Onze certificeringsprocedures hebben als doel om het vertrouwen te behouden van onze klanten, dat wij hun commercieel gevoelige informatie en andere soorten vertrouwelijke gegevens niet bekend maken aan onbevoegde partijen. Elke NEPCon medewerker of consultant die in strijd handelt met dit vertrouwelijkheidsbeleid zal niet meer mogen deelnemen aan NEPCon’s activiteiten. NEPCon behoudt het recht voor om juridische procedures te starten tegen elke partij die de vertrouwelijkheidsovereenkomst schendt.
Alle NEPCon medewerkers zijn verplicht een vertrouwelijkheidsovereenkomst aan te gaan met NEPCon, waarin zij beloven strikte vertrouwelijkheid te bewaren aangaande alle klantendocumentatie, interviews, gesprekken en enige informatie met betrekking tot de certificeringsevaluatie of het auditproces. Auditors zullen geen kopieën maken van documenten of rapporten of de inhoud van deze rapporten met andere partijen bespreken tenzij uitdrukkelijk toegestaan door NEPCon's Executive Director. Alle documenten, gegevens of ander bewijs gegeven aan of verzameld door de auditor tijdens het uitvoeren van een assessment of audit dient teruggegeven te worden aan NEPCon of de klant, of vernietigd te worden. Als er twijfel bestaat over de vertrouwelijkheid van de gegevens, moeten auditors informatieverzoeken vanuit het publiek direct doorspelen naar hun supervisor.
De vertrouwelijkheidsprincipes hebben geen betrekking op informatie die al openbaar is en/of die bij de regels van het van toepassing zijnde certificeringssysteem, verordening, wet of contract verplicht openbaar dienen te zijn. Onze klanten worden geïnformeerd door de relevante NEPCon medewerkers over de types informatie die publiekelijk beschikbaar moeten zijn. Openbare informatie bevat onder andere, maar is niet beperkt tot:
- informatie die is opgenomen in de publieke samenvatting van het auditrapport (de klant krijgt altijd de gelegenheid om het rapport te zien en erop te reageren voordat het gepubliceerd wordt);
- informatie aangeleverd door de klant voor het gebruik op certificering gerelateerde websites (e.g. gecertificeerde producten, soorten, gebied)
- informatie (geen gevoelige) over de organisatie van de klant, ontvangen van andere bronnen dan de klant;
- Informatie die beschikbaar is in het publieke domein.
NEPCon heeft als doel om de beste praktijkvoorbeelden te volgen op het gebied van IT-beveiliging en past ook redelijke veiligheidsmaatregelen toe om alle elektronische klantgegevens en -communicatie te bewaren.
Dit beleid is goedgekeurd door Peter Feilberg, NEPCon Executive Director op 12 May 2014.