<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=183336108931044&amp;ev=PageView&amp;noscript=1">

Something Powerful

Tell The Reader More

The headline and subheader tells us what you're offering, and the form header closes the deal. Over here you can explain why your offer is so great it's worth filling out a form for.

Remember:

  • Bullets are great
  • For spelling out benefits and
  • Turning visitors into leads.

Hvordan vil GDPR påvirke tiltakene du har gjort for å etterleve MiFID II?

Compliance

Lesetid: 12 minutter

Bare noen måneder etter innføringen av MiFID II-forskriften trer et nytt omfattende EU-direktiv i kraft. Hva vil GDPR bety for den norske bank- og finansbransjen?

2018 er et travelt år for compliance-ansvarlige i landets bank- og finansinstitusjoner.

1. januar ble MiFID II-forskriften innført, med nye krav til opptak og lagring av kommunikasjon, og 25. mai står nye endringer for tur når EUs nye personverndirektiv – GDPR (The General Data Protection Regulation) – trer i kraft.

New call-to-action

– Det kan kanskje virke overveldende at både MiFID II og GDPR trer i kraft på så kort tid, men i praksis vil faktisk MiFID II på mange måter forenkle kravene i GDPR, forteller forretningsutvikler Bjørn Loe i GuardREC.

Han mener GDPR ikke vil utgjøre en like betydelig forskjell for norske selskaper, sammenlignet med foretak i andre europeiske land.

– Her i Norge har vi hatt en sterk personvernlovgivning som reguleres av Datatilsynet lenge, og vi ligger derfor relativt langt fremme på dette området. Så jeg tror ikke GDPR vil føre til altfor mye hodebry for den norske finansbransjen.

 

Hvordan vil GDPR fungere i relasjon til MiFID II?

Formålet med GDPR er i all hovedsak å gi kontrollen over egne data tilbake til den enkelte personen, og å skape mer åpenhet, gjennomsiktighet og oversikt når det kommer til lagring og behandling av persondata.

– Første bud når det kommer til GDPR er å svare på hvorfor du lagrer spesifikk informasjon, og det går godt overens med kravene i MiFID II, kommenterer Loe.

– Den egentlige utfordringen for bank- og finansbransjen blir å kartlegge hvordan GDPR vil fungere i relasjon til MiFID II, mener han.

Entrepreneur making a phone call while reading a document in his office.jpeg

Et eksempel han trekker frem er kravet i MiFID II om alle institusjoner som driver med megling, rådgivning eller handel av verdipapirer skal gjøre opptak av all kommunikasjon som kan lede til en transaksjon.

– Dette vil forenkle ting en del med tanke på samtykke om lagring av persondata i henhold til GDPR, fordi en samtale relatert til en mulig transaksjon rett og slett ikke kan gjennomføres uten at det blir gjort opptak.

Les også: Fra reaktiv til praktiv compliance - slik etterlever du MiFID II på en enkel og effektiv måte

 

– Kravet om samtykke kan utgå i sin helhet

Fordi MiFID II krever at det gjøres opptak av all kommunikasjon vil det legges til ny informasjon om en kunde gjennom hele kundereisen. Ifølge GDPR betyr dette i utgangspunktet at det må hentes inn nye samtykker hver gang nye typer informasjon lagres.

Men ifølge Loe kan MiFID II-regelverket føre til at kravet om samtykke i mange tilfeller kan falle bort.

– For å sette det litt på spissen vil kravet om samtykke i henhold til GDPR utgå i sin helhet på grunn av MiFID II. Du trenger ikke samtykke om opptak fordi du er pålagt av MiFID II å gjøre opptak av all kommunikasjon i alle kanaler. Men du er selvsagt pliktet til å opplyse kunden om at kommunikasjonen blir tatt opp.

Image of businessman drawing business plan. Computing concept.jpeg

MiFID II og retningslinjene fra Finanstilsynet redegjør ikke bare for hva som skal tas opp, men også hvordan disse dataene skal kunne søkes opp.

– Regelverket sier at dataene skal være søkbare på kundeidentifikasjon, megleridentifikasjon og tidsrom. Det definerer også hva slags personlig identifiserbar informasjon som lagres, forklarer Loe.

 

Datasikkerhet er et sentralt tema

Datasikkerhet – og mer spesifikt hvordan data lagres og behandles – er et tema som står sentralt både i GDPR og MiFID II.

– Alle data må behandles på en slik måte at de tilfredsstiller kravene som er pålagt deg av Finanstilsynet gjennom MiFID II, samtidig som at sikkerheten rundt persondata må ivaretas i henhold til GDPR, konstaterer Loe.

To av de viktigste spørsmålene du må kunne svare på i henhold til GDPR og MiFID II er:

  • Hva slags informasjon tas opp og lagres?
  • Hvem har tilgang til denne informasjonen?

businessman hand show 3d cloud icon with padlock as Internet security online business concept.jpeg

Unngå kostbare feil

Loe mener det første bank- og finansinstitusjonene kan gjøre for å etterleve både GDPR og MiFID II, og unngå å gjøre kostelige feil, er å organisere alle data i et sentralt system, der den som har ansvaret for overvåking har full kontroll.

– Dette systemet må dokumentere hvem som har tilgang til hva, hvordan dataene lagres, og hvor lenge disse dataene lagres, understreker han.

– I tillegg bør det systemet ha en «Data Life Management»-funksjon som passer på at ikke opptak og andre data lagres for lenge, og som sporer hvem som har vært inne og sett på, lyttet til, sjekket eller hentet ut data gjennom hele livsløpet.

Et slikt system vil sørge for at du etterlever MiFID II-kravet om en omfattende audit trail, sikre at alle data og opptak slettes når de er foreldet og samtidig sørge for at du har kontroll over all lagret informasjon i henhold til GDPR.

New call-to-action

Hvem skal ha tilgang til informasjonen?

Et av de viktigste elementene et sentralisert system for datalagring kan hjelpe deg med  er å ha kontroll på er hvem som har innsyn i, og tilgang til, de dataene som er lagret.

Alle data skal lagres på en sikker måte, og krypteres slik at ingen uvedkommende personer har muligheten til å manipulere informasjonen.

– En compliance officer med ansvar for overvåking av dataene må ha stålkontroll på hvem som har tilgang og innsyn. Ifølge MiFID II skal ingen ha mulighet til å gå inn i systemet og slette tre linjer av en epost eller ett minutt av en telefonsamtale. Derfor må alle handlinger loggføres i en audit trail, understreker Loe.

Future woman with cyber technology eye panel concept.jpeg

Dette er de største fallgruvene

Selv om Loe har stor tro på at landets finansbransje vil finne gode løsninger for å etterleve både MiFID II og GDPR, påpeker han at det finnes en rekke fallgruver som aktørene må unngå.

Han lister opp tre av de største og vanligste:

1. Usikker lagring av data

– Den kanskje største fallgruven av dem alle er å lagre data på en slik måte at det er tilgjengelig for uvedkommende, enten internt i bedriften eller eksternt, uten et godt system for å spore hvem som har tilgang til informasjonen.

 

2. Fragmentert informasjon

– Dersom du har informasjonen lagret fragmentert i ulike systemer, på flere servere eller på forskjellige lokasjoner vil du få problemer når du skal gi kontrollinstanser eller kunder innsyn i de relevante dataene.

 

3. Ingen automatiserte prosesser for innsyn

– En av de største feilene selskaper gjør er at de ikke får på plass automatiserte prosesser for hvordan de skal gi kunder og kontrollinstanser som Finanstilsynet innsyn i informasjonen de etterspør. Dersom du får 1000 henvendelser om innsyn i måneden vil det selvsagt være en stor belastning for selskapet hvis dette skal gjøres manuelt. Da kreves det automatiserte prosesser for innsyn, gjerne i form av en passordbeskyttet nettportal eller lignende.

Image of businessman examining objects with magnifier.jpeg

Informasjon knyttet til kommunikasjon blir et dilemma

Hvordan man skal håndtere henvendelser fra kunder som, i henhold til GDPR, krever innsyn i alle data selskapet har lagret om ham eller henne vil trolig bli et av de største dilemmaene som bank- og finansinstitusjoner må forholde seg til.

– Når det gjelder samtaler gjort mellom en megler eller rådgiver og en kunde er det litt uklart hvordan man skal løse dette. Dersom en kunde ber om å få hentet ut all informasjon om ham inkluderer dette også opptak av all kommunikasjon, men fordi en samtale alltid inkluderer to eller flere parter vil du da automatisk gi kunden tilgang til privat informasjon om din megler eller rådgiver, forklarer Loe.

Utfordringen er at den ansatte megleren eller rådgiveren også har krav på full kontroll over egne persondata.

– Informasjon om en ansatt som lagres i systemet må selvsagt også anses som personlig informasjon, og selv om kunden har rett til innsyn i kommunikasjonen som er gjort skal du også beskytte megleren din. I en slik situasjon blir GDPR-regelverket litt bondefanget av MiFID II, på grunn av meglerens rett til personvern.

Portrait of a smiling customer service representative with an afro at the computer using headset.jpeg

– Kunden kan ikke kreve at opptak slettes

GDPR sier også at en person har rett til å hente ut, flytte og dele personlig informasjon et selskap har lagret om ham eller henne. I tillegg kan personen kreve å få alle lagrede data slettet.

Men dette bringer opp to nye dilemmaer for selskaper som er underlagt MiFID II-regelverket.

– Når det kommer til å hente ut og flytte data har en kunde rett til dette i henhold til GDPR, men samtidig er informasjon knyttet opp mot kommunikasjon med en megler litt låst til denne meglerens selskap. Man kan tross alt ikke utlevere konfidensiell informasjon om selskapet til konkurrenter, forklarer Loe.

– På samme måte kan ikke en kunde kreve at informasjon knyttet opp til kommunikasjon med en megler eller rådgiver skal slettes, noe de ifølge GDPR har rett til, fordi MiFID II lovfester at alle opptak av all kommunikasjon skal lagres i eksakt fem år. I henhold til kravet om en komplett audit trail har man ikke lov til å slette deler av denne kommunikasjonen.

Loe trekker frem disse dilemmaene som to eksempler på de lunefulle farvannene aktørene i finansbransjen må navigere seg gjennom inntil det blir fastsatt en håndfast presedens.

– Dette er interessante dilemmaer som vil sette til side deler av enten GDPR eller MiFID II, og som fremtidige rettssaker muligens må finne svar på, avslutter han.

 

Noen av våre kunder

Teknologien vår brukes av noen av de største merkevarene og selskapene innen ATC og Bank & Finans:

 
 
 
 
 
 
 
 
bottom-cta-atc-red.jpg

Reserver demo

Få en demo av verdens mest robuste opptaksløsning.

RESERVER DEMO