Dataveiligheid

Onze gegevensbeschermingscultuur is een integraal onderdeel van de compliance-cultuur en verankerd in de TRUMPF-gedragscode. Met grote zorg trainen we ons medewerkers met allerlei gegevens om te gaan.  

Met ons gegevensbeschermingsprogramma garanderen we de implementatie en naleving van de gegevensbescherming bij TRUMPF. Het programma definieert de principes en basismaatregelen om schendingen van gegevensbescherming te voorkomen en te beperken. De kern vormt de TRUMPF gegevensbeschermingsrichtlijn. 

Onze gegevensbeschermingsorganisatie bestaat uit ruim 60 contactpersonen. Zij zorgen ervoor dat alle medewerkers bekend zijn met het gegevensbeschermingsmanagementsysteem. Tegelijkertijd staan zij als contactpersoon ter beschikking aan onze medewerkers en beantwoorden zij alle openbare vragen. 

De gegevensbeschermingscommunicatie garandeert dat er niet alleen actief wordt gesensibiliseerd, maar ook wordt geluisterd en dat daardoor gegevensbeschermingsrisico's vroegtijdig worden herkend en vermeden. Hiertoe behoren bijvoorbeeld het voorbereiden van e-learnings of presentatietrainingen voor managers en medewerkers. 

Met behulp van de bewaking van gegevensbescherming verzamelen we alle gegevensbeschermings-relevante gegevens en analyseren deze. Uit de resultaten leidt het centrale gegevensbeschermingsteam in Ditzingen vervolgens maatregelen ter verbetering van het gegevensbeschermingsmanagementsysteem af.  

Voor elk boekjaar stelt het centrale gegevensbeschermingsteam, in afstemming met de groepsfunctionaris voor gegevensbescherming, doelen vast die bedoeld zijn om de effectiviteit van het gegevensbeschermingsmanagementsysteem te vergroten. Eens per jaar vergelijkt het centrale gegevensbeschermingsteam de doelen met de resultaten en leidt hieruit nieuwe doelen af.  

De Raad van Bestuur draagt ​​de algehele verantwoordelijkheid voor gegevensbescherming binnen de TRUMPF Groep en creëert een bedrijfscultuur waarin de voorschriften inzake gegevensbescherming worden nageleefd.

De door de wet gedefinieerde informatie voor het opstellen van gegevensbeschermingsvoorschriften wordt bij TRUMPF waargenomen door de gegevensbeschermingsfunctionaris van het bedrijf. Samen met het centrale gegevensbeschermingsteam in Ditzingen controleert hij of de gegevensbeschermingswetgeving en onze gegevensbeschermingsrichtlijnen worden nageleefd. Hij is verantwoordelijk voor de verwerking van gegevensbeschermingsbezwaren en de communicatie met de toezichthoudende instanties. Verder voert hij communicatie- en opleidingsmaatregelen door. Ook adviseert hij de leidinggevenden en vakgebeiden over alle gegevensbeschermingskwesties. 

Het centrale gegevensbeschermingsteam in Ditzingen is onderdeel van de centrale afdeling Corporate Law, Integrity & Risk en ondersteunt de gegevensbeschermingsfunctionaris van het bedrijf als uitvoerende afdeling bij alle gegevensbeschermingsgerelateerde incidenten.

Om het onderwerp gegevensbescherming te sturen, hebben we ook lokale contactpersonen bij onze dochterondernemingen en centrale afdelingen die lokaal actief zijn. Zij ondersteunen het desbetreffende management bij de implementatie van gegevensbeschermingseisen.  

We volgen duidelijke principes, bijvoorbeeld need-to-know, least-privilege of security by design. Via richtlijnen en processen implementeren we deze principes consequent. 

Ons managementsysteem voor informatieveiligheid (ISMS) is afgeleid van de internationale normen, zoals de richtlijn ISO 27001. Bovendien controleren en actualiseren wij onze voorschriften en processen regelmatig. We houden ons onder andere doelgericht met de volgende onderwerpen bezig: 

• Veilige softwareontwikkeling en productveiligheid: veiligheid bij de toepassing van TRUMPF-producten en diensten heeft voor ons de hoogste prioriteit. Daarom gelden voor onze softwareontwikkeling strenge richtlijnen. Om de machines en systemen van onze klanten te beschermen, stellen we veiligheidshiaten vast, informeren we onze klanten hierover en stellen hen de nodige veiligheidsupdates ter beschikking. Alle actuele informatie en updates vindt u hier in één overzicht. 

• Duidelijke eisen aan leveranciers: onze leveranciers moeten voldoen aan de richtlijnen van onze IT- en informatieveiligheid. Dit dwingen wij contractueel af, onder andere met geheimhoudingsverklaringen. Zo garanderen we dat externe goederen en diensten overeenstemmen met onze veiligheidsrichtlijnen.  

• Netwerkveiligheid, gegevensveiligheid en revisieprocessen: we bewaken alle netwerken voortdurend en beheren de toegang doelgericht.  

• Bescherming tegen schadelijke software: door vergaande maatregelen herkennen we schadelijke software al ver van tevoren en beschermen ons daartegen. Wij hebben onder andere geregeld hoe medewerkers met gegevensdragers moeten omgaan. 

• Toegang tot systemen: met hoge veiligheidsstandaards en goedkeuringsprocessen beschermen we al onze informatiesystemen tegen onrechtmatige toegang. Zo stellen we hoge eisen aan wachtwoorden en authentificaties. 

• Veiligheidsincidenten: we gaan (mogelijke) veiligheidsincidenten na en verhelpen die direct om mogelijke veiligheidsrisico's te voorkomen.

Onze medewerkers zijn zich bewust van hun verantwoordelijkheid in de omgang met informatie en IT-systemen. Zij worden ondersteund door een goed georganiseerd netwerk van ruim 80 informatieveiligheidscoördinatoren die hen van regels en richtlijnen voorziet. Daarnaast garanderen we gedrag volgens de regels met onafhankelijke audits.

We voeren regelmatig omvangrijke trainingen over IT- en informatieveiligheid uit, bijvoorbeeld voor veilige softwareontwikkeling.