Παναγιώτης Κατερτζής, Indformation Security Officer, Eurolife ERB
Η εναρμόνιση με το νέο Κανονισμό, η λήψη μέτρων ασφαλείας και η σωστή ασφαλιστική κάλυψη και διαχείριση του κινδύνου σε συνδυασμό με την υιοθέτηση νέων εργαλείων, είναι καθοριστικά για την προστασία των εταιρειών και των πελατών εν όψει και του νέου πλαισίου για τα προσωπικά δεδομένα. Για το Νέο Κανονισμό μιλά στο ΑΜ ο κ. Π. Καταρτζής.
Σε ποιο βαθμό έχετε προετοιμαστεί για την εναρμόνισή σας με το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR);
Ο νέος Ευρωπαϊκός Κανονισμός 2016/679 εξασφαλίζει για πρώτη φορά την εφαρμογή κοινών κανόνων σε ολόκληρη την Ευρώπη αναφορικά με την προστασία των δεδομένων. Πρωταρχική του επιδίωξη αποτελεί η καθιέρωση σχέσεων εμπιστοσύνης μεταξύ των πελατών και των εταιρειών που χειρίζονται προσωπικά τους δεδομένα και για το σκοπό αυτό εισάγει μια σειρά νέων υποχρεώσεων για τις εταιρείες. Στον Όμιλο Eurolife ERB έχουμε ενσωματώσει τις απαιτήσεις του Νέου Κανονισμού στο στρατηγικό μας σχεδιασμό για την ασφάλεια της πληροφορίας και έχουμε σχεδιάσει ένα ολοκληρωμένο πλάνο ενεργειών προσαρμογής μας σε αυτόν. Στην παρούσα φάση έχει ήδη ξεκινήσει η υλοποίησή του η οποία θα ολοκληρωθεί πριν την εφαρμογή του νέου Κανονισμού τον Μάιο του 2018. Οι κύριοι άξονες του σχεδιασμού αυτού αφορούν στην ενίσχυση της ευαισθητοποίησης του προσωπικού αναφορικά με την προστασία των δεδομένων, στην εναρμόνιση του Πλαισίου λειτουργίας του Ομίλου μας στις νέες απαιτήσεις και φυσικά στην υιοθέτηση νέων τεχνολογιών. Με τη στοχευμένη εκπαίδευση και ευαισθητοποίηση του προσωπικού και την υιοθέτηση μιας σειράς Πολιτικών, θα επιτύχουμε την ενσωμάτωση των νέων κανόνων προστασίας προσωπικών δεδομένων στο στάδιο του σχεδιασμού των επιχειρησιακών διαδικασιών. Παράλληλα με την υιοθέτηση νέων τεχνολογιών επιδιώκουμε αφενός απλοποίηση στην εφαρμογή του Κανονισμού και αφετέρου επίτευξη συνεργιών και σε ζητήματα που άπτονται στην προστασία των πληροφοριακών συστημάτων.
Ο νέος Κανονισμός συνεπάγεται και αλλαγή των τεχνολογικών μέσων προστασίας δεδομένων;
Ο κανονισμός δεν προϋποθέτει την αλλαγή των τεχνολογικών μέσων προστασίας των δεδομένων αλλά οπωσδήποτε η εφαρμογή του διευκολύνεται σημαντικά με τη χρήση νέων καινοτόμων λύσεων. Οι νέες τεχνολογίες μπορούν να αυτοματοποιήσουν τις διαδικασίες αναφορικά με την υλοποίηση των απαιτήσεων, να μειώσουν τη συνολική απαιτούμενη προσπάθεια και να οδηγήσουν σε αρτιότερα αποτελέσματα. Ήδη από το 2015 κορυφαίες εταιρείες στον τομέα της τεχνολογίας προστασίας δεδομένων προσαρμόζουν τα προϊόντα τους ή αναπτύσσουν νέα ώστε να καλύψουν το μεγαλύτερο δυνατό μέρος των απαιτήσεων του νέου Κανονισμού. Η δημιουργία μιας νέας κατηγορίας τεχνολογίας για την προστασία δεδομένων με το όνομα Data Centric Audit & Protection (DCAP), προσαρμοσμένη στο συγκεκριμένο ευρωπαϊκό Κανο- νισμό –η οποία μπορεί να απλοποιήσει την εφαρμογή του περισσότερο από ότι οι παραδοσιακές– είναι πλέον γεγονός.
Είναι η ασφάλιση Cyber Privacy Insurance απαραίτητη για τη διαχείριση του κινδύνου;
Η ασφάλιση Cyber Privacy υιοθετείται διεθνώς από όλο και περισσότερους οργανισμούς ως μέρος της συνολικής στρατηγικής διαχείρισης κινδύνων. Η ανάπτυξη του Cyber Crime παγκοσμίως και η ευκολία με την οποία πλέον διενεργούνται cyber attacks αντικατέστησε το ερώτημα «εάν θα υπάρξει παραβίαση των δεδομένων;» από το «πότε θα γίνει η παραβίαση των δεδομένων;». Το μεγάλο κόστος επανάκαμψης μετά από ένα περιστατικό παραβίασης σε συνδυασμό με τα υψηλά πρόστιμα που προβλέπει ο νέος Κανονισμός, καθιστούν όχι απλά σημαντική αλλά αναγκαία και κρίσιμη την ύπαρξη ασφάλισης Cyber Privacy. Ωστόσο, πρέπει να είναι ξεκάθαρο ότι από μόνη της η εν λόγω ασφάλιση δεν αποτελεί πανάκεια για την αντιμετώπιση των συνεπειών των cyber attacks. Επ’ ουδενί αυτού του τύπου τα ασφαλιστήρια συμβόλαια δεν υποκαθιστούν την εφαρμογή των κατάλληλων μέτρων προστασίας που οφείλει να εφαρμόζει κάθε εταιρεία για τα δεδομένα της. Αντίθετα, τα συμπληρώνουν και παράλληλα λειτουργούν ως μοχλός βελτίωσής τους, μέσα από τη διαδικασία αξιολόγησης του συγκεκριμένου κινδύνου στην οποία υποχρεωτικά υποβάλλεται κάθε υποψήφια προς ασφάλιση εταιρεία πριν τον καθορισμό των όρων της Cyber Privacy ασφαλιστικής σύμβασης.
Τι είδους δεδομένα συλλέγουν και επεξεργάζονται οι ασφαλιστικές;
Οι ασφαλιστικές εταιρείες στο πλαίσιο των επιχειρηματικών τους δραστηριοτήτων συλλέγουν και επεξεργάζονται μεγάλο όγκο στοιχείων που χαρακτηρίζονται από τον Ευρωπαϊκό Κανονισμό ως δεδομένα προσωπικού χαρακτήρα. Σε αυτά συμπεριλαμβάνονται ονοματεπώνυμο, αριθμός δελτίου ταυτότητας, ΑΦΜ, διεύθυνση κατοικίας κ.λπ. Ιδιαίτερης προσοχής χρήζουν δεδομένα που συλλέγονται στα πλαίσια σύναψης ασφαλειών ζωής όπως ιατρικό ιστορικό, δηλώσεις ασθένειας κ.λπ. τα οποία χαρακτηρίζονται από τον Κανονισμό ως «γενετικά δεδομένα», «βιομετρικά δεδομένα» και «δεδομένα που αφορούν στην υγεία» και απαιτούν αυξημένους ελέγχους ως προς την επεξεργασία και την αποθήκευσή τους. Εκτός από τις παραπάνω «παραδοσιακές» κατηγορίες, η χρήση τεχνολογικών υπηρεσιών όπως IoT και online sales δημιουργεί μια ακόμα ομάδα δεδομένων που συλλέγονται και επεξεργάζονται και από τις ασφαλιστικές. Έννοιες όπως διευθύνσεις IP, δεδομένα θέσης, ψηφιακή υπογραφή, ψηφιακή ταυτότητα κ.λπ. εμπίπτουν στην κατηγορία «δεδομένα προσωπικού χαρακτήρα» και θα πρέπει να προστατεύονται εξίσου.
Πώς το GDPR θα επηρεάσει τη λειτουργία τους και ποιος θα είναι ο ρόλος του Data Protection Officer στις ασφαλιστικές εταιρείες;
Η συμμόρφωση στα προβλεπόμενα στον Κανονισμό χρειάζεται συντονισμένη προσπάθεια σε κάθε οργανισμό καθώς απαιτεί end-to-end προγράμματα υλοποίησης, τα οποία θα πρέπει να εφαρμόζονται κάθετα. Για το λόγο αυτόν οι επιχειρηματικές διαδικασίες οφείλουν να προσαρμοστούν έτσι ώστε να ενσωματώνουν τις απαιτήσεις για την ασφάλεια της πληροφορίας σε όλο τους το εύρος. Από τη φάση της σχεδίασής τους μέχρι και την τελική τους υλοποίηση. Στις αλλαγές στον τρόπο λειτουργίας των ασφαλιστικών εταιρειών συμπεριλαμβάνεται και η θέσπιση ενός νέου ρόλου, του υπεύθυνου προστασίας δεδομένων. Αρμοδιότητα του DPO είναι, μεταξύ άλλων, να υποστηρίζει και να ενημερώνει όλα τα στελέχη του οργανισμού για θέματα που αφορούν στον Ευρωπαϊκό Κανονισμό και στην προστασία των δεδομένων προσωπικού χαρακτήρα. O DPO καθίσταται κομβικό σημείο επικοινωνίας μεταξύ της Αρχής Προστασίας Προσωπικών Δεδομένων και του οργανισμού. Οι επιπτώσεις από την εφαρμογή του νέου Κανονισμού και των υποχρεώσεων που τον συνοδεύουν, πιθανόν να φαντάζουν ασφυκτικές, παρόλα αυτά οι ασφαλιστικές εταιρείες θα πρέπει να τις δουν σαν ευκαιρία. Ευκαιρία να τις «χρησιμοποιήσουν» στρατηγικά και ολιστικά καθώς αποτελούν το κλειδί στον ψηφιακό μετασχηματισμό τους. Η ψηφιακή οικονομία βασίζεται, κατά κύριο λόγο, στη συλλογή και ανταλλαγή δεδομένων στα οποία συμπεριλαμβάνονται δεδομένα προσωπικού χαρακτήρα, πολλά από αυτά κατατάσσονται στα ευαίσθητα. Η ανταλλαγή δεδομένων απαιτεί την εμπιστοσύνη των πελατών την οποία επιχειρεί να εδραιώσει ο νέος Κανονισμός.
Ασφαλιστικό Marketing – Τεύχος Μαρτίου 2017
