Der er under 200 dage til at GDPR træder i kraft. Har du styr på, hvad det kommer til at betyde for den finansielle sektor?

Vi har spurgt Lars Syberg, Partner i Deloitte’s Cyber Risk Services, om udfordringerne, forhindringerne og konsekvenserne, samt bedt om et par gode råd i forbindelse med den nært forestående GDPR forordning. Læs med, hvis du ligesom mange andre, er i tvivl om hvor du skal starte og hvem du skal snakke med.

GDPR på 60 sekunder?
Kundeoplysninger er blevet en salgsvare og reguleringen er kommet for netop at minimere dette, og for at give forbrugerne deres rettigheder tilbage. Det er et billede vi hidtil har set i andre lande, men forskellen er nu, at det bliver centraliseret i EU på tværs af alle medlemslande, hvilket forventes at gøre en stor forskel.

Helt kort, så handler reguleringen om, at data ikke bliver spredt uhensigtsmæssigt og mere end man som person har givet tilladelse til, samt at virksomhederne bliver stillet til ansvar for sikkerheden og med andre ord sørger for at passe på den data de besidder. Samtidig kan man som privat person tage ejerskabet af sin data tilbage og flytte den rundt blandt forskellige virksomheder efter ønske.

Der er fastsat en deadline i maj 2018, hvor disse retningslinjer skal være implementeret og tages dette ikke seriøst, risikerer virksomhederne store bøder. Reguleringen gælder for al persondata, også selvom det er svært at henføre direkte til en enkelt person og den rammer alle virksomheder der måtte have data på europæiske borgere.

Hvad kommer GDPR til at betyde for den finansielle sektor?
På den praktiske del, ikke så meget, da de finansielle virksomheder er vant til at arbejde med frameworks og retningslinjer, så som de nuværende regler for AML og KYC.

Men den kommer til at betyde en del for de forskellige finansielle forretningsmodeller, da den påvirker hvordan data bliver brugt i virksomhederne. Det bliver med andre ord svært at retfærdiggøre brugen og den kan også blive problematisk ift. sletning af data, samt overflytning.

Det betyder at vi sandsynligvis vil se en markant øget arbejdsmængde på tværs af de finansielle virksomheder, da netop de finansielle virksomheder har rigtig meget data, som gør dem ekstra eksponerede for den kommende regulering.

Konsekvenser ved ikke at være klar til GDPR?
Det er et no-go at være non-compliant, ikke kun pga. bøderne, selvom de også er af en vis størrelse, men også på grund af andre regulativer, som PSD2 direktivet der har et stort overlap på nogle områder.

Derudover er de finansielle virksomheders image også på spil, da myndighederne med alt sandsynlighed vil gå disse virksomheder efter i bedene, netop for at sikre, at de lever op til de skærpede krav.

På andre områder bliver bankerne også pressede på deres kerneforretning, da de bliver udfordret af store tech-spillere, som Apple, Google og Amazon.

 

Gode råd ift. til GDPR

Før man starter:
Finansielle virksomheder bør starte med at få lavet en ordentlig organisering omkring GDPR, da det er et stort projekt og kræver tid. Det er ikke noget man kan lave med venstre hånd, efter sit almindelige arbejde er afsluttet. Og der er ikke nogle quick fixes. Dette kan være en stor udfordring for de mindre spillere og det kan derfor være en mulighed at kigge nærmere på driftsfælleskaber, hvor man deler udfordringer og udgifter. GDPR er et must-do og kan ikke fraviges.

Når man er godt i gang:
Et godt råd er at sikre, at det ikke bliver et isoleret projekt, da det skal være integreret med andre sikkerhedsforanstaltninger. Tag allerede nu stilling til andre regulativer, som fx PSD2, med i de indledende diskussioner, for at minimere omkostninger og den tid det tager at implementere.

Efter man har implementeret:
Sørg for at forankre reglerne omkring GDPR de rigtige steder i forretningen. Og sørg også for at nye ideer bliver forankret rigtigt, samt lever op til GDPR, inden de når for langt i udviklingsprocessen, dvs. tag altid en GDPR kyndig med på råd relativt tidligt.

 

De finansielle virksomheders største udfordringer og bekymringer?
En af de største udfordringer er omfanget, da virksomhederne som udgangspunkt har data alle steder. Dvs. at med alle de små processer der foregår rundt omkring i fx en bank, så løber omfanget hurtigt op. Yderligere ift. den agile tankegang, kan det også vise sig at blive besværligt og på sigt kan GDPR godt komme til at hæmme den agile udvikling.

Hvorfor snakke GDPR med Deloitte?
Indenfor IT Security Consulting er Deloitte den største spiller i Danmark. Vi har hele spektret – både den forretningsmæssige og den risikomæssige forståelse, samt den tekniske ekspertise. Vi forstår ligeledes den juridiske del og kan sætte det i relation til den nødvendige tekniske implementering, der umiddelbart vil følger efter.