1.4. Verantwoord gebruik van het netwerk en de IT-infrastructuur van RPS

Ga zorgvuldig met gegevens om en houd je daarbij aan de wetgeving over gegevensbescherming

We moeten voorzichtig omspringen met onze gegevens, omdat ze in veel gevallen vertrouwelijk zijn voor onze klanten. Ze moeten zorgvuldig en veilig worden opgeslagen, zodat we ze niet kwijtraken en onbevoegden er geen toegang toe krijgen, zowel bewust als onbewust.

Tenzij uitdrukkelijk vermeld zijn alle gegevens die zijn opgeslagen op computers of andere apparaten die eigendom zijn van RPS eveneens eigendom van RPS en behoudt RPS de rechten op alle gegevens die namens het bedrijf zijn geproduceerd door zijn medewerkers of onderaannemers. Dit betreft alle berichten in mailboxen, persoonlijke mappen op servers, harde schijven van pc’s, mobiele telefoons, pda’s en geheugenkaarten.

Alle gegevens van RPS moeten zorgvuldig worden behandeld, maar voor sommige gegevens geldt een hoger vertrouwelijkheids- en veiligheidsniveau. Raadpleeg het informatiebeheerbeleid voor meer informatie over gegevensindeling bij RPS en de bijbehorende richtlijnen.

1
Klantgegevens

Ga altijd voorzichtig om met informatie over klanten. Dit geldt ook voor gegevens die worden gebruikt en geproduceerd in het kader van projecten voor klanten en voor informatie over klanten die nuttig kan zijn voor onze of hun concurrenten. Je klantbestanden moeten worden opgeslagen in een beveiligde gedeelde map waartoe alleen medewerkers van RPS die aan dat project werken toegang hebben. De Tech Team Service Desk kan je helpen bij het aanmaken van beveiligde mappen met beperkte toegang op ons netwerk.

Let er bij het verstrekken van informatie aan onze klanten op dat de overdracht van gegevensbestanden op een veilige en traceerbare manier plaatsvindt. Als je gegevensbestanden met een klant of een leverancier uitwisselt, gebruik je de bestandsuitwisselingsfunctie van Office 365, OneDrive of SharePoint, of je verstuurt ze via versleutelde e-mail of een beveiligde bestandsoverdrachtssite die gehost wordt door RPS of het andere bedrijf. Raadpleeg voor meer informatie over e-mailbeveiliging punt 2.3.4 in het onderdeel E-mail.

•         project- en klantbestanden opslaan in een beveiligde gedeelde map met beperkte toegang

•         contact opnemen met de IT Service Desk voor toegang tot de bestandsoverdrachtssite van RPS

•         contact opnemen met de IT Service Desk als je vermoedt dat klantgegevens zijn gewist, beschadigd of blootgesteld aan ongeautoriseerde toegang

 

 •         vertrouwelijke klant- of projectinformatie openbaar maken aan andere medewerkers of derde partijen, tenzij de klant of je direct leidinggevende hiervoor toestemming heeft gegeven

•         klantgegevens van RPS opslaan op apparaten die geen eigendom zijn van RPS en niet zijn goedgekeurd door de IT-afdeling

•         gegevens die eigendom zijn van RPS of zijn klanten uploaden naar externe site of dienst zonder de goedkeuring van je direct leidinggevende

•         bestanden wissen, bekijken, kopiëren of aanpassen tenzij je daarvoor schriftelijke toestemming hebt gekregen van degene die verantwoordelijk is voor het project of de werkzaamheden waarop de bestanden betrekking hebben

•         gebruikmaken van een bemiddelingssysteem zoals WeTransfer, tenzij je hiervoor toestemming hebt van de IT Service Desk van RPS en de klant of leverancier

•         je aanmelden bij bestandsuitwisselingsdiensten zoals Dropbox en Googlebox met je zakelijke emailaccount, tenzij je hiervoor goedkeuring krijgt van de IT Service Desk
2
Persoonsgegevens (klanten en medewerkers)

Met persoonsgegevens wordt bedoeld informatie die herleidbaar is naar een natuurlijke persoon die geïdentificeerd is of kan worden geïdentificeerd. Onze klanten kunnen ons gegevens verstrekken die persoonlijke informatie bevatten, zoals namen en adressen van hun medewerkers, klanten of anderen. Ook slaan wij veel persoonsgegevens van medewerkers op. Met persoonlijke informatie van medewerkers moet voorzichtig worden omgegaan. We moeten ervoor zorgen dat dergelijke informatie alleen beschikbaar is voor de juiste medewerkers.

In de meeste landen is specifieke wet- en regelgeving van kracht over het verzamelen, verwerken en uitwisselen van persoonsgegevens en we zijn verplicht ons daaraan te houden. In de Europese Unie bepaalt de Algemene verordening gegevensbescherming (AVG) hoe persoonsgegevens moeten worden verwerkt. In het Verenigd Koninkrijk is dit wettelijk geregeld in de Data Protection Act 2018. RPS hanteert voor de verwerking van persoonsgegevens de AVG-norm met lokale aanpassingen waar nodig om aan de plaatselijk geldende wetgeving te voldoen.

Hoe RPS de persoonsgegevens van zijn medewerkers beheert en verwerkt wordt toegelicht in de Gegevensbeschermingsverklaringen medewerkersgegevens. In de Gegevensbeschermingsverklaring RPS wordt toegelicht hoe we persoonsgegevens van klanten verwerken.

•         de AVG-training volgen zodat je op de hoogte bent van hoe je met persoonsgegevens om moet gaan en hoe je aan de regels voldoet

•         de Tech Team Service Desk zo snel mogelijk op de hoogte brengen als je persoonsgegevens tegenkomt die niet voor jou bestemd is contact opnemen met de AVG coördinator via AVG@tetratech.com als je vermoedt dat er sprake is van een gegevenslek

•         persoonlijke e-mailberichten en bestanden opslaan in een afzonderlijke map met de titel ‘Persoonlijk’ in je Outlook-mailbox en in je persoonlijke OneDrive

 

 •         persoonsgegevens van andere medewerkers of klanten openbaar maken, tenzij met toestemming of binnen de wettelijke vereisten en criteria van lokale wetgeving op het gebied van gegevensbescherming

•         persoonsgegevens van klanten opslaan op apparaten die geen eigendom zijn van RPS en niet zijn goedgekeurd door de IT-afdeling

•         persoonsgegevens die eigendom zijn van RPS of zijn klanten uploaden naar externe site of dienst zonder de goedkeuring van je direct leidinggevende
3
Operationele en financiële gegevens van RPS

Omdat wij een beursgenoteerde onderneming zijn, kan alle onjuiste of voortijdig vrijgegeven informatie over de organisatie een nadelig effect hebben op het bedrijf en zijn aandeelhouders.

Als beursgenoteerd bedrijf heeft RPS de verplichting om financieel en commercieel gevoelige informatie op een correcte en transparante manier te publiceren. Het bekendmaken van vertrouwelijke, niet-openbare informatie is een ernstige zaak die van invloed kan zijn op de beurskoers of de marktwaarde van onszelf of die van een klant, met een mogelijk nadelig effect op het bedrijf en zijn aandeelhouders. Onder vertrouwelijke informatie wordt onder meer verstaan informatie over RPS en klanten op het gebied van technische kennis, bedrijfsresultaten en ondernemingsplannen.

Onaanvaardbaar gebruik van systemen en netwerk

Het is medewerkers van RPS onder geen enkele voorwaarde toegestaan om met gebruikmaking van middelen die eigendom zijn van RPS activiteiten te ontplooien die illegaal zijn conform plaatselijke, landelijke of internationale wetgeving. Onderstaand overzicht is geenszins uitputtend, maar bedoeld om een kader te scheppen voor activiteiten die in de categorie ‘onaanvaardbaar gebruik’ vallen. De volgende activiteiten zijn zonder uitzondering ten strengste verboden:

  • schenden van de rechten van personen of bedrijven die worden beschermd door auteursrechten, geheimhoudingsbedingen, octrooien of andere intellectuele eigendomsrechten of soortgelijke wet- en regelgeving, met inbegrip van, maar niet beperkt tot het installeren of verspreiden van ‘illegale’ of andere softwareproducten waarvoor RPS niet de juiste gebruikslicentie heeft
  • zonder toestemming kopiëren van auteursrechtelijk beschermd materiaal, met inbegrip van, maar niet beperkt tot het digitaliseren en verspreiden van foto’s uit tijdschriften, boeken of andere auteursrechtelijk beschermde bronnen, auteursrechtelijk beschermde muziek en het installeren van auteursrechtelijk beschermde software waarvoor RPS of de eindgebruiker geen actieve licentie heeft; dit is ten strengste verboden
  • toegang verkrijgen tot gegevens, een server of een account voor andere doeleinden dan het uitvoeren van werkzaamheden voor RPS, zelfs als deze toegang is toegestaan
  • exporteren van software, technische informatie, versleutelingssoftware of -technologie in strijd met de internationale of regionale exportcontrolewetgeving; de leidinggevende in kwestie moet worden geraadpleegd voordat de uitvoer van het betrokken materiaal plaatsvindt
  • kwaadaardige programma’s zoals virussen, wormen, Trojan Horses, mailbommen enz. toegang bieden tot het netwerk of de server
  • computerapparatuur van RPS gebruiken voor het actief aanschaffen of versturen van materiaal dat in het lokale rechtsgebied van de gebruiker in strijd is met wetgeving op het gebied van seksuele of psychische intimidatie
  • vanaf een RPS-account frauduleuze aanbiedingen doen van producten, zaken of diensten
  • uitspraken doen over garantie, expliciet of impliciet, tenzij dit bij de gebruikelijke werkzaamheden hoort
  • veroorzaken van beveiligingslekken of verstoring van de netwerkcommunicatie; onder beveiligingslekken wordt onder andere, maar niet uitsluitend verstaan de toegang tot gegevens waarvan de medewerker niet de beoogde ontvanger is of het inloggen op een server of een account waarvoor de medewerker geen uitdrukkelijke toestemming heeft, tenzij deze taken binnen de reguliere werkzaamheden vallen; specifiek voor dit onderdeel wordt onder ‘verstoring’ onder andere, maar niet uitsluitend verstaan network sniffing, ping floods, packet spoofing, denial of service en vervalste routing-informatie voor frauduleuze doeleinden
  • uitvoeren van port scanning of security scanning; dit is uitdrukkelijk verboden, tenzij van tevoren gemeld bij IT support via techteam@rps.nl
  • uitvoeren van elke vorm van netwerkmonitoring waarmee gegevens worden onderschept die niet bestemd zijn voor de host van de medewerker, tenzij deze activiteit deel uitmaakt van de normale werkzaamheden van de medewerker
  • omzeilen van gebruikersauthenticatie of beveiliging van een host, netwerk of account
  • honeypots, honeynets of soortgelijke technologie toegang bieden tot het netwerk van RPS
  • verstoren of blokkeren van de dienstverlening aan een andere gebruiker dan de host van de medewerker, bijvoorbeeld via een denial of service-aanval
  • gebruiken van programma’s/scripts/commando’s of versturen van berichten van welke aard dan ook met de bedoeling een terminalsessie van een gebruiker op welke manier dan ook te hinderen of onmogelijk te maken, lokaal of via internet/intranet/extranet
  • verstrekken van informatie over of lijsten van RPS-medewerkers aan partijen buiten RPS
  • het netwerk en/of computers van RPS gebruiken voor het zonder toestemming verkrijgen van toegang tot computersystemen, zowel van RPS als van derde partijen