GDPR και ο κρίσιμος ρόλος του DPO και της ασφάλισης Cyber Insurance

Η εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων και ο ορισμός DPO θα εξασφαλίσει την ασφαλισιμότητα των εταιριών και θα βοηθήσει στην ανάπτυξη της ασφάλισης Cyber Insurance.

Νίκος Γεωργόπουλος
Cyber Risks Insurance Advisor
Cromar coverholder at Lloyds
www.cyberinsurancequote.gr

Το νέο περιβάλλον στο οποίο καλούνται να δραστηριοποιηθούν οι επιχειρήσεις απαιτεί την συμμορφωσή τους με το νέο Γενικό Κανονισμό για την Προστασία των Προσωπικών Δεδομένων (GDPR) ο οποίος απαιτεί από τις εταιρίες να:

• Έχουν εκπαιδεύσει κατάλληλα το ανθρώπινο δυναμικό τους
• Έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πολιτικές για την προστασία των πληροφοριών
• Κάνουν αναλύσεις των επιπτώσεων που μπορούν να προκύψουν λόγω παραβίασης ιδιωτικότητας
• Σχεδιάζουν προϊοντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας
• Ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδεομένων
• Έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer)
• Έχουν πλάνο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων (Incident Response Plan)

Επίσης, ο νέος κανονισμός προβλέπει πρόστιμα τα οποία μπορούν να φθάσουν έως 4% του τζίρου της επιχείρησης ή €20εκ όποιο από τα δύο είναι μεγαλύτερο.

Ο νέος Κανονισμός αναμένεται να αναγκάσει τις εταιρίες να συμμορφωθούν στα νέα δεδομένα, να προετοιμαστούν κατάλληλα επιλέγοντας προϊόντα και υπηρεσίες προστασίας των πληροφοριών που διαχειρίζονται που θα τις βοηθήσουν να αντιμετωπίσουν αποτελεσματικά μελλοντικά περισταστικά, δημιουργώντας τις κατάλληλες συνθήκες που θα εξασφαλίσουν την ασφαλισιμότητα των εταιριών και την ανάπτυξη της αγοράς του cyber insurance.

 O Ρόλος του Data Protection Officer

Ο Data Protection Officer αναλαμβάνει να:

• Εκπροσωπήσει την Επιχείρηση έναντι των Αρχών, Εθνικών και Ευρωπαϊκών
• Διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ότι αφορά τις πολιτικές πρακτικές και μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς Δεδομένων Προσωπικού Χαρακτήρα με το νέο αυστηρό νομοθετικό πλαίσιο και να δημιουργήσει την κατάλληλη κουλτούρα στο ανθρώπινο δυναμικό της εταιρείας
• Προστατέψει την επιχείρηση από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμωνπου προβλέπει ο Κανονισμός τα οποία εκκινούν από 10.000.000 Ευρώ ή το 2% του παγκόσμιου τζίρου εαν πρόκειται για διεθνή όμιλο και φτάνουν σε περίπτωση παράβασης βασικών διατάξεων του κανονισμού σε 20.000.000 ή στο 4% του παγκόσμιου τζίρου.

Ο Data Protection Officer θα πρέπει να έχει τις κατάλληλες γνώσεις και δεξιότητες για να ανταποκριθεί στον ρόλο του με αποδεδειγμένη (πιστοποιημένη από ανεξάρτητο φορέα) γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των διαδικασιών διαχείρισης προσωπικών δεδομένων, ο οποίος θα έχει εχέγγυα ανεξαρτησίας και θα αναφέρεται απευθείας στον CEO ή σε μέλος του Δ.Σ μιας εταιρείας.

Στην Ελλάδα δημιουργήθηκε από την DPO Academy (www.dpoacademy.gr) και την Νομική Βιβλιοθήκη (www.nb.org) το μοναδικό πρόγραμα το οποίο οδηγεί σε εξετάσεις πιστοποίησης προσώπων οι οποίες διενεργούνται από την TUV Austria Hellas.

Η αγορά των data protection officers

Σύμφωνα με μελέτη του IAPP (International Association of Privacy Professionals) o αναγκαίος αριθμός DPOs στην Ευρώπη εκτιμάται οτι θα ανέλθει σε 28.000 τουλάχιστον και αν ληφθεί υπόψη και η υποχρέωση εταιριών εκτός Ευρωπαϊκής Ένωσης οι οποίες για να προωθήσουν προϊόντα ή υπηρεσίες σε πολίτες της Ευρωπαϊκής Ένωσης θα πρέπει να έχουν ορίσει Data Protection Officers ο αριθμός αυτός εκτιμάται οτι θα ανέλθει σε 75.000 τουλάχιστον.

Ειδικά για την Ελλάδα η αρχική εκτίμηση για τον αριθμό των DPOs ήταν 373, η εκτίμηση αυτή βασίζονταν στο γεγονός ότι στην αρχική φάση ο Κανονισμός ζητούσε μόνο οι εταιρίες που είχαν προσωπικό άνω των 250 εργαζομένων να διαθέτουν DPO κάτι το οποίο άλλαξε και αναμένεται να αυξήσει σημαντικά τον υπολογιζόμενο αριθμό των DPOs.

Η ασφάλιση Cyber Insurance

Η ασφάλιση Cyber Insurance αποτελεί ένα κρίσιμο κομμάτι της στρατηγικής για τη διαχείριση των κινδύνων που πρέπει να χρησιμοποιεί κάθε εταιρία για να διαχειριστεί τον υπολοιπόμενο κίνδυνο που δεν μπορεί να μειώσει με την χρήση διαδικασιών και πολιτικών διαχείρισης.

Λαμβάνοντας υπόψη ότι 100% ασφάλεια δεν υπάρχει θα πρέπει να εξετάσουν την δυνατότητα μεταφοράς του κινδύνου που απομένει και δεν μπορούν να μειώσουν περαιτέρω σε ασφαλιστικά προϊόντα cyber insurance.

Ενώ η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό παραβίασης ασφάλειας, μπορεί εκτός από την κάλυψη των οικονομικών επιπτώσεων, να βοηθήσει στην καλύτερη υλοποίηση του πλάνου ανττιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας προσωπικών δεδομένων (Incident Response Plan) παρέχοντας εξειδικευμένες ομάδες ειδικών με εμπειρία στην διαχείριση και τις απαραίτητες υποδομές όταν εμφανίζεται συμβάν μειώνοντας τις επιπτώσεις της παραβίασης στους πελάτες και τη φήμη της εταιρείας.

Η ασφάλιση cyber insurance καλύπτει:

• Αστική Ευθύνη έναντι τρίτωνοι οποίοι υπέστησαν ζημιά λόγω απώλειας των προσωπικών τους δεδομένων από την εταιρία στην οποία τα είχαν δώσει
• Έξοδα και Υπηρεσίες διαχείρισης περιστατικών παραβίασης συστημάτωνκαι απώλειας εμπιστευτικών πληροφοριών
• Διακοπή Εργασιών– Καλύπτει απώλεια εσόδων λόγω διακοπής της επιχειρηματικής δραστηριότητας από περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών
• Κυβερνοεκβιασμό– Κάλυψη για διαχείριση περιστατικών εκβιασμού από απειλές που μπορεί να βλάψουν ένα δίκτυο ή να οδηγήσουν σε διαρροή εμπιστευτικών πληροφοριών
• Διοικητικά Πρόστιμα –Που τυχόν επιβληθούν από αρμόδιες αρχές για περιστατικά απώλειας δεδομένων (data breach)

Με την βοήθεια της ασφάλισης cyber insurance οι επιχειρήσεις θα προστατεύσουν τους Ισολογισμούς τους και θα διαχειριστούν αποτελεσματικά τις συνέπειες των περιστατικών αυτών.

Αγορά των Lloyd’s και ασφάλιση

Η αγορά των Lloyd’s παρέχει τις κατάλληλες ασφαλιστικές λύσεις, για να αντιμετωπίσουν καιι να διαχειρισθούν οι εταιρίες τέτοιου είδους περιστατικά.

Το μεγαλύτερο συνδικάτο της αγοράς στον τομέα αυτό είναι οι Beazley με ετήσια παραγωγή ασφαλίστρων στον συγκεκριμένο τομέα άνω των $400εκ και μεγάλη εμπειρία στην διαχείριση περιστατικών (η ομάδα της έχει διαχειρισθεί πάνω από 5.000 περιστατικά), στην Ελληνική αγορά η λύση των Beazley ‘Beazley Global Breach Solution’ προωθείται από την Cromar Coverholder at Lloyd’s.

Για περισσότερες πληροφορίες χρησιμοποιείστε την βραβευμένη από την αγορά των Lloyd’s εκπαιδευτική μηχανή www.cyberinsurancequote.gr.