Informatiebeveiliging

Het behoort tot de kernactiviteiten van Rotaform om voor haar klanten vertrouwelijke data van de particuliere en zakelijke relaties van die klanten te verwerken. Daarbij gaat het vaak om buitengewoon privacygevoelige informatie met betrekking tot bijvoorbeeld creditcards, verzekeringspolissen en telecommunicatiediensten. Het is dan ook het beleid van Rotaform om binnen de eigen bedrijfsvoering een dusdanig hoog niveau van informatiebeveiliging tot stand te brengen en te handhaven, dat voornoemde categorieën van zeer gevoelige informatie bij Rotaform onbetwist en aantoonbaar in veilige handen zijn.

Dit betekent onder meer dat Rotaform voldoet aan de strenge eisen die op het gebied van informatiebeveiliging door sommige klanten (waaronder verzekeringsbedrijven en overheidsorganisaties, maar ook andere financiële dienstverleners) worden gesteld vanwege het feit dat ook aan hen hoge eisen worden gesteld door toezichthouders (zoals de AFM en de Nederlandsche Bank) en/of toepasselijke wetgeving (zoals de Wet Financieel Toezicht en de Algemene Verordening Gegevensbescherming). Rotaform slaagt hierin doordat zij beschikt over een Information Security Management System (ISMS) van een bijzonder hoog niveau. Dit Management Systeem is niet alleen gebaseerd op de ISO 27001 norm voor informatiebeveiliging, maar is tevens volledig geïntegreerd met het ISO 22301 bedrijfscontinuïteits- en het ISO 9001 kwaliteitssysteem van Rotaform. Dankzij de inspanningen van een fulltime informatiebeveiligingsfunctionaris en de intensieve betrokkenheid van de directie door middel van maandelijkse bijeenkomsten van de commissie voor Informatiebeveiliging worden de processen en procedures die deel uitmaken van het ISMS continu verder verbeterd en aangescherpt.

Dit Management Systeem is niet alleen gebaseerd op de ISO 27001 norm voor informatiebeveiliging, maar is tevens volledig geïntegreerd met het ISO 22301 bedrijfscontinuïteits- en het ISO 9001 kwaliteitssysteem van Rotaform

Alle medewerkers van Rotaform of door andere partijen geleverde arbeidskrachten hebben een geheimhoudingsovereenkomst getekend en een Verklaring Omtrent het Gedrag ingeleverd. Daarnaast worden zij, afhankelijk van de functie, door de afdeling P&O of een extern bureau gescreend. Voor alle vaste en tijdelijke medewerkers geldt dat zij een schriftelijke instructie ontvangen op het gebied van informatiebeveiliging. Bovendien wordt jaarlijks voor alle medewerkers tenminste één informatiesessie georganiseerd die is gewijd aan informatiebeveiliging binnen Rotaform en ter gelegenheid waarvan de jaarlijkse update van de schriftelijke informatiebeveiligingsinstructie wordt overhandigd. Voor specifieke (groepen) functionarissen, zoals de informatiebeveiligingsfunctionaris, de systeembeheerders en overige IT-specialisten, gelden specifieke instructies, die zijn vastgelegd in procedures die deel uitmaken van het ISMS. Deze medewerkers komen ook in aanmerking voor specialistische – op hun specifieke functie en takenpakket toegesneden – opleidingen, cursussen en trainingen.