Markedsføring og personvern

SpareBank 1 SMN forplikter seg til å ta hensyn til mennesker, miljø og samfunn utover det finansmarkedslovgivningen pålegger.


Ansvarlig markedsføring av produkter og tjenester

Godt bankhåndverk innebærer at SpareBank 1 SMN opplyser kunden om hvordan man best innretter seg etter de finansielle produktene som er tilgjengelig. Banken går derfor aktivt ut og fronter viktige temaer knyttet til ansvarlig markedsføring av bankens produkter.

Det er SpareBank 1 SMNs strategi å belyse utfordringer knyttet til markedsføring. Dette gir nyttige diskusjoner og bidrar til forbedringer. Et eksempel her kan være bankens arbeid med god rådgiving rundt bruk av personlig kreditt og ansvarlige utlånspraksis, som banken i 2016 mottok Forbrukerrådets rose for.

SpareBank 1 SMNs produkter og tjenester samt materiale for merking og markedsføring, utvikles sentralt i SpareBank 1-alliansen. Spare- og plasseringsutvalget i SpareBank 1-alliansen gjør en kvalitetsvurdering av merking og markedsføring for banken. Bankens markedsavdeling har det overordnede ansvaret for ansvarlig markedsføring. Banken har klageordning lett tilgjengelig for kundene på nett, gjennom et fast telefonnummer og til finansklagenemda. Banken har ikke mottatt klager på merking av produkter og tjenester. Banken hadde i 2018 ett tilfelle av brudd på personopplysningssikkerhet i forbindelse med markedsføring av et arrangement. (GRI 417-2)

Før banken lanserer eller distribuerer produkter er de gjenstand for en omfattende konsekvensvurdering for målgruppen til produktet. Banken foretar en systematisk risikovurdering hvor banken innhenter uavhengige vurderinger knyttet til jus, etikk og forståelighet for målgruppen.


Personvern og informasjonssikkerhet

Banken er avhengig av tillit fra kunder, tilsynsmyndigheter, eiere og andre interessenter. Gjennom bankens tjenester forvaltes store mengder persondata, og dette stiller store krav til bankens håndtering av kundeinformasjon og ivaretakelse av sentrale personvernprinsipper.

Ny personopplysningslov som implementerer personvernforordningen (GDPR), trådte i kraft 20. juli 2018. Arbeidet med etterlevelse av personopplysningsreglene har fortsatt inn i 2018.  Banken har blant annet laget malverk til understøttelse av gjennomføring av krav i personopplysningsloven. Egen mal for risikovurdering av personvernkonsekvenser (DPIA) er laget gjennom SpareBank 1-alliansen. Ny personvernerklæring er i 2018 publisert på bankens nettsider.

Banken har arbeidet med digitaliseringstiltak i 2018. Samtidig som banken anerkjenner behovet for å digitalisere og forenkle flere tjenester, er det helt nødvendig å ivareta personvern og informasjonssikkerhet.

Banken rapporterte sju tilfeller av brudd på personopplysningssikkerheten til Datatilsynet i 2018. Målet for 2019 er å fortsette arbeidet med opplæring samt etablere gode sletterutiner og arbeide videre med innebygd personvern i våre systemer.

Banken forvalter store mengder kundeinformasjon, og for banken handler personvern om å sikre nødvendig konfidensialitet, integritet og tilgjengelighet til alle personopplysninger som eies, behandles eller forvaltes av banken. Informasjonsmengden og mulighetene for bruk og misbruk øker stadig. Tilliten vi som bank er avhengig av - fra kunder, tilsynsmyndigheter og andre interessenter - vil i stadig større grad hvile på at kundedataen våre forvaltes på en trygg måte. I banken har vi derfor beskrevet bankens forpliktelser i detalj og offentliggjort forpliktelsene for bankens interessenter her: https://www.sparebank1.no/nb/smn/om-oss/personvern.html

Videre har banken egen policy og overordnede retningslinjer for personvern. Retningslinjene hjelper banken å følge opp kravene om behandling av personopplysninger, både i lys av i dagens personvernlovgivning, men også i EUs nye personvernforordning GDPR, som trådte i kraft i mai 2018. Retningslinjene beskriver hvordan banken behandler personopplysninger, roller og ansvar innenfor personvern samt hvordan nødvendig dokumentasjon er tilgjengelig og oppdatert.

Banken ferdigstilte fase to i Prosjekt personopplysningsloven i 2017. Prosjektet forbedret etterlevelse av lovkrav. Gjennom prosjektet etablerte banken tydeligere rolle- og ansvarsbeskrivelser. I tillegg fikk banken på plass et mer robust internkontrollsystem med avvikshåndtering, kontroll- og oppfølgingsaktiviteter som gjør oss i stand til å forbedre våre styringssystem over tid.

Banken har utpekt et personvernombud som skal bistå konsernsjefen i arbeidet med å ivareta krav til behandling av personopplysninger. Personvernombudet fungerer som faglig rådgiver, og har ansvar knyttet til blant annet kontroll av etterlevelse, håndtering av avvik, risikovurdering samt meldinger til Datatilsynet ved eventuell uautorisert utlevering av personopplysninger.

Banken rapporterte ett tilfelle av brudd på behandling av personopplysninger til Datatilsynet i 2018. I tillegg har banken meldt inn ett tilfelle av utkontraktering til skytjeneste til Finanstilsynet. Banken har ikke mottatt klager på personvernbrudd. (GRI 418-1)

I 2018 er det gjennomført opplæring på ulike nivåer i organisasjonen, både gjennom e-læring og klasseromsundervisning. Vi vil fortsette arbeidet med å tette identifiserte gap samt sikre involvering, forankring og opplæring i organisasjonen. I tillegg jobbes det videre mot innføringen av GDPR både i banken og i SpareBank 1-alliansen. Datterselskapene gjennomfører også personvernprosjekt i 2018.

Informasjonssikkerhet

Utvikling av sikkerhetsarkitektur og løsninger tilpasset en mer åpen forretningsmodell er utfordringer som hele finansnæringen står overfor. SpareBank 1 SMN deltar derfor i alliansens felles sikkerhetsstrategiarbeid for å adressere og ivareta de endringene denne utviklingen medfører.

Bransjeutvikling kombinert med akselererende teknologisk utvikling gir nye trusler og sikkerhetsutfordringer. SpareBank 1 er opptatt av sikkerhet, høy driftskontinuitet og sikre tjenester for kundene. Det er tatt grep for å styrke kapasitet, robusthet og videreutvikling innen utvalgte områder, spesielt innen områdene informasjonssikkerhet med hensyn til åpen bankfront, samt samordning og sikring av skytjenester.

Policy for Informasjonssikkerhet i SpareBank 1-alliansen er det grunnleggende styringsdokumentet for all behandling av informasjon i alliansen, og den bygger på alliansens overordnede sikkerhetspolicy. Banken har en egen policy for utkontraktering av IT-tjenester samt en felles sikkerhetsstrategi som gjelder for hele alliansen. Viktige avgjørelser, som utkontrakteringer skal også styrebehandles. Avdeling for operativ informasjonssikkerhet i SpareBank 1-alliansen leverer SpareBank 1 SMNs tekniske løsninger, inkludert kontinuerlig overvåking av bankens systemer.

IKT-forskriften er førende for arbeidet som gjøres innenfor informasjonssikkerhet og oppfølging av IKT-området. SpareBank 1 SMN revideres jevnlig av båre intern og eksternrevisjon opp i mot forhold regulert i IKT-forskriften.

SpareBank 1 SMN har etablert en rekke tekniske sikringstiltak for informasjonssikkerhet, opplæring og bevisstgjøring står sentralt. Bankens kompetanse- og holdningsprogram for informasjonssikkerhet Passopp styrker sikkerhetskulturen i hele organisasjonen har pågått i 2018 og fortsetter også i 2019. Basert på internundersøkelser gjør banken analyser og prioriterer hvilke områder som skal være fokus i holdningsprogrammet.

Banken ønsker å bidra til at kundene opptrer trygt og lærer om informasjonssikkerhet. På smn.no finner kundene tips og råd for sikker bruk av banken.