Vorige Volgende

Invloed op consumenten en eindgebruikers

Privacy consumenten en eindgebruikers (S4-1)

Hoppenbrouwers hecht veel waarde aan het zijn van een betrouwbare en transparante partner voor medewerkers, klanten en eindgebruikers. Dit komt tot uiting in ons informatiebeveiligingsbeleid en de maatregelen die wij treffen om de materiële impacts van onze producten en diensten op consumenten en eindgebruikers te beheersen.

Concreet beleid en uitgangspunten:

  • Privacybescherming en gegevensverwerking: Alle klant- en persoonsgegevens worden verwerkt conform de AVG-wetgeving en ons interne privacybeleid. We hanteren daarbij het principe van ‘privacy by design en security by design’.

  • Beschikbaarheid, integriteit en vertrouwelijkheid: Onze IT- en informatiesystemen worden beveiligd en geoptimaliseerd volgens de ISO27001- normering, waarmee we aantoonbaar voldoen aan internationaal erkende standaarden voor informatiebeveiliging.

  • Verantwoordelijkheid voor risico’s: Risicoanalyses en incidentenprocedures zorgen ervoor dat risico’s worden geïdentificeerd, beoordeeld en gemitigeerd. Hierbij wordt gebruikgemaakt van interne audits, penetratietesten en vulnerability tests.

  • Veiligheid van systemen en installaties: In al onze projecten, waaronder gebouwbeheersystemen en industriële installaties, nemen we passende maatregelen om de informatiebeveiliging van onze klanten te waarborgen. Onze systemen voldoen aan de hoogste beveiligingsstandaarden ISO 27001 en IEC 62443-2-4, om gegevens te beschermen tegen cyberdreigingen.

Processen om met consumenten en eindgebruikers te overleggen over impacts

We betrekken klanten, eindgebruikers en andere stakeholders actief bij de verbetering van diensten en het beheersen van risico’s. Dit doen wij door:

  • Klanttevredenheidsonderzoeken en feedbackgesprekken: Regelmatig meten we de tevredenheid en verzamelen we feedback om inzichten te verkrijgen in mogelijke impacts. Deze worden besproken en verwerkt in verbeteracties.

  • Directe communicatiekanalen: Consumenten en klanten kunnen vragen en zorgen kenbaar maken via onze helpdesk, klantcontactteams en projectmanagers.

  • Maatwerkoplossingen: Bij het ontwerpen en implementeren van technische installaties overleggen we met klanten over specifieke eisen en risico’s, zoals netcongestie, informatiebeveiliging en energiebeheer. Herstelprocessen voor negatieve impacts Bij negatieve impacts voor consumenten of eindgebruikers heeft Hoppenbrouwers duidelijke herstelprocessen en meldingskanalen ingericht:

  • Incidentenprocedure: Alle incidenten, zoals datalekken of beveiligingsrisico’s, worden volgens een vastgestelde procedure gemeld, onderzocht en opgelost. Medewerkers zijn verplicht incidenten te melden via de IT-helpdesk of via de daarvoor ingerichte meldkanalen.

  • Datalekbeleid: Bij incidenten met persoonsgegevens wordt de melding geregistreerd, de impact geanalyseerd en – indien nodig – gerapporteerd aan de Autoriteit Persoonsgegevens en betrokken partijen.

  • Sancties en opvolging: Tekortkomingen worden besproken met betrokken medewerkers en kunnen, bij ernstige schendingen, leiden tot sancties zoals beschreven in het personeelshandboek.

  • Maatwerkoplossingen: Bij het ontwerpen en implementeren van technische installaties overleggen we met klanten over specifieke eisen en risico’s, zoals netcongestie, informatiebeveiliging en energiebeheer.

Herstelprocessen voor negatieve impacts

Bij negatieve impacts voor consumenten of eindgebruikers heeft Hoppenbrouwers duidelijke herstelprocessen en meldingskanalen ingericht:

  • Incidentenprocedure: Alle incidenten, zoals datalekken of beveiligingsrisico’s, worden volgens een vastgestelde procedure gemeld, onderzocht en opgelost. Medewerkers zijn verplicht incidenten te melden via de IT-helpdesk of via de daarvoor ingerichte meldkanalen.

  • Datalekbeleid: Bij incidenten met persoonsgegevens wordt de melding geregistreerd, de impact geanalyseerd en – indien nodig – gerapporteerd aan de Autoriteit Persoonsgegevens en betrokken partijen.

  • Sancties en opvolging: Tekortkomingen worden besproken met betrokken medewerkers en kunnen, bij ernstige schendingen, leiden tot sancties zoals beschreven in het personeelshandboek.

Acteren op impacts, risico’s en kansen

We zetten concrete stappen om materiële impacts, risico’s en kansen voor consumenten en eindgebruikers te beheersen en te benutten:

  • Actieve monitoring en risicomanagement: Door middel van periodieke risicoanalyses, interne en externe audits en vulnerability tests identificeren en mitigeren we risico’s die van invloed kunnen zijn op klanten en eindgebruikers.

  • Veilige technische oplossingen: Bij projecten wordt informatiebeveiliging standaard geïntegreerd. Dit geldt met name voor:

    • Gebouwbeheersystemen en industriële installaties: Hier zorgen we voor integriteit en bescherming van technische systemen en klantdata.

    • Softwareontwikkeling: Nieuwe systemen worden ontwikkeld volgens de principes van ‘security by design’ en onderworpen aan controles.

  • Opleiden en bewustmaken: Medewerkers volgen regelmatig trainingen en bewustwordingscampagnes over informatiebeveiliging, klantgericht werken en privacybescherming.

  • Samenwerking en innovatie: We werken actief samen met communities zoals het Brainport Weerbaarheidscentrum en externe specialisten om ons informatiebeveiligingsbeleid continu te verbeteren.

Effectiviteit van maatregelen

De effectiviteit van onze maatregelen wordt geborgd door:

  • Het ‘Plan, Do, Check, Act’-proces binnen ons Information Security Management System (ISMS), waarmee we voortdurend verbeteren.

  • Het periodiek verzamelen en evalueren van KPI’s die gekoppeld zijn aan beleidsdoelstellingen. Deze worden besproken tijdens het managementoverleg en de directiebeoordeling.

  • Externe ISO27001-audits en tussentijdse reviews die aantonen dat we voldoen aan alle eisen en gestelde doelen

Vorige Volgende