Aron Friðrik Georgsson skrifar:

„Mikið af persónuupplýsingum er geymt hjá lífeyrissjóðum landsins. SL lífeyrissjóður er fyrsti lífeyrissjóðurinn til að fá fagggildar vottanir.“

Upplýsingaöryggi var mikið til umræðu á árinu 2018. Ný persónuverndarlöggjöf tók gildi hér á landi og við það var löggjöfin færð til samræmis við nútíðina í málefnum persónuupplýsinga- og gagnavinnslu. Það reyndist heldur ekki seinna vænna, því að á árinu kom í ljós hversu lítið hefur í raun verið hugsað um þær persónuupplýsingar sem fólk hikar ekki við að láta fyrirtækjum í té.

Í mars 2018 bárust fregnir af því að ráðgjafarfyrirtækið Cambridge Analytica (CA) sem sérhæfði sig í pólitískum herferðum hefði safnað miklu magni persónuupplýsinga og einstaklingarnir sem þessar upplýsingar varða vissu ekki af þessari söfnun. Í þessu tilviki höfðu sumir þessara einstaklinga veitt CA allar upplýsingarnar frjálsri hendi í gegnum persónuleikapróf en forritið misnotaði heimild sínar og sótti gögn frá öllum notendum sem voru vinir viðkomandi á Facebook. Þessir einstaklingar voru ekki upplýstir um söfnun persónuupplýsinganna og í hvaða tilgangi ætti að nota þær. Upp kom úr krafsinu að CA notaði upplýsingarnar til að aðstoða við pólitískar herferðir og beina sérhönnuðum auglýsingum að móttækilegum hópum fólks, í þeim tilgangi að hafa áhrif á hegðun þess og skoðanir.

Þetta er aðeins eitt dæmi um hvernig má nota persónuupplýsingar til þess að bæta hag fyrirtækis. Persónuupplýsingar hafa virði og það vita stórfyrirtæki á borð við Google, Facebook og Amazon. Það er því mikilvægt að fyrirtæki sem geyma gögn og persónuupplýsingar fari vel með þær og gæti þess að óviðkomandi hafi ekki aðgang að þeim. Stjórnkerfi byggð á staðlinum ISO/IEC 27001 hafa nú verið við lýði í 16 ár – og lengur ef forveri staðalsins er tekinn með. Fyrirtæki sem höfðu ISO/IEC 27001 vottun þegar ný persónuverndarlög tóku gildi stóðu tvímælalaust betur að vígi þegar kom að því að innleiða nýju persónuverndarlöggjöfina. Stjórnkerfið inniheldur stýringar (ráðstafanir) sem minnka áhættu við vinnslu upplýsinga, gætir þess að gögnum sé ekki breytt án þess að skráð sé hver og hverju var breytt og að gögn séu alltaf tiltæk þegar á þarf að halda. Með því að skilgreina og skjalfesta m.a. verkferli, hlutverk, ábyrgð og stefnu og nota til þess viðeigandi skjalastjórnunarkerfi er miklu auðveldara að bregðast við breytingum í lagaumhverfi. Á sama tíma er unnt að fullvissa alla viðskiptavini með trúverðugum hætti að gögn þeirra og upplýsingar séu í öruggum höndum.

21. nóvember síðastliðinn tilkynnti SL lífeyrissjóður að starfsemi sjóðsins hafi fengið faggilda vottun skv. öryggisstaðlinum ISO/IEC 27001 og gæðastaðlinum ISO 9001. SL lífeyrissjóður er fyrsti lífeyrissjóður á Íslandi til að fá slíkar vottanir. Þetta er jákvæð þróun því ljóst er að lífeyrissjóðir landsins búa yfir miklu magni gagna og upplýsinga sem nauðsynlegt er að halda vel utan um. Upplýsingarnar þurfa að vera réttar og tiltækilegar þegar á þarf að halda. Það er óskandi að fleiri fjármálastofnanir á borð við SL lífeyrissjóð fylgi hans fordæmi og setji upp vottuð og örugg stjórnkerfi sem munu gagnast öllum tengdum aðilum.

Höfundur er viðskiptafræðingur og ráðgjafi í upplýsingaöryggismálum hjá Stika ehf. aron@stiki.eu

Þessi grein birtist fyrst í Morgunblaðinu 9. feb. 2019