Lög og reglur

Um vinnslu persónuupplýsinga hjá Sjóvá samstæðunni gilda lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Skilgreina þarf ábyrgðaraðila allrar vinnslu og er Sjóvá-Almennar tryggingar hf. ábyrgðaraðili, en allri starfsemi dótturfélagsins Sjóvá-Almennra líftrygginga hf. er útvistað til móðurfélagsins. Félögin koma fram sem sameiginlegir ábyrgðaraðilar varðandi þá vinnslu sem líftryggingafélagið útvistar til móðurfélagsins. Sjóvá tryggir að heimildir séu til vinnslu upplýsinganna og byggja vinnsluheimildir einkum á ákvæðum persónuverndarlaga varðandi samþykki hins skráða fyrir vinnslu, nauðsyn til að efna samning við hinn skráða, til að gæta lögmætra hagsmuna og lagaskyldu sem hvílir á félaginu. Reglur nr. 50/2023 um rafræna vöktun gilda einnig um afmarkaða þætti í starfseminni, þar með teljast m.a. hljóðritun símtala og myndavélaeftirlit í starfsstöðvum félagsins.

Sjóvá vinnur fyrst og fremst með persónuupplýsingar sem skráðir einstaklingar gefa sjálfir, s.s. við tryggingatöku og tilkynningu tjóns. Um er að ræða almennar persónuupplýsingar, s.s. nafn, kennitölu og heimilisfang, en einnig kann félagið að vinna með upplýsingar sem auðkenna einstaklinga, s.s. fjárhags- og heilsufarsleg málefni. Sjóvá kann einnig að fá upplýsingar frá öðrum aðilum, s.s. lögmönnum, lögreglu, heilbrigðisstofnunum, öðrum tryggingafélögum og úr tjónagrunni tryggingafélaganna. Vinnsla getur farið fram í tengslum við ýmis samskipti einstaklinga við Sjóvá.

Persónuverndarstefna Sjóvá veitir einstaklingum upplýsingar um það hvernig Sjóvá vinnur með persónuupplýsingar. Megintilgangur með vinnslu persónuupplýsinga hjá Sjóvá samstæðunni er að veita einstaklingum þjónustu á sviði samnings- og lögboðinna trygginga.

Stærstur hluti vinnslu upplýsinga fer fram í upplýsingakerfum félagsins og ber vátryggingafélögum að uppfylla kröfur leiðbeinandi tilmæla Fjármálaeftirlits SÍ vegna áhættu við rekstur upplýsingakerfa eftirlitsskyldra aðila nr. 1/2019.

Stefnur um upplýsingaöryggi og upplýsingatækni

Sjóvá vinnur eftir upplýsingaöryggisstefnu en slík stefna hefur lengi verið í gildi. Tilgangur þessarar stefnu er að tryggja sem best réttleika gagna, aðgengi og öryggi upplýsinga félagsins, þannig að þær nýtist á skilvirkan og hagkvæman hátt fyrir viðskiptavini og rekstur. Stefnan styður við stefnu um upplýsingatækni en báðar þessar stefnur voru rýndar á árinu 2023 með tilliti til viðmiða EIOPA, evrópsku vátrygginga- og lífeyrissjóða eftirlitsstofnunarinnar. Uppfærðar útgáfur þeirra voru samþykktar af stjórn í janúar 2024.

Vottanir og úttektir

Við höfum verið með vottun á upplýsingaöryggi okkar frá árinu 2014 samkvæmt ISO/IEC 27001 staðlinum og stóðumst nú síðast úttekt sem framkvæmd var af frá British Standards Institution (BSI). Árlega er framkvæmd úttekt á upplýsingaöryggi okkar í tengslum við þessa vottun.

Öryggisvöktun og prófanir

Sjóvá leggur mikla áherslu á upplýsingaöryggi og fyrirbyggjandi aðgerðir í þeim efnum. Sjóvá vinnur náið með ýmsum innlendum og erlendum sérfræðingum á þessu sviði til að tryggja eftirlit, prófanir og viðbragð á innviðum og upplýsingakerfum félagsins.

Fræðsla fyrir starfsfólk

Til að gera starfsfólk okkar vel meðvitað um allar helstu áhættur og kenna þeim rétt viðbrögð við ólíkum aðstæðum fær það ýmsa fræðslu, bæði þegar það hefur störf og reglulega á meðan það starfar hjá fyrirtækinu. Bæði er nýtt aðkeypt fræðsla um upplýsingaöryggismál en einnig eru haldin fræðsluerindi af sérfræðingum innan fyrirtækisins.

Nútímalegt upplýsingatækniumhverfi

Sjóvá útvistar tækni- og tölvuþjónustu með öryggi, skilvirkni og hagræðingu að leiðarljósi í takt við útvistunarstefnu félagsins. Undanfarin ár hafa mörg lykilkerfi félagsins verið uppfærð og skýjalausnir tekið við af eldri kerfum. Í skýjalausnum er um að ræða tilbúnar lausnir birgja sem bjóða í flestum tilfellum uppá nýjustu virkni, betra öryggi og aðgengi. Með því að velja réttu lausnirnar og samþætta þær við umhverfi Sjóvár auðveldum við starfsfólki vinnuna og eflum stafræna þjónustu til viðskiptavina.