GDPR: databeskyttelse i praksis

Læsetid: 6 minutter

nyheder & blog Blog Databeskyttelse i praksis

Databeskyttelse i praksis

Pascal Dijkens, Risk & Compliance Director

Pascal Dijkens

Risk & Compliance Director, Van Ameyde

Læsetid: 6 minutter
Et omfattende toårigt projekt har sikret, at Van Ameyde efterlever ISO-standarderne for informationssikkerhedsstyring og persondataforordningen (GDPR). Storstilet behandling af følsomme data på vegne af forsikringsudbydere og beslutningstagere i risikostyringen betyder, at Van Ameyde er en såkaldt registerfører i henhold til GDPR. Men er industrien helt klar over dens forpligtelser vedrørende dens leverandørnetværk?

Den 25. maj 2018 træder persondataforordningen (GDPR) i kraft og erstatter EU-direktiv 95/46/EF. At det er en forordning i stedet for et direktiv betyder, at GDPR træder i kraft direkte. Dette er en fordel for organisationer, der opererer i flere medlemsstater, som Van Ameyde og mange af vores kunder. Sammenlignet med direktiver, som implementeres i national lovgivning, giver forordninger langt færre muligheder for lokale afvigelser.

Trods denne fordel har implementering af GDPR vist sig at være en tidskrævende proces for os hos Van Ameyde. Vi påbegyndte vores omfattende implementeringsprogram for over to år siden efter en omfattende revision i hele organisationen.

Der er ikke tale om en fuldstændig liste, men jeg vil gerne give et indblik i en række forhold ved den nye forordning fra en registerførers synspunkt.

Sikkerheds- og datastyring

Efter revisionen iværksatte vi en række opgraderinger af vores datasikkerhed og dataforvaltning allerede i 2016. Af sikkerhedshensyn kan vi ikke give en detaljeret liste over de trufne foranstaltninger. Generelt omfatter vores sikkerheds- og datastyring dog følgende:

  • kryptering af persondata
  • standardiserede sikkerhedsforanstaltninger vedrørende infrastruktur og adgang, herunder to-trins autentificering og strenge adgangskodepolitikker
  • databrudsovervågning og -rapportering
  • dataklassifikationspolitikker, der yderligere begrænser adgangen til stærkt følsomme informationer, såsom medicinske data (kan kun tilgås af personale med ekstra sikkerhedsgodkendelse) og data vedrørende efterforskning af svindel.

I processen med at indføre foranstaltninger er vores interne IT-udviklingsselskab (Zero)70 blevet tildelt ISO 27001:2013-certificeringi tilgift til vores eksisterende årlige ISAE3402 type II-akkreditering. Vores kunder kan være forvisset om, at vores dataforvaltning og datasikkerhedsprotokoller og praksis lever helt op til GDPR. Vi overholder strengt GDPR-principper såsom retmæssighed, retfærdighed, transparens og formålsbegrænsning. Desuden minimerer vi indsamlingen og behandlingen af data, til hvad der er strengt relevant for at håndtere krav, og har implementeret foranstaltninger til at imødekomme registrerede personers rettigheder.

Lad det være nok at sige, at som en del af processen med at efterleve GDPR, har Van Ameyde gennemført en konsekvensanalyse af databeskyttelse (DPIA) for at identificere høje risici for privatlivets rettigheder. Foranstaltninger til at håndtere sådanne risici er formuleret.

Registeransvarlige og registerførere

Registeransvarlige er parter, som ejer deres kunders data. Ved outsourcing af aktiviteter, der involverer behandling af sådanne persondata, står registeransvarlige over for to udfordringer:

  • At overholde GDPR-deadline for deres egne dataforvaltningssystemer og praksis.
  • At sikre, at deres leverandørnetværk, dvs. “registerførerne” ligeledes efterlever betingelserne – ved hjælp af Databeskyttelsesaftaler

I henhold til den nye forordning vil registerførere også kunne drages til ansvar med ansvarsområder såsom:

  • udpegelse af en databeskyttelsesrådgiver (DPO)
  • føre registre over de data, der behandles på vegne af deres kunder

Eftersom Van Ameyde opererer i hele Europa har vi rent faktisk udpeget og uddannet databeskyttelsesrådgivere i alle de lande, hvor Van Ameyde har kontorer.

Databeskyttelsesaftale: obligatorisk

I henhold til GDPR er registeransvarlige forpligtet til at indgå databeskyttelsesaftaler (DPA) med deres registerførere. Vi tager hånd om dette ved at meddele det til kunderne og udstyre dem med en DPA-skabelon.

Registrerede personers rettigheder

Ifølge GDPR er registrerede personer de enkeltpersoner, hvis personlige data behandles. Hvad angår behandling af krav, kan registrerede personer være forsikringstagere, tredjeparter og for eksempel vidner. Ved første meddelelse bliver klagere udtrykkeligt informeret om deres rettigheder. Disse rettigheder omfatter retten til:

  • adgang
  • berigtigelse
  • sletning (“Retten til at blive glemt”)
  • begrænsning af behandling
  • dataportabilitet (enkeltpersoners ret til at få deres personlige data overført til andre organisationer)

Det skal dog bemærkes, at enhver ændring alene behandles efter grundig kontrol for legitimitet og relevans. Inden for rammerne af kravhåndtering er retten til at blive glemt desuden begrænset. Lad det være nok at sige, at de ansvarlige parter ikke kan få deres oplysninger fjernet eller ændret for at undgå retablering…

Nyttige links

Hvis du ønsker flere detaljer om artiklerne om GDPR, er dette websted særdeles nyttigt: https://gdpr-info.eu/

Deloittes GDPR top-ti er også særdeles informativ.

Quote
Depending on the Claimant’s life expectancy, the discount rate will increase future loss awards dramatically.

Pascal Dijkens

Anders Grotte

Share This