Nyheter

It-attacker – vanlig orsak vid personuppgiftsincidenter

I veckan publicerade Datainspektionen rapporten Personuppgiftsincidenter som beror på antagonistiska angrepp 2019. Rapporten är en del av Datainspektionens rapportserie där olika delar av ärendeflödet till myndigheten beskrivs. I rapporten framgår det att det under 2019 inkom knappt 4 800 anmälningar om personuppgiftsincidenter varav 13 procent uppgavs bero på it-angrepp. En stor andel av angreppen berodde på breda nätattacker utan specifika mottagare. En femtedel av alla angrepp anmäldes från detaljhandeln och lite mer än en tiondel anmäldes av industrisektorn. Datainspektionen tror dock att det finns ett stort mörkertal. Dels på grund av att incidenter inte upptäcks (ofta är syftet med it-angrepp att obemärkt ta sig in i it-system), dels att incidenter inte anmäls.

It-angrepp har till syfte att få tillgång till information som t.ex. kan användas för ekonomisk vinning eller för att få kunskap om utvecklings- och affärsplaner. Ett vanligt angreppssätt är phishing – utskick av mejl med uppmaning att t.ex. trycka på en länk som ger angriparna tillgång till olika typer av uppgifter.  

I rapporten framgår även Datainspektionens generella rekommendationer i dessa hänseenden. Framförallt behöver verksamheter ha välfungerande organisatoriska skyddsåtgärder för att undvika it-angrepp. Skyddsåtgärder är t.ex. att utbilda medarbetarna i angriparnas metoder och tillvägagångssätt samt de risker angreppen kan resultera i. Det är även av vikt att förstärka säkerheten kring e-posthantering med innehåll av personuppgifter. Avslutningsvis poängterade Datainspektionen vikten av användandet av tekniska åtgärder som bl.a. säkerhetsuppdateringar, flerfaktorsautentisering, kryptering och virusprogram.

Finansinspektionen aviserar enkäter om cyberrisker, hållbarhet och flytträtt

Finansinspektionen (FI) aviserade igår att myndigheten planerar tre kommande enkäter till försäkringsföretag. Redan i juni planeras ett utskick av en enkät om den utökade flytträtten. Enkäten omfattar samtliga livförsäkringsföretag med fond- och depåförsäkring och grundar sig på ett regeringsuppdrag. Enligt uppdraget ska FI utreda konsekvenserna av att ytterligare utvidga flytträtten och göra det möjligt för konsumenterna att även flytta fond- och depåförsäkringar tecknade före 2007. I uppdraget till FI vill regeringen utreda hur många försäkringsavtal som inte omfattas av flytträtt. I uppdraget ingår även att utreda hur stort kapital som ligger i försäkringarna i fråga och hur många kunder som har sådana försäkringar. Försäkringsföretagen ska även svara på hur många fribrev berörs och hur många som är under utbetalning. FI ska redovisa uppdraget till regeringen senast den 30 november 2020. Syftet med uppdraget är att kartlägga marknaden och konsekvenserna, innan regeringen bestämmer om man ska gå vidare med en retroaktiv lagstiftning.

Efter sommaren kommer FI att utföra enkäter om hållbarhet och cyberrisker, i den ordningen. Dessa enkäter omfattar samtliga försäkringsföretag. Hållbarhetsfrågor blir ständigt mer aktuella och när vi nu snart har kommit till den andra halvan av 2020 kommer delar av det nya regelkomplexet (t.ex. de nya förordningarna om taxonomi och disclosure) successivt att börja tillämpas. Även cyberrisker är ett ämne som är ständigt aktuell och enkätundersökningen sker två år efter FI-tillsynen om styrning och kontroll av it-verksamheten i försäkringsföretag (FI Dnr 18-9203). Den kommer också i en tid då det pratas mycket om molntjänster och it-säkerhet eftersom EIOPA i februari i år publicerade nya riktlinjer om outsourcing av molntjänster. EIOPA förväntas även publicera riktlinjer om så kallade ICT-risker (Information and Communication Technology) under året.

Finansinspektionens uppföljning av bolags personskadereglering

Finansinspektionen presenterade en promemoria till finansdepartementet den 29 april 2020, Uppföljning av personskadereglering och särskilt den medicinska rådgivningen. Försäkringsbolag har under en längre tid blivit kritiserade för sin personskadereglering, särskilt när det gäller just den medicinska rådgivningen. FI skriver i sin promemoria att missnöjet inte är lika utbrett längre då bolagen vidtagit åtgärder framförallt genom förbättrade rutiner, handläggarstöd och löpande systemutveckling. Försäkringsbolagen påvisar även förbättringar i kundkommunikationen.

FI ser fortsatt positivt på försäkringsbranschens självreglerande åtgärder i personskaderegleringen och särskilt på att branschen har fokuserat på kvalitetssäkrande aktiviteter och kommunikationen med de skadelidande.

Hör av er till oss om ni vill ta del av hela promemorian.

Regeringens översyn av tjänstepensionsregleringen

I går kom den efterlängtade promemorian om tjänstepensionsregleringen som svarar på de fyra tillkännagivanden som riksdagen meddelade i samband med att den nya lagen om tjänstepensionsföretag antogs i höstas. Samtliga tillkännagivanden hanteras i promemorian.

  • Solvensregleringen. Enligt det första tillkännagivandet fick regeringen i uppgift att återkomma med ytterligare förslag när det gäller solvensregleringen. Här konstaterar regeringen att skyddsnivån för det riskkänsliga kapitalkravet inte bör ändras.

    Däremot skrivs det att det inte är givet att ett golv i kapitalkravet för ränterisk är en ändamålsenlig lösning som bör bestå framöver. Där hänvisas till den pågående diskussionen om en översyn av Solvens II-regleringen och att det är lämpligt att återkomma till frågan om ett golv i kapitalkravet för ränterisk när lärdomar kan dras av debatten på EU-nivå.

    Vidare menar regeringen att det riskkänsliga kapitalkravet som avser marknadsrisk ska omfatta en undergrupp för godkända infrastrukturinvesteringar, och att det bör utformas en särreglering för infrastrukturinvesteringar. Särregleringen ska ge incitament att investera i miljömässigt hållbara infrastrukturinvesteringar. Ett exempel som ges i promemorian är att ändra regleringen så att dessa tjänstepensionsföretag bör ta höjd för en nedgång på 20 procent av värdet av investeringen i stället för 25 procent, som gäller idag.
  • Information inom kollektivavtalade tjänstepensionsområden. Det andra tillkännagivandet avser information och en önskan om en ökad avtalsfrihet. Regeringen har tagit hänsyn till detta och i promemorian föreslås att kollektivavtalsparter ska få en betydande avtalsfrihet när det gäller informationsgivning, som inkluderar både pensionsbesked och de informationskrav som gäller enligt distributionsregelverket.
  • Egenföretagares försäkringar. Det tredje tillkännagivandet handlar om möjligheten att inom ramen för tjänstepensionsregleringen och ett tjänstepensionsföretag att meddela försäkringar för egen räkning av egenföretagare. Regeringen har nu valt att utnyttja den möjligheten och i promemorian föreslås att sådana försäkringar ska utgöra en tjänstepensionsförsäkring i lagens mening.
  • Tilläggsförsäkringar. Det fjärde tillkännagivandet rör frågan om tilläggsförsäkringar. Enligt det ursprungliga förslaget utestängdes företag som enbart meddelar tilläggsförsäkringar (till livförsäkringar) i praktiken från det nya regelverket. Regeringen har nu föreslagit anpassningar som innebär att den problematiken undanröjs och i promemorian konstateras att regleringen är i huvudsak ändamålsenlig även för försäkringsklassen tilläggsförsäkringar.

Sammantaget har regeringen i stor utsträckning efterkommit önskemålen i de fyra tillkännagivandena. Om detta står sig och klubbas som lag bör det innebära att många försäkringsbolag som överväger att omvandla sig till ett tjänstepensionsföretag, eller separera verksamheten och starta ett nytt tjänstepensionsföretag, får ytterligare argument för att gå in i det nya regelverket.

Kompass har biträtt Pensionskassan SHB Försäkringsförening med deras anmälan om omvandling

Kompass har biträtt Pensionskassan SHB Försäkringsförening, som är knuten till Handelsbanken, med föreningens ansökan om att omvandlas till en tjänstepensionsförening enligt lagen om tjänstepensionsföretag.

Det nya regelverket för tjänstepensionsföretag är likt det som gäller för försäkringsföretag, med regler om företagsstyrning, centrala funktioner, riskkänsligt kapitalkrav och försäkringsdistribution. De pensionskassor som vill omvandlas till ett tjänstepensionsföretag måste lämna in en ansökan till FI senast i morgon. De pensionskassor som inte ansöker om omvandling kommer att likvideras.