Databeskyttelsespolitik
I vores databeskyttelsespolitik fastlægges Vellivs overordnede strategiske mål og principper for databeskyttelse og -behandling. Ligeledes fastlægges roller og ansvar.
Vores databeskyttelsespolitiks område
Vores databeskyttelsespolitik skal sikre, at Velliv opfylder den til enhver tid gældende danske og EU-retlige regulering, administrative bestemmelser, interne regler og ”best practice” på databeskyttelsesområdet, herunder at Velliv lever op til lovgivningens ånd.
Vores databeskyttelsespolitik omfatter behandling af alle personoplysninger, inklusiv men ikke begrænset til oplysninger om kunder og medarbejdere.
Enhver ledende medarbejder i Velliv er – når det er relevant - ansvarlig for at sikre, at vores databeskyttelsespolitik er kendt og følges inden for den pågældende leders ansvarsområde.
Risici inden for databeskyttelse og behandling
Behandling af personoplysninger, herunder personfølsomme oplysninger, er en kerneaktivitet i Velliv og dermed en væsentlig operationel risiko i selskabets forretningsmodel. Velliv behandler personoplysninger med henblik på at etablere og administrere kontrakter med kunder samt til imødekommelse af selskabets forpligtelser over for kunder, medforsikrede og begunstigede. Herudover anvendes personoplysninger til markedsføring i det omfang kunderne har givet samtykke til brug af data til markedsføring. Endvidere overlader Velliv som en del af sine aktiviteter i visse tilfælde personoplysninger til andre, herunder samarbejdspartnere, leverandører mv. Endelig behandler Velliv personoplysninger i forbindelse med etablering og administration af medarbejdernes ansættelsesforhold samt til udvikling af nye processer og teknologi, der skal forbedre kundeoplevelsen og optimere de administrative processer. Velliv er dataansvarlig for de personoplysninger, selskabet behandler.
Behandling af personoplysninger indebærer risiko for, at kunder og medarbejderes personoplysninger hændeligt eller ulovligt tilintetgøres, mistes, ændres uautoriseret videregives eller kommer til uvedkommendes kendskab, herunder offentliggøres.
Behandlingen og beskyttelsen af personoplysninger er reguleret i Europa-Parlamentets og Rådets generelle forordning om databeskyttelse og i national særlovgivning på området. Velliv er endvidere underlagt særlig lovgivning for finansielle virksomheder.
Overtrædelse af persondatalovgivningen kan medføre påtale eller påbud fra tilsynsmyndighederne og væsentlige økonomiske tab i form af bøder.
Brud på fortroligheden kan have alvorlige konsekvenser for kunder og medarbejdere på grund af risikoen for misbrug af oplysninger, og brud på integriteten og fortroligheden udgør derfor en væsentlig omdømmemæssig risiko for Velliv.
Strategiske mål for databeskyttelse og behandling
Velliv ønsker til enhver tid at være en betroet samarbejdspartner. Simplificering og digitalisering er samtidig strategiske temaer i Velliv.
Behandlingen af personoplysninger og sikkerhedsniveauet skal afspejle, at Velliv behandler en stor mængde personoplysninger, herunder en stor mængde følsomme personoplysninger, hvorfor Vellivs ønsker at etablere og vedligeholde et højt niveau for beskyttelse af personoplysninger. Velliv ønsker endvidere til enhver tid at overholde gældende databeskyttelseslovgivning.
For at begrænse Vellivs risici nævnt i pkt. 2.1 skal processer og systemer indrettes i overensstemmelse med følgende databeskyttelsesprincipper.
Personoplysninger skal:
- behandles lovligt, rimeligt og på en gennemsigtig måde
- indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål (formålsbegrænsning)
- være tilstrækkeligt relevante og begrænset til, hvad der er nødvendigt til formålet (dataminimering)
- være korrekte og ajourførte (rigtighed)
- opbevares i en begrænset periode i overensstemmelse med til formålet (opbevaringsbegrænsning)
- behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger (integritet og fortrolighed)
- behandles med respekt af den registreredes rettigheder
- kun overføres til databehandlere eller tredjeparter, herunder tredjeparter i tredjelande, hvis der er tilstrækkelig sikkerhed for personoplysningernes beskyttelse.
Metode og procesbeskrivelse
Velliv skal etablere processer og forretningsgange til sikring af, at databeskyttelsesprincipperne i denne politik overholdes. Det indebærer bl.a., at Velliv skal sikre, at behandlingsaktiviteter ikke iværksættes, før der er foretaget en analyse af konsekvenserne for beskyttelse af personoplysninger. Nye produkter og systemer skal overholde principperne om databeskyttelse gennem design (privacy by design) og databeskyttelse gennem standardindstillinger (privacy by default).
Velliv skal kunne påvise, at databeskyttelsesprincipperne i denne politik overholdes og skal føre og vedligeholde en fortegnelse over behandlingsaktiviteter, som opfylder lovgivningens krav til en sådan fortegnelse.
Velliv skal udpege en databeskyttelsesrådgiver og udarbejde en jobbeskrivelse for databeskyttelsesrådgiveren.
Lovlig, rimelig og gennemsigtig behandling
Lovlig og rimelig behandling
Behandling af personoplysninger i Velliv kræver, at behandlingsaktiviteten har et hjemmelsgrundlag i forordningen, anden EU-retlig regulering eller national lovgivning. Velliv skal sikre, at der er den tilstrækkelige behandlingshjemmel, inden en behandling påbegyndes. Hjemmelsgrundlagene er, at:
- den registrerede har givet gyldigt samtykke til behandlingen
- behandlingen er nødvendig af hensyn til opfyldelse eller indgåelse af en kontrakt, som den registrerede er part i
- behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler Velliv
- behandlingen er nødvendig for, at Velliv kan forfølge en legitim interesse, medmindre at den registreredes interesser går forud herfor
- behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser
- behandlingen sker til udførelse af en opgave i samfundets interesse, som Velliv er blevet pålagt at udføre
Cpr.numre behandles i overensstemmelse med den særlige nationale lovgivning herom. Ligeledes behandles følsomme personoplysninger i overensstemmelse med de særlige krav hertil.
Gennemsigtig behandling
Behandling af personoplysninger i Velliv skal være gennemsigtig og åben, så det både på indsamlingstidspunktet og i det løbende forhold mellem Velliv og den registrerede er klart for den registrerede, at personoplysninger indsamles, anvendes, opbevares og på anden vis behandles og i hvilket omfang og til hvilke formål oplysningerne behandles. Oplysningerne skal gives i et klart og enkelt sprog. Oplysningerne skal gives på et kommunikationsmedie tilpasset den konkrete situation, hvor personoplysningerne indsamles, behandles mv.
Velliv skal på indsamlingstidspunktet give den registrerede oplysninger om:
- Formålet med behandlingen eller behandlingerne, som oplysningerne anvendes til, herunder det tidsrum oplysningerne vil blive opbevaret i
- Kategorier af modtagere af personoplysninger, der vedrører den registrerede
- Den registreredes rettigheder
- Kontaktoplysninger for selskabet og selskabets databeskyttelsesrådgiver, herunder klagemuligheder.
Hvis Velliv indsamler personoplysninger om den registrerede fra andre end den registrerede selv, skal oplysningerne gives hurtigst muligt derefter.
Indsamling og behandling i overensstemmelse med formålet
Velliv indsamler personoplysninger til en række formål og indsamler personoplysninger fra den registrerede selv såvel som fra andre. Uanset hvordan og fra hvem oplysningerne er indsamlet, må oplysningerne alene behandles til de udtrykkeligt oplyste og legitime formål og må ikke viderebehandles på en måde, som er uforenelig med disse formål.
Dataminimering
Ved indsamling og behandling i øvrigt af personoplysninger skal det sikres, at der alene indsamles og behandles de oplysninger, som er nødvendige til de udtrykkeligt oplyste og legitime formål, oplysningerne behandles. Velliv skal have processer til at sikre, at personoplysninger, som selskabet modtager fra andre, og som ikke er nødvendige til disse formål, tilintetgøres eller slettes.
Rigtighed af oplysninger
Velliv skal have processer til at sikre, at personoplysninger er korrekte og ajourførte.
Opbevaringsbegrænsning
Velliv må ikke opbevare personoplysninger længere, end det er nødvendigt i forhold til de formål, oplysningerne behandles. Velliv skal således træffe foranstaltninger til at sikre, at personoplysninger slettes, når de ikke længere er nødvendige henset til formålet.
Velliv skal have principper for sletning. Principperne skal fastsættes under hensyntagen til de langvarige kontrakt-/kundeforhold (forsikringsaftalen), selskabet har. Herudover skal principperne tage hensyn til forældelseslovgivningen, så at Velliv kan opgøre krav også efter kundeforholdets ophør. Principperne skal herudover tage hensyn til, at der for visse personoplysninger kan være krav i anden lovgivning, som foreskriver en længere eller kortere opbevaringsperiode, fx hvidvasklovgivningen, skattelovgivningen mv.
Integritet og fortrolighed
Velliv skal sikre, at adgang til personoplysninger alene sker på ”need to know” basis.
Velliv skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre, at personoplysninger ikke hændeligt eller ulovligt tilintetgøres, mistes, ændres, og uautoriseret videregives eller kommer til uvedkommendes kendskab, herunder offentliggøres. De relevante foranstaltninger omfatter, men er ikke begrænset til, adgangskontroller, administration af brugeradgange, logning, kryptering, pseudonymisering og sletning. Sikker behandling omfatter også sikring af adgangsforhold til fysiske lokaliteter. Velliv skal sikre løbende uddannelse af selskabets medarbejdere, så medarbejderne er bekendt med selskabets regler for informationssikkerhed.
Velliv skal endvidere have processer til at imødekomme brud på datasikkerheden ved at have processer for håndtering og anmeldelse af databrud til Datatilsynet og/eller de registrerede, herunder til sikring af at anmeldelse sker inden for lovbestemte tidsfrister.
Respekt af registreredes rettigheder
Velliv skal behandle personoplysninger på en måde, der respekterer og imødekommer registreredes rettigheder. Det indebærer, at selskabet skal informere registrerede om deres rettigheder og have processer for at imødekomme disse rettigheder rettidigt og i overensstemmelse med lovbestemte tidsfrister. Registreredes rettigheder omfatter, men er ikke begrænset til:
- Registreredes ret til at få indsigt i de personoplysninger om pågældende, som behandles
- Registreredes ret til under visse omstændigheder at få slettet personoplysninger om sig selv
- Registreredes ret til at få personoplysninger om sig selv berigtiget
- Registreredes ret til under visse omstændigheder at få behandlingen af personoplysninger om sig selv begrænset
- Registreredes ret til at modtage personoplysninger om sig selv i et struktureret, almindeligt anvendt og maskinlæsbart format, herunder at få dem overført til en anden dataansvarlig.
Overførsel til databehandler eller tredjeparter
Velliv overlader som en del af sine aktiviteter i visse tilfælde personoplysninger til andre, herunder samarbejdspartnere, leverandører mv. Overladelse og videregivelse af personoplysninger må alene ske i overensstemmelse med gældende lovgivning, herunder den finansielle lovgivning, eller med samtykke fra den registrerede.
Velliv må kun benytte databehandlere, der kan stille de tilstrækkelige garantier for, at databehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger, som sikrer beskyttelse af den registreredes rettigheder. Overladelse til en tredjepart, der behandler personoplysninger på Vellivs vegne, kræver, at der foreligger en databehandleraftale, der opfylder lovgivningens krav til indholdet af en gyldig databehandleraftale, herunder kravene til anvendelse af underdatabehandlere. Databehandleraftalen skal ligeledes regulere databehandlerens anvendelse af underdatabehandlere, der er etableret i tredjelande.
Velliv kan være forpligtet til at overlade oplysninger til andre. Sådanne forpligtelser kan følge af lovgivningen, herunder skattelovgivningen, hvidvasklovgivningen mv. Velliv kan endvidere overlade oplysninger til andre til brug for selskabets forfølgelse af et retskrav, juridisk rådgivning eller på anmodning fra en tilsynsmyndighed. Velliv skal i sådanne tilfælde sikre sig, at oplysningerne er tilstrækkeligt beskyttet, enten ifølge lovgivningen eller kontraktretligt.
Monitorering og kontroller
Processer og kontroller i overensstemmelse med denne politik skal være dokumenterede, gennemsigtige, risikobaserede og skal revurderes løbende og minimum årligt.
Rapportering
Direktionen skal løbende og minimum kvartalsvis modtage rapportering om selskabets risici i relation til beskyttelse af personoplysninger, herunder antallet af rapporterede hændelser, rapportering på nøgletal i relation til personoplysninger, herunder brugen af indsigtsret og øvrige af den registreredes rettigheder. Væsentlige brud på datasikkerheden skal uden ugrundet ophold rapporteres til Direktionen.
Bestyrelsen skal modtage løbende og minimum årlig rapportering om overholdelsen af denne politik.
Roller og ansvar
Direktionen har ansvaret for implementering af denne politik via etablering af tilstrækkelige forretningsgange.
Direktionen udpeger en databeskyttelsesrådgiver, der med reference til selskabets økonomidirektør har ansvar for at overvåge og rådgive selskabet i efterlevelse af de metoder og processer, der er besluttet på grundlag af denne politik.
Bestyrelsen ønsker en tydelig ledelsesmæssig forankring af processer til beskyttelse af personoplysnineger. Direktionen har derfor ansvaret for etablering af en stående persondata-komité sammensat af repræsentanter fra relevante forretningsområder, inklusiv complianceansvarlig, IT og databeskyttelsesrådgiveren.
Persondata-komiteen modtager løbende og minimum kvartalsvis rapportering fra databeskyttelsesrådgiveren. Persondata-komiteen medvirker til sikring af implementering af metoder og processer i forretningsområderne.
Selskabets compliancefunktion har ansvaret for at kontrollere og vurdere, om procedurerne og de foranstaltninger, der er iværksat for at beskytte personoplysninger og leve op til persondatareguleringen, er tilstrækkelige. Den complianceansvarlige rapporterer løbende og minimum årligt til direktionen.
Delegationsadgang
Direktionen kan delegere ansvaret for etablering af forretningsgange til de enkelte ledere i selskabets forretningsområder.
Lovgivning
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EØS-relevant tekst)
L 69 Forslag til lov om ændring af lov om retshåndhævende myndigheders behandling af personoplysninger, lov om massemediers informationsdatabaser og forskellige andre love. (Konsekvensændringer som følge af databeskyttelsesloven og databeskyttelsesforordningen samt medieansvarslovens anvendelse på offentligt tilgængelige informationsdatabaser m.v.)
Lovbekendtgørelse af 2017-01-31 nr. 174 om finansiel virksomhed med tilhørende bekendtgørelser, herunder bekendtgørelse om outsourcing af væsentlige aktivitetsområder af 11. januar 2010.
Referencer til andre politikker og retningslinjer
Politik for Databeskyttelse udgør sammen med Vellivs Politik for IT-sikkerhed det interne regelsæt på databeskyttelsesområdet godkendt af Vellivs bestyrelse.
Politikken suppleres af retningslinjer for informationssikkerhed og forretningsgange på området.