NYHETSARKIVET
7 nov 2017 15:12
Kunderna samlas vid pumparna för att tanka ner sina uppgifter hos bolagen
I maj nästa år kommer den nya dataskyddsförordningen GDPR att träffa alla företag som lagrar uppgifter om sina kunder digitalt. Till det kommer att alla kunder till företagen kommer att ha möjlighet att begära ut vissa personliga uppgifter och få dem överförda dit de vill i digitalt läsbara format. En utmaning för försäkringsbranschen som just nu har fullt upp med alla andra EU-direktiv.
Att tro att den här förändringen kommer att få Andersson, Pettersson och Lundström och jag att begära utdrag om oss själva från försäkringsbolagen är knappast troligt. Men för den som vill ta sig in bakom försäkringsbolagens brandväggar och hjälpa sina kunder med råd och dåd kan det här bli en riktig gamechanger som skulle kunna skaka om försäkringsbranschen rejält. Om man tänker lite längre - varför skulle någon bekymra sig om traditionella fullmakter om alla med hjälp av bank-ID kan skaffa alla uppgifter utan att blanda in utomstående?
MODERNISERA PUL
Här ska inte avhandlas alla delar av det omfattande EU-direktivet men i grunden syftar det till att modernisera den nuvarande lagregleringen i PUL, personuppgiftslagen. GDPR-förordningen har kommit till för att modernisera det befintliga regelverket för att skydda privatpersoner mot de hot som globaliseringen och den tekniska utvecklingen medför där buzzworden "Big Data" och "The Internet of Things" ofta förekommer. I och med att det är en EU-förordning innebär det att lagstiftningen i EU-länderna blir gemensam och all behandling som görs på mark inom EU ska följa
samma lagstiftning. De kommande reglerna förtydligar ansvaret för den som behandlar personuppgifter. Till det kommer närmast drakoniska böter för den som skulle bryta mot reglerna. I förordningen läggs stort fokus på konsumenterna, alltså alla vi som på något sätt finns registrerade hos något företag och där vi ska ha rätt att ta del av uppgifterna. Till det kommer att vi även ska ha "the right to be forgotten", alltså att aktörer inte får lagra och behandla personuppgifter mot privatpersoners vilja, om det inte behövs av andra skäl, såsom att uppfylla ingångna avtal eller att det bestämts i lag.
GIGANTISKA DATABASER
Det är grunden för lagstiftningen som i mångt och mycket försöker adressera de stora tech-jättarna Google, Apple, Facebook som redan i dag har byggt upp gigantiska databaser om oss och vi självmant har valt att ge dem uppgifter om vad vi gillar att göra och vad vi tycker om att köpa.
- Förordningen tar sikte på de stora jättarna som omsätter hundratals miljarder och det är också därför som bötesbeloppen är så höga i lagstiftningen. Det är dem man är ute efter med maxbeloppen, berättar Sara Malmgren, avdokat på Foyen, för Pensionsnyheterna. Om vi skulle se den nya lagstiftningen bara utifrån försäkringsbranschens perspektiv innebär den att det finns ett antal hemläxor att göra. Helst igår eftersom förordningen gäller så snart som från och med maj 2018.
- Förordningen kommer att ge försäkringsbolagens kunder möjlighet att begära ut alla uppgifter som rör dem personligen. Till det kommer portabilitetsprincipen som innebär att du som individ också kan bestämma till vem som uppgifterna ska skickas. Det behöver alltså inte vara till dig personligen, säger Lena Friman-Blomgren, jurist på branschorganisationen Svensk Försäkring, till Pensionsnyheterna.
INTE SÅ ENKELT
Hon poängterar dock att det bara är uppgifter som man själv lämnat till ett försäkringsbolag som man kan få ta del av och skicka vidare till någon annan. Då handlar det till exempel om namn, adress, personnummer och skador som man kan få ut. Så långt låter det som att det är uppgifter som man redan borde ha hygglig koll på som kund. Men riktigt så enkelt är det inte, enligt Sara Malmgren.
- Det är två olika artiklar som reglerar vilka uppgifter som man kan tvingas att lämna ut. Det som rör portabiliteten, alltså möjligheten att få de egna uppgifterna skickade till någon annan, finns i direktivets artikel 20 och då är det främst uppgifter som man själv lämnat och som inte "bearbetats" av bolaget i någon form, säger hon och fortsätter:
- Däremot är kravet på de uppgifter som man har rätt att själv ta del av betydligt mer omfattande. Då har man rätt att ta del av även uppgifter som till exempel ett försäkringsbolag bearbetat och lagrat om dig. Det är bara om det rör känsliga personuppgifter, till exempel om sjukdomar eller, faktiskt, löneuppgifter som kan vara integritetskränkande och ett bolag därför inte behöver lämna ut, säger Sara Malmgren. Hon tillägger att man kan ha möjlighet till att uppgifter lämnas ut genom att ge sitt samtycke, även om det även här finns begränsningar som tillsynsmyndigheten, Datainspektionen, kan ingripa mot. Men i praktiken gäller att all information som lagrats ska kunna göras tillgänglig för individer som begär att ta del av dem. Det ska sägas att den rätten har funnits även i personuppgiftslagen men den tillkom i ett läge när världen ännu inte hört talas om vare sig Big Data, Molnet eller fintech. Då levde branschen dessutom gott på provisioner och kickbacks, något som annan lagstiftning nu kommer att försvåra och begränsa.
UNDERSKATTADE EFFEKTER
GDPR har fått Mikael Elf, vd på Försäkringsfabriken, att fundera. Naturligtvis med sikte på den egna affären, hans företag utvecklar ju olika system och IT-lösningar för försäkringsbranschen och han ser rika möjligheter till nya uppdrag i och med den kommande lagstiftningen. Han tror dock att försäkringsbolagen har underskattat effekterna av den baksmälla som kan drabba försäkringsbranschen om det kommer nya entreprenörer som blandar grogg på GDPR och den nya fintechtekniken.
- Jag tror inte att det finns något bolag som riktigt har förstått vilken genomgripande förändring det här är och vilka effekter det kan få. Om man bara tänker på appen Tink, som redan i dag har möjlighet att tanka uppgifter från bankerna och visa kunderna sina saldon och göra det möjligt att byta mellan konton i olika banker, så är det bara början, säger han och fortsätter:
- Det kan ju ge kunderna möjlighet att få bättre ränta genom att byta bank för sparkonton. Snart kan man även hjälpa till med att genomföra flytt av bolån elektroniskt. Om man inser det förstår man vad man kan åstadkomma med smart fintech. Det tror jag inte många försäkringsbolag har tänkt på. Han indikerar att flytt av försäkringar och förbättrade kundvillkor med lägre avgifter är något som kan få kunderna att vilja bli mer aktiva om det blir lätt, användarvänligt och transparent.
DEFENSIV INSTÄLLNING
De som defensivt hävdar att GDPR bara är en förlängning av nuvarande lagstiftning i personuppgiftslagen, PUL, och att det därför inte handlar om några stora förändringar råder han att tänka ett varv till och säger:
- GDPR ska bli vassare, sätta individens rätt högre på agendan. Lagen gör tydligt att det är individen som äger sin data. Han eller hon ska kunna upplåta information om sig själv till olika aktörer för att kunna få tillgång till tjänster/ och produkter. Man ska inte få tjäna pengar på att samla och uppfinna data om en individ i hemliga rum. I detta läge ska man nog tro att dagens PUL-texter kommer att bli vassare med GDPR, säger han.
BÄTTRE ÄN FULLMAKTER
Han säger att en "Tink" för försäkringsbranschen skulle kunna ge nya aktörer en enorm massa information om sina kunder, som via appen bestämmer sig för att dela information med till exempel en flyttjänst eller en rådgivning för pensionsplanering. Dessa får då ett betydligt bättre underlag än vad till exempel en "vanlig" försäkringsförmedlare kan få ut genom en traditionell fullmakt.
- Jag tror helt enkelt att GDPR kommer att göra hela fullmaktskollen obsolet. Varför ska man via fullmakter ta del av informationen om datauppgifterna redan går att plocka ut med stöd av den nya dataskyddsförordningen enligt GDPR, säger han. Daniel Eriksson, tidigare produktdirektör på Folksam och därefter sparbanksdirektör, tror dock inte att GDPR kommer att innebära att kunderna kommer att efterfråga information från försäkringsbolagen på bred front. Och redan i dag har kunder rätt enligt PUL att efterfråga sina uppgifter, något som de inte gör i någon större utsträckning.
- Däremot finns det gott om sådana som försöker flytta försäkringar, någon gång för att det också gynnar kunden. Exemplet från Tink, där bankerna går med på att man ska kunna flytta bolån och sparkonton, innebär bara att bankerna tror att de kan få in mer än de tvingas lämna ifrån sig. De har frivilligt gått med på att dela med sig av kunduppgifterna för att de vill. Inte för att de måste, säger han. Och han fruktar att utvecklingen kan leda till att kunderna hamnar i underläge, alltså tvärtemot det man tänkt med den nya transparensen som ska följa av de nya regelverken.
- Det kan bli lika illa som flyttmarknaden på försäkringsområdet där andra än kunderna vill flytta försäkringarna. AMF, KPA och Finansinspektionen visar i sina undersökningar att en majoritet av kunderna inte ens vet om att de har flyttat sina försäkringar. Och av de som vet om att de flyttat, vet en majoritet inte om varför det var bra. Det är allvarligt, säger han, som varit en av dem som under Folksamtiden höll emot och vägrade att acceptera fullmakter utan istället valde att kommunicera direkt med kunderna. Han passar också på att förtydliga att en fullmakt inte är något som tvingar ett bolag att lämna ut information till rådgivare.
- Många har missuppfattat hur en fullmakt fungerar. Det finns ingen skyldighet i lagen att acceptera en fullmakt. Däremot ger en kunds fullmakt till ett ombud ett försäkringsbolag rätt att göra det som fullmakten gäller. Men det är försäkringsbolagets val och inte ett tvång. Det är en väldig skillnad, påpekar han. Han tror inte heller att GDPR kommer att leda till någon större förändring och att kunder kommer att börja begära ut uppgifter om sina finansiella liv. Detta för att kunder, enligt förordningen, bara har rätt att begära att uppgifter som de själva lämnat till bolagen, ska skickas vidare till någon extern part. Behandlad information, alltså de delar som bolagen "bearbetat" i någon form, är inte något som kunderna kan kräva att bolagen ska skicka till några nya robotrådgivare och apputvecklare, som snart kommer att försöka tjäna pengar på att samla på sig information om kunderna. Men Daniel Erikssons bedömningar bygger i stor utsträckning på en legal tolkning av GDPR-direktivet. Visst kan man klänga sig fast vid paragraferna och vägra att befatta sig med fullmakter, men frågan är om det är en uthållig strategi.
DIGITALA RÅD
Enligt Mikael Elf borde det vara en "enkel grej" att se till att alla de personliga uppgifter som kunder har rätt att ta del av också kan skickas vidare till någon som vill bistå med att sammanställa informationen och ge digitala råd via till exempel en app. Då har man ett betydligt bredare underlag än det man får ut ur en vanlig fullmakt.
- Om en kund kan få alla data från bolagen kan de ju också välja att skicka den vidare till någon som vill hjälpa dem. Det går att skapa bryggor för att datan ska kunna behandlas och sammanställas och resultera i tydlig information till kund, säger Mikael Elf. Även Anders Lundström, vd för Minpension.se, ser att framtiden kommer att innebära att den information som finns lagrad om oss kommer att komma ut i större utsträckning än i dag.
- Data kommer att finnas mera öppet och tillgängligt för individerna eftersom lagstiftningen nu gör det tydligare att de har rätt till den, även i maskinläsbart skick. Till det kommer att det finns tekniska möjligheter att behandla dem effektivt, säger han och gissar att den nya blockchaintekniken kommer att kunna bli användbar. Den skapar ju möjligheter att kunderna på ett säkert sätt lagra sina egna uppgifter i molnet, med inbyggda säkerhetslösningar, och kan fatta egna beslut om att släppa in någon som får titta på uppgifterna.
- Då skulle alla data om en individs finansiella liv kunna finnas i block-kedjan och individen skulle då kunna välja att öppna för att släppa den ifrån sig under en begränsad period och bidra till sammanställningar. Än så länge finns det inga sådana lösningar som jag sett, men de kommer. Det är något vi i branschen kommer behöva förhålla oss till då både lagstiftning, ny teknik och nya aktörer driver utvecklingen framåt i snabb takt, säger han och tillägger:
- Det största hindret idag är att blockkedjor är en relativt ny teknik som därför är dyr, men jag är övertygad om att flertalet nya fintechbolag kommer att driva utvecklingen och även testa gränserna för den nya lagstiftningen, säger han.
LAGRA I BLOCKKEDJAN
I framtidsscenariot ligger alltså att alla, med en enorm journalistisk förenkling, kan göra en facebookliknande profil över sin totalekonomi med lån, sparande, försäkringar och finansiella tillgångar och lagra den i blockkedjan. Den som vill låta andra titta och komma med förslag på lösningar kan då bjudas in och titta på informationen - under en
begränsad tid. Kunden kan när som helst avsluta snokandet och stänga av rådgivaren som "vän". Hittills har vi bara ägnat oss åt vad kunderna har eller inte har rätt att begära fram från finansmarknadens aktörer och hur dyrt det kan bli för dessa att inte leverera. En helt annan fråga är hur bolagen ska klara av att skicka alla uppgifter som kunderna begär ut från system som i vissa fall blev till strax efter andra världskrigets slut. Visst, reglerna kräver inte att bolagen lämnar ut data i digital form till kunderna när det handlar om personliga uppgifter, men om man ser saken ut bolagens perspektiv -
vill de slippa det? I en digitaliserad värld är det svårt att tänka sig att försäkringsbolag och banker - och alla andra som samlar in uppgifter om sina kunder - ska satsa stort på att köpa in kopiatorer för att kopiera de papper de har lagrat i arkiven och skicka ut dem i brev via PostNord. På Skandia pågår just nu ett stort projekt där många olika enheter och intressen är inblandade. Allt för att kunna möta de krav som ställs i och med den nya dataskyddsförordningen.
- Vi håller på med en större utredning om det här och för oss handlar det mycket om vad vi ska skicka ut till kunder som begär information och hur vi sparar och skickar information på ett säkert sätt. Och om de krav som vi får på oss om vilka uppgifter som vi ska spara och vilka som vi måste gallra. Informationen finns i olika system och är de inte relevanta så ska de gallras. Men på risksidan ser vi att vi måste ha kvar kunduppgifter länge, eftersom skador kan dyka upp sent, säger Anna-Carin Söderblom Agius, COO på Skandia, till Pensionsnyheterna. Hon tror att det, för bolag som Skandia som varit med länge, kan bli en lång resa. De handlar ju inte bara om vilka uppgifter som man måste göra tillgängliga för kunderna, utan även vilka de inte har rätt till. Till det kommer uppgifts- och lagringskrav som gäller i andra regelverk som styr försäkringsverksamheten. Här kan GDPR till exempel hamna i konflikt med försäkringsavtalslagen eller penningtvättsreglerna, när man avgör vad som ska gallras och vad man måste spara och det är något som vi inte riktigt är klara över i dagsläget, säger hon.
TRANSPARENS
Kort sagt, det är långtifrån klart vad som kommer att gälla i framtiden när kunder i större utsträckning än hittills ska få del av de digitala uppgifter och analoga spår som de satt i tusentals system i de företag och verksamheter de deltagit i, eller varit kunder hos. Men en sak är klar. Den nya förordningen ska bli mer transparent för kunderna och det går inte att värja sig för dem som sitter på informationen. Eller de böter som är förenade med att inte följa förordningen. Och, om någon missat det, det ska funka i maj 2018.
PN Analys nr 7 2017
Att tro att den här förändringen kommer att få Andersson, Pettersson och Lundström och jag att begära utdrag om oss själva från försäkringsbolagen är knappast troligt. Men för den som vill ta sig in bakom försäkringsbolagens brandväggar och hjälpa sina kunder med råd och dåd kan det här bli en riktig gamechanger som skulle kunna skaka om försäkringsbranschen rejält. Om man tänker lite längre - varför skulle någon bekymra sig om traditionella fullmakter om alla med hjälp av bank-ID kan skaffa alla uppgifter utan att blanda in utomstående?
MODERNISERA PUL
Här ska inte avhandlas alla delar av det omfattande EU-direktivet men i grunden syftar det till att modernisera den nuvarande lagregleringen i PUL, personuppgiftslagen. GDPR-förordningen har kommit till för att modernisera det befintliga regelverket för att skydda privatpersoner mot de hot som globaliseringen och den tekniska utvecklingen medför där buzzworden "Big Data" och "The Internet of Things" ofta förekommer. I och med att det är en EU-förordning innebär det att lagstiftningen i EU-länderna blir gemensam och all behandling som görs på mark inom EU ska följa
samma lagstiftning. De kommande reglerna förtydligar ansvaret för den som behandlar personuppgifter. Till det kommer närmast drakoniska böter för den som skulle bryta mot reglerna. I förordningen läggs stort fokus på konsumenterna, alltså alla vi som på något sätt finns registrerade hos något företag och där vi ska ha rätt att ta del av uppgifterna. Till det kommer att vi även ska ha "the right to be forgotten", alltså att aktörer inte får lagra och behandla personuppgifter mot privatpersoners vilja, om det inte behövs av andra skäl, såsom att uppfylla ingångna avtal eller att det bestämts i lag.
GIGANTISKA DATABASER
Det är grunden för lagstiftningen som i mångt och mycket försöker adressera de stora tech-jättarna Google, Apple, Facebook som redan i dag har byggt upp gigantiska databaser om oss och vi självmant har valt att ge dem uppgifter om vad vi gillar att göra och vad vi tycker om att köpa.
- Förordningen tar sikte på de stora jättarna som omsätter hundratals miljarder och det är också därför som bötesbeloppen är så höga i lagstiftningen. Det är dem man är ute efter med maxbeloppen, berättar Sara Malmgren, avdokat på Foyen, för Pensionsnyheterna. Om vi skulle se den nya lagstiftningen bara utifrån försäkringsbranschens perspektiv innebär den att det finns ett antal hemläxor att göra. Helst igår eftersom förordningen gäller så snart som från och med maj 2018.
- Förordningen kommer att ge försäkringsbolagens kunder möjlighet att begära ut alla uppgifter som rör dem personligen. Till det kommer portabilitetsprincipen som innebär att du som individ också kan bestämma till vem som uppgifterna ska skickas. Det behöver alltså inte vara till dig personligen, säger Lena Friman-Blomgren, jurist på branschorganisationen Svensk Försäkring, till Pensionsnyheterna.
INTE SÅ ENKELT
Hon poängterar dock att det bara är uppgifter som man själv lämnat till ett försäkringsbolag som man kan få ta del av och skicka vidare till någon annan. Då handlar det till exempel om namn, adress, personnummer och skador som man kan få ut. Så långt låter det som att det är uppgifter som man redan borde ha hygglig koll på som kund. Men riktigt så enkelt är det inte, enligt Sara Malmgren.
- Det är två olika artiklar som reglerar vilka uppgifter som man kan tvingas att lämna ut. Det som rör portabiliteten, alltså möjligheten att få de egna uppgifterna skickade till någon annan, finns i direktivets artikel 20 och då är det främst uppgifter som man själv lämnat och som inte "bearbetats" av bolaget i någon form, säger hon och fortsätter:
- Däremot är kravet på de uppgifter som man har rätt att själv ta del av betydligt mer omfattande. Då har man rätt att ta del av även uppgifter som till exempel ett försäkringsbolag bearbetat och lagrat om dig. Det är bara om det rör känsliga personuppgifter, till exempel om sjukdomar eller, faktiskt, löneuppgifter som kan vara integritetskränkande och ett bolag därför inte behöver lämna ut, säger Sara Malmgren. Hon tillägger att man kan ha möjlighet till att uppgifter lämnas ut genom att ge sitt samtycke, även om det även här finns begränsningar som tillsynsmyndigheten, Datainspektionen, kan ingripa mot. Men i praktiken gäller att all information som lagrats ska kunna göras tillgänglig för individer som begär att ta del av dem. Det ska sägas att den rätten har funnits även i personuppgiftslagen men den tillkom i ett läge när världen ännu inte hört talas om vare sig Big Data, Molnet eller fintech. Då levde branschen dessutom gott på provisioner och kickbacks, något som annan lagstiftning nu kommer att försvåra och begränsa.
UNDERSKATTADE EFFEKTER
GDPR har fått Mikael Elf, vd på Försäkringsfabriken, att fundera. Naturligtvis med sikte på den egna affären, hans företag utvecklar ju olika system och IT-lösningar för försäkringsbranschen och han ser rika möjligheter till nya uppdrag i och med den kommande lagstiftningen. Han tror dock att försäkringsbolagen har underskattat effekterna av den baksmälla som kan drabba försäkringsbranschen om det kommer nya entreprenörer som blandar grogg på GDPR och den nya fintechtekniken.
- Jag tror inte att det finns något bolag som riktigt har förstått vilken genomgripande förändring det här är och vilka effekter det kan få. Om man bara tänker på appen Tink, som redan i dag har möjlighet att tanka uppgifter från bankerna och visa kunderna sina saldon och göra det möjligt att byta mellan konton i olika banker, så är det bara början, säger han och fortsätter:
- Det kan ju ge kunderna möjlighet att få bättre ränta genom att byta bank för sparkonton. Snart kan man även hjälpa till med att genomföra flytt av bolån elektroniskt. Om man inser det förstår man vad man kan åstadkomma med smart fintech. Det tror jag inte många försäkringsbolag har tänkt på. Han indikerar att flytt av försäkringar och förbättrade kundvillkor med lägre avgifter är något som kan få kunderna att vilja bli mer aktiva om det blir lätt, användarvänligt och transparent.
DEFENSIV INSTÄLLNING
De som defensivt hävdar att GDPR bara är en förlängning av nuvarande lagstiftning i personuppgiftslagen, PUL, och att det därför inte handlar om några stora förändringar råder han att tänka ett varv till och säger:
- GDPR ska bli vassare, sätta individens rätt högre på agendan. Lagen gör tydligt att det är individen som äger sin data. Han eller hon ska kunna upplåta information om sig själv till olika aktörer för att kunna få tillgång till tjänster/ och produkter. Man ska inte få tjäna pengar på att samla och uppfinna data om en individ i hemliga rum. I detta läge ska man nog tro att dagens PUL-texter kommer att bli vassare med GDPR, säger han.
BÄTTRE ÄN FULLMAKTER
Han säger att en "Tink" för försäkringsbranschen skulle kunna ge nya aktörer en enorm massa information om sina kunder, som via appen bestämmer sig för att dela information med till exempel en flyttjänst eller en rådgivning för pensionsplanering. Dessa får då ett betydligt bättre underlag än vad till exempel en "vanlig" försäkringsförmedlare kan få ut genom en traditionell fullmakt.
- Jag tror helt enkelt att GDPR kommer att göra hela fullmaktskollen obsolet. Varför ska man via fullmakter ta del av informationen om datauppgifterna redan går att plocka ut med stöd av den nya dataskyddsförordningen enligt GDPR, säger han. Daniel Eriksson, tidigare produktdirektör på Folksam och därefter sparbanksdirektör, tror dock inte att GDPR kommer att innebära att kunderna kommer att efterfråga information från försäkringsbolagen på bred front. Och redan i dag har kunder rätt enligt PUL att efterfråga sina uppgifter, något som de inte gör i någon större utsträckning.
- Däremot finns det gott om sådana som försöker flytta försäkringar, någon gång för att det också gynnar kunden. Exemplet från Tink, där bankerna går med på att man ska kunna flytta bolån och sparkonton, innebär bara att bankerna tror att de kan få in mer än de tvingas lämna ifrån sig. De har frivilligt gått med på att dela med sig av kunduppgifterna för att de vill. Inte för att de måste, säger han. Och han fruktar att utvecklingen kan leda till att kunderna hamnar i underläge, alltså tvärtemot det man tänkt med den nya transparensen som ska följa av de nya regelverken.
- Det kan bli lika illa som flyttmarknaden på försäkringsområdet där andra än kunderna vill flytta försäkringarna. AMF, KPA och Finansinspektionen visar i sina undersökningar att en majoritet av kunderna inte ens vet om att de har flyttat sina försäkringar. Och av de som vet om att de flyttat, vet en majoritet inte om varför det var bra. Det är allvarligt, säger han, som varit en av dem som under Folksamtiden höll emot och vägrade att acceptera fullmakter utan istället valde att kommunicera direkt med kunderna. Han passar också på att förtydliga att en fullmakt inte är något som tvingar ett bolag att lämna ut information till rådgivare.
- Många har missuppfattat hur en fullmakt fungerar. Det finns ingen skyldighet i lagen att acceptera en fullmakt. Däremot ger en kunds fullmakt till ett ombud ett försäkringsbolag rätt att göra det som fullmakten gäller. Men det är försäkringsbolagets val och inte ett tvång. Det är en väldig skillnad, påpekar han. Han tror inte heller att GDPR kommer att leda till någon större förändring och att kunder kommer att börja begära ut uppgifter om sina finansiella liv. Detta för att kunder, enligt förordningen, bara har rätt att begära att uppgifter som de själva lämnat till bolagen, ska skickas vidare till någon extern part. Behandlad information, alltså de delar som bolagen "bearbetat" i någon form, är inte något som kunderna kan kräva att bolagen ska skicka till några nya robotrådgivare och apputvecklare, som snart kommer att försöka tjäna pengar på att samla på sig information om kunderna. Men Daniel Erikssons bedömningar bygger i stor utsträckning på en legal tolkning av GDPR-direktivet. Visst kan man klänga sig fast vid paragraferna och vägra att befatta sig med fullmakter, men frågan är om det är en uthållig strategi.
DIGITALA RÅD
Enligt Mikael Elf borde det vara en "enkel grej" att se till att alla de personliga uppgifter som kunder har rätt att ta del av också kan skickas vidare till någon som vill bistå med att sammanställa informationen och ge digitala råd via till exempel en app. Då har man ett betydligt bredare underlag än det man får ut ur en vanlig fullmakt.
- Om en kund kan få alla data från bolagen kan de ju också välja att skicka den vidare till någon som vill hjälpa dem. Det går att skapa bryggor för att datan ska kunna behandlas och sammanställas och resultera i tydlig information till kund, säger Mikael Elf. Även Anders Lundström, vd för Minpension.se, ser att framtiden kommer att innebära att den information som finns lagrad om oss kommer att komma ut i större utsträckning än i dag.
- Data kommer att finnas mera öppet och tillgängligt för individerna eftersom lagstiftningen nu gör det tydligare att de har rätt till den, även i maskinläsbart skick. Till det kommer att det finns tekniska möjligheter att behandla dem effektivt, säger han och gissar att den nya blockchaintekniken kommer att kunna bli användbar. Den skapar ju möjligheter att kunderna på ett säkert sätt lagra sina egna uppgifter i molnet, med inbyggda säkerhetslösningar, och kan fatta egna beslut om att släppa in någon som får titta på uppgifterna.
- Då skulle alla data om en individs finansiella liv kunna finnas i block-kedjan och individen skulle då kunna välja att öppna för att släppa den ifrån sig under en begränsad period och bidra till sammanställningar. Än så länge finns det inga sådana lösningar som jag sett, men de kommer. Det är något vi i branschen kommer behöva förhålla oss till då både lagstiftning, ny teknik och nya aktörer driver utvecklingen framåt i snabb takt, säger han och tillägger:
- Det största hindret idag är att blockkedjor är en relativt ny teknik som därför är dyr, men jag är övertygad om att flertalet nya fintechbolag kommer att driva utvecklingen och även testa gränserna för den nya lagstiftningen, säger han.
LAGRA I BLOCKKEDJAN
I framtidsscenariot ligger alltså att alla, med en enorm journalistisk förenkling, kan göra en facebookliknande profil över sin totalekonomi med lån, sparande, försäkringar och finansiella tillgångar och lagra den i blockkedjan. Den som vill låta andra titta och komma med förslag på lösningar kan då bjudas in och titta på informationen - under en
begränsad tid. Kunden kan när som helst avsluta snokandet och stänga av rådgivaren som "vän". Hittills har vi bara ägnat oss åt vad kunderna har eller inte har rätt att begära fram från finansmarknadens aktörer och hur dyrt det kan bli för dessa att inte leverera. En helt annan fråga är hur bolagen ska klara av att skicka alla uppgifter som kunderna begär ut från system som i vissa fall blev till strax efter andra världskrigets slut. Visst, reglerna kräver inte att bolagen lämnar ut data i digital form till kunderna när det handlar om personliga uppgifter, men om man ser saken ut bolagens perspektiv -
vill de slippa det? I en digitaliserad värld är det svårt att tänka sig att försäkringsbolag och banker - och alla andra som samlar in uppgifter om sina kunder - ska satsa stort på att köpa in kopiatorer för att kopiera de papper de har lagrat i arkiven och skicka ut dem i brev via PostNord. På Skandia pågår just nu ett stort projekt där många olika enheter och intressen är inblandade. Allt för att kunna möta de krav som ställs i och med den nya dataskyddsförordningen.
- Vi håller på med en större utredning om det här och för oss handlar det mycket om vad vi ska skicka ut till kunder som begär information och hur vi sparar och skickar information på ett säkert sätt. Och om de krav som vi får på oss om vilka uppgifter som vi ska spara och vilka som vi måste gallra. Informationen finns i olika system och är de inte relevanta så ska de gallras. Men på risksidan ser vi att vi måste ha kvar kunduppgifter länge, eftersom skador kan dyka upp sent, säger Anna-Carin Söderblom Agius, COO på Skandia, till Pensionsnyheterna. Hon tror att det, för bolag som Skandia som varit med länge, kan bli en lång resa. De handlar ju inte bara om vilka uppgifter som man måste göra tillgängliga för kunderna, utan även vilka de inte har rätt till. Till det kommer uppgifts- och lagringskrav som gäller i andra regelverk som styr försäkringsverksamheten. Här kan GDPR till exempel hamna i konflikt med försäkringsavtalslagen eller penningtvättsreglerna, när man avgör vad som ska gallras och vad man måste spara och det är något som vi inte riktigt är klara över i dagsläget, säger hon.
TRANSPARENS
Kort sagt, det är långtifrån klart vad som kommer att gälla i framtiden när kunder i större utsträckning än hittills ska få del av de digitala uppgifter och analoga spår som de satt i tusentals system i de företag och verksamheter de deltagit i, eller varit kunder hos. Men en sak är klar. Den nya förordningen ska bli mer transparent för kunderna och det går inte att värja sig för dem som sitter på informationen. Eller de böter som är förenade med att inte följa förordningen. Och, om någon missat det, det ska funka i maj 2018.
PN Analys nr 7 2017
Pensionsnyheterna i Sverige AB
Rapsgatan 1
118 61 Stockholm
info@pensionsnyheterna.se
www.pensionsnyheterna.se
Orgnr: 559339-5907
118 61 Stockholm
info@pensionsnyheterna.se
www.pensionsnyheterna.se
Orgnr: 559339-5907