Wie is verantwoordelijk voor de naleving van de wetgeving op gegevensbescherming en bescherming van de levenssfeer?

Transcriptie

1 Gedurende uw dienstverband bij Travelex, zult u waarschijnlijk in contact komen met gegevens met betrekking tot onze klanten, partners en medewerkers. Het niveau en de gevoeligheid van deze gegevens zullen variëren afhankelijk van uw functie. In elk land waar Travelex actief is, bestaat enige vorm van gegevensbescherming of wetgeving ter bescherming van de persoonlijke levenssfeer. De complexiteit en vereisten van deze wetten variëren van land tot land sommige zijn zeer streng, anderen minder. Om de naleving van deze vereisten op mondiaal niveau eenvoudiger te beheren, heeft Travelex een reeks van beleidslijnen en normen ontwikkeld die van toepassing zijn op alle persoonlijke gegevens die zij verwerkt. Vanzelfsprekend zijn er een aantal uitzonderingen die, afhankelijk van de behoeften van een bepaald land, beheerd worden via "Exception Standards". U zult afhankelijk van uw functie een aangepaste Gegevensbescherming en Privacybeleid opleiding ontvangen. Hierbij enkele richtlijnen waarvan u zich bewust moet zijn: Wat is persoonlijke informatie? Onder persoonlijke informatie wordt verstaan elke informatie, of gedeelte informatie dat samengevoegd met andere gegevens, een levend individu identificeert. Dit omvat eveneens audio bestanden, beeldmateriaal (CCTVbewakingsbeelden), klantenbestanden, papieren documenten en personeelsdossiers. Persoonlijke informatie wordt ook wel "persoonsgegevens" en "persoonlijk identificeerbare informatie" genoemd. Wie is verantwoordelijk voor de naleving van de wetgeving op gegevensbescherming en bescherming van de levenssfeer? Als bewaarder of eigenaar van persoonlijke gegevens, heeft Travelex als data controller de wettelijke verplichting te voldoen aan de geldende wetgeving. Deze wettelijke verplichting is ook van toepassing op iedereen bij Travelex die, in het kader van hun beroepsactiviteiten, in contact komen met persoonlijke informatie. Wat is gegevensbescherming en bescherming van de levenssfeer? De meeste wetten bestaan uit een opsomming van principes die definiëren hoe persoonlijke gegevens moeten worden verwerkt. Verwerking van persoonsgegevens omvat het verzamelen, gebruiken, opslaan, verstrekken en vernietigen van bedoelde gegevens. 20 February 2013 Page 1

2 Wat zijn de Travelex principes? Persoonlijke informatie moet: Rechtmatig en eerlijk verwerkt worden In overeenstemming met de privacy regels, arbeidsovereenkomsten of algemene voorwaarden. Doelmatig, relevant en niet excessief zijn Enkel die informatie verzamelen die noodzakelijk is in het kader van een gevraagde klantendienst of voor tewerkstelling. Nauwkeurig en indien vereist up to date gehouden worden We moeten ons ervan verzekeren dat we correcte gegevens vastleggen en dit ook zo houden. Enkel gebruikt worden voor de doeleinden waarvoor het verzameld werd We mogen geen informatie verzamelen die nodig is voor uit uitvoeren van een transactie om die dan ook te gebruiken voor andere doeleinden, tenzij de klant of medewerker hiervoor zijn toestemming heeft gegeven. Enkel bewaard worden voor de nodige tijdsduur Informatie moet bewaard worden voor zakelijke doeleinden en in overeenstemming met de wettelijke bewaartermijnen. Veilig bewaard worden Toegang tot gegevens moet beperkt zijn tot zij die dit nodig hebben. Gegevens moeten beveiligd zijn wanneer ze worden verzonden, hetzij rechtstreeks van de klant/medewerker alsook wanneer het wordt verzonden aan leveranciers. Beheerd worden in overeenstemming met de rechten van het individu Bijvoorbeeld: Toegang tot de informatie die Travelex heeft, het recht om onnauwkeurige of onjuiste informatie te laten verbeteren. Enkel openbaar gemaakt worden aan personen die bevoegd zijn ze te ontvangen Bijvoorbeeld: onze leveranciers die bijdragen aan het verwerken van bestellingen en andere medewerkers van Travelex die, in het kader van hun taken, toegang nodig hebben. Er zijn op Europees niveau strenge regels voor wat betreft grensoverschrijdend verkeer van informatie. 20 February 2013 Page 2

3 Welke zijn uw verantwoordelijkheden als medewerker? In overeenstemming met de geldende beleidslijnen en procedures van uw afdeling, mag u, gedurende uw taakuitoefening, persoonlijke informatie verzamelen, gebruiken en behandelen. Persoonlijke informatie mag enkel gebruikt worden om u te helpen bij het uitvoeren van uw taken. Het mag niet gegeven worden aan personen die dit niet hoeven te zien of te benaderen. Hieronder valt ook het niet bespreken van klantgegevens in openbare ruimte zoals personeelskantine of sociale bijeenkomsten. Informatieverzoeken van derde partijen vb. Justitie, Toezichthouders, familie of klanten, enz moeten worden doorverwezen worden naar het lokale Compliance team of het Head of Data Protection. Medewerkers die opzettelijk, of door onachtzaamheid, een inbreuk op de Gegevensbescherming of Privacy wetgeving hebben veroorzaakt, kunnen door Travelex onderworpen worden aan disciplinaire maatregelen Eenvoudige regels om op te volgen: Zorg er voor dat persoonlijke gegevens op papier steeds achter slot en grendel bewaard worden, wanneer die niet gebruikt worden. Laat vertrouwelijke informatie nooit onbeheerd achter op uw bureau, op een kast, op printers/faxmachines, of aan de balie in het zicht van anderen. Gebruik de schermbeveiliging van uw pc/laptop en zorg dat die beveiligd is met een wachtwoord (Alt + Ctrl + Delete and Enter) wanneer u uw bureau verlaat. Er is een automatische schermbeveiliging die de computer na 15 minuten inactiviteit vergrendeld. Echter, op deze wijze van gegevensbescherming zou u niet moeten vertrouwen. Vernietig vertrouwelijke informatie op een beveiligde manier d.i. met een papierversnipperaar of plaats het in een afvalbak voor vertrouwelijke documenten. Maak geen ongepaste notities in het systeem. Alle gegevens moeten correct en feitelijk zijn. Praat nooit over klant of personeelsgegevens met personen die deze informatie niet moeten hebben. Dit geldt ook voor collega s en familie/vrienden. Gebruik klant of personeelsgegevens enkel voor toepasselijke doeleinden. Persoonlijke gegevens mogen nooit de werkomgeving verlaten zonder voorafgaande toestemming van uw directe manager. 20 February 2013 Page 3

4 Credit Card gegevens: Credit card gegevens zijn onderworpen aan extra voorschriften, ook wel gekend onder de naam PCI DSS (Payment Card Industry Data Security Standard). Dit is een erg strikte reeks normen die ontworpen is om kaarthoudergegevens te beschermen en frauduleus gebruik van kaarten te voorkomen. Travelex moet voldoen aan deze normen anders kan zij hoge boetes opgelegd krijgen door de kaartuitgevers zoals Visa en MasterCard. In het kader van onze bedrijfsactiviteiten verzamelen wij informatie over onze klanten, om de betaling van transacties uit te kunnen uitvoeren. Dit is ook van toepassing op de gegevens over Pre Paid Currency betaalkaarten. Het 15 of 16 cijferige nummer op een credit card (in grote letters gedrukt op de voorkant van de kaart) wordt het PAN of Primary Account Number genoemd. Het is Travelex beleid dat het PAN nummer enkel wordt gebruikt voor het verwerken van de betaling en nooit zal worden opgeslagen, overgedragen of onthuld. Hieronder valt ook het opschrijven of op andere wijze vastleggen van het PAN nummer. Ook enkel met het oog op de verwerking van betalingen mogen we de vervaldatum en de 3 cijferige veiligheidscode verzamelen (CVV customer s security code). Dit staat bekend als sensitive authentication data (SAD). Travelex registreert of slaat nooit SAD gegevens op in haar systemen, op papier of andere vastleggingen. U zult afhankelijk van uw functie bijkomende informatie over de naleving van deze normen ontvangen. Informatiebeveiliging Naast persoonlijke gegevens kunt u ook in aanraking komen met zakelijke informatie van Travelex (ook gekend als intellectueel eigendom). Deze informatie is vertrouwelijk and mag niet gedeeld worden buiten Travelex of met medewerkers die deze informatie niet nodig hebben in het kader van hun taken. Het Travelex netwerk beschikt over verschillende controlemechanismen die er voor te zorgen dat het niet gecompromitteerd wordt en dat de gegevens vertrouwelijk blijven, haar integriteit intact blijft en dat de informatie, wanneer nodig, beschikbaar is Deze beveiligingen omvatten: Het scannen van bijlagen in inkomend verkeer en URLs om te voorkomen dat malware ( zoals virussen, Trojaanse paarden) het netwerk binnendringt. Het scannen van uitgaand verkeer om te voorkomen dat credit card nummers aanwezig zijn in teksten of bijlagen. Het vastleggen van alle internetgebruik wordt uitgevoerd om Travelex beleid betreffende gebruik van Internet diensten af te dwingen. Het is verboden onfatsoenlijke of criminele informatie, inclusief beeldmateriaal, op te zoeken, op te halen, te downloaden of verdelen die schade kunnen brengen aan andere groepen of individuele personen. Travelex heeft een filtersysteem geïnstalleerd om toegang tot dergelijke websites te voorkomen. 20 February 2013 Page 4

5 Deze beveiligingen omvatten (bijkomend): Uitgebreide Audit trails zijn op alle systemen en toepassingen geïmplementeerd om toegang en wijzigingen te detecteren. Toegangscontrole op basis van functie alleen toestemming verlenen aan medewerkers die dit nodig hebben in het kader van de uitoefening van hun taken. Uitgebreide Business Continuity Management Plans om ervoor te zorgen dat bij een natuur of andere ramp Travelex zijn zaken kan doen, haar klanten kan bedienen en haar personeel kan beschermen. U zult informatie ontvangen aangaande uw rol wanneer zich een belangrijk incident voordoet. Het gebruik van cameratoezicht (CCTV) om misdaad te voorkomen en te detecteren, en bij te dragen in de veroordeling van overtreders. Het niveau van cameratoezicht varieert van land tot land en omgeving. Er is bijvoorbeeld meer cameratoezicht op locaties waar waarden worden bewaard dan in een normale kantooromgeving. Toegangscontrole U kunt in bepaalde gevallen een toegangspasje ontvangen die u, afhankelijk van uw functie, toegang verleent tot bepaalde kantoren en locaties. Regels betreffende Informatiebeveiliging die u dient te volgen: Geef uw wachtwoord nooit aan iemand anders, zelfs niet als u hiertoe opdracht krijgt. De enige uitzondering op deze regel is wanneer de IT service desk toegang tot uw computer moet krijgen om een probleem op te lossen of een installatie te doen. Alleen in dit geval mag u uw wachtwoord geven. U dient er wel voor te zorgen dat dit daarna onmiddellijk gewijzigd wordt. Schrijf uw wachtwoord nergens op. Kies een wachtwoord dat voor u gemakkelijk te onthouden is maar voor een ander moeilijk te achterhalen. Vermijd namen gezien die gemakkelijk te achterhalen zijn. Vergrendel altijd uw computer wanneer u die verlaat. U bent verantwoordelijk voor alle activiteiten waarbij uw gebruikersnaam en wachtwoord worden gebruikt. Indien u vermoedt dat uw wachtwoord is gecompromitteerd, wijzig het onmiddellijk, waarschuw uw directe manager of de IT servicedesk. Installeer geen spelletjes of andere gegevens op uw laptop of computer. Dit betreft ook itunes en toepassingen die niet door Travelex zijn goedgekeurd. Wanneer je twijfelt neem contact op met de IT servicedesk voor richtlijnen. Rapporteer zo spoedig mogelijk aan de IT servicedesk het verlies van uw toegangspasje, laptop, telefoon of elk ander Travelex materiaal. Dit stelt hen in de mogelijkheid het toestel te deactiveren en te voorkomen dat persoonlijke en vertrouwelijke gegevens gecompromitteerd raken. 20 February 2013 Page 5

6 Zorg ervoor dat elke bezoeker op Travelex terrein te allen tijde begeleid wordt. Laat geen onverwachte, onbekende bezoekers toe tot de Travelex bedrijfsruimte zonder hun referenties en reden van aanwezigheid te controleren. Medewerkers die opzettelijk, of door onachtzaamheid, schade (of mogelijke schade) veroorzaken aan het Travelex netwerk door het niet naleven van beleidslijnen kunnen onderworpen worden aan disciplinaire maatregelen. 20 February 2013 Page 6