bijvoorbeeld door passende beschrijvingen van vacatures of screening voorafgaand aan de indiensttreding) en deze verantwoordelijkheden worden opgenomen in arbeidsovereenkomsten of andere dienstovereenkomsten (bijvoorbeeld binnen de algemene voorwaarden van het dienstverband en in andere ondertekende overeenkomsten waarin de rollen en verantwoordelijkheden met betrekking tot beveiliging worden gedefinieerd, door middel van nalevingsverplichtingen, etc.).
7.2 Ferrero’s managers zijn in staat te garanderen dat tijdens hun dienstverband werknemers, aannemers en tijdelijk personeel bewust worden gemaakt van hun verplichtingen met betrekking tot de informatiebeveiliging en instructies ontvangen om hieraan te voldoen, en dat ze op de hoogte worden gesteld dat ze onderworpen kunnen worden aan formele disciplinaire procedures bij incidenten op het gebied van informatiebeveiliging die door hen zouden kunnen worden veroorzaakt.
7.3 Ferrero heeft formele disciplinaire procedures ingesteld die in gang kunnen worden gezet bij incidenten op het gebied van de informatiebeveiliging die worden veroorzaakt door werknemers, aannemers en tijdelijk personeel.
7.4 Wanneer iemand Ferrero verlaat, of als er significante wijzigingen zijn in rollen en verantwoordelijkheden, worden alle aspecten met betrekking tot de beveiliging beheerd, door middel van, bijvoorbeeld verplichtingen om alle bedrijfsinformatie en bedrijfsapparatuur te retourneren, het bijwerken van toegangsrechten/autorisaties en herinneringen aan betrokken personen over hun aanhoudende verplichtingen met betrekking tot de privacy, het intellectueel eigendom, doorlopende contractvoorwaarden en andere zaken, met inbegrip van de ethische verwachtingen die aan hen worden gesteld.
7.5 Gemachtigde personen ontvangen specifieke instructies over hoe zij informatie op opslagmedia moeten verwijderen of vernietigen voordat deze opnieuw worden gebruikt.
8. ACTIVABEHEER
8.1 Ferrero heeft een complete inventaris van al zijn informatie-activa, en de personen die deze activa bezitten zijn geïdentificeerd, om de verantwoordelijkheid voor de beveiliging van deze activa te garanderen. Ferrero heeft voor deze activa beleidsregels voor “acceptabel gebruik” gedefinieerd.
8.2 Informatieopslagmedia worden zodanig beheerd, gecontroleerd, vervoerd en weggegooid dat de inhoud van de opgeslagen informatie niet in gevaar wordt gebracht.
8.3 Ferrero heeft een passend aantal veilige containers, die adequaat worden gedistribueerd en die beschikbaar zijn voor personen die verantwoordelijk zijn voor de zeggenschap (zelfs als dit tijdelijk is) van persoonsgegevens in welke vorm dan ook (papier, elektronisch of anderszins).
8.4 Ferrero heeft controlemechanismen geïmplementeerd om te voorkomen dat documenten die speciale categorieën persoonsgegevens bevatten niet onbeheerd worden achtergelaten wanneer deze zijn toevertrouwd aan gemachtigde personen en uit hun beschermde archieven zijn verwijderd.
8.5 Gemachtigde personen hebben eenvoudig toegang tot documentversnipperaars en kunnen deze gemakkelijk gebruiken.
8.6 Ferrero heeft een geschikt beleid geïmplementeerd voor het gebruik, de opslag en de vernietiging van papieren documenten.
8.7 Papieren documenten die speciale categorieën persoonsgegevens bevatten worden gewist of – bij voorkeur – vernietigd voordat ze opnieuw worden gebruikt.
9. TOEGANGSCONTROLE
9.1 Ferrero’s ingestelde organisatorische vereisten voor de toegangscontrole tot informatie-activa zijn duidelijk gedocumenteerd in een beleid/procedure voor toegangscontrole en de toegang tot Ferrero’s netwerk en verbindingen is beperkt.
9.2 Gebruikers worden bewust gemaakt van hun verantwoordelijkheden met betrekking tot het onderhouden van een effectieve toegangscontrole, zoals het kiezen van een sterk wachtwoord en dit vertrouwelijk te houden.
9.3 De toegang tot informatie wordt beperkt in naleving van Ferrero’s beleid/procedure voor toegangscontrole, bijvoorbeeld door middel van beveiligde loginsystemen, wachtwoordbeheer, geprivilegieerde toegangscontrole en het beperken van de toegang tot broncodes.
9.4 Ferrero controleert de toegang tot gevoelige zones. Personen die deze gevoelige zones betreden, verkrijgen hiervoor toestemming vooraf.
9.5 Gevoelige zones zijn voorzien van elektronische tools voor toegangscontrole, of anderszins onderworpen aan passend toezicht.
9.6 Ferrero evalueert regelmatig de logboeken voor toegang tot de gevoelige zones zoals serverruimtes om ongerechtvaardigde toegang te spotten.
10. ENCRYPTIE
11. FYSIEKE EN OMGEVINGSBEVEILIGING
11.1 Ferrero heeft duidelijk fysieke perimeters en barrières gedefinieerd, met fysieke toegangscontrolemechanismen en interne procedures om zijn terrein, kantoren, ruimtes, laad-/losdokken, etc., te beschermen tegen ongeoorloofde toegang (bescherming tegen branden, overstromingen, aardbevingen, bommen, etc.).
11.2 Ferrero kan bevestigen dat apparatuur en/of informatie niet buiten het terrein wordt gebracht zonder toestemming vooraf en met een passende bescherming, hetzij op het terrein of daarbuiten.
11.3 Informatie die is opgeslagen op informatieopslagmedia wordt vernietigd, voordat deze media worden weggegooid of opnieuw worden gebruikt.
11.4 Alle onbeheerde apparatuur wordt beschermd, en er is een specifieke ruimte en een duidelijk controlebeleid voor deze apparatuur aanwezig.
12. OPERATIONELE BEVEILIGING
12.1 Er zijn malwarecontrolemechanismen geïmplementeerd en deze worden onderhouden.
12.2 Er worden geschikte back-ups uitgevoerd en onderhouden, in overeenstemming met Ferrero’s back-upbeleid.
12.3 Back-ups worden getest. De resultaten worden gedocumenteerd en geregistreerd.
13. AUTHENTICATIE EN MONITORING
13.1 Tijdregistratiesystemen worden gesynchroniseerd om de tijdconsistentie van de trackinggegevens te garanderen.
13.2 Ferrero volgt het beginsel dat alleen strikt noodzakelijke rechten worden toegekend (least privilege), waarbij geautoriseerde toegang voor gebruikers wordt toegestaan op basis van hun functiebeschrijving.
14. TECHNISCH KWETSBAARHEIDSBEHEER
14.1 Ferrero kan bevestigen dat er een proces voor kwetsbaarheidsbeheer is ontwikkeld voor het identificeren van beveiligingszwakheden met behulp van vertrouwde externe bronnen voor kwetsbaarheidsinformatie en het toewijzen van een risicoclassificatie aan beveiligingskwetsbaarheden.
14.2 Systeemcomponenten en softwareupdates met betrekking tot het verhelpen van bekende kwetsbaarheden worden geëvalueerd, om de toepasbaarheid te bepalen, ze worden getest vóór de installatie als dit overeenkomt en tijdig geïmplementeerd.
14.3 Er zijn regels voor de installatie van software door gebruikers geïmplementeerd om het creëren van nieuwe kwetsbaarheden te voorkomen.
14.4 Ferrero heeft een penetatrietestproces gedefinieerd en geïmplementeerd op applicatie- en op infrastructuurniveau.
15. COMMUNICATIEBEVEILIGING
15.1 De beveiliging van Ferrero’s netwerk en netwerkdiensten is beschermd, bijvoorbeeld door middel van netwerksegregatie.
15.2 Ferrero heeft beschermingsmaatregelen geïmplementeerd voor het controleren van communicatie aan de interne en externe grenzen van de infrastructuur.
15.3 Ferrero heeft beleidsregels, procedures en overeenkomsten geïmplementeerd (bijvoorbeeld geheimhoudingsovereenkomsten, overeenkomsten voor de verwerking van persoonsgegevens), met betrekking tot de overdracht van informatie naar/van externe partijen, inclusief via elektronische berichten.
15.4 Ferrero heeft beveiligde kanalen geïmplementeerd (bijvoorbeeld versleutelde protocollen wanneer er verbinding wordt gemaakt met het bedrijfsnetwerk, en/of VPN in het geval van externe verbindingen) voor communicatie tussen de informatiesystemen en het bedrijfsnetwerk.
16. SYSTEEMACQUISITIE, -ONTWIKKELING EN -ONDERHOUD
16.1 Ferrero analyseert en specificeert de vereisten voor beveiligingscontrole, met inbegrip voor webapplicaties en -transacties.
16.2 De regels voor de ontwikkeling van softwarebeveiliging/systemen worden gedefinieerd in overeenstemming met Ferrero’s interne beleid.
16.3 Wijzigingen worden beheerd, uitgevoerd, geëvalueerd en goedgekeurd (in het ideale geval via een tool) in een speciale omgeving voordat ze naar de productieomgeving worden gemigreerd.
16.4 Wijzigingen in de configuratie van applicatieparameters worden vóór de implementatie geautoriseerd en gevalideerd nadat ze zijn uitgevoerd.
16.5 Softwarepakketten worden niet gewijzigd en de technische principes voor systeembeveiliging worden gerespecteerd.
16.6 De ontwikkel-, test- en productieomgevingen zijn van elkaar gescheiden om ongeautoriseerde toegang tot of wijzigingen van productiesystemen en coderepositories te vermijden.
16.7 Alle testgegevens worden zorgvuldig geselecteerd, gegenereerd en gecontroleerd.
17. RELATIES MET LEVERANCIERS
17.1 Ferrero heeft beleidsregels, procedures, bewustwordingsactiviteiten, etc. geïmplementeerd om organisatorische informatie te beschermen die toegankelijk is voor IT-outsourcers en andere externe leveranciers (ongeacht of dit sub-verwerkers zijn) in de hele leveringsketen. Deze zijn terug te vinden in de schriftelijke overeenkomsten die met deze entiteiten zijn getekend.
18. INCIDENTBEHEER VOOR INFORMATIEBEVEILIGING
18.1 Ferrero heeft verantwoordelijkheden en procedures geïmplementeerd voor het coherent en effectief beheren (rapporteren, beoordelen, reageren op en leren van) van gebeurtenissen, incidenten en kwetsbaarheden in de informatiebeveiliging, waaronder het lekken van persoonsgegevens om een tijdige rapportage aan de verwerkingsverantwoordelijke mogelijk te maken, evenals het verzamelen van geschikt forensisch bewijs, waar vereist.
19. ASPECTEN VAN DE INFORMATIEBEVEILIGING MET BETREKKING TOT BEHEER VAN DE BEDRIJFSCONTINUÏTEIT
19.1 Ferrero heeft de continuïteit van de informatiebeveiliging gepland, geïmplementeerd, getest en geëvalueerd als een integraal onderdeel van zijn beheersystemen voor bedrijfscontinuïteit.
19.2 Ferrero heeft voldoende redundantie om aan de beschikbaarheidsvereisten te voldoen.
20. NALEVING
20.1 Ferrero heeft zijn verplichtingen voor de informatiebeveiliging ten opzichte van autoriteiten (waaronder toezichthoudende autoriteiten) en andere externe partijen geïdentificeerd en gedocumenteerd, inclusief met betrekking tot intellectueel eigendom, bedrijfsbestanden of andere bestanden, privacy en encryptie.
Laatste update: juni 2018