Νίκος Γεωργόπουλος, cyRM, MBA, Cyber Privacy Risks Insurance Advisor, Cromar Coverholder at Lloyd’s
Στη νοοτροπία και τη λειτουργία των εταιρειών πρέπει να ενσωματωθεί το νέο κανονιστικό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με τον κ. Γεωργόπουλο, κάθε εταιρεία θα πρέπει να ορίσει έναν Data Protection Officer ο οποίος θα φροντίσει να δημιουργηθούν οι αναγκαίες διαδικασίες και οι πολιτικές για την εναρμόνισή της με όσα ορίζονται.
Σε ποιο βαθμό έχετε προετοιμαστεί για την εναρμόνισή σας με το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR);
Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων δεν αποτελεί απλώς ένα εργαλείο διαχείρισης και προστασίας της ιδιωτικότητας αλλά πρέπει να γίνει κουλτούρα της εταιρείας. Η προστασία της ασφάλειας των δεδομένων αποτελεί για κάθε εταιρεία μαραθώνιο. Έτσι και η συμμόρφωση με το Γενικό Κανονισμό για την Προστασία των Δεδομένων αποτελεί μια συνεχή διαδικασία για κάθε εταιρεία η οποία προσπαθεί να προστατεύσει τα περιουσιακά της στοιχεία τα οποία είναι πλέον άυλα. Ένας βασικός παράγοντας για την αύξηση της ασφάλειας των δεδομένων εκτός από τη δημιουργία πολιτικών και διαδικασιών προστασίας της ιδιωτικότητας είναι η εκπαίδευση του ανθρώπινου δυναμικού της. Για το λόγο αυτόν η Cromar έχει δώσει έμφαση στην εκπαίδευση του ανθρώπινου δυναμικού της παράλληλα με τις αναγκαίες προσαρμογές των διαδικασιών της στις απαιτήσεις του νέου κανονισμού. Ας μην ξεχνάμε ότι το ανθρώπινο δυναμικό μιας εταιρείας αποτελεί το Human Firewall.
Ο νέος Κανονισμός συνεπάγεται και αλλαγή των τεχνολογικών μέσων προστασίας δεδομένων;
Ο νέος Κανονισμός επιβάλλει τη δημιουργία πολιτικών και διαδικασιών. Για τη δημιουργία αυτών θα πρέπει να ακολουθήσουμε πρότυπα όπως π.χ. το ISO 27001 για την ασφάλεια των πληροφοριών. Επίσης, για την εξασφάλιση της διαθεσιμότητας της πληροφορίας θα πρέπει η κάθε εταιρεία να δημιουργήσει το κατάλληλο Data Recovery Plan και το Σχέδιο Επιχειρησιακής Συνέχισης της λειτουργίας της. Κατά τη δημιουργία των παραπάνω θα πρέπει να χρησιμοποιήσει και λύσεις που προσφέρουν κρυπτογράφηση (encryption) των δεδομένων, ώστε σε περίπτωση περιστατικών παραβίασης να αποφύγει τα τυχόν πρόστιμα τα οποία μπορούν να φθάσουν έως και 4% του τζίρου και τη γνωστοποίηση των συμβάντων αυτών.
Είναι η ασφάλιση Cyber Privacy Insurance απαραίτητη για τη διαχείριση του κινδύνου;
Ο Κανονισμός επιβάλλει τη λήψη των κατάλληλων οργανωτικών και τεχνικών μέσων για την προστασία των προσωπικών δεδομένων. Μέσα σε αυτά τα μέτρα θα μπορούσε κάθε εταιρεία να χρησιμοποιήσει την ασφάλιση ως εργαλείο διαχείρισης περιστατικών απώλειας προσωπικών δεδομένων και αντιμετώπισης των ευθυνών που προκύπτουν. Πιο συγκεκριμένα, η ασφάλιση Cyber Privacy Insurance καλύπτει:
• Αστική Ευθύνη έναντι τρίτων οι οποίοι υπέστησαν ζημιά λόγω απώλειας των προσωπικών τους δεδομένων από την εταιρεία στην οποία τα είχαν δώσει • Έξοδα και Υπηρεσίες διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας προσωπικών δεδομένων
• Διακοπή Εργασιών – Κάλυψη για απώλεια εσόδων λόγω διακοπής της επιχειρηματικής δραστηριότητας από περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών
• Κυβερνοεκβιασμό – Κάλυψη για διαχείριση περιστατικών εκβιασμού από απειλές που μπορεί να βλάψουν ένα δίκτυο ή να οδηγήσουν σε διαρροή εμπιστευτικών πληροφοριών
• Διοικητικά Πρόστιμα που τυχόν επιβληθούν από αρμόδιες αρχές για περιστατικά data breach Επίσης, η ασφάλιση εκτός από τις χρηματικές αποζημιώσεις προσφέρει πρόσβαση στην Ομάδα Διαχείρισης που διαθέτει η ασφαλιστική εταιρεία η οποία έχει αντιμετωπίσει πλήθος περιστατικών και μπορεί να συμπληρώσει την ομάδα διαχείρισης περιστατικών που πρέπει να έχει κάθε εταιρεία όπως απαιτεί ο νέος Κανονισμός.
Τι είδους δεδομένα συλλέγουν και επεξεργάζονται οι ασφαλιστικές;
Οι ασφαλιστικές εταιρείες συλλέγουν προσωπικά δεδομένα πελατών τους –όπως οικονομικά στοιχεία, δεδομένα υγείας, δεδομένα για τα περιουσιακά τους στοιχεία, τραπεζικούς λογαριασμούς, δεδομένα πιστωτικών καρτών. Επίσης συλλέγουν και προσωπικά δεδομένα για το ανθρώπινο δυναμικό τους καθώς και για το δίκτυο διανομής των προϊόντων τους. Το είδος των δεδομένων που διατηρούν και ο όγκος τους δημιουργούν ευθύνες για την εταιρεία και απαιτούν συμμόρ- φωση με το νέο κανονισμό.
Πώς το GDPR θα επηρεάσει τη λειτουργία τους και ποιος θα είναι ο ρόλος του Data Protection Officer στις ασφαλιστικές εταιρείες;
Η υιοθέτηση του GDPR από τις ασφαλιστικές εταιρείες θα αυξήσει την εμπιστοσύνη των πελατών σε αυτές. Θα επηρεάσει τη λειτουργία τους γιατί θα πρέπει να δημιουργήσουν τις κατάλληλες υποδομές, να προσλάβουν το κατάλληλο ανθρώπινο δυναμικό και να δημιουργήσουν την κατάλληλη κουλτούρα στο ανθρώπινο δυναμικό τους. Κάθε εταιρεία θα πρέπει να ορίσει έναν Data Protection Officer ο οποίος θα φροντίσει σε συνεργασία με το management τη δημιουργία των κατάλληλων πολιτικών και διαδικασιών, τη συμμόρφωσή της με τις απαιτήσεις του κανονισμού και θα αναλάβει την εκπροσώπησή της έναντι των Αρχών, Εθνικών & Ευρωπαϊκών σε περιπτώσεις περιστατικών παραβίασης. Ο Data Protection Officer λόγω της φύσης της εργασίας του θα πρέπει να μπορεί να δημιουργήσει και να συντονίζει αποτελεσματικά την ομάδα υποστήριξής του γιατί ο ρόλος του απαιτεί να έχει γνώση πολλών διαφορετικών θεμάτων όπως νομοθεσίας, αρχών ασφάλειας πληροφοριακών συστημάτων, δημιουργία μελέτης αντίκτυπου για τα δεδομένα που διαχειρίζεται η εταιρεία, εκπαίδευσης του ανθρώπινου δυναμικού της, δημιουργίας πλάνου αντιμετώπισης περιστατικών απώλειας δεδομένων. Οι γνώσεις αυτές δεν συναντώνται εύκολα σε ένα πρόσωπο αλλά απαιτεί τη συνεργασία διαφόρων τμημάτων της εταιρείας και τη δυνατότητα του Data Protection Officer να παίζει το ρόλο του μαέστρου μιας καλά εκπαιδευμένης ορχήστρας για να επιτύχει τα καλύτερα αποτελέσματα για την εταιρεία του. Ο νέος κανονισμός προβλέπει ότι ο Data Protection Officer θα χρειασθεί μελλοντικά να πιστοποιηθεί ότι έχει τις κατάλληλες γνώσεις. Περισσότερες πληροφορίες για το ρόλο και τις γνώσεις που πρέπει να διαθέτει μπορείτε να βρείτε στον ιστότοπο www.dpoacademy.gr.
Πηγή: Ασφαλιστικό Marketing – Τεύχος Μαρτίου 2017