Πρότυπα αναφοράς για παραβιάσεις δεδομένων GDPR δημιούργησε η Insurance Europe
Η Insurance Europe ανέπτυξε ένα πρότυπο που θα μπορούσε να βοηθήσει τις ασφαλιστικές εταιρείες να εκπληρώσουν την υποχρέωσή τους βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) να ενημερώνουν την αρμόδια εποπτική τους αρχή για παραβιάσεις προσωπικών δεδομένων.
Όπως επισημαίνεται σχετικά από την Ομοσπονδία των Ευρωπαϊκών Ασφαλιστικών Ενώσεων, το πρότυπο μπορεί να παρουσιάζει ιδιαίτερο ενδιαφέρον για τις ΜΜΕ και τις εποπτικές αρχές.
Οι πρώτες θα μπορούσαν να το επικαλούνται, αντί να κάνουν μια περιγραφική άσκηση εν μέσω παραβίασης των δεδομένων, για την οποία ενδέχεται να μην διαθέτουν τους πόρους.
Οι τελευταίες θα μπορούσαν να επωφεληθούν από μια τυποποιημένη μορφή που θα τους επιτρέψει να μοιράζονται τα δεδομένα των περιστατικών πέρα από τα σύνορα, να εντοπίζουν καλύτερα τις τάσεις και να αποκτούν πληροφορίες σχετικά με τον τρόπο αντιμετώπισης των κυβερνοαπειλών σε ολόκληρη την Ευρώπη.
Το πρότυπο έχει δημιουργηθεί με τέτοιο τρόπο ώστε οι συγκεντρωμένες πληροφορίες να μπορούν να μοιράζονται χωρίς να χρειάζεται να είναι ανώνυμες ή συγκεντρωμένες, καθώς δεν θα είναι δυνατόν να προσδιοριστεί μια εταιρεία μέσω των πληροφοριών που παρέχει.
Εάν χρησιμοποιηθεί ευρέως, το πρότυπο θα μπορούσε να συμβάλει στην ενίσχυση των πληροφοριών και των δεδομένων που είναι διαθέσιμα για τους κινδύνους του κυβερνοχώρου και, συνεπακόλουθα, στην αύξηση της ανθεκτικότητας της κοινωνίας απέναντι στις κυβερνοαπειλές.
Μέχρι στιγμής, η έλλειψη διαθέσιμων πληροφοριών σχετικά με συμβάντα στο κυβερνοχώρο παρεμποδίζει μια σειρά από φορείς, κυρίως τους ασφαλιστές, οι οποίοι έχουν περιορισμένη δυνατότητα να προσφέρουν κάλυψη κινδύνου στον κυβερνοχώρο και συναφείς υπηρεσίες. Αυτό θα μπορούσε να αλλάξει, εάν οι ασφαλιστές αποκτήσουν πρόσβαση στα ανωνυμικά δεδομένα που θα συλλέγονται από τις εθνικές εποπτικές αρχές ως αποτέλεσμα των διατάξεων περί παραβίασης των δεδομένων.
Πώς λειτουργεί
Το πρότυπο έχει τρεις διακριτές ενότητες:
- Η πρώτη ενότητα περιλαμβάνει προσωπικά στοιχεία και πληροφορίες σχετικά με την επηρεαζόμενη εταιρεία (δεν πρέπει να μοιράζονται με τρίτους).
- Η δεύτερη ενότητα, λεπτομέρειες σχετικά με το περιστατικό παραβίασης δεδομένων, σύμφωνα με τις υποδείξεις του άρθρου 33 του GDPR, οι οποίες πρέπει να αποστέλλονται στην εθνική εποπτική αρχή, όπου αυτό είναι εφικτό, το αργότερο εντός 72 ωρών από τη στιγμή που υπήρξε γνώση της παραβίασης.
- Η τρίτη ενότητα, που πρέπει να ολοκληρωθεί μετά από την περίοδο των 72 ωρών, όταν υπάρχουν περισσότερες πληροφορίες σχετικά με την παραβίαση δεδομένων, περιλαμβάνει συμπληρωματικά σύνολα δεδομένων που θα βοηθήσουν στη βαθύτερη γνώση της φύσης της παραβίασης.
Διαβάστε επίσης: GDPR – Πόσο έτοιμος είναι ο ασφαλιστικός κλάδος να τον εφαρμόσει;