Οι μεγάλες αλλαγές που φέρνει η νέα αυστηρή Ευρωπαϊκή οδηγία για την προστασία των προσωπικών δεδομένων, με έμφαση στον ασφαλιστικό κλάδο

Γράφει ο Ξενοφών Λιαπάκης, CIO & Services του Oμίλου Interamerican και πρόεδρος του Hellenic CIO forum*

Αποτελέσματα μελετών δείχνουν την έλλειψη εμπιστοσύνης των Ευρωπαίων πολιτών, τα τελευταία χρόνια, σχετικά με την προστασία των προσωπικών τους δεδομένων καθώς και του τρόπου με τον οποίο γίνεται η αποθήκευση και επεξεργασία τους. Παράλληλα οι κυβερνο-επιθέσεις αυξάνονται καθημερινά, ανάγοντας το cyber-risk, ως τον μεγαλύτερο επιχειρηματικό κίνδυνο, αυξάνοντας ακόμη περισσότερο την ανησυχία των πολιτών σχετικά με την ασφάλεια των προσωπικών τους δεδομένων.

Η ΕΕ, αναγνωρίζοντας το μέγεθος του προβλήματος έρχεται με τη νέα αυστηρή οδηγία για την προστασία των προσωπικών δεδομένων – General Data Privacy Regulation (GDPR), να καλύψει την έλλειψη εναρμόνισης των κρατών μελών σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα, και των αρμόδιων εποπτικών αρχών που έχουν την ευθύνη αυτών, δημιουργώντας ένα ελάχιστο επίπεδο προστασίας των δικαιωμάτων των φυσικών προσώπων, η οποία πρέπει να μεταφερθεί στο εθνικό δίκαιο των κρατών μελών το αργότερο έως τις 25 Μαΐου 2018.

Θεσπίζει κανόνες σχετικά με τα δικαιώματα των φυσικών προσώπων καθορίζοντας τις ευθύνες και τις υποχρεώσεις αυτών που τηρούν τα δεδομένα τους (data controller) καθώς και τη συνυπευθυνότητα αυτών που έχουν επιλέξει, να κάνουν για αυτούς, εσωτερικά ή εξωτερικά, οποιαδήποτε επεξεργασία των δεδομένων αυτών(data processors).

Εισάγεται ο ρόλος του υπεύθυνου προσωπικών δεδομένων (Data Protection Officer), υποχρεωτικά για εταιρίες άνω των 250 υπαλλήλων, του οποίου μια από τις υποχρεώσεις είναι σε περίπτωση συμβάντος, να ενημερώσει μέσα σε 72 ώρες την υπεύθυνη εποπτική αρχή σχετικά με το συμβάν καθώς και τα φυσικά πρόσωπα των οποίων τα δεδομένα παραβιάστηκαν, έτσι ώστε να αποφευχθεί η έκθεση σε κίνδυνο των δικαιωμάτων και ελευθεριών τους, επιτρέποντας τους να λάβουν τις αναγκαίες προφυλάξεις.

Εισάγεται η έννοια της διαφάνειας και ρητής συναίνεσης του πελάτη, απορρίπτοντας παρελθοντικές πρακτικές του τύπου «εάν δεν απαντήσει αρνητικά τότε θεωρείται ότι έχει συναινέσει», δίνοντας του παράλληλα για πρώτη φορά τη δυνατότητα να μπορεί, εάν το επιθυμεί, να ζητήσει να μεταφερθούν τα δεδομένα του σε κάποια άλλη εταιρία (data portability) ή να του επιδείξει η εταιρία πως χρησιμοποιεί τα δεδομένα του ή να ζητήσει να διαγραφούν τα δεδομένα του (right to be forgotten) μετά την λήξη της συνεργασίας του με την εταιρία.

Όπου το ισχύον τοπικό νομικό πλαίσιο όπως το σχετικό με τις ασφαλίσεις, διαφοροποιείται σε σχέση με άρθρα της GDPR οδηγίας, όπως λόγου χάριν το αίτημα διαγραφής των δεδομένων του συμβολαίου ενός πελάτη όταν ο νόμος του δίνει το δικαίωμα να αναγγείλει μεταχρονολογημένα μια ζημιά αρκετό διάστημα μετά την λήξη ή την ακύρωση του συμβολαίου, χρήζει περαιτέρω διευκρινίσεων.

Ειδικές αναφορές γίνονται για τη συναίνεση των παιδιών (ηλικίες μικρότερες των 16 χρόνων), η οποία θα πρέπει να δίνεται μέσω αυτών που έχουν την επιμέλεια τους, ειδικά σε φάση που αυτά εκτελούν online real time υπηρεσίες.

Εισάγεται η έννοια των «αναγκαίων» δεδομένων, επιτρέπεται να κρατούνται δηλαδή μόνο εκείνα τα προσωπικά δεδομένα τα οποία είναι απαραίτητα και παίζουν κάποιο ρόλο στην σχέση του πελάτη με την εταιρία, ενώ διευρύνεται η έννοια των προσωπικών και ευαίσθητων δεδομένων με την προσθήκη σε αυτά δεδομένων όπως τα γενετικά τα βιομετρικά ακόμη και δεδομένα όπως το geo-location, IP address, URLs σε social media κ.α.

Τέλος εισάγονται αυστηρές κυρώσεις με υψηλά πρόστιμα που αγγίζουν το 4% του συνολικού τζίρου, σε επίπεδο ομίλου εάν πρόκειται για θυγατρική του, ή 20 εκατομμύρια ευρώ.

Οι εταιρίες, πρέπει να εκπονήσουν άμεσα την GDPR πολιτική τους, μέσω της οποίας θα είναι ξεκάθαρη η εναρμόνιση τους με το “privacy by design and by default”, που σημαίνει ότι η προστασία των προσωπικών δεδομένων του πελάτη θα λαμβάνεται υπόψη κατά την φάση του αρχικού σχεδιασμού οποιαδήποτε διαδικασίας και όχι εκ των υστέρων. Παράλληλα το ίδιο θα πρέπει να απαιτήσουν από τους data processors με τους οποίους συνεργάζονται.

Όπως συμβαίνει με κάθε πολιτική, ξεκινά με την ενημέρωση και ευαισθητοποίηση (awareness) όλου του οργανισμού. Σημαντικό μέρος της πολιτικής είναι το Data Protection Impact Assessment (DPIA) το οποίο έχει ως στόχο την αξιολόγηση της κάθε διαδικασίας/δραστηριότητας, αναγνωρίζοντας τα ρίσκα και υιοθετώντας μέτρα που τα ελαχιστοποιεί. Το επίπεδο ωριμότητας και ετοιμότητας διασφαλίζεται με την περιοδική διεξαγωγή του DPIA και αξιολόγηση των αποτελεσμάτων του.

Η οδηγία αυτή αναμένεται να επηρεάσει τον τρόπο εργασίας σχεδόν όλου του οργανισμού όπως: το πως επικοινωνεί, διαχειρίζεται, ανταλλάσει και επεξεργάζεται τα δεδομένα πελατών και υπαλλήλων, πως επιλέγει συνεργασίες με τρίτους και προμηθευτές, την αξιολόγηση των ρίσκων και τα μέτρα ασφαλείας που παίρνει, την ψηφιακή στρατηγική του κ.α. Θα επιφέρει δραματικές αλλαγές στον τρόπο που θα γίνεται η επιλογή εταιριών στο μέλλον και ανάθεση σε αυτές εργασιών που αφορούν τη χρήση προσωπικών δεδομένων των πελατών τους. Συνεργασίες συνηθισμένες για μια ασφαλιστική εταιρία, όπου ανταλλάσσονται προσωπικά δεδομένα, όπως με νοσοκομεία, συνεργεία, εταιρίες διαχείρισης ζημιών κυρίως στον χώρο του αυτοκινήτου και της υγείας, δίκτυα πωλήσεων όπως πρακτορεία και γραφεία agency, εξωτερικά contact centers, υπηρεσιών οδικής βοήθειας ή νομικής προστασίας ή θραύσης κρυστάλλων, e-Shops που κάνουν καμπάνιες για αυτές κ.α. θα απαιτούν πλέον την ύπαρξη υποδομών και διαδικασιών που θα πείθουν, για το υψηλό GDPR επίπεδο ασφάλειας που βρίσκονται, για να προχωρήσουν. Για τον λόγο αυτό αναμένεται σύντομα να θεσμοθετηθεί GDPR πιστοποίηση, διευκολύνοντας έτσι την επιλογή πιστοποιημένων συνεργατών που θα διασφαλίζουν την ασφάλεια των προσωπικών δεδομένων που επεξεργάζονται. Ανάλογες εξελίξεις αναμένεται να επεκταθούν και στον χώρο του Cloud.

Το κανονιστικό πλαίσιο γίνεται, τα τελευταία χρόνια, ολοένα και αυστηρότερο. Tο Solvency II που είναι ήδη 1 χρόνο σε ισχύ, υποχρέωσε τις εταιρίες να εκπονήσουν ή να βελτιώσουν τις πολιτικές τους σχετικά με τα:

• Identity management(για ασφαλείς προσβάσεις),
• Disaster recovery process(για επαναλειτουργία σε περίπτωση καταστροφικού συμβάντος),
• Backup policy (για τα αντίγραφα ασφαλείας)
• Information Security (για τεχνολογική θωράκιση της εταιρίας από εσωτερικούς και εξωτερικούς κινδύνους),
• Configuration & Change management (για διαχείριση αλλαγών) ,
• Risk management(για αξιολόγηση ρίσκων, τεχνολογικών και μη)
• Vulnerability (περιοδικός έλεγχος της e-ασφάλειας της εταιρίας),
• Τhird party management (ειδικά σε περιπτώσεις outsourcing)
• Data Governance (για τα δεδομένα) κ.α.

έτσι ώστε να μην αναγκαστούν να προσθέσουν έξτρα κεφάλαια λόγω κενών και αδυναμιών. Στις περισσότερες των περιπτώσεων οι πολιτικές αυτές συνοδεύτηκαν από σημαντικές τεχνολογικές επενδύσεις που θωράκισαν τις εταιρίες. Η ύπαρξη του Data Governance, ακόμη και εάν αυτή περιορίζεται στα δεδομένα που αφορούν τους υπολογισμούς για το Solvency II, περιλαμβάνει ήδη για ένα υποσύνολο των προσωπικών δεδομένων, πολιτικές και διαδικασίες, risk assessment, data classification, quality process. Κάποιες μάλιστα εταιρίες έχουν προσθέσει στις υποδομές τους προηγμένα εργαλεία για data leakage protection, έχουν προχωρήσει σε ένα επίπεδο data classification και εργαλεία για διαχείριση συμβάντων (incident & response management).

Υποδομές σαν αυτές που αναφέρθηκαν παραπάνω, από την στιγμή που έχουν υλοποιηθεί σε ικανοποιητικό βαθμό, μπορούν να αποτελέσουν για την εταιρία, την βάση που θα στηριχθεί και θα επεκτείνει, ώστε να συμμορφωθεί με την νέα αυστηρή GDPR οδηγία. Επιβάλλεται όμως η καθιέρωση έξτρα κανόνων και τεχνικών που διασφαλίζουν την προστασία των ευαίσθητων δεδομένων ακόμη και εάν αυτές διαρρεύσουν όπως:

• Το pseudonymisation για τη χρήση των δεδομένων για στατιστικούς ή επιστημονικούς λόγους,
• Το encryption για την ανταλλαγή δεδομένων,
• Το tokenization για την τήρηση αριθμών καρτών,
• Το masking ώστε να μην βλέπουν οι χρήστες πληροφορίες που δεν αφορούν την εργασία τους κ.α.

Επιβάλλεται η αναθεώρηση και ενίσχυση του Information security σχετικά με:

• Αύξηση των network & application security controls (ενεργοποιώντας εργαλεία SIEM για log και event management καθώς και log analytics),
• Έξτρα μέτρα ασφαλείας και περιορισμούς στα κινητά & σταθμούς εργασίας των χρηστών
• Προστασία των emails
• Έξτρα μέτρα ασφαλείας και περιορισμούς για απομακρυσμένους χρήστες
• Εργαλεία παρακολούθησης του network traffic καθώς και 24×7 Breach/Attack
• Εργαλεία για web content filtering, κ.α.

Επιβάλλεται η ανάπτυξη τεχνικών μεταφοράς ή διαγραφής των προσωπικών δεδομένων ενός πελάτη, από τα τρέχοντα αρχεία αλλά και από τα αντίγραφα της εταιρίας από την στιγμή που κάνει χρήση της «portability» ή «right to be forgotten» δυνατότητας που του δίνεται.

Αξίζει να αναφερθούμε σε δυο πρόσφατα παραδείγματα διαρροής προσωπικών δεδομένων:

• Την ανακοίνωση της Yahoo σχετικά με το 1 δις λογαριασμούς που διέρρευσαν και τα υψηλά πρόστιμα που προβλέπονται
• Την διαρροή των προσωπικών δεδομένων πελατών που φορούσαν βηματοδότη, και τoν εκβιασμό που δέχτηκαν, ότι εάν δεν τους δοθεί ένα συγκεκριμένο ποσό θα σταματούσαν την λειτουργία του θέτοντας σε άμεσο κίνδυνο την ζωή των ασθενών, το οποίο αποτελούσε το θέμα συζήτησης στα πηγαδάκια του ετήσιου event του EUROCIO forum στην Βαρκελώνη, πριν 2 μήνες.

Όλοι γνωρίζουμε αντίστοιχα συμβάντα διαρροής προσωπικών δεδομένων που συνέβησαν στο παρελθόν και στην Ελλάδα όπου λόγω της έλλειψης ενός τέτοιου αυστηρού πλαισίου, περάσανε στα ψιλά γράμματα, ενώ όλοι αντιλαμβανόμαστε τις συνέπειες που θα είχαν σήμερα έχοντας σε ισχύ την GDPR οδηγία.

Για τον λόγο αυτό οι εταιρίες πρέπει να κάνουν όλες τις απαραίτητες προσαρμογές που απαιτούνται ώστε να συμμορφωθούν στην GDPR οδηγία και να έχουν σε ετοιμότητα τον μηχανισμό που θα αξιολογήσει και θα αντιδράσει αποτελεσματικά σε περίπτωση παραβίασης περιορίζοντας στο ελάχιστο τις οικονομικές για αυτήν συνέπειες και το ρίσκο της δυσφήμισης.

Όπως κάθε νέα πρόκληση, έτσι και η GDPR οδηγία δημιουργεί ευκαιρίες όπως:

• Η πλήρης καταγραφή των διαδικασιών και των δεδομένων που χρησιμοποιούνται, δίνει την δυνατότητα να αποφευχθεί η αποθήκευση δεδομένων που δεν χρησιμοποιούνται ή διπλο-αποθήκευσης αυτών, σπαταλώντας χώρο και χρόνο για την διαχείριση τους, συμβάλλοντας έτσι στη βελτίωση της ποιότητας τους, την ασφαλέστερη και ταχύτερη επεξεργασίας τους, οδηγώντας σε υψηλότερου επιπέδου παρεχόμενες υπηρεσίες προς τους πελάτες τους, που αυξάνουν την ικανοποίηση και την εμπιστοσύνη τους προς την εταιρία.
• Η ανάγκη που θα δημιουργηθεί στην αγορά για την δημιουργία του κατάλληλου ασφαλιστικού προϊόντος «cyber product», δεδομένου ότι μόλις έχουμε το πρώτο σοβαρό συμβάν που θα επιφέρει και το αντίστοιχο πρώτο βαρύ πρόστιμο τότε η ζήτηση για αυτό το προϊόν θα εκτοξευθεί. Άλλωστε όλες οι μελέτες μιλούν για πολύ μεγάλες απώλειες κερδών λόγω cyber-attack, στο άμεσο μέλλον, και την μεγάλη ανάπτυξη των ασφαλιστικών εταιριών, που αναμένεται στο χώρο του cyber insurance, που θα καλύψει την ανάγκη αυτή.

Ως Hellenic CIO forum αναγνωρίζοντας το μεγάλο ενδιαφέρον όλων των μελών μας και των εταιριών που αντιπροσωπεύουν σχετικά με την συμμόρφωση τους με την GDPR οδηγία και τον σημαντικό ρόλο που καλείται να παίξει ο CIO, ξεκινάμε τις εκδηλώσεις μας για το 2017, και συγκεκριμένα στις 19-1-2017, με μια πολύ σημαντική εκδήλωση με τίτλο: “Security Trends, the Hakcing landscape and the upcoming law GDPR in practice” που στόχο έχει να βοηθήσει να κατανοήσουμε τις βασικές απαιτήσεις της και να καταστρώσουμε ένα roadmap με τους τομείς που επηρεάζονται, τα σημεία που χρήζουν έξτρα διευκρινίσεων, τι πρέπει να υλοποιηθεί και τα τυχόν εργαλεία που πρέπει να αποκτηθούν ώστε να το επιτύχουμε.

Στην εσπερίδα θα συμμετέχουν με παρουσιάσεις και ομιλίες οι:

• The European Union Agency for Network and Information Security (ENISA)
• η Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Εθνικό CERT),
• η Διεύθυνση του Ηλεκτρονικού Εγκήματος της Ελληνικής Αστυνομίας και
• η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

καθώς επίσης θα ακουστούν σκέψεις και σχόλια συμβουλευτικών εταιρειών που ειδικεύονται σε αυτά τα θέματα καθώς και νομικών γραφείων.

Στόχος μας είναι να αναδείξουμε, κάτι που στην Interamerican το πιστεύουμε απόλυτα, ότι η προσαρμογή των εταιριών στην GDPR οδηγία αποτελεί για αυτές μια χρυσή ευκαιρία για επιχειρηματική αριστεία και όχι απλά ένα ακόμη αυστηρό κανονιστικό πλαίσιο.


* Ο κ. Λιαπάκης είναι απόφοιτος του Μαθηματικού Τμήματος στο Πανεπιστήμιο Πατρών, υποψήφιος διδάκτορας του Τμήματος Μηχανικών Ηλεκτρονικών Υπολογιστών και Πληροφορικής του Πανεπιστημίου Πατρών με ερευνητικά ενδιαφέροντα σε τομείς όπως των Business Intelligence, Big data, Project management, Lean methodologies, Business operational excellence κ.ά.

Επί 18 έτη εργάστηκε ως Διευθυντής Μηχανογράφησης, στην ασφαλιστική εταιρία Phoenix Metrolife Εμπορική.

Από τον Απρίλιο του 2008, κατέχει τη θέση του Γενικού Διευθυντή Μηχανογράφησης & Υπηρεσιών στον Όμιλο της Interamerican, που βρίσκεται στην κορυφή της ελληνικής ιδιωτικής ασφαλιστικής αγοράς και παράλληλα αποτελεί βασικό μέλος της Ολλανδικής Achmea Group (κολοσσιαίος ασφαλιστικός όμιλος στην Ευρώπη). Υπό την καθολική ευθύνη του βρίσκονται τα εξής επιτελικά τμήματα: Μηχανογράφηση, Client Services/Contact Center, Project Management Office, Έκδοση & Διαχείριση Συμβολαίων.

Αποτελεί μέλος του Executive Board της Interamerican και του IT Policy Board των θυγατρικών της Achmea στην Ευρώπη. Παράλληλα είναι πρόεδρος του Hellenic CIO forum, μέλος του EUROCIO και μέλος της επιτροπής πληροφορικής της Ένωσης Ασφαλιστικών Εταιριών Ελλάδος (ΕΑΕΕ).

Πηγή άρθρου και φωτογραφίας: nextdeal.gr