Lähes kaikki työeläkeyhtiön käsittelemät tiedot ovat henkilötietoja ja muita salassa pidettäviä tietoja. Perusedellytys toiminnallemme on, että käsittelemme näitä tietoja niin, että tiedot ovat turvassa ja salassa. Noudatamme henkilötietoja koskevaa lainsäädäntöä, yrityssalaisuutta sekä vakuutussalaisuutta. Emme anna ilman suostumusta tietoja muille kuin henkilölle tai yrityksille itselleen ja lain mukaan tiedonsaantiin oikeutetuille.
Tietosuoja Veritaksessa
Toimiessaan työeläkeyhtiönä Veritas toimii EU:n tietosuoja-asetuksen tarkoittamana rekisterinpitäjänä ja Veritasta koskevat sekä EU-tason että kansallisen lainsäädännön mukaiset rekisterinpitäjää koskevat velvoitteet. Veritaksella on nimetty tietosuojavastaava, joka seuraa tietosuojalainsäädännön noudattamista ja tukee organisaatiota tietosuojaan liittyvissä kysymyksissä.
Tietosuoja-asetus edellyttää, että kerromme rekisteröidyille, mitä henkilötietoja me keräämme ja miten me näitä tietoja käsittelemme. Pidämme yllä verkkosivuillamme selosteita henkilötietojen käsittelystä. Selosteet ja lisätietoja henkilötietojen käsittelystä on verkkosivuillamme sivulla Tietosuoja.
Tietoturvalla suojataan henkilötietojen lisäksi yhtiön liiketoimintoja sekä yhtiön, asiakkaiden ja sopimuskumppaneiden liikesalaisuuksia. Tietoturvallisuustyön tavoitteet, vastuut ja keinot on määritelty Veritaksen tietoturvapolitiikassa.
Tietoturva- ja tietosuojapolitiikkamme päivitetään ja hyväksytään vuosittain Veritaksen johtoryhmässä.
Tietoturvan, tietosuojan ja henkilötietojen käsittelyn tilasta sekä niiden kehittymisestä raportoidaan hallitukselle ja johtoryhmälle säännöllisesti. Merkittävistä muutoksista, uusista uhista tai toteutuneista riskeistä raportoidaan välittömästi.
Ilmoituskanava tietoturvaloukkauksiin
Veritaksessa on sisäinen tietoturvaloukkausten ilmoituskanava. Tietoturvaloukkaukset ja rekisteröidyille aiheutuneen riskin taso arvioidaan Veritaksen tietosuojavastaavan johdolla.
Tietoturva ja tietosuoja 2022
Tietosuojaan liittyvä henkilöstön koulutus kuuluu kaikille Veritaksen työntekijöille. Veritaksen henkilöstö suorittaa joka toinen vuosi tietosuojaan liittyvän verkkokoulutuksen. Vuonna 2022 oli koulutuksen vuoro. Tietosuojavastaava valvoo, että kaikki työntekijät suorittavat kyseisen koulutuksen.
Pääosassa vuonna 2022 esille tulleista tietoturvaloukkauksista loukkauksen ei katsottu aiheuttaneen rekisteröidyn henkilön oikeuksiin ja vapauksiin kohdistuvaa riskiä, vaan kyse oli matalan riskin tilanteesta. Mahdollisten riskiä ja korkeaa riskiä sisältävien tapausten osalta Veritas on noudattanut yleisen tietosuoja-asetuksen mukaista menettelyä.
Vuoden 2022 aikana Tietosuojavaltuutetun toimisto on ollut yhteydessä koskien aiemmin tehtyjä tietoturvaloukkauksia. Yhteydenotot ovat koskeneet täydentäviä tietoja aiemmin tehtyihin ilmoituksiin.
Kaikkiin vuonna 2022 tehtyihin GDPR:n mukaisiin omien henkilötietojen tarkastuspyyntöihin vastattiin neljän viikon sisällä pyynnöstä. Täydentäviin tietopyyntöihin on myös vastattu sääntelyn asettamissa aikarajoissa.