GDPR: dataskydd i praktiken

Läsningstid: 6 minuter

nyheter och blogg Blogg Dataskydd i praktiken

Dataskydd i praktiken

Pascal Dijkens, Risk & Compliance Director

Pascal Dijkens

Risk & Compliance Director, Van Ameyde

Läsningstid:6 minuter
Ett omfattande tvåårigt projekt har säkerställt Van Ameydes efterlevnad av ISO-standarderna för informationssäkerhet och den allmänna dataskyddsförordningen (GDPR). Storskalig behandling av känsliga uppgifter för försäkringsbolags och riskhanterares räkning innebär att Van Ameyde är ett så kallat personuppgiftsbiträde enligt GDPR. Men är branschen helt medveten om sina egna skyldigheter ifråga om sitt leverantörsnätverk?

Den 25 maj 2018 träder den allmänna dataskyddsförordningen (GDPR) i kraft och ersätter EU:s direktiv 95/46/EG. Eftersom GDPR är en förordning och inte ett direktiv börjar den gälla omedelbart. Detta är till fördel för organisationer som är verksamma i flera medlemsstater, som Van Ameyde och många av våra kunder. Jämfört med direktiven, som införlivas i nationell lag, erbjuder förordningar trots allt betydligt färre möjligheter till lokala avvikelser.

Trots denna fördel har genomförandet av GDPR visats sig vara en tidskrävande process för oss på Van Ameyde. Vi inledde vårt omfattande genomförandeprogram för över två år sedan, efter en utförlig genomgång av hela organisationen.
Utan att påstå att det är en uttömmande lista vill jag ge dig inblick i ett antal aspekter av den nya förordningen från ett personuppgiftsbiträdes synpunkt.

Säkerhet och dataförvaltning

Efter genomgången inledde vi en mängd uppgraderingar av vår datasäkerhet och vår datahantering så tidigt som 2016. Av säkerhetsskäl kan vi inte räkna upp de vidtagna åtgärderna i detalj. I allmänna ordalag inbegriper dock våra säkerhets- och dataförvaltningsåtgärder följande:

  • kryptering av personuppgifter
  • normerade säkerhetsåtgärder relaterade till infrastruktur och åtkomst, inklusive tvåfaktorautentisering och strikta lösenordspolicyer
  • övervakning och rapportering av uppgiftsincidenter
  • policyer för uppgiftsklassificering, ytterligare begränsning av åtkomsten till mycket känslig information, såsom medicinska uppgifter (som endast personal med ytterligare säkerhetsgodkännande har åtkomst till) och uppgifter relaterade till bedrägeriutredningar.

Under processen för att införa åtgärder har vårt interna IT-utvecklingsföretag (Zero)70 tilldelats ISO 27001:2013-certifiering, förutom vår befintliga årliga ISAE3402 typ II-ackreditering. Våra kunder kan vara förvissade om att vår datahantering och våra datasäkerhetsprotokoll och rutiner överensstämmer helt med GDPR. Vi följer strikt GDPR-principerna såsom laglighet, korrekthet, öppenhet och ändamålsbegränsning. Dessutom minimerar vi insamlingen och behandlingen av uppgifter till vad som är strikt relevant för handläggningen av krav och har infört åtgärder för att uppfylla de registrerades rättigheter.

Det räcker att säga att Van Ameyde som ett led i GDPR-efterlevnadsprocessen har genomfört en konsekvensbedömning avseende dataskydd (DPIA) för att identifiera höga risker i fråga om rätten till integritet. Åtgärder för att ta itu med sådana risker har utformats.

Personuppgiftsansvariga och personuppgiftsbiträden

Personuppgiftsansvariga är parter som ”äger” sina kunders uppgifter. När aktiviteter som inbegriper behandling av sådana personuppgifter utkontrakteras är det två utmaningar som möter de personuppgiftsansvariga:

  • Att klara GDPR:s tidsfrist för sina egna system och rutiner för datahantering
  • Att säkerställa att deras leverantörsnätverk, d.v.s. personuppgiftsbiträdena, också efterlever lagstiftningen – med hjälp av dataskyddsavtal

Enligt den nya förordningen blir personuppgiftsbiträden också ansvariga, med sådana skyldigheter som

  • att utse ett dataskyddsombud (DPO)
  • att föra register över data som behandlas för deras kunders räkning

Eftersom Van Ameyde bedriver verksamhet i hela Europa har vi utsett och utbildat särskilda dataskyddsombud i alla länder där Van Ameyde har kontor.

Dataskyddsavtal: obligatoriskt

Enligt GDPR är personuppgiftsansvariga skyldiga att ingå dataskyddsavtal (DPA) med sina personuppgiftsbiträden. Vi tar itu med denna fråga genom att informera kunderna och förse dem med en DPA-mall. Denna DPA-mall är också tillgänglig för hämtning på den här sidan.

De registrerades rättigheter

Enligt GDPR är registrerade de enskilda personer vars personuppgifter behandlas. När det gäller hantering av krav kan de registrerade vara försäkringstagare, tredje part och till exempel vittnen. Vid den första anmälan informeras anmälarna uttryckligen om sina rättigheter. Dessa rättigheter inbegriper rätten till

  • tillgång
  • rättelse
  • radering (rätten att bli glömd)
  • begränsning av behandling
  • dataportabilitet (de enskildas rätt att få sina personuppgifter överförda till andra organisationer)

Det bör dock noteras att eventuella ändringar endast behandlas efter grundliga kontroller av legitimitet och relevans. I samband med handläggning av krav är dessutom rätten att bli glömd begränsad. Det räcker att konstatera att gäldenärer inte kan få sina uppgifter borttagna eller ändrade för att undvika indrivning…

Användbara länkar

Om du vill ha mer information om bestämmelserna i GDPR är den här webbplatsen extremt användbar: https://gdpr-info.eu/
Deloitte’s GDPR top ten är också mycket informativ.

Quote
Depending on the Claimant’s life expectancy, the discount rate will increase future loss awards dramatically.

Pascal Dijkens

Anders Grotte

Share This