Deze technische en organisatorische maatregelen zijn van toepassing voor alle locaties waar de CitNOW Group, naast zijn onderzoeks- en ontwikkelingsfaciliteiten, bedrijfskantoren heeft.

Over de CitNOW Group

CitNOW is opgericht om innovatie te benutten en retailers en fabrikanten te helpen een uitstekende klantervaring te bieden. De CitNOW Group wordt gedreven door de visie om de manier waarop de auto-industrie communiceert te transformeren.

De CitNOW Group biedt meerdere diensten voor elke fase van de klantenreis. Ontdek meer over elke dienstverlening via onze Merken- en Oplossingen-pagina.

De CitNOW Group bestaat uit CitNOW, CitNOW Imaging, CitNOW Triage and Appraise, Dealerdesk, Dealerweb, Quik, REALtime Communications (RTC), en Web1on1 (h/o CitNOW Conversations). Wij zijn wereldwijd actief met een aanwezigheid in 82 landen en meer dan 19.500 installaties evenals een groot aantal partnerschappen met complementaire leveranciers in de auto-industrie.

Doel en reikwijdte

De CitNOW Group verwerkt namens onze klanten in de auto-industrie gegevens van consumenten. Daarbij respecteert de CitNOW Group de privacy en het belang van deze gegevens evenals het vertrouwen dat onze klanten in ons stellen.

Hieronder volgt een beschrijving van de technische en organisatorische maatregelen die wij hebben getroffen om te zorgen voor de bescherming en beveiliging van gegevens. Het doel is om de vertrouwelijkheid, integriteit en beschikbaarheid van de verwerkte gegevens te garanderen. Klik voor meer gedetailleerde informatie over de datacentra op de koppelingen onderaan het document.

Benadering

Wij zullen:

• alle redelijke, gepaste, praktische en effectieve veiligheidsmaatregelen nemen om onze belangrijke processen en assets te beschermen en onze beveiligingsdoelstellingen te verwezenlijken;
• in ons managementsysteem voor informatiebeveiliging (Information Security Management System – ISMS) alle vereisten naleven van ISO 27001:2022;
• ISO 27002 inzetten als kader om onze benadering van onze beveiliging te beheren;
• voortdurend onze beveiligingsmaatregelen herzien, zodat we de manier waarop wij onze bedrijfsactiviteiten beveiligen kunnen blijven verbeteren.
• onze informatie-assets beschermen en beheren om ons in staat te stellen om te voldoen aan onze contractuele en wettelijke verplichtingen inzake privacy;
• alle redelijke, gepaste, praktische en effectieve maatregelen nemen om de doorgifte te regelen van informatie aan derden die toegang vereisen tot de genoemde informatie;
• ervoor zorgen dat wij zowel de Europese Algemene Verordening Gegevensbescherming (de "AVG") als de Britse General Data Protection Regulation (UK GDPR) naleven door middel van zowel onze AVG-vertegenwoordigers binnen het bedrijf als onze onafhankelijke, externe functionaris gegevensbescherming;
• gebruikmaken van het TISAX-kader en richtlijnen om binnen het beleid van de CitNOW Group te voldoen aan informatiebeveiligingseisen van consumenten en regelgevende instanties.

1. Beleid voor gegevensbeveiliging
   1. De CitNOW Group heeft een aantal beleidsmaatregelen vastgesteld op het gebied van gegevensbeveiliging die zijn goedgekeurd door de Raad van Bestuur en waarin de benadering van de organisatie uiteen wordt gezet voor het beheren van zijn doelstellingen op het gebied van gegevensbeveiliging.
   2. De beleidsmaatregelen voor gegevensbeveiliging zijn getroffen om de vereisten aan te pakken die voortvloeien uit de bedrijfsstrategie, regelgeving, wetgeving, contracten en de huidige en verwachte bedreiging van gegevensbeveiliging. Dit beleid is ook een vereiste van onze ISO 27001, Cyber Essentials Plus en TISAX-accreditatie (waar van toepassing, per entiteit). De volgende beleidsmaatregelen zijn van toepassing voor alle medewerkers:
      • Beleid inzake toegangscontrole
      • Beleid inzake aanvaardbaar gebruik
      • Beleid inzake veranderingsmanagement
      • Beleid inzake gegevensclassificatie
      • Managementbeleid voor informatiebeveiligingsincidenten
      • Beleid inzake de doorgifte van gegevens
      • Beleid inzake mobiele apparaten en werken op afstand
      • Beleid inzake fysieke beveiliging
      • Beleid inzake 'clean desk' en 'clear screen'
      • Systeem voor wachtwoordbeheer
      • Beleid inzake cryptografie
      • Personeelsbeleid, met inbegrip van onboarding, screening en offboarding
      • Beleid inzake internetgebruik
   3. Er kunnen naast de bovenstaande ook aanvullende verplichte beleidsmaatregelen worden vastgesteld, afhankelijk van de functie van de werknemer.
   4. Er wordt minimaal jaarlijks een evaluatie gehouden van alle beveiligingsbeleid van de CitNOW Group of wanneer er beduidende veranderingen worden geïmplementeerd die van invloed kunnen zijn op het beleid, ongeacht de aard van de verandering (bv. bedrijfsmatige verandering, verandering van de wet- en regelgeving, technologische veranderingen).
2. Risicobeheer
   1. De CitNOW Group hanteert een alomvattende maar pragmatische benadering van risico-identificatie, analyse en behandeling evenals voortdurende monitoring en evaluatie. Dit wordt uiteengezet in het document Risicobeoordeling en Behandelingsmethodiek. Het behandelt de risico’s als gevolg van interne en externe oorzaken, op basis van dreiging of gelegenheid, en schetst de benadering van de risico’s die het gevolg zijn van toepasselijke wet- en regelgeving.
   2. Wij houden ook een actueel risicoregister bij dat gebruikt wordt om risico's die geïdentificeerd worden door identificatie en analyse in kaart te brengen en aan te pakken. Het wordt tevens gebruikt om de activiteiten te documenteren en de terugkoppeling te tonen naar de beheers- en beleidsmaatregelen die door de organisatie geselecteerd zijn om de risico’s aan te pakken.
3. Organisatorisch
   1. Rollen en verantwoordelijkheden: De CitNOW Group heeft sleutelrollen en verantwoordelijkheden geïdentificeerd binnen de informatiebeveiliging en gegevensbescherming. Deze specifieke rollen worden toegekend en gecommuniceerd om ervoor te zorgen dat de informatiebeveiliging niet alleen effectief wordt beheerd, maar dat de prestaties van het managementsysteem voor informatiebeveiliging gerapporteerd worden aan de Raad van Bestuur.
      1. Hoofd operationele beveiliging en risico: Geeft leiding aan de ISO-commissie om ervoor te zorgen dat het ISMS wordt bijgewerkt en de ISO-accreditatie wordt nageleefd. Draagt ook verantwoordelijkheid voor de informatiebeveiliging binnen de organisatie, evenals het risicobeheer.
      2. Manager naleving en gegevensbescherming: Geeft leiding aan het nalevingsteam van de Groep en is verantwoordelijk voor het ISMS met betrekking tot wettelijke en contractuele gegevensbescherming. Verantwoordelijk voor de AVG-activiteiten in zowel onze VK als EU-kantoren.
      3. ISO-commissie: Dagelijkse uitvoering en onderhoud van het ISMS. Implementatie van beleid en procedures en het zorgen voor naleving door het personeel. Beheer van corrigerende maatregelen en verbeteringen en risico’s en behandeling.
      4. Interne auditors: Personen die de aanbevolen interne ISO 27001-cursus voor auditors hebben gevolgd en daarom verantwoordelijk zijn voor het uitvoeren van interne audits, in overeenstemming met het auditprogramma.
      5. Raad van Bestuur verantwoordelijk voor ISMS en AVG: Aanspreekpunt voor de ISO-commissie en de Raad van Bestuur van de CitNOW Group. Verantwoordelijk voor het goedkeuren van nieuwe beleidsmaatregelen en procedures binnen ISO en ervoor zorgen dat we aan onze KPI’s werken. Tevens verantwoordelijk voor het aftekenen van risicoacceptatie volgens onze risicomethodiek.
      6. Functionaris gegevensbescherming: Verantwoordelijk om ervoor te zorgen dat de CitNOW Group alle aspecten van de AVG-wetgeving naleeft, zowel VK- als EU-wetgeving.
      7. EU-vertegenwoordiger: Onze aangewezen EU-vertegenwoordiger inzake de Europese AVG. Verantwoordelijk voor het onderhouden van contact met de toezichthoudende autoriteiten van de EU met betrekking tot de AVG en het onderhouden van contact met de betrokkenen in de EU.
      8. AVG-kampioenen: Dagelijks aanspreekpunt binnen het bedrijf inzake AVG. Zorgen voor de handhaving van actueel beleid zoals het bijhouden van een register van verwerkingsactiviteiten, een register van overtredingen, enz. Tevens verantwoordelijk voor het bijwerken van de privacyverklaring en zorgdragen voor de dagelijkse naleving met betrekking tot onze verantwoordelijkheden jegens de betrokkenen en onze klanten.
   2. Scheiding van taken: De scheiding van taken wordt gebruikt om ervoor te zorgen dat tegengestelde verantwoordelijkheden niet worden toegewezen aan dezelfde persoon en om te voorkomen dat een enkele persoon toegang kan krijgen tot gegevens en deze zonder toestemming of detectie kan wijzigen of gebruiken.
   3. Informatie over dreigingen: Om potentiële dreigingen en kwetsbaarheden te begrijpen die van invloed kunnen zijn op de veiligheid van informatie, verzamelen en analyseren we informatie over dreigingen uit gerenommeerde bronnen. Dit zorgt ervoor dat we bekend zijn met dreigingen die ons kunnen treffen en dat we gepaste actie kunnen ondernemen wanneer dat nodig is. Alle dreigingsinformatie die van invloed kan zijn op de organisatie wordt geregistreerd in het risicoregister en gevolgd met onze methode voor risicobeheer.
   4. Informatiebeveiliging bij projectmanagement: De productafdelingen van de Groep volgen een vaste workflow voor producten waarbij naleving, samen met het uitvoeren van een risicobeoordeling, al tijdens de eerste fasen van het project deel uit moet maken van het project. In het geval dat een project invloed kan hebben op de privacy van onze klanten, personeel of consumenten, moeten onze procedures voor gegevensbeschermingseffectbeoordeling worden gevolgd. Als er een derde betrokken is bij het project, dan moet ook de veiligheidsprocedure leverancier worden gevolgd.
   5. Inventaris van informatie en andere assets: Wij gebruiken een informatie-asset trackingsysteem en een trackingsysteem voor fysieke assets die onze informatie-assets en onze fysieke bedrijfsmiddelen gedurende hun volledige levenscyclus volgen. De eigenaar van de asset is verantwoordelijk voor het gepaste beheer van de asset gedurende de levenscyclus en het beschermen van de asset in overeenstemming met de classificatie van informatie. Alle informatie-assets van de CitNOW Group moeten aan het eind van het dienstverband of een overeenkomst met derden worden teruggegeven aan de CitNOW Group.
   6. Aanvaardbaar gebruik van informatie en andere gerelateerde assets: De CitNOW Group heeft een beleid voor aanvaardbaar gebruik dat de regels uiteenzet voor het gebruik van de informatiesystemen en de assets van het bedrijf. Het legt de nadruk op verantwoordelijk gebruik voor bedrijfsdoelstellingen, verbiedt ongeautoriseerde activiteiten en garandeert gegevensbeveiliging. Werknemers moeten de richtlijnen volgen voor software-updates, internetgebruik, e-mailcommunicatie en incidentrapportage.
   7. Hantering van assets: Waar mogelijk vermijdt de CitNOW Group het vastleggen van informatie-assets op papier en tracht informatie alleen in digitale vorm te gebruiken. Digitale informatie wordt beveiligd tegen onbevoegde toegang door maatregelen zoals het beheren van de toegankelijkheid.
   8. Classificatie en labelen van informatie: Met de classificatiematrix voor informatie heeft de CitNOW Group drie niveaus van vertrouwelijkheid gedefinieerd (Vertrouwelijk, Publiek en Intern). Alle documentatie moet duidelijk worden gelabeld met het gepaste vertrouwelijkheidslabel en informatie die geclassificeerd wordt als "Vertrouwelijk" moet vergezeld gaan van een lijst van gemachtigde personen.
   9. Doorgifte van informatie: De CitNOW Group hanteert een beleid inzake de doorgifte van informatie dat ervoor zorgt dat de doorgifte van informatie/gegevens binnen de CitNOW Group, zij het intern, extern, of aan derden, voldoet aan de minimale veiligheidsvereisten. Het schetst de rollen en verantwoordelijkheden, methoden voor veilige doorgifte en biedt richtlijnen voor het hanteren van verschillende informatietypen, zoals elektronische mail, instant messaging en externe geheugenopslag. Het beleid is van toepassing voor alle werknemers en derden, waarbij de nadruk ligt op naleving en de juiste classificatie van informatie.
   10. Beheer van toegankelijkheid: De CitNOW Group hanteert een beleid voor toegankelijkheid dat regels vastlegt om toegang te verkrijgen tot systemen, apparatuur, faciliteiten en informatie die gebaseerd zijn op bedrijfs- en veiligheidsvereisten. De toegang volgt de "deny-by-default" en "need-to-know" principes. Beheer van toegankelijkheid vindt plaats op basis van rollen (Role-Based Access Control of RBAC) en volgt het principe van "least privilege" (minimale bevoegdheden) waarbij gebruikers alleen toegang krijgen als dat nodig is voor hun werkzaamheden en toegangsrechten jaarlijks worden herzien. De IT-afdeling beheert de toegang tot het netwerk en verleent alleen toegang indien nodig.
   11. Verantwoordelijkheden gebruiker en wachtwoordbeheer: Alle gebruikers van systemen van de CitNOW Group moeten een uniek gebruikers-ID hebben en moeten zich verifiëren met een wachtwoord. Wachtwoorden moeten geheim blijven en mogen niet op welke manier dan ook worden doorgegeven (verbaal, schriftelijk of elektronisch) of worden opgeslagen op de informatiesystemen, tenzij in een goedgekeurde wachtwoordmanager (of kluis). Gebruikers moeten goede veiligheidspraktijken toepassen bij het selecteren en gebruiken van wachtwoorden en moeten voldoen aan de verplichtingen als uitgelegd in het wachtwoordbeleid.
   12. Toegangsbeheer gebruiker: De technische implementatie of de toewijzing of verwijdering van de noodzakelijke toegangsrechten van werknemers worden uitgevoerd door de IT- en HR-afdeling. De technische implementatie van de toewijzing of verwijdering van toegangsrechten wordt uitgevoerd door de systeemeigenaren. Scheiding van taken en de scheiding van geprivilegieerde accounts van niet-geprivilegieerde accounts wordt geïmplementeerd waar dat mogelijk en praktisch is. Toegangsrechten worden gemonitord en regelmatig, ten minste jaarlijks, herzien.
   13. Informatiebeveiliging in relaties met leveranciers: De CitNOW Group hanteert een veiligheidsbeleid leverancier. Het doel van dit beleid is om ervoor te zorgen dat de informatie-uitwisseling met derden altijd plaatsvindt op een manier waarbij de maximale waarde kan worden behaald uit deze relaties terwijl de informatiebronnen van de CitNOW Group worden beschermd tegen misbruik. Alle derden met toegang tot gegevens of informatie zijn onderhevig aan een actuele niet-openbaarmaking- en geheimhoudingsovereenkomst. Deze is ofwel vervat in het contract of de dienstverleningsovereenkomst, afhankelijk van het type leverancier. Er is ook een interne derdenprocedure van kracht om ervoor te zorgen dat alle werknemers de juiste stappen zetten bij het overwegen van een nieuwe leverancier en dat het nalevingsteam daarbij betrokken wordt om ervoor te zorgen dat alle controles zijn uitgevoerd.
   14. Leveranciers en de aanpak van beveiliging van leveranciers: Waar mogelijk werken wij met leveranciers die al voldoen aan de meerderheid van onze informatiebeveiligingsvereisten voor de diensten die zij aan ons leveren en die een goed track record hebben van het op een verantwoordelijke manier van omgaan met beveiligingskwesties. Wij selecteren vooraanstaande en vertrouwde diensten die bekend staan om hun robuustheid, betrouwbaarheid en veiligheid en gebruiken waar mogelijk leveranciers die al een ISO 27001-accreditatie of vergelijkbaar hebben behaald.
   15. Monitoren, beoordelen en beheren van een verandering van leverancier: Alle leveranciers van de CitNOW Group ondergaan een veiligheidsbeoordeling voordat wij gebruikmaken van hun diensten. Dit beoordelingsproces is een voortdurend proces waarbij kritieke leveranciers jaarlijks worden beoordeeld en niet-kritieke leveranciers aan het einde van hun contractperiode of voorafgaand aan de vernieuwing van het contract. Bij het beheer van veranderingen in de dienstverlening van leveranciers beoordelen wij verschillende factoren voor de best mogelijke resultaten. De 'best practice' die wij daarbij volgen is het onderzoeken en beoordelen van drie mogelijke leveranciers voordat wij uiteindelijk een keuze maken. De belangrijkste overwegingen daarbij zijn:
       • de aard van de verandering;
       • het type leverancier die het betreft, hoe kritiek de bedrijfsinformatie, systemen en processen zijn en een herbeoordeling van de risico's;
       • de vertrouwdheid van de relatie; en
       • ons vermogen om de leverancier te beïnvloeden of verandering bij de leverancier te sturen
   16. Management van beveiligingsincidenten Herstelprocedures voor incidenten worden van tevoren vastgesteld om te zorgen voor een gestructureerde benadering bij incidenten. Ze beschrijven de rollen en verantwoordelijkheden van het personeel met betrekking tot de rapportage van, en het reageren op veiligheidsincidenten, en zorgen voor een consistent managementkader. De initiële taak bij het beoordelen van het incident en het beslissen over de acties die moeten worden ondernomen is het minimaliseren van de aantasting van de beschikbaarheid, integriteit en vertrouwelijkheid (Availability, Integrity, of Confidentiality - CIA) van de informatie, het voorkomen van verdere incidenten, het minimaliseren van de verstoring en het identificeren van partijen die geïnformeerd moeten worden, met inbegrip van intern personeel, klanten, leveranciers, en regelgevende instanties waarbij rekening wordt gehouden met de vereisten van de AVG en de Britse Data Protection Act 2018. Wanneer dit eenmaal is beoordeeld zal een aangewezen persoon communiceren met de relevante partijen om het incident tot een goed einde te brengen. De reactietijd varieert afhankelijk van de classificatie en de ernst van de gebeurtenis. Als een incident gevolgen heeft voor klanten dan zullen wij de klant na een grondig onderzoek informeren als bepaald door de wettelijke en contractuele verplichtingen en binnen de wettelijk vastgestelde kaders.
   17. Informatiebeveiliging tijdens een storing: De CitNOW Group heeft verschillende scenario's geïdentificeerd die mogelijk een impact kunnen hebben op de bedrijfscontinuïteit en de stappen om de gevolgen van dergelijke gebeurtenissen te beperken als onderdeel van het bedrijfscontinuïteitsplan (BCP). Dit plan is bedoeld om hulp te bieden bij het snel weer herstellen van de bedrijfsprocessen in geval van een ontwrichtend incident. Het testen en actualiseren van het bedrijfscontinuïteitsplan van de CitNOW Group wordt uitgevoerd om ervoor te zorgen dat het voldoet aan de doelstellingen van de informatiebeveiliging en is gebaseerd op het volgende:
       • Testen van specifieke delen van het plan en de invloed daarvan op de informatiebeveiliging wordt uitgevoerd met de frequentie die gerelateerd is aan de waarschijnlijkheid dat een risico zich manifesteert en de gevolgen daarvan als vastgesteld in de risicobeoordeling.
       • BCP-audits worden regelmatig ingepland in overeenstemming met het auditprogramma.
       • De evaluatie van het plan zelf om de doelmatigheid te garanderen wordt uitgevoerd door de nalevings- en IT-teams, waarbij eventueel geïdentificeerde positieve veranderingen worden gepresenteerd aan de Raad van Bestuur.
       • Er wordt ten minste een keer per jaar een volledige bedrijfscontinuïteitsoefening gehouden om ervoor te zorgen dat het een geïntegreerde benadering blijft van de bedrijfsactiviteiten en het vermogen om te voldoen aan de doelstellingen.
   18. Toepasselijke wet- en regelgeving: De toepasselijke wet- en regelgeving en de contractuele vereisten die van toepassing zijn op de CitNOW Group worden geïdentificeerd, gedocumenteerd, gemonitord en geëvalueerd als onderdeel van de normale bedrijfsactiviteiten en als onderdeel van de managementreviews.
   19. Intellectueel eigendomsrecht: De CitNOW Group beschrijft zijn benadering ten opzichte van de bescherming van zijn intellectuele eigendomsrecht door middel van de volgende maatregelen die zijn afgeleid van bestaand beleid en overeenkomsten, waaronder:
       • Arbeidsvoorwaarden
       • Informatieverwijdering
       • Vertrouwelijkheid en geheimhoudingsovereenkomsten
   20. Bescherming van gegevens: De gegevens van de CitNOW Group worden beschermd tegen verlies, vernietiging, falsifiëring, ongeautoriseerde toegang en ongeautoriseerde vrijgave, in overeenstemming met de wettelijke, contractuele en bedrijfsvereisten. Specifieke gegevens worden opgeslagen in overeenstemming met de bewaartermijnen van het schema voor gegevensopslag dat wordt beheerd door de toepasselijke eigenaar van de gegevens/informatie-assets.
   21. Evaluatie gegevensbeveiliging: Het beleid voor gegevensbeveiliging van de CitNOW Group wordt regelmatig en na veranderingen onafhankelijk beoordeeld als onderdeel van onze inzet voor de voortdurende verbetering van onze dienstverlening. Ook zijn er in ons auditprogramma jaarlijkse interne audits voorzien, waarbij de relevante personeelsleden worden aangewezen om de audit uit te voeren.
   22. Technische evaluatie: Voor elk product worden jaarlijks kwetsbaarheid- en penetratietesten uitgevoerd door een bedrijf dat gespecialiseerd is in penetratietesten waarna de resultaten worden beoordeeld en de kwetsbaarheden worden hersteld.
   23. Bedrijfsprocedures: De CitNOW Group heeft bedrijfsprocedures opgesteld en stelt directeuren en afdelingshoofden in staat om zelf te beslissen welke bedrijfsprocedures voor hen en hun personeel het meest nuttig zijn, waar ze die opslaan en op welke manier ze die documenteren.
4. Mensen
   1. Screening: Het wervings- en selectiebeleid van de CitNOW Group behelst ook de screeningprocedures die worden uitgevoerd voor alle nieuwe medewerkers. Dit betreft ook, maar is niet beperkt tot, een werkvergunning en twee bevredigende referenties met betrekking tot het arbeidsverleden.
   2. Arbeidsvoorwaarden medewerker: Alle nieuwe medewerkers van de CitNOW Group krijgen een contract dat speciaal bedoeld is voor de entiteit die hen in dienst neemt ten tijde van de vacature. Deze contracten bevatten dwingende verplichtingen ten aanzien van geheimhouding en vertrouwelijkheid voor de werknemer en beschrijven de verplichtingen ten aanzien van de naleving van het beleid inzake informatiebeveiliging.
   3. Bewustzijn, scholing en training inzake informatiebeveiliging: Bij de indiensttreding moeten werknemers onze 'DNA'-trainingssessies bijwonen voor de volledige integratie in het bedrijf, met inbegrip van bijeenkomsten die geleid worden door leden van het beveiligingsteam van onze organisatie. Er wordt voorzien in voortdurende trainings- en bewustmakingsprogramma's die door alle personeel wordt gevolgd in de vorm van e-learning en campagnes over 'phishing'. Medewerkers worden ook gestimuleerd om trainingen te vinden en te volgen waarvan zij denken dat die een positieve bijdrage kunnen leveren aan hun vakkennis.
   4. Disciplinaire maatregelen: Informatiebeveiliging is belangrijk en daarom kan herhaaldelijke niet-naleving van het beleid van de CitNOW Group of het bewust veroorzaken van een ernstige inbreuk op de informatiebeveiliging resulteren in disciplinaire maatregelen en waar noodzakelijk en toepasselijk zal de HR-afdeling van de CitNOW Group optreden in overeenstemming met het beleid in deze voor werknemers in de Britse markt. De disciplinaire maatregelen gelden specifiek voor alle medewerkers in de Britse markt, vanwege mogelijke verschillen met de wet- en regelgeving in andere markten. Het team van HR zal disciplinaire maatregelen in andere markten uitvoeren in overeenstemming met de wet- en regelgeving in de lokale markt.
   5. Beëindiging of wijziging van het dienstverband: In het geval van een beëindiging van het dienstverband worden zaken als geheimhouding en gedrag met betrekking tot vertrouwelijke gegevens na het verlaten van de organisatie besproken in overeenstemming met de arbeidsvoorwaarden en personeelsleden worden hieraan herinnerd tijdens het ontslaggesprek met HR. Het terugvragen van de bedrijfsmiddelen van de medewerker wordt uitgevoerd in overeenstemming met het beleid inzake de teruggave van bedrijfsmiddelen en de verwijdering uit alle systemen wordt uitgevoerd in overeenstemming met het beleid inzake toegankelijkheid.
   6. Vertrouwelijkheid en geheimhoudingsovereenkomsten: Vertrouwelijkheid en geheimhoudingsovereenkomsten regelen de vereisten van de bescherming van vertrouwelijke informatie met gebruikmaking van termen die wettelijk afdwingbaar zijn. Vertrouwelijkheid en geheimhoudingsovereenkomsten zijn van toepassing en vereist voor alle externe partijen of werknemers van de CitNOW Group, waarbij ofwel een geheimhoudingsverklaring is ondertekend of een volledige geheimhoudingsbepaling deel uitmaakt van een overeenkomst.
   7. Rapportage over incidenten en kwetsbaarheden in de gegevensbescherming Elke werknemer, leverancier of derde die in contact komt met gegevens en/of systemen van de CitNOW Group of die van zijn klanten, moet elke kwetsbaarheid in de systemen, elk incident of elke gebeurtenis die aanleiding kan geven tot een mogelijk beveiligingsincident rapporteren. Informatie over hoe dergelijke gebeurtenissen of kwetsbaarheden moeten worden gerapporteerd maakt onderdeel uit van onze voortdurende training inzake informatiebeveiliging voor alle werknemers van de CitNOW Group en is onderdeel van het integratieproces voor leveranciers en andere derden.
5. Fysiek
   1. Fysieke toegang: Fysieke beveiligingsmaatregelen binnen alle kantoren van de CitNOW Group zijn onder meer de volgende:
      • Alle werknemers hebben een toegangspas of -druppel nodig om toegang te verkrijgen tot de kantoren tenzij het kantoor een bemande receptie heeft.
      • Alle bezoekers moeten zich inschrijven bij de receptie en te allen tijde een bezoekerspas dragen.
      • Werknemers moeten er waakzaam op zijn dat onbevoegden niet mee naar binnen lopen en moeten onbekenden die aanwezig zijn op kantoor aanspreken.
      • De toegangsdeuren van het kantoor moeten altijd gesloten zijn.
      • Aan het eind van de dag moeten alle ramen en toegangsdeuren worden afgesloten.
      • Bij de toegangspunten van alle kantoren dient de verhuurder CCTV-toezicht ter beschikking te stellen.
   2. Beveiligde zones: Alle kantoren van de CitNOW Group zijn op de volgende manier beveiligd:
      • Telecommunicatieapparatuur, servers en netwerkapparatuur is veilig opgeslagen in afgesloten communicatieruimten, waartoe slechts een beperkt aantal medewerkers toegang hebben;
      • Post wordt bezorgd in één afgesloten postbus die waar mogelijk alleen toegankelijk is voor ons personeel.
      • Voor alle personeelsleden zijn beveiligde archiefkasten, kasten of afsluitbare bureauladen beschikbaar.
      • Als er meerdere dagen achter elkaar een gedeelde vergaderruimte nodig is, dan kunnen materialen, waar van toepassing, 's nachts worden achtergelaten zo lang de ruimte wordt afgesloten en vertrouwelijk materiaal uit het zicht wordt gehouden van eventuele voorbijgangers.
      • Alle vergaderingen met een "vertrouwelijk" karakter worden gehouden in speciaal daarvoor bestemde vergaderruimten om het risico op het lekken van informatie naar een mogelijk open kantoorruimte te voorkomen als de informatie niet hoeft te worden gedeeld.
      • Werknemers en anderen die de kantoren en vergaderruimte gebruiken worden eraan herinnerd dat het noodzakelijk is om 'vertrouwelijke' materialen niet onbeheerd achter te laten waar anderen ze in kunnen zien, met inbegrip van het achterlaten van informatie op bijvoorbeeld whiteboards, enz.
   3. Clean desk- en clear screen-beleid: Vertrouwelijke en gevoelige informatie, hetzij in elektronische vorm of op papier, moet op gepaste wijze worden beveiligd in overeenstemming met het beleid inzake informatieclassificatie wanneer werknemers gedurende langere tijd weg zijn van hun werkplek en aan het eind van elke werkdag. Om dit te faciliteren zijn er richtlijnen opgesteld die zowel informatie in niet-elektronische vorm (bv handmatige/papieren bestanden), als informatie in elektronische vorm betreffen. Wanneer men weg is van een werkstation moet het scherm worden beveiligd met een wachtwoord.
   4. Apparatuur: Alle onderdelen van de CitNOW Group hebben de volgende beveiligingsmaatregelen getroffen om de veiligheid van de apparatuur te garanderen.
      • De CitNOW Group gebruikt voornamelijk clouddiensten van grote, gerenommeerde leveranciers, die zelf verantwoordelijk zijn voor de levering van beveiligde bedrijfsmiddelen in hun respectievelijke datacenters.
      • Kabels van elektriciteits- en telecommunicatiebedrijven waarover gegevens worden verzonden of ondersteunende informatiediensten in de kantoren van de CitNOW Group zijn beschermd tegen onderschepping, verstoring of beschadiging.
      • Bekabeling naar servers en netwerkapparatuur is veilig opgeslagen in afgesloten communicatieruimten, waartoe slechts enkele medewerkers toegang hebben en alle bekabeling wordt naar behoren onderhouden.
      • Specialistische apparatuur zoals brandbeveiligingsapparatuur wordt onderhouden in overeenstemming met de voorgeschreven onderhoudsintervallen en specificaties.
   5. Opslagmedia: Werknemers van de CitNOW Group mogen op hun werkcomputers alleen gebruikmaken van draagbare geheugenopslagmedia van het bedrijf die worden uitgegeven door de IT-afdeling. Deze media mogen niet worden aangesloten of gebruikt op computers die geen eigendom zijn van, of geleased worden door de CitNOW Group, tenzij met uitdrukkelijke toestemming van de IT-afdeling. Alle bedrijfs- of persoonsgegevens die worden opgeslagen op bedrijfsmiddelen moeten veilig worden gewist met goedgekeurde technologische middelen afhankelijk van de gevoeligheid van de gegevens. De CitNOW Group zorgt ervoor dat alle assets worden verwijderd door afvalverwijderingsbedrijven die zijn goedgekeurd volgens de WEEE-richtlijn. Werknemers mogen bedrijfsapparatuur zoals laptops meenemen buiten de vestiging zonder de voorafgaande toestemming of de noodzaak om dat te registreren, op voorwaarde dat alle veiligheidsbeleid voor de bescherming van bedrijfsmiddelen te allen tijde wordt opgevolgd.
6. Technologisch
   1. Malware: Het gebruik van anti-virussoftware op apparaten van werknemers detecteert de meerderheid van de algemeen bekende en voorkomende malware. Wij maken gebruik van bekende en algemeen betrouwbaar geachte producten om het risico te minimaliseren dat een gebruiker in aanraking komt met malware. In alle gevallen waar anti-malwaresoftware is geïnstalleerd:
      • moet de software regelmatig worden bijgewerkt met gebruikmaking van de automatische updatefunctie van de software;
      • moet het scannen op malware telkens plaatsvinden als er een bestand wordt geopend
   2. Beheer van kwetsbaarheden: De CitNOW Group voert regelmatig controles uit en jaarlijks een penetratietest om te controleren op kwetsbaarheden die niet eerder geïdentificeerd werden. Als er een kwetsbaarheid wordt ontdekt, dan wordt dit, ongeacht de bron, opgepakt door het nalevingsteam, CIO, CTO en andere belangrijke belanghebbenden. Als er actie vereist is om een kwetsbaarheid te herstellen, dan wordt er afhankelijk van de aard van de kwetsbaarheid onmiddellijk actie ondernomen of wordt de actie ingepland om op een bepaalde datum te worden uitgevoerd.
   3. Informatieverwijdering: Door gebruik te maken van wereldwijd vooraanstaande datacenters is de CitNOW Group in staat om een hoge mate aan beschikbaarheid en veiligheid te bieden. Onze databases bevatten Persoonlijk Identificeerbare Informatie (PII) van klanten en consumenten (als bepaald in artikel 6 van de Britse Data Protection Act 2018). Voor de verwijdering van PII van onze databases maken wij gebruik van anonimisatieconcepten en daarna na een bepaalde periode volledige verwijdering. Verwijdering van PII van onze databases:
      
      Bewaren van logbestanden die de volgende informatie bewaren over elke verwijdering:
      • Wie
      • Wat verwijderd
      • Wanneer
      • Door wie geautoriseerd
   4. Preventie van datalekken: De CitNOW Group heeft technieken geïmplementeerd voor de preventie van gegevensverlies die helpen om ervoor te zorgen dat de toegang tot en het gebruik van onze gevoelige informatie correct is en dat er geen toegang kan worden verkregen door onbekende of ongeautoriseerde gebruikers, door:
      • het identificeren van gegevens die beveiliging vereisen, bijvoorbeeld door classificatie;
      • het specificeren van wie er toegang heeft tot welke gegevens en wanneer men daar toegang tot heeft;
      • ervoor zorgen dat de service provider een mechanisme heeft voor de controle en het monitoren van hoe, wanneer en tot welke gegevens er toegang wordt verkregen en dat gegevens worden beschermd tegen ongeautoriseerde toegang, kopiëren en verspreiding;
      • controle over informatie die met buitenstaanders of derden wordt gedeeld;
      • aan personeel de noodzaak te benadrukken om ontvangers te controleren, gegevens te classificeren, door bewustzijn, scholing en training in informatiebeveiliging;
      • actie te ondernemen om waar van toepassing gegevens af te schermen.
   5. Back-ups: Er wordt binnen de CitNOW Group regelmatig een back-up gemaakt van alle bedrijfskritieke systemen, waarbij zowel cloud- als lokale back-upsystemen worden gebruikt. Er is back-upbeleid vastgesteld om de vereisten en bewaartermijnen te bepalen voor de back-up van informatie, software en systemen bij elke entiteit.
   6. Beschikbaarheid van gegevensverwerkingsfaciliteiten: De CitNOW Group maakt voornamelijk gebruik van clouddiensten voor de uitvoering van onze werkzaamheden. In deze systemen is een inherente redundantie ingebouwd in de architectuur die een hoge mate van beschikbaarheid en betrouwbaarheid garandeert.
   7. Loggen en monitoren De CitNOW Group registreert gebeurtenissen in logbestanden voor de producten van alle entiteiten door middel van verschillende monitoringsoftware. Logbestanden worden uitgelezen wanneer dat nodig is en bevatten gegevens van gebruikers zoals inlogpogingen en fouten van toepassingen. Alle geregistreerde informatie in logbestanden is alleen toegankelijk voor gebruikers met de juiste bevoegdheden; gebruikers dienen een account te hebben op het specifieke systeem met de gepaste toegangsrechten.
   8. Beveiliging van software; Er zijn verschillende maatregelen genomen binnen de CitNOW Group om wijzigingen aan de software op bedrijfssystemen te beheren. Alle wijzigingen aan bedrijfssoftware worden beheerd in overeenstemming met het veranderingsmanagement en houden rekening met de bedrijfsvereisten voor de verandering en de beveiligingsaspecten van de verandering.
   9. Netwerkbeveiliging: Interne netwerken worden beheerd door de IT-afdeling. De IT-afdelingen zijn verantwoordelijk voor het onderhoud en het bijwerken van alle netwerkactiviteiten. Omdat wij voornamelijk gebruikmaken van clouddiensten, is de veiligheid van de netwerkdiensten voornamelijk de verantwoordelijkheid van de leveranciers van de clouddiensten. Alle internet- en clouddiensen zijn onderhevig aan strikte Service Level Agreements tussen de CitNOW Group en de leverancier. Alle toegang tot de servers of systemen van de CitNOW Group wordt beheerd door middel van verificatie. Gasten hebben toegang tot gastnetwerken zonder toegang tot de kernsystemen.
   10. Gebruik van cryptografie: De CitNOW Group heeft een cryptografiebeleid geïmplementeerd dat onze benadering beschrijft van het gebruik van cryptografische controlemiddelen. Hiermee kan de organisatie de hoogste maatstaven hanteren voor versleuteling. Alle personen binnen de CitNOW Group dragen verantwoordelijkheid om ervoor te zorgen dat interne/vertrouwelijke gegevens worden versleuteld voordat die de vestiging van de organisatie verlaten. Overwegingen met betrekking tot sleutelbeheer beschrijven de vereisten voor het beheren van cryptografische sleutels gedurende hun levenscyclus met inbegrip van het genereren, opslaan, archiveren, ophalen, verspreiden, buiten gebruik stellen en vernietigen van sleutels. Cryptografische algoritmen, sleutellengte en gebruikspraktijken moeten worden geselecteerd op basis van 'best practice'.
   11. Veilig ontwikkelingsbeleid: Het beleid reflecteert onze benadering van de veilige ontwikkeling van onze diensten, producten en websites en is van toepassing op alle ontwikkelingsteams. Veilige coderingsnormen worden beoordeeld en gevolgd.
   12. Acceptatietesten: Alle veranderingen worden getest om de veiligheid, robuustheid, juistheid en prestatie van de toepassing te verzekeren. Acceptatietesten zijn standaard voor onze ontwikkelaars als onderdeel van onze implementatiecyclus waarbij alle functies apart worden getest voordat ze worden geïmplementeerd. Wij hanteren een scheiding van taken waarbij testuitvoerders worden aangesteld bij elke entiteit die deel uitmaken van het ontwikkelingsteam.
   13. Externe ontwikkeling: Alle externe ontwikkelaars worden beoordeeld om ervoor te zorgen dat ze gekwalificeerd en competent zijn. Individuele aannemers worden op dezelfde wijze behandeld als ontwikkelaars van de CitNOW Group op basis van hetzelfde ontwikkelingsbeleid en dezelfde controles die van toepassing zijn op zowel externe als interne ontwikkeling.
   14. Scheiding van omgeving: Om het risico van kwaadaardige activiteiten, ongeautoriseerde toegang of onbedoelde wijzigingen van intern gebruik te beperken hebben alle producten binnen de CitNOW Group aparte test/ontwikkelings- en productieomgevingen, in overeenstemming met de beste praktijken in de industrie en gebruiken we voornamelijk de volgende omgevingen binnen elke entiteit:
       • Ontwikkeling – voor ontwikkeling
       • Staging/Testen – voor intern testen
       • Productie-omgeving – werkende operationele omgeving
   15. Wijzigingsbeheer: Belangrijke wijzigingen in de organisatie, bedrijfsprocessen, informatieverwerkingsfaciliteiten en -systemen binnen de CitNOW Group zijn onderhevig aan formele beoordeling en toestemming door de Raad van Bestuur.
   16. Wijzigingscontrole: Onze procedures voor het controleren van wijzigingen bij ontwikkeling zijn onderdeel van ons controlebeleid voor wijzigingsbeheer. Alle wijzigingen aan het systeem worden gecontroleerd door middel van een zogenoemde 'peer code review' en testprocedure in overeenstemming met onze gedocumenteerde procedures.
   17. Bescherming van testgegevens: Voor de ontwikkeling of het testen van producten binnen de CitNOW Group worden onder normale omstandigheden geen persoonsgegevens gebruikt.
7. Aanvullend ondersteunend beleid
   1. De CitNOW Group heeft ook op een groot aantal andere terreinen binnen het bedrijf beleid geformuleerd dat helpt om onze praktijk op het gebied van informatiebeveiliging te ondersteunen, met inbegrip van, maar niet beperkt tot:
      • Beleid van de Groep inzake anti-omkoping
      • Beleid inzake disciplinaire maatregelen
      • Beleid van de Groep inzake klokkenluiders
      • Beleid van de Groep inzake gezondheid en veiligheid.
      • Beleid inzake moderne slavernij
      • Procedure voor de bekendmaking van inbreuken
8. Certificering
   1. ISO 27001: CitNOW Group Limited is gecertificeerd voor ISO 27001 door het BSI (certificaatnummer – IS 785456).
   2. Cyber Essentials Plus: CitNOW Group Limited is gecertificeerd voor Cyber Essentials Plus door CyberSmart (certificaatnummer - b5aea281-ec18-4306-9374-beba1ef3fe98)
   3. TISAX: De ENX Association ondersteunt met TISAX (Trusted Information Security Assessment Exchange) namens de Duitse unie van de automobielnijverheid (VDA) de algemene aanvaarding van Information Security Assessments in de auto-industrie. De TISAX beoordelingen worden uitgevoerd door auditors die met regelmatige intervallen hun geschiktheid moeten demonstreren. TISAX en TISAX-resultaten zijn niet bedoeld voor algemene publicatie.
   4. TISAX Status: Wij zijn een geregistreerde TISAX‑deelnemer en hebben de volgende labels behaald:
      • Vertrouwelijkheid & Gegevensbescherming volgens EU‑GDPR Art. 28 op beoordelingsniveau AL2.
      • Verificatie: Onze beoordelingsresultaten zijn beschikbaar via het ENX‑portaal. Indien u toegang nodig heeft, kunt u dit aanvragen via het ENX‑portaal met ons Scope ID (op verzoek beschikbaar).
9. Subverwerkers

   Alle subverwerkers die worden ingezet door entiteiten binnen de CitNOW Group worden vermeld op de pagina van subverwerkers CitNOW Group website.

   Deze subverwerkers kunnen in de loop van de tijd veranderen wanneer nieuwe functies en systeemupdates worden uitgebracht. Bij de selectie van nieuwe subverwerkers worden maatregelen genomen om ervoor te zorgen dat de juiste 'due diligence' in acht wordt genomen inzake beveiliging en privacy.

   In overeenstemming met onze procedure voor derdenleveranciers, garandeert de CitNOW Group de veiligheid van derdenleveranciers door nauwgezet hun veiligheidsmaatregelen en nalevingsnormen te controleren. Om dit streven nog verder te versterken, hanteren wij voor alle subverwerkers robuuste overeenkomsten voor gegevensverwerking. Daarnaast implementeren wij aanvullende doorgiftemechanismen waar dit noodzakelijk is om te voldoen aan de wet- en regelgeving voor gegevensbescherming, met inbegrip van de standaardcontractbepalingen, internationale overeenkomsten inzake de doorgifte van gegevens en/of risicobeoordelingen voor de doorgifte van gegevens.

10. CitNOW Group Hoofdkantoor

    Alle locaties van het CitNOW Group hoofdkantoren kan men vinden op de CitNOW Group website.