DATADELING
Åpner for mer datadeling enn dagens praksis: – I hvert fall mellom banker
Bransjeaktørene som har vært involvert i sandkasseprosjektet til Data- og Finanstilsynet er klare på at finansbransjen kan dele mer data når det kommer til bedrageribekjempelse.
Publisert
Fredag formiddag presenterte Datatilsynet, Finanstilsynet og alle aktørene involvert i sandkasseprosjektet om økonomisk kriminalitet sine rapporter. Det var en samstemt gjeng, både bransjen og tilsynene, i at sandkasseprosjektene var en suksess.
Et av prosjektene gikk ut på å vurdere informasjonsdeling på tvers av bransjen, for å bekjempe betalingsbedrageri. Dette var det DNB, Sparebank 1, Nordea, Eika og Norsk Regnesentral som sto bak.
– Sandkassearbeidet har vært en positiv erfaring fra vår side. Arbeidet har hjulpet oss med å avdekke at det er et større mulighetsrom for å dele informasjon enn det vi gjør i dag, i hvert fall mellom banker, sier innovasjonsmanager Kristina Daae Smedsvig i DNB til BankShift.
Tilsynene deltok
Hun forklarer at begge tilsynene har trådt til med deltakere som har vært nysgjerrige og lyttet til bransjens utfordringer, og søkt å forstå utfordringene og være løsningsorienterte.
– Arbeidet har bidratt til en felles forståelse av muligheter og begrensninger for datadeling. Høringsnotatet utarbeidet av Finanstilsynet om forslag til endringer i lover og regelverk viser at de innspill vi har gitt gjennom sandkassen har blitt lyttet til og det er vi veldig glade for, sier Smedsvig.
Hun peker på at det nå pågår en lovgivningsprosess for å tilrettelegge for økt informasjonsdeling, blant annet hvor man ser på å åpne for mer deling med politi og e-komtilbydere, når visse vilkår blir oppfylt. Det er noe DNB er positive til, og Smedsvig forteller at banken har kommet med høringsinnspill.
Men som Smedsvig peker på, er det fortsatt enkelte vilkår som må enten tydeliggjøres, eller endres i dagens lovverk. Men at finansforetaksloven gir spillerom.
– Finansforetak er blant annet underlagt taushetsplikt. Det er derfor ikke fritt frem å dele opplysninger. Hva gjelder deling for motvirke betalingsbedragerier så har vi mulighet til å dele etter en bestemmelse i finansforetaksloven. Denne innebærer at det er mulig å samle inn, behandle og utveksle transaksjonsopplysninger og annen betalingsinformasjon når dette er nødvendig for å forebygge, etterforske eller avdekke betalingsbedragerier. I tillegg må delingen ha tilstrekkelig grunnlag for å dele etter personopplysningsregelverket, sier hun.
En delingshub
I rapporten fra prosjektet, og på scenen under fredagens presentasjon, går man i lang vei og utnevner Nordic Financial CERT som den fremtidige “huben” for informasjonsdeling på tvers av bransjen. Samtidig ser aktørene i prosjektet at man allerede i dag kan starte med mer deling i en en-til-en form i bransjen.
Og da kommer spørsmålet om en hub skal behandle og dele informasjon, om huben skal sitte på behandlingsansvaret, eller om det er bedre at foretakene har et selvstendig behandlingsansvar?
– I den utstrekning flere aktører deler opplysninger i en hub, kan det fremstå naturlig å legge til grunn et felles behandlingsansvar for håndteringen av data i den aktuelle huben. Det viktigste er samtidig at dette, uavhengig av rolleallokering, skjer på en betryggende og god måte, sier Smedsvig, før hun deler sitt forslag:
– DNB er en aktiv bidragsyter inn i Nordic Financial CERT og ønsker at den informasjonen som kan deles sentralisert blir delt gjennom en hub. Dette vil gi en effektiv integrasjon og sette alle finansinstitusjonene i lik stand til å bekjempe kriminalitet på et stort datagrunnlag. Videre blir det ett integrasjonspunkt for andre samarbeidsaktører, som for eksempel offentlige myndigheter og teletilbydere. En felles hub er ikke til hinder for at man som et tilskudd i enkelte saker har bilateral kontakt. Dette har vist seg å kunne gi god og rask effekt. De foreslåtte regelverksendringene åpner for begge, og vi har to tanker i hodet samtidig for å få til å bekjempe så mye kriminalitet som mulig.
Står i siloer mot de kriminelle
Presentasjonen startet da med den underliggende utfordringen i bransjen, som at finansbransjen er delt inn i siloer, når det kommer til arbeidet mot kriminalitet, ettersom aktørene står hver for seg i kampen mot de kriminelle. Det er også tilfelle slik Smedsvig ser det.
– De kriminelle kan angripe kundene over telefon, internett eller lure til seg kortnummer eller BankID. Disse tjenestene leveres av ulike tilbydere og de kriminelle tjener på at vi ikke samarbeider om å forhindre kriminaliteten. Med økt mulighet for deling kan vi aktivere hele verdikjeden i bedrageriforebyggende arbeid til det beste for samfunnet, sier hun.
Finanstilsynet, representert av seksjonsleder Anne-Kari Tuv, forklarte fra scenen at GDPR i mindre grad hindrer informasjonsdeling enn hva man kanskje tidligere hadde trodd, og at uklare regulatoriske rammer er trukket frem som hindring. Og at kargjøring og forenkling dermed har vært et fokus. I tillegg har Finanstilsynet i dag foreslått å slå sammen to spredte regler i finansforetaksloven, slik at den nye hjemlen blir tydeligere, og åpner for mer deling av informasjon.
Uvant med ros
Aktørene på scenen takket stort for at Data- og Finanstilsynene hadde satt igang et slikt sandkasseprosjekt, og håpet på mer samarbeid og slike muligheter også i fremtiden. Og skal man tolke avdelingsdirektør for risikoovervåkning og makrotilsyn i Finanstilsynet, Knut Haugan, kan det ha gitt mersmak også for tilsynene.
– Det er ikke alltid vi får positiv omtale og gode tilbakemeldinger, så det er hyggelig å høre det som blir sagt her i dag, sa Haugan med et smil.
Se også:
