Cloud Management och GDPR – Efterlevnad i och överlevnad för den finansiella sektorn

Majoriteten av de stora finansinstituten hanterar sin data och information i sina egna nätverk och skyr integrerade cloud management-lösningar, oron för känslig kunddata är för stor.

Jeremy Grinbaum är Vice President Enterprise Sales i Sydeuropa, Norden, Benelux och Mellanöstern för Box.

Speciellt nu när GDPR är högaktuellt och dessa nya regler är implementerade. Tyvärr är branschen stagnerad och innovativa idéer presenteras oftare av nystartade företag inom FinTech än av de ledande finansinstituten. Men i och med de nya GDPR-lagarna som började gälla från och med den 25 maj i år så måste många företag tänka på hur de lagrar och hanterar sin kunddata. Detta här har och är en krävande utmaning, men också en möjlighet till att göra hanteringen av kunddata effektivare.

GDPR & Banker – Hur hantera kunddata korrekt

Eftersom finansiella tjänsteleverantörer hanterar särskilt känslig kunddata är branschen redan föremål för strikta regler. Utöver det nuvarande “PSD” direktivet (“Betalningsdirektivet”) har bankerna också varit tvungna att förbereda sig separat för GDPR. Hittills har det varit vanligt att använda kunddata och information för att marknadsföra andra produkter som lån, kreditkort eller försäkringspolicyer. Information för den här riktade marknadsföringen kan vara hämtade från kundens besök och agerande via hemsidan eller webb-banken, det vill säga sprungen från data som inte är direkt kopplad till konto-data.

Med de GDPR-reglerna som trätt i kraft kan denna information inte längre användas, bearbetas och lagras utan kundens samtycke. Detta samtycke måste nu uttryckligen begäras från kunden. Den nya förordningen kräver också att kunderna kan återkalla sitt samtycke från insamling av dessa uppgifter, ha tillgång till relevant information och kan kräva att uppgifterna raderas när som helst. Finansiella tjänsteleverantörer måste därför alltid veta exakt var data lagras, vem som har tillgång till data och hur den används. Detta säkerställer att dataskyddsansvarig kan sköta sitt jobb korrekt och att rätten som kund att kunna ”tas bort” kan verkställas, samt även att eventuella överträdelser kan rapporteras inom 72 timmar. Det är också en del av överensstämmelsen att uttryckligen kunna hantera kundens godkännande. Ytterligare tekniska åtgärder måste omfatta klassificering av data samt genomförandet av förebyggande inför eventuell förlust av data. Förutom det tekniska genomförandet föreskriver GDPR också en del organisatoriska förändringar. Till exempel så måste alla anställda utbildas inom området dataskydd och att ett speciellt dataskyddsombud måste utses.

Tack vare Cloud Content Management

GDPR var och är ett utmärkt tillfälle för finansiella företag att införa nya riktlinjer för IT-säkerhet. Speciellt inom området för cloud content management finns det flera effektiva lösningar som går utöver kraven för GDPR – serverns plats är bara ett av dessa krav. Cloud computing innebär att IT-resurser och data, som är geografiskt fördelade, samlas på ett ställe – i molnet – och görs tillgängliga för ett stort antal anställda i ett nätverk för bearbetning. Cloud management erbjuder avgörande fördelar, särskilt för företag baserat på olika platser. Naturligtvis har de flesta molnhanteringsleverantörer specialiserat sig på dataskydd långt innan GDPR meddelades. Precis som bankerna är förpliktade till säker förvaltning av pengar står molnleverantörer för säker hantering av data. Detta gör det möjligt för bankerna att dela ansvar och utnyttja extern expertis.

När de ska göra sitt val så bör finansiella institut se till att molnleverantören följer BCR (Binding Corporate Rules) som överensstämmer med GDPR. BCRs är dataskyddsåtgärder som är certifierade av internationella dataskyddsmyndigheter, förutsatt de uppfyller kraven. Dessutom bör molnleverantörer, proaktivt och oberoende, gå igenom säkerhets- och dataskyddsåtgärder för att kunna ge kunderna större insyn. Om företag lagrar personuppgifter i molnet bör de först och främst klargöra med leverantören vilka åtgärder som leverantören bör ta för att undvika risker samt för att uppfylla kraven enligt rådande bestämmelser. Det är lätt att besluta om var dagens behov ligger, vilket troligen har förändrats sedan samarbetet började, och inte bara med avseende på GDPR.

En offentlig molntjänst kan till exempel erbjuda fler fördelar om uppgifterna finns på europeiska servrar och ligger i händerna på certifierade experter som har hanterat GDPR och rådande regler i åratal. Med hjälp av Cloud Content Management kan komplexa och tidskrävande delsteg i kommunikationsprocesserna förkortas betydligt. Kontorsarbete reduceras och arbetsplatsen för de anställda görs mer självständig. Samtidigt lagras viktig information och data på ett ställe – i molnet. Om CCM-lösningen ska uppfylla kraven i GDPR, är det lämpligt att konfigurera infrastrukturen först. En enhetlig lösning har fördelen över fragmenterade patchwork-system så att all data som samlas in om kunder, partners eller anställda härstammar från en källa istället för att informationen kommer ifrån olika databaser, operativsystem, applikationer, plattformar, brevlådor etc.

Först GDPR och snart PSD 2

Gamla IT-strukturer som administreras och kan anpassas endast av några anställda kan fördröja utvecklingen av interna IT-strukturer och därmed bara erbjuda ett litet utrymme för innovationer samt nya idéer. Enhetlig gränsöverskridande administration av kunddata i molnet är bara början – men hur är det med Open Banking? Även om kunderna naturligtvis behöver höga säkerhetskrav, så vill de också ha ett bättre nätverk av tjänster. Viljan att erbjuda gränssnitt och därmed göra dem tillgängliga för olika typer av tjänster, vilket innebär att kunderna kan erbjudas ännu mer flexibla strukturer. Samtidigt kan bankerna använda lämpliga API:er för att integrera andra tjänster i sina egna system snabbare och sålunda samarbeta lättare med start-ups för exempel, då de är långt ifrån att kunna stå upp mot nätverket av filialer och etablerade banker, men de kan säkert göra sin expertis tillgänglig.

I det nu andra EU-betalningsdirektivet (PSD 2) som börjar gälla 2019, så krävs det att bankuppgifter görs tillgängliga för en tredje betalningstjänstleverantör. Och för att finansiella företag inte ska behöva möta samma utmaningar även under nästa år som de stått inför med de nya GDPR-lagarna så bör de börja tidigt med att lösa upp föråldrade strukturer och öppna dörrarna – via API – för nya innovativa idéer och applikationer.