Lähes kaikki työeläkeyhtiön käsittelemät tiedot ovat henkilötietoja ja muita salassa pidettäviä tietoja. Perusedellytys toiminnallemme on, että käsittelemme näitä tietoja niin, että tiedot ovat turvassa ja salassa. Noudatamme henkilötietoja koskevaa lainsäädäntöä, yrityssalaisuutta sekä vakuutussalaisuutta, emmekä anna ilman suostumusta tietoja muille kuin henkilölle tai yrityksille itselleen ja lain mukaan tiedonsaantiin oikeutetuille. Tietoa käsittelevät Veritaksessa ainoastaan ne, jotka niitä työssään tarvitsevat.
Tietoturvaan ja tietosuojaan liittyvä tekninen ja lainsäädännöllinen muutos on nopeaa ja kattavaa. Tietoturvaan ja tietosuojaan liittyvä kehitystyö on Veritaksessa näistä syistä jatkuvaa.
Tapamme toimia
Toimiessaan työeläkeyhtiönä Veritas toimii EU:n tietosuoja-asetuksen tarkoittamana rekisterinpitäjänä ja Veritasta koskevat sekä EU-tason että kansallisen lainsäädännön mukaiset rekisterinpitäjää koskevat velvoitteet. Tietosuoja-asetus edellyttää, että kerromme rekisteröidyille, mitä henkilötietoja me keräämme ja miten me näitä tietoja käsittelemme. Pidämme yllä verkkosivuillamme selosteita henkilötietojen käsittelystä. Selosteet ja lisätietoja henkilötietojen käsittelystä löytyy osoitteessa veritas.fi/tietosuoja.
Kaikissa henkilötietojen käsittelyn vaiheissa tulee noudattaa Veritaksessa hyväksyttyjä tietosuoja- ja tietoturvaperiaatteita. Tietoturva- ja tietosuojapolitiikkamme päivitetään ja hyväksytään vuosittain Veritaksen johtoryhmässä.
Tietoturvan, tietosuojan ja henkilötietojen käsittelyn tilasta sekä niiden kehittymisestä raportoidaan hallitukselle ja johtoryhmälle säännöllisesti. Merkittävistä muutoksista, uusista uhista tai toteutuneista riskeistä raportoidaan välittömästi.
Ilmoituskanava tietoturvaloukkauksiin
Veritaksessa on sisäinen tietoturvaloukkausten ilmoituskanava. Tietoturvaloukkaukset ja rekisteröidyille aiheutuneen riskin taso arvioidaan Veritaksen tietosuojavastaavan johdolla. Pääosassa vuoden 2021 tapauksista loukkauksen ei katsottu aiheuttaneen rekisteröidyn henkilön oikeuksiin ja vapauksiin kohdistuvaa riskiä, vaan kyse oli matalan riskin tilanteesta. Mahdollisten riskiä ja korkeaa riskiä sisältävien tapausten osalta Veritas on noudattanut yleisen tietosuoja-asetuksen mukaista menettelyä.
Vuonna 2021 Veritaksesta pyydettiin neljä kertaa kattavat GDPR:n mukaiset henkilötiedot. Näihin pyyntöihin vastattiin neljän viikon sisällä pyynnöstä.