15/02/2017 KL. 19:00

Vagthund advarer: Finanssektoren skal have bedre styr på kundernes følsomme data

Landets forsikrings- og pensionsselskaber skal til eksamen hos Finanstilsynet om personfølsomme kundedata for at undgå skandaler som Se og Hør og Nets-sagen.

Artiklens øverste billede — Vicedirektør i Finanstilsynet Jan Parner vil have finanssektoren til at være opmærksom på kunders personfølsomme data. For de kan være i høj kurs, hvis der er tale om eksempelvis kendte mennesker.

Claus Iversen Finansredaktør

Kristoffer Brahm

Der skal være fuldstændig styr på de følsomme data, som landets forsikrings- og pensionsselskaber ligger inde med om deres kunder.

Det kræver Finanstilsynet, der nu - efter at være stødt på flere eksempler på problematiske forhold - løfter pegefingeren over for de to brancher. Tilsynet kræver, at hvert selskabs bestyrelse senest til sommer udførligt redegør for håndteringen af personfølsomme data, så kunderne ikke behøver at frygte misbrug.

»Selskaberne kommer mere og mere i besiddelse af personfølsomme data. Man skal som selskab overveje, om det sker inden for lovens rammer,« siger Jan Parner, vicedirektør i Finanstilsynet.

Ny regler om persondata

Til maj næste år indføres en ny persondataforordning i EU.
Det centrale er at beskytte personlige oplysninger og sikre, at virksomheders oplysninger om kunder og ansatte ikke falder i de forkerte hænder.
Den nye forordning er på flere områder en skærpelse af de gældende regler.
Der kommer skærpede krav til design af systemer, dokumentation, kontrol, kortlægning af hvor data behandles og sletning af gamle kundedata.
Mange finansvirksomheder (faktisk alle virksomheder, som behandler persondata som en del af kerneforretningen) skal ansætte en DPO (Data Protection Officer). En slags ombudsmand som internt skal sørge for, at reglerne overholdes.
De berørte kunder skal orienteres, hvis der sker brud på datasikkerheden som indebærer en særlig risiko.
Der kommer nye regler for afgivelse af samtykkeerklæringer.
Til næste år indføres der bøder for grelle overtrædelser af reglerne om persondata på op til 20 mio. euro (ca. 150 mio. kr.), eller med op til 4 pct. af virksomhedens samlede globale årlige omsætning i det foregående regnskabsår, hvis det beløb er højere.
Mindre grelle overtrædelser straffes med bøder op til 10 mio. euro (ca. 75 mio. kr.) eller med op til 2 pct. af virksomhedens globale årlige omsætning i det foregående regnskabsår, hvis det beløb er højere.
Kilde: EU-Parlamentets og Rådets forordning

Tilsynet har endnu ikke et samlet overblik over, hvor store problemerne er med mangelfuld håndtering af personfølsomme oplysninger. Men skandalen om Se og Hør og Nets er et eksempel på, hvor galt det kan gå. Her lækkede en it-specialist personfølsomme data om kendte fra Nets til ugebladet.

Ifølge en ekspert er finanssektoren særligt udfordret.

»Det specielle for den finansielle sektor er, at man har en meget stor mængde af følsomme personoplysninger. Jo flere man har, jo større risiko er der for, at noget går galt,« siger Peter Blume, professor og dr. jur. på Københavns Universitet.

En problemstilling er, hvilke ansatte der har adgang til data, og om det registreres, hvem der henter følsomme data. En anden er selve opbygningen af databaser med personfølsomme oplysninger. Et eksempel er forsikringsselskabers tilbud om rabat på bilforsikringer, hvis kunder accepterer, at der indhentes data om deres kørsel. Det kaldes telematics og giver mulighed for at se, om f.eks. en kendt dansker jævnligt parkerer bilen hos en anden end ægtefællen.

»Det er vigtigt, at selskaberne tænker sig om i deres design af systemer, så de ikke løber ind i problemer. Det gælder f.eks., når de går ind i uopdyrket land som datastrømme via apps. Brug af telematics i forsikringsbranchen er et andet område, hvor man virkelig skal passe på, hvordan man håndterer data,« siger Jan Parner.