Het is bijna een jaar geleden dat de algemene verordening inzake gegevensbescherming (GDPR) in werking is getreden. Op grond van deze wet zijn bedrijven, waaronder banken, verplicht de gegevens van hun klanten te beschermen. Banken moesten natuurlijk al de vertrouwelijkheid van de klant beschermen, maar nu moeten ze er ook voor zorgen dat zo min mogelijk mensen binnen hun organisatie toegang krijgen tot klantgegevens.
Bedrijven zoals Microsoft worden al onderzocht en het Instituut voor Sociale Zekerheid (UWV) in Nederland dreigt een boete van €150.000 te krijgen als ze hun databeveiligingspraktijken niet voor 31 oktober 2019 verbeteren. Uit een studie van het Kaspersky Lab blijkt dat 31% van de data-inbreuken heeft geleid tot beëindiging van het dienstverband van senior niet-IT-medewerkers.
Net als de Europese Unie lijken ook de Verenigde Staten de normen voor gegevensbescherming strenger te maken. Op 28 juni 2018 heeft Californië de California Consumer Privacy Act (CCPA) aangenomen, een wet die sterk lijkt op de GDPR. Deze wet wordt op 1 januari 2020 van kracht en de verwachting is dat andere staten in de voetsporen van Californië zullen treden.
Een van de richtlijnen van het BBPR is dat gegevens niet alleen moeten worden verzameld omdat ze beschikbaar zijn: het verzamelen van gegevens moet tot een minimum worden beperkt. Het naleven van deze richtlijn is een uitdaging voor de compliance-afdelingen van de banken. In het verleden werden gegevens als een waardevolle bron gezien en de gedachte was: hoe meer gegevens, hoe beter. Ook het verzamelen van geheime gegevens is volgens de nieuwe regel verboden. De complexiteit van de regelgeving is vaak verwarrend voor medewerkers van compliance-afdelingen bij banken, omdat zij de taak hebben om gegevens te verzamelen en zich tegelijkertijd aan de GDPR te houden.
De naleving van de regelgeving ter voorkoming van financiële criminaliteit lijkt in strijd te zijn met de naleving van het BBPR. Toch vormt het niet volledig naleven van beide regels een aanzienlijk risico voor de banken. De boetes voor het niet naleven van de regelgeving ter voorkoming van financiële criminaliteit zijn aanzienlijk, maar de boetes voor het niet naleven van de GDPR zijn niet lager. Om u een idee te geven: de maximale boete voor het niet naleven van de GDPR is 20 miljoen euro of 4% van het totale jaarinkomen van een bank, afhankelijk van wat het hoogste is. Dezelfde boete is ook de sanctie voor het niet melden van gegevensinbreuken aan de autoriteiten binnen de gestelde termijn van 72 uur.
Het is geen verrassing dat banken zich zorgen maken over de naleving van de GDPR, vooral omdat de naleving van de GDPR hun vermogen om fraude te voorkomen en te voldoen aan de rapportagevereisten voor data-inbreuken lijkt te verminderen.
Anonimisering door middel van procesautomatisering
In een van de GDPR-richtlijnen staat dat persoonlijke informatie tijdens de verwerking van de gegevens moet worden geanonimiseerd. Als een bank kan aantonen dat de identiteit van een individu niet kan worden vastgesteld aan de hand van de opgeslagen gegevens, hoeven die gegevens niet te worden bewaard volgens de door de GDPR voorgeschreven privacy-maatregelen.
Om een beveiligingswaarschuwing te beoordelen, moet u de gegevens bekijken die bij de betaling zijn gevoegd die de waarschuwing heeft gegenereerd. Maar u hoeft geen toegang te hebben tot informatie die geen waarschuwingen genereert, zodat de gegevens - een aanzienlijke behoefte - niet worden opgeslagen in overeenstemming met de GDPR-regels. Als u gebruik kunt maken van machine learning om het aantal valse positieve waarschuwingen die door uw systeem worden gegenereerd te verminderen, kunt u ook de hoeveelheid gegevens in uw systeem die onder de GDPR-regelgeving vallen, verminderen.
Om dit beter te begrijpen, moet u weten hoe de traditionele transactiebewaking verschilt van de geavanceerde bewaking. Traditionele transactiebewaking is voornamelijk gebaseerd op regels. Dit betekent dat er een waarschuwing wordt gegenereerd wanneer een specifieke betaling in strijd is met een regel. Een regel kan bijvoorbeeld alle betalingen van meer dan €250.000 identificeren. Dergelijke betalingen genereren waarschuwingen, ongeacht of ze al dan niet frauduleus zijn. Waarschuwingen die worden gegenereerd door een geavanceerd transactiemonitoringsysteem zijn echter veel rijker in termen van de informatie die zij verstrekken, aangezien het systeem onder andere rekening kan houden met factoren als het gedrag van een individuele klant en het netwerk.
De onderstaande afbeelding geeft aan hoe de waarschuwingen anoniem worden verwerkt. Aan de linkerkant van het scherm staan vier vragen. Het systeem bepaalt automatisch de antwoorden op deze vragen bij elke betaling die erdoorheen gaat. Het is alleen mogelijk om de identiteit van een klant te ontgrendelen als het systeem uit de 'wat', 'waard', 'wanneer' en 'waar' vragen bepaalt dat een betaling verdacht lijkt. In dat geval genereert het systeem een waarschuwing en zodra dat gebeurt, zal een bevoegde compliance officer de zaak verder onderzoeken en toegang krijgen tot relevante privégegevens van de betrokken klant. Deze toegang wordt alleen verleend op basis van 'need to know'. Voor het overgrote deel van de klanten worden de privégegevens afgeschermd van het zicht van iedereen binnen de organisatie en verwerkt het systeem automatisch hun betalingen.
Voldoen aan de deadline van 72 uur
Niet alleen kunnen geavanceerde transactiemonitoringsystemen gegevens anonimiseren, maar ze kunnen ook automatisch een audit trail aanmaken en onderhouden. Elke actie die door de compliance officer die een waarschuwing onderzoekt, wordt geregistreerd binnen het audit trail. Het bijhouden van een audit trail is essentieel voor de algemene verantwoording bij de presentatie van de resultaten van een onderzoek en wordt ook vereist door de GDPR-regelgeving.
PWC heeft het voldoen aan de termijn van 72 uur voor het melden van een datalekken aan de autoriteiten aangemerkt als een van de grootste uitdagingen voor de banken. Het vereist dat zij over processen beschikken en dat zij precies weten waar hun gegevens zich bevinden. Voor de meeste banken is dit op zich al een uitdaging. Wanneer het systeem automatisch een audit trail creëert, wordt het een stuk eenvoudiger om die 72-uurstermijn te halen.
Om het auditspoor te creëren, moeten zeven vragen worden beantwoord vanuit het perspectief van de onderzoeker of casusonderzoeker. Die vragen zijn:
● Wat is er gedaan om tot de redenering achter de zaak te komen?
● Gewicht van de sanctiemaatregelen?
● Wanneer is het onderzoek gedaan?
Waar komen de in de zaak gebruikte feiten vandaan?
● Wie was betrokken bij het onderzoek?
Met welke (hulpmiddelen?) is het onderzoek uitgevoerd of afgerond?
● Waarom verklaart het de waarschijnlijke oorzaak?
Het auditspoor helpt banken om hun positie te verdedigen als de autoriteiten hen vragen om uit te leggen waarom de persoonlijke gegevens van een klant zijn ingezien. De automatische aanmaak van rapporten en het gemak van het delen van de audit trail maken 72 uur veel minder uitdagend als deadline.
[button size="large" url="hbusinessforensicsttps:// .gr8.com/" text="Zelfs zonder GDPR blijft transactiemonitoring een uitdaging voor banken. In onze white paper "The one thing compliance managers can change to save their bank from regulatory fines (even if workload is unmanageable)" leggen we uit hoe machinaal leren kan helpen om het aantal false positives te verminderen. Wilt u meer lezen? Krijg hier gratis toegang tot onze white paper." color="Extra-color-3″].
