FinansDebatt

Nu revolutioneras datahanteringen för finansiella företag

Låt inte gdpr bli början till slutet för big data och skräddarsydda kundrelationer hos företag i finanssektorn, skriver Kenneth Gustavson, Opentext.
Publicerad

EU:s dataskyddsdirektiv skapar en ny situation för många företag i den finansiella sektorn. Tidigare sparades och utnyttjades data på olika sätt för att förbättra kundupplevelsen. Nu krävs en smart process för informationshantering som gör det möjligt för dessa företag att använda big data på ett sätt som möter de juridiska kraven och skapar personanpassade tjänster, skriver Kenneth Gustavson, försäljningschef Opentext.

EU:s nya lag kring datahantering, General Data Protection Regulation (GDPR), börjar gälla den 28 maj 2018. GDPR är den hittills mest omfattande dataskyddslagen och samtliga företag med kunder i EU påverkas. För att uppfylla de nya lagkraven måste företag ta ett helhetsgrepp som omfattar allt ifrån övergripande affärsprocesser till detaljer kring datahantering.

Även om lagen gäller samtliga branscher, finns det belägg att påstå att finansbranschen tillhör de branscher som kommer att påverkas mest. Inte minst för att GDPR sätter stopp för de processer kring dataöverföring som tidigare hanterats genom mer eller mindre informella överenskommelser – överenskommelser som av PWC nyligen beskrevs som en ‘gentleman’s club’ of informal agreements.

Försäkringsbranschen har också historiskt sett varit långsamma på att investera i stödsystem. Det gör det svårt för dem att redovisa vilken kunddata de har, var den lagras och hur de använder den. Det blir ett problem nu när GDPR ger EU-medborgare rätt att kräva att företag ger dem kontroll på den personliga data som företaget har. Dessutom definieras konceptet personliga data så brett att det även omfattar surfvanor och cookies.

Annons

Det finns många dimensioner kring GDPR, och de handlingsplaner som nu måste sättas i verket skiljer sig förstås mellan branscher. Nedan följer några råd som är avsedda för företag inom finansbranschen.

Aktivt godkännande och öppenhet

Att företag har tillstånd att använda privat data är en av de hetaste frågorna i finansbranschens arbete med att uppfylla kraven kring GDPR. Aktivt godkännande, eller consent på engelska, måste enligt GDPR vara uttalad och ges av fri vilja för ett specifikt användningsområde kring vilken kunden förstår kontexten.

Företag kan inte längre få godkännande att använda data för ett ändamål och sedan använda den datan till andra saker. Varje enskild användning av personliga data kräver ett särskilt godkännande.
 
Öppenhet är nyckeln när företag ska interagera med sina kunder och företag har inte rätt att använda sig av överenskommelser som kräver en allt för hög nivå av teknisk kunnande från kundens sida.

Annons

Dataöverföring och data supply chain

Kraven på aktiv godkännande tillhör de saker som fått mest uppmärksamhet när det talas om utmaningar med GDPR. Och även om det är en viktig del, är det viktigt att även dataöverföringar hanteras enligt den nya lagen. Moderna företag har skapat något som kan beskrivas som en data supply chain och de måste nu ha insyn i, och kontroll över, hur tredje parter som kunder, leverantörer, mäklare och partners använder företagets kunders personliga data.

Vid datatransaktioner är det företagen som måste hantera de risker som uppstår och se till att kundernas data skyddas av de företag som ingår i dess data supply chain. Det är nämligen ofta företaget som har det största ansvaret och som råkar illa ut ifall någon part i kedjan inte hanterar data korrekt. Därför är det viktigt att utforma sina kontrakt med hänsyn till denna nya risk.

Om det är sant att hantering av dataöverföringar tidigare till stor del skett enligt informella överenskommelser är det välkommet att GDPR nu blir det verktyg som driver fram en förändring av företagens datahanteringsstrukturer. Genom att kontrollera hur man samlar in, tar fram och distribuerar all information, såväl strukturerad som ostrukturerad, öppnas det upp för en situation där företagen kan minimera risker. En smart process för informationshantering underlättar för företag att efterleva både GDPR och andra juridiska krav.

Annons

Datarörlighet och rätten att bli glömd

EU-invånare kan nu kräva att företag skickar dem den personliga data som företaget har om dem i ett format som med automatik är enkelt att föra över till andra företag. Tanken är här att det ska vara enkelt för individer att byta leverantör. Även om företag inom den finansiella sektorn redan är vana att portera data mellan leverantörer är bredden av information, utöver demografiska data och kontoinformation, något som företag nu måste kunna tillhandahålla på kundnivå på det här sättet.

Den här rätten att utan dröjsmål överföra data till andra omfattar all information som finns om dem oavsett vilka applikationer, enheter, system, servrar eller molntjänster vi talar om.

Rätten att bli glömd innebär att individer kan begära att företag raderar all personlig data som de har om dem. Det enda undantaget är om företaget kan bevisa att det finns särskilda juridiska skäl för att behålla datan.

Det blir alltså en ny situation för många företag inom den finansiella sektorn där man tidigare sparat data för att kunna utnyttja den på olika sätt i sitt arbete med att förbättra kundupplevelsen. Nu måste företagen se till att lagra så lite data som möjligt, under en så kort period som möjligt och dessutom se till att radera den så snabbt som möjligt när syftet är uppnått.

Big data och profiling

Detta leder till frågan om GDPR är början till slutet för big data. GDPR begränsar exempelvis möjligheterna till så kallad profiling. Begränsningen definieras i GDPR och innefattar förbud mot all typ av databearbetning för att analysera eller förutspå händelser relaterade till individers arbetsprestationer, ekonomi, hälsa, intressen, pålitlighet, beteende, plats och rörelsemönster. Det innebär att många processer kring prediktiv analys som exempelvis försäkringsbolag använder via telematiklösningar potentiellt kommer att stoppas av den nya lagen.

I takt med att kunder vill ha allt mer personanpassade tjänster måste företag inom den finansiella sektorn hitta vägar att använda big data på ett sätt som möter GDPR-kraven. Det första är att skapa en lösning där kunder aktivt godkänner att företaget använder deras data för ett specifikt syfte. Dessutom blir det viktigt att undersöka möjligheterna med att få tillåtelse att använda anonymiserade data för att kunna använda den i trendanalyser med mera.

Företag som inte har börjat förbereda sig för GDPR ligger troligen redan efter många konkurrenter och har dessutom en större risk att drabbas av böter. Det är viktigt att utse en Data Protection Officer, att skapa ett team som arbetar över flera funktioner för att utvärdera hur GDPR påverkar företaget som helhet och var företaget befinner sig i förhållande till de nya krav som införs. Dessutom måste företag definiera exakt hur de hanterar och använder data och innehåll i organisationen.

Vi ser nu slutet på den period då företag hanterade samma kunddata i flera olika applikationer och databaser över företaget. Vägen till att lyckas hantera GDPR på ett korrekt sätt för företag inom den finansiella sektorn går via en centraliserad modell där data och information hanteras med en flexibel och skalbar EIM-plattform.

Kenneth Gustavson
försäljningschef Opentext

Annons