Γιώργος Τσινός, Υπεύθυνος Ασφάλειας Πληροφορίας (CISO), Εθνική Ασφαλιστική
Στα έργα ασφάλειας και τις διαδικασίες που υιοθετεί η Εθνική Ασφαλιστική για να εναρμονιστεί με το νέο κανονισμό προστασίας προσωπικών δεδομένων αναφέρεται ο Υπεύθυνος Ασφάλειας Πληροφορίας. Όπως αναφέρει οι εταιρείες με μεγάλο φάσμα υπηρεσιών δέχονται και μεγαλύτερη πίεση για τη συμμόρφωσή τους με τον GDPR.
Σε ποιο βαθμό έχετε προετοιμαστεί για την εναρμόνισή σας με το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR);
Η Εθνική Ασφαλιστική, ως ηγέτιδα στον ελληνικό ασφαλιστικό χώρο, και έχοντας ως κύριο μέλημά της την προστασία πελατών, συνεργατών και μετόχων, έχει προχωρήσει με γοργούς ρυθμούς, από την προηγούμενη χρονιά, τις προετοιμασίες εναρμόνισής της με το GDPR. Πιο συγκεκριμένα: 1) Η Διοίκηση έχει αναγνωρίσει την ανάγκη και έχουν εγκριθεί και δρομολογηθεί σημαντικά έργα ασφάλειας, όπως ενδεικτικά, η διαβάθμιση της μη δομημένης πληροφορίας, ενώ βρίσκονται ήδη σε εξέλιξη και πέντε ακόμα έργα ασφάλειας και υποδομών! 2) Παράλληλα, διαδικασίες ανασχεδιάστηκαν και αυτοματοποιήθηκαν, ώστε σε κάθε αίτημα αλλαγής ή περιστατικού να καλύπτεται η απαίτηση του GDPR για “security by default & by design”. 3) Ορίστηκε και ανατέθηκε ο ρόλος DPO. 4) Διεξήχθη πρόγραμμα συνεντεύξεων με όλους τους χώρους ευθύνης της Εταιρείας, στοχεύοντας στην ενημέρωση αλλά και στην ανεύρεση δεδομένων αναφορικά με την «εμπιστευτικότητα», που βασίζεται το GDPR.
Ο νέος Κανονισμός συνεπάγεται και αλλαγή των τεχνολογικών μέσων προστασίας δεδομένων;
Αναμφίβολα, χωρίς τα τεχνολογικά μέσα η προστασία των δεδομένων είναι πρακτικά αδύνατη. Τα δεδομένα είναι πολλά και ποικίλης μορφής:
• Δομημένα (βάσεων δεδομένων) και μη (αρχεία office, emails).
• Φυσικά (σε χαρτί) και μη (ηλεκτρονικά, ψηφιακά).
• Εντός συστημάτων του οργανισμού και εκτός (outsource – συνεργαζόμενες εταιρείες, Εποπτεύουσες Αρχές).
• Σε σταθερές συσκευές (desktop) και κινητές (smartphones, tablets).
• Διαχειριζόμενα από εργαζόμενους αλλά και συνεργάτες, παρόχους υπηρεσιών.
• Αποθηκευμένα (δίσκους) και μεταφερόμενα (μέσω δικτύων).
Η τάση αύξησης των δεδομένων είναι εκθετική, ενώ και οι κίνδυνοι από κυβερνοεπιθέσεις (hackers) ή άτομα/ομάδες που έχουν συμφέρον από τη διαρροή τους, βαίνουν αυξανόμενοι. Παράλληλα, οι κανονιστικές/νομικές απαιτήσεις και τα πρόστιμα είναι υπέρογκα. Αν το πρόβλημα της διαφύλαξής τους δεν το αντιμετωπίσεις ολιστικά και δεν επενδύσεις σε τεχνολογικά μέσα, τόσο πρόληψης και αποτροπής, όσο ανίχνευσης και περιορισμού σε περίπτωση παραβίασης δεδομένων, τότε τίθεται θέμα βιωσιμότητας της επιχείρησης, αφού οι προβλεπόμενες κυρώσεις θα είναι σοβαρότατες. Οφείλουμε, να τονίσουμε ότι μόνο τα τεχνολογικά μέσα δεν αρκούν για την ελαστικότητα (resilience) του Οργανισμού. Αν δε τα συμπληρώνουν οι άνθρωποι και οι διαδικασίες, το εγχείρημα είναι καταδικασμένο να αποτύχει.
Είναι η ασφάλιση Cyber Privacy Insurance απαραίτητη για τη διαχείριση του κινδύνου;
Καλό θα είναι πρώτα να ορίσουμε τι εννοούμε με τον όρο “Cyber Privacy Insurance”. Είναι η ασφαλιστική κάλυψη από απώλειες ως αποτέλεσμα παραβίασης δεδομένων ή/και από απώλεια από ηλεκτρονικά αποθηκευμένη διαβαθμισμένη πληροφορία (π.χ. hackers, μεμονωμένους ή ομάδες, που κατόρθωσαν να έχουν μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα). Το συγκεκριμένο ασφαλιστικό προϊόν, είναι τόσο χρήσιμο, όσο η ασφάλεια από σεισμό, σε μια σεισμογενή χώρα όπως η Ελλάδα! Όσο περισσότερο εξαρτάται το επιχειρείν από την πληροφορία και όσο αυξάνει το ύψος των κανονιστικών κυρώσεων (σημείωση: GDPR άρθρο 85 έως 4% του συνολικού ετήσιου τζίρου ή έως €20.000.000), τόσο αυξάνει και ο κίνδυνος μη συνέχειας λειτουργίας. Ως ασφαλιστική εταιρεία, παρέχουμε Ασφάλεια και Αξιοπιστία στους πελάτες μας. Σταχυολογώντας, αν και η κάλυψη αυτή δεν είναι τυπικά απαραίτητη, είναι ουσιαστικά υπέρ-απαραίτητη και προτείνεται ανεπιφύλακτα. Η Εθνική Ασφαλιστική έχει δημιουργήσει και διαθέτει τέτοια προϊόντα, που απευθύνονται τόσο σε μεγάλους ομίλους όσο και μικρομεσαίες επιχειρήσεις, ανάλογα με τις ιδιαίτερες ανάγκες τους (tailor made).
Τι είδους δεδομένα συλλέγουν και επεξεργάζονται οι ασφαλιστικές;
Οι ασφαλιστικές εταιρείες που διαθέτουν μεγάλη γκάμα ασφαλιστικών προϊόντων, τόσο γενικών ασφαλίσεων, όσο και ζωής, είναι οι εταιρείες που δέχονται τη μεγαλύτερη πίεση για συμμόρφωση στο GDPR, αφού έχουν τόσο προσωπικά (π.χ. ΑΦΜ, ΑΜΚΑ) όσο και ευαίσθητα προσωπικά δεδομένα [π.χ. γενετικά, κληρονομικά, ICD-10 (International Classification of Diseases), υγείας και στο άμεσο μέλλον και… βιομετρικά].
Πώς το GDPR θα επηρεάσει τη λειτουργία τους και ποιος θα είναι ο ρόλος του Data Protection Officer στις ασφαλιστικές εταιρείες;
Αν ξεκινήσουμε από τον πιο σημαντικό μοχλό πίεσης που είναι τα υψηλά πρόστιμα και προχωρήσουμε στις απαιτήσεις για υποχρεωτική, ταχύτατη, λεπτομερή ενημέρωση (εντός 72 ωρών) αν γίνει παραβίαση δεδομένων, την πρόβλεψη για security by default & by design σε όλες τις λειτουργίες/διαδικασίες της εταιρείας και το δικαίωμα για διαγραφή και φορητότητα των δεδομένων του “data subject”, είναι προφανές ότι θα επηρεαστεί συθέμελα ο τρόπος λειτουργίας τους, τόσο για τις ίδιες όσο και για τις συνεργαζόμενες εταιρείες (π.χ. εκτελούσες την επεξεργασία). Ο DPO θα πρέπει να τηρεί απαρέγκλιτα τις απαιτήσεις που ορίζει το GDPR, αφού θα είναι υπόλογος (accountable) προς τις εποπτεύουσες αρχές, και αν απαιτηθεί από το είδος της παραβίασης, και προς κάθε ένα “data subject”. Θα πρέπει δε, να εποπτεύει συστηματικά και συνολικά την τήρηση του πλαισίου GDPR και να μπορεί να το αποδείξει σε έλεγχο των αρχών. Η συνδρομή υποδομών, ασφάλειας, νομικών, κ.λπ. πρέπει να είναι σε συνεργασία μαζί του για την κάλυψη του Οργανισμού.
Ασφαλιστικό Marketing – Τεύχος Μαρτίου 2017
