1. Inleiding en normenkader

Flynth doet er alles aan om uw data en privacy te waarborgen. Wij werken volgens het NBA  volwassenheidsmodel, welke gebruik maakt van bestaande normenkaders zoals ISO 27001 en het NIST Cybersecurity Framework (en onderliggende kaders zoals CobIT 6.0).

2. Doel

Het informatiebeveiligingsbeleid van Flynth heeft als doel het waarborgen van de beschikbaarheid, integriteit, vertrouwelijkheid van alle in het kader van haar dienstverlening en / of bedrijfsvoering zelfstandig produceerde, gegenereerde en of ontvangen informatie van klanten, leveranciers, ketenpartners of betrokkenen en de aantoonbare opzet, implementatie en effectieve werking van de geïmplementeerde informatiebeveiligingsmaatregelen. Daarnaast het waarborgen van de continuïteit van de bedrijfsvoering en het minimaliseren van de schade door het voorkomen van beveiligingsincidenten en het minimaliseren van eventuele gevolgen. Dit ook om een beheerste en integere bedrijfsvoering te realiseren.

3. Uitgangspunten

Flynth hanteert de volgende uitgangspunten:

1. Flynth houdt zich aan de wet. Flynth gaat niet mee in de redenering dat de keuze om je als organisatie aan de wet te houden een kosten-baten analyse hoort te zijn.
2. Informatie over en verkregen van klanten, leveranciers, ingehuurd personeel en medewerkers wordt conform het informatiebeveiligingsbeleid behandeld. Zorgvuldig met privacy en vertrouwelijke informatie omgaan is een van de doelstellingen waar Flynth voor staat.
3. Opvolging van het informatiebeveiligingsbeleid en zorgvuldig met privacy en vertrouwelijke informatie omgaan binnen alle processen en activiteiten hoort bij de proactieve houding van medewerkers en ingehuurd personeel van Flynth en direct bij de ICT betrokken leveranciers. Informatiebeveiliging heeft veel aspecten en raakt aan bijna alle processen en activiteiten. Risico nemen hoort bij de ondernemende houding van Flynth. Onderdeel hiervan is vooraf de mogelijke gevolgen te onderzoeken en maatregelen te nemen die onaanvaardbare risico’s mitigeren.
4. Het ondernemende en op de klant gerichte karakter van Flynth wordt zo min mogelijk gefrustreerd door het informatiebeveiligingsbeleid. Noodzakelijke beveiligingsmaatregelen moeten genomen worden, ook als individuen dit minder waarderen, maar dan wel na een goedgeïnformeerde afweging. Proportionaliteit is hierbij gewenst. Ingrijpende of beperkende maatregelen die niet in verhouding staan tot het feitelijk verminderen van risico’s worden niet genomen.

4. Rollen en verantwoordelijkheden

In het landschap van informatiebeveiliging zijn de volgende rollen en verantwoordelijkheden te onderkennen:

• Raad van Bestuur: Is eindverantwoordelijk voor de informatiebeveiliging van Flynth en voor de verwerking van persoonsgegevens conform de AVG wetgeving
• Chief Information Security Officer (CISO): Is verantwoordelijk voor het opstellen van het informatiebeveiligingsbeleid en rapporteert aan de RvB over risico’s en de voortgang en de uitvoering van informatiebeveiligingsplannen.
• Information Security Officer (ISO): Controleert de juiste en volledige implementatie en onderhoud van de informatiebeveiligingsmaatregelen en beoordeelt wijzigingen op de infrastructuur en voert informatiebeveiligingsassessments uit ten aanzien van de IT-omgeving van Flynth.
• Privacy Officer (PO): Is verantwoordelijk voor het opstellen van het Privacybeleid en het onderhouden van het register van verwerkingen en controleert de juiste en volledige implementatie van de regelgeving welke voortvloeit uit de AVG.
• Compliance Officer: Ziet toe op de naleving van interne en externe wet- en regelgeving.

5. Samenvatting beveiligingsmaatregelen

Conform het NBA-volwassenheidsmodel zijn de informatiebeveiligingsmaatregelen onderverdeeld in een aantal domeinen. Hieronder volgt een samenvatting van de belangrijkste domeinen:

• Domein Personeelsmanagement
  • Al onze medewerkers hebben in hun arbeidsovereenkomst een geheimhoudingsplicht;
  • Ook medewerkers die via een derde worden ingehuurd / ingeschakeld hebben een geheimhoudingsplicht;
  • Doorlopende awareness campagne om de medewerkers bewust te maken van de cyber gevaren;
• Domein Change Management
  • Periodiek worden changes besproken en geaccordeerd in het change advisory board (CAB);
  • Wijzigingen kunnen alleen plaats vinden d.m.v. een geautoriseerde change;
• Domein Identity & Access Management
  • Alleen geautoriseerde gebruikers die betrokken zijn bij de dienstverlening aan U hebben toegang tot uw persoonsgegevens;
  • Onze systemen zijn beveiligd door middel van Multi-Factor Authenticatie.
  • Gebruikers worden gedwongen een sterk wachtwoord te kiezen met een minimale lengte en het aantal foutieve inlogpogingen is beperkt;
  • Externe applicaties zijn uitsluitend toegankelijk via SingleSignOn en/of Multi-Factor Authenticatie;
  • In- en uit dienstproces wordt technisch ondersteund waarmee wordt gecontroleerd of alle fysieke en logische toegang correct is toegewezen of afgesloten;
• Domein Security Management
  • Het security operation center (SOC) monitort en signaleert afwijkingen
  • Security incidenten worden gelogd en met gepaste prioriteit opgepakt;
  • Onze servers en data zijn geplaatst in beveiligde (Tier3+) Europese datacenters die dag- en nacht worden bewaakt door beveiligingsmedewerkers en camera’s en voorzien zijn van een strikte toegangscontrole;
  • Onze (internet)verbindingen zijn beveiligd middels industrie standaard encryptie 
• Domein bedrijfscontinuiteitsmanagement
  • Van onze data wordt dagelijks, wekelijks, maandelijks en jaarlijks een backup gemaakt die veilig wordt gesteld op een andere externe locatie (Tier3+-datacenter);
• Domein Ketenbeheer
  • Met alle (sub)verwerkers, waaronder cloud-dienstverleners zijn verwerkersovereenkomsten gesloten, waarin onder meer bepalingen zijn opgenomen over geheimhouding en beveiligingsmaatregelen.
  • De certificeringen van onze (sub)verwerkers organisaties worden via interne audits bewaakt en de certificaten opgevraagd