Personrelaterade eller affärsrelaterade data hos ett företag kräver särskilt skydd. Att garantera säkerheten för denna data, och därmed också respektera skyddet för våra kunder, affärspartner och medarbetare, har högsta prioritet hos TRUMPF. Därför har vi etablerat lämpliga organisatoriska och tekniska åtgärder för dataskydd och informations- och IT-säkerhet.
Hur hanterar vi datasäkerhet hos TRUMPF?
I dag är det mycket viktigt att skydda personrelaterade data. Med vårt dataskydds-management-system uppfyller vi detta krav.
Vi vidtar omfattande försiktighetsåtgärder för att säkra sekretessen, integriteten och tillgängligheten när det gäller information – och skyddar aktivt oss och våra produkter mot cyberangrepp.
Har du en fråga om dataskydd eller vill du lämna en upplysning i förtroende? Kontakta oss – personligen eller anonymt.
Så här hanterar vi dataskydd
TRUMPF har implementerat ett Dataskydds-Management-System (DSMS). Genom olika åtgärder, strukturer och processer säkerställer detta skyddet av den personrelaterade datan. På detta sätt undviker vi lagöverträdelser i samband med bearbetningen av personrelaterade data. Vårt dataskydds-management-system består av sex moduler som bygger på varandra.
Vår dataskydds-kultur är en fast del i Compliance-kulturen, och den är förankrad i uppförandekoden hos TRUMPF. Med stor noggrannhet instruerar vi våra medarbetare i att hantera alla typer av data ansvarsfullt.
Med vårt dataskydds-program säkerställer vi genomförandet och efterlevnaden av dataskyddet hos TRUMPF. Programmet lägger fast principerna och de grundläggande åtgärderna för att förebygga och begränsa lagöverträdelser mot dataskyddet. Kärnan utgörs av dataskyddsprincipen hos TRUMPF.
Vår dataskydds-organisation består av cirka 60 kontaktpersoner. De säkerställer att alla medarbetare känner till dataskydds-management-systemet. Samtidigt är de tillgängliga som kontaktpersoner för våra medarbetare samt för allmänna frågor.
Dataskyddskommunikationen säkerställer att man inte bara är aktivt medveten utan att man även lyssnar, och då tidigt upptäcker och undviker dataskyddsrisker. Hit hör exempelvis tillhandahållandet av E-Learning eller klassrumsutbildningar för-chefer och medarbetare.
Med hjälp av dataskydds-monitoring samlar vi in alla dataskyddsrelevanta data och utvärderar dem. Baserat på resultaten härleder det centrala dataskyddsteamet i Ditzingen åtgärder för förbättring av dataskydds-management-systemet.
För varje verksamhetsår lägger det centrala dataskyddsteamet tillsammans med koncernens dataskyddssamordnare fast mål som ska öka dataskydds-management-systemets effektivitet. En gång om året jämför det centrala dataskyddsteamet målen med resultaten och härleder nya mål.
Vår dataskydds-organisation
Hur reagerar vi på dataskyddsrisker, eller hur ser vi till att de inte alls förekommer? Det är teman som sysselsätter koncernens dataskyddssamordnare (KDSB) tillsammans med dataskyddsteamet i Ditzingen och dataskyddsnätverket. På det här sättet hanterar vi implementeringen av dataskydds-management-systemet i alla affärsområden och dotterbolag, kommunicerar regelbundet med lokalt ansvariga och utformar lösningar.
Styrelsen övertar det övergripande ansvaret för dataskyddet hos TRUMPF Gruppe och skapar en företagskultur där bestämmelserna för dataskyddet efterlevs.
Hos TRUMPF är det koncernens dataskyddssamordnare som utför de uppgifter som lagen föreskriver för efterlevnaden av dataskyddet. Tillsammans med det centrala dataskyddsteamet i Ditzingen övervakar han om dataskyddslagar och våra dataskyddsriktlinjer efterlevs. Han ansvarar för bearbetningen av klagomål gällande dataskyddet och för kommunikationen med dataskyddsmyndigheterna. Han genomför också kommunikations- och utbildningsinsatser. Dessutom ger han råd till ansvariga och fackområden i alla dataskyddsfrågor.
Det centrala dataskyddsteamet i Ditzingen är en del av det centrala området Corporate Law, Integrity & Risk och bistår koncernens dataskyddssamordnare som stabsenhet i alla dataskyddsrelevanta fall.
För att ha kontroll över temat dataskydd använder vi oss också av lokala kontaktpersoner hos dotterbolagen och de centrala områdena, som är aktiva på plats. De bistår respektive management vid implementeringen av dataskyddskraven.
Vår dataskydds-monitoring
Med dataskydds-monitoring samlar vi in mätbar data och prestationsindikatorer från dataskyddsarbetet hos TRUMPF. Vi har etablerat en anmälningsprocess för fall där det förekommer brott mot skyddet av den personrelaterade datan. Den garanterar en snabb reaktion på datafel och överträdelser och säkerställer att skyddet av den personrelaterade datan återställs snarast möjligt.
Dessutom genomför det centrala dataskyddsteamet revisioner hos dotterbolagen för att kontrollera dataskyddsnivån regelbundet även där.
Så här säkerställer vi informations- och IT-säkerhet hos TRUMPF
Med vår IT- och informationssäkerhet vill vi avstyra skador från TRUMPF och från våra affärspartner, kunder samt medarbetare. För detta använder vi oss av lämpliga organisatoriska och tekniska åtgärder. Vi skyddar på detta sätt all typ av information samt våra tekniska system och produkter mot cyberangrepp, och avbrott på grund av detta. En certifieringsprocess enligt ISO 27001 har vi redan initierat.
Vi följer tydliga principer, exempelvis Need-to-know, Least Privilege eller Security by Design. Med hjälp av riktlinjer och processer implementerar vi konsekvent dessa principer.
Vårt managementsystem för informationssäkerhet (ISMS) bygger på internationella standarder, som standarden ISO 27001. Dessutom kontrollerar och uppdaterar vi våra regelverk och processer regelbundet. Bland annat befattar vi oss riktat med följande teman:
-
Säker programutveckling och produktsäkerhet: Säkerhet vid användningen av TRUMPF-produkter och -tjänster har högsta prioritet för oss. Därför gäller stränga riktlinjer för vår programutveckling. För att skydda våra kunders maskiner och system identifierar vi säkerhetsluckor, informerar våra kunder om detta och ger dem tillgång till nödvändiga säkerhetsuppdateringar. En översikt över all aktuell information och alla uppdateringar hittar du här.
-
Tydliga krav på leverantörer: Våra leverantörer måste uppfylla regler för vår IT- och informationssäkerhet. Detta säkerställer vi i avtal, bland annat genom sekretessavtal. Vi säkerställer då att externa varor och tjänster motsvarar våra säkerhetsriktlinjer.
-
Nätverkssäkerhet, datasäkerhet och återställningsprocesser: Vi övervakar kontinuerligt samtliga nätverk och hanterar åtkomsten riktat.
-
Skydd mot skadliga program: Med hjälp av omfattande åtgärder identifierar vi skadliga program och skyddar oss mot dessa. Vi har bland annat reglerat våra medarbetares hantering av samtliga databärare.
-
Åtkomst till system: Genom höga säkerhetsstandarder och godkännandeprocesser skyddar vi alla våra informationssystem mot obehörig åtkomst. Så här implementerar vi höga krav på lösenord och verifiering.
-
Säkerhetsincidenter: Vi undersöker (potentiella) säkerhetsincidenter och hanterar dem på lämpligt sätt för att undvika möjliga säkerhetsrisker.
Våra medarbetare är medvetna om sitt ansvar vid hanteringen av information och IT-system. Till sin hjälp har de ett bra organiserat nätverk med över 80 informationssäkerhets-koordinatorer, som försörjer dem med regler och principer. Dessutom säkerställer vi uppträdande enligt regelverket med oberoende revisioner.
Vi genomför regelbundet omfattande utbildningar i IT- och informationssäkerhet, exempelvis för säker programutveckling.