GDPR – frågor och svar för finans och försäkring

General Data Protection Regulation (GDPR) börjar som bekant att gälla den 25:e maj 2018. Det är en EU-förordning vilket innebär att reglerna kommer att gälla som lag direkt och på samma sätt i alla EU:s medlemsstater. Förordningen ersätter EU:s nuvarande dataskyddsdirektiv från 1995 och därmed ersätts den svenska personuppgiftslagen (PuL), som reglerar hur hantering av personuppgifter får ske av bland annat företag och organisationer. Det är som med PuL Datainspektionen som är tillsynsmyndighet.

Vi har bett Stefan Hederstedt, ämnesexpert för Finanskompetens inom GDPR och ansvarig för compliance och privacy på Transcendent Group svara på några frågor kopplat till GDPR och specifikt till finans och försäkring.

 

1. Finns det några situationer för finansiella företag som du tror kan riskera att bli problematiska kopplat till GDPR?

Den största utmaningen ligger nog på tekniksidan kopplat till att ta tillvara på individers rättigheter. Exempel på detta är att säkerställa dataportabilitet och privacy by design.

Ett annat exempel är rätten till information som ska överlämnas till individen. Inom bank och försäkring förekommer ofta ett stort antal olika system som hanterar personuppgifter och det kan vara tidsödande att få ut samlad information. Ofta kräver arbetet manuell hantering för system som inte automatiskt kan generera informationen vilket försvårar målet att tillgodose kravet om registerutdrag inom rimlig tid.

Inom finans- och försäkringsbranschen används i allt större utsträckning robottjänster (AI) både kopplat till rådgivning men även för automatiserat beslutsfattande, här gäller det att säkerställa kraven utifrån regelverket dels avseende informationsgivande och dels även säkerställa lagring av data.

En annan utmaning rent organisatoriskt finns för bolag som behöver ett Dataskyddsombud. Att finna denna kompetens i tid kan bli svårt och konkurrensen är stor i förhållande till tillgängliga resurser. Ett sätt att lösa situationen kan vara en interimslösning genom att hyra in en Data Protection Officer (DPO). Denna lösning är också utmärkt för de företag som inte uppskattar rollen till en heltidsanställning utan kanske bara behöver någonstans mellan 25-50 % av en anställning.

 

2. Hur är din upplevelse av hur företagen i finans och försäkring ligger när det gäller förberedelse för GDPR?

Generellt sett bra skulle jag säga.

Finans- och försäkringsbranschen arbetar i en redan hårt reglerad värld med vana kring anpassning av nya regelverk. Jag tror att det finns större utmaningar för andra branscher tex inom retailhandeln. Men självklart får alla aktörerna nu rannsaka sig själva utifrån tidigare brist på efterlevnad av PuL vilket hos flera parter har bidragit till att anpassningen av GDPR har blivit ett större projekt än nödvändigt.

 

3. Ser du någon utmaning gällande de krav som finns inom Mifid 2 och IDD gentemot GDPR (t.ex. dokumentationskrav)?

GDPR ska i den bästa av världar leva i symbios med övriga regelverk och detta är något som bör tas i beaktande vid implementeringen av andra regelverk för effektivitetens skull. GDPR tar sikte på individens rättigheter när det gäller integritet och transparens vid behandling av personuppgifter, medan IDD och Mifid 2 mer anger styrning för hur företaget ska ge kunden tydlig och transparent information, rådgivning om erbjudanden och produkter kopplat till individens behov.

Återigen är digitalisering utmaningen, det blir allt vanligare med digitala kundmöten och rådgivning. Här kan kraven i de olika regelverken skilja sig åt. Ett exempel är Mifid 2 kontra GDPR avseende regler gällande tex arkivering av telefonupptagning och videosamtal.

Ett annat exempel där två regelverk som ska samexistera utan utformning tillsammans är PSD2. Här delar banker kundinformation och transaktionsdata till tredje part och rätten till behandling av personuppgifter från ena regelverket ska vägas mot kraven om dataportabilitet i andra regelverket.

Utmaningen ligger i att kunna kontrollera behandling och informationsflöde samt säkerställa korrekt datalagring utan att det blir för stor inverkan på effektiviteten. Trots allt får vi inte glömma bort vad företagets kärnverksamhet är.

Viktigt att bära med sig är att GDPR inte förbjuder hantering av kundinformation, det ställer däremot krav på hur denna information får hanteras och delas.

 

4. Vilka krav ställs på anställda och ledning när det gäller kunskap och kompetens inom ramen för GDPR och vad är särskilt viktigt att ha koll på när det gäller anställda inom finans och försäkring?

Ledordet är resurser!

Vad gäller ledningen så bör de ta tillfället i akt och dra nytta av medarbetares kunskap och kunnande ute i verksamheten och att aktivt lyssna på förslag till förbättringar. Grunden för att lyckas är att att skapa en trygg arbetskultur genom att ledningen tydliggör syftet och vikten av förändringsarbetet. Detta bidrar till att skapa ett nytt ”mind set” hos de anställda. Detta förhindrar förhoppningsvis att medarbetarna uppfinner egna lösningar och förenklingar i arbetet som inte är förenliga med kraven.

Ledningen behöver säkerställa kunskap och kompetens genom utbildningsinsatser för anställda. Inte bara allmänutbildning inom GDPR som engångsföreteelse utan återkommande processer, gärna anpassad för olika verksamheter tex HR, marknadsavdelningen etc. Denna process måste även fånga upp nyanställda och inhyrda konsulter med avsikt att säkerställa nya processer och instruktioner.

Ett exempel är hantering av kundmöten, både digitalt och face to face, och hur informationsgivande och lagring av data ska ske på rätt sätt för att säkerställa säkerheten och uppfyllande av regelverket. Det måste även finnas tydliga riktlinjer för daglig hantering av e-post, ostrukturerat material och marknadsföring.

Ett annat exempel är ansvaret att tillgodose tillräckliga resurser, dels inom IT samt i förekommande fall för Dataskyddsombudsrollen. Vi måste komma ihåg det fortsatta arbetet, efter införandet. Här krävs både bra verktyg såsom IT-stöd och resurser för att säkerställa efterlevnad. En process som kan vara till stöd för ledningen är att införa s.k årlig GDPR-Audit.

 

Behöver du få en övergripande koll på GDPR?
Dela nyheten