Lähes kaikki työeläkeyhtiön käsittelemät tiedot ovat henkilötietoja ja muita salassa pidettäviä tietoja. Perusedellytys toiminnallemme on, että käsittelemme näitä tietoja niin, että tiedot ovat turvassa ja salassa. Noudatamme henkilötietoja koskevaa lainsäädäntöä, yrityssalaisuutta sekä vakuutussalaisuutta. Emme anna ilman suostumusta tietoja muille kuin henkilölle tai yrityksille itselleen ja lain mukaan tiedonsaantiin oikeutetuille.
Tietosuoja Veritaksessa
Toimiessaan työeläkeyhtiönä Veritas toimii EU:n tietosuoja-asetuksen tarkoittamana rekisterinpitäjänä ja Veritasta koskevat sekä EU-tason että kansallisen lainsäädännön mukaiset rekisterinpitäjää koskevat velvoitteet. Veritaksella on nimetty tietosuojavastaava, joka seuraa tietosuojalainsäädännön noudattamista ja tukee organisaatiota tietosuojaan liittyvissä kysymyksissä.
Tietosuoja-asetus edellyttää, että kerromme rekisteröidyille, mitä henkilötietoja me keräämme ja miten me näitä tietoja käsittelemme. Pidämme yllä verkkosivuillamme selosteita henkilötietojen käsittelystä. Selosteet ja lisätietoja henkilötietojen käsittelystä löytyvät osoitteesta veritas.fi/tietosuoja.
Tietoturvalla suojataan henkilötietojen lisäksi yhtiön liiketoimintoja sekä yhtiön, asiakkaiden ja sopimuskumppaneiden liikesalaisuuksia. Tietoturvallisuustyön tavoitteet, vastuut ja keinot on määritelty Veritaksen tietoturvapolitiikassa.
Tietoturva- ja tietosuojapolitiikkamme päivitetään ja hyväksytään vuosittain Veritaksen hallituksessa.
Tietoturvan, tietosuojan ja henkilötietojen käsittelyn tilasta sekä niiden kehittymisestä raportoidaan hallitukselle ja johtoryhmälle säännöllisesti. Merkittävistä muutoksista, uusista uhista tai toteutuneista riskeistä raportoidaan välittömästi.
Veritaksen tietosuojavastaava on jäsenenä Finanssialan tietosuojatyöryhmässä, joka kehittää finanssialan tietosuojaa ja toimii alan edunvalvojana.
Ilmoituskanava tietoturvaloukkauksiin
Veritaksessa on sisäinen tietoturvaloukkausten ilmoituskanava. Tietoturvaloukkaukset ja rekisteröidyille aiheutuneen riskin taso arvioidaan Veritaksen tietosuojavastaavan johdolla.
Tietoturva ja tietosuoja 2024
Veritaksen henkilöstö suorittaa joka toinen vuosi tietosuojaan liittyvän verkkokoulutuksen. Vuonna 2024 koko henkilöstö suoritti tietosuojakoulutuksen. Tietosuojavastaavan tehtävänä on valvoa, että kaikki työntekijät suorittavat kyseisen koulutuksen.
Tietoturvaan liittyvä koulutus järjestettiin koko henkilöstölle syksyllä 2024. Seuraavaksi koulutus järjestetään vuonna 2026.
Lisäksi yhtiöllä on tietoturvaan ja -tietosuojaan liittyvä koulutus, jonka avulla muun muassa tunnistetaan paremmin tietojenkalasteluun liittyviä viestejä. Tämän lisäksi henkilöstö pidetään ajan tasalla Veritaksen sisäisessä intranetissä julkaistavilla tietoiskuilla.
Vuonna 2024 käsitellyistä tietoturvaloukkauksista pääosassa oli kyse ns. matalan riskin tilanteista, joista ei aiheutunut rekisteröidyn henkilön oikeuksiin ja vapauksiin kohdistuvaa riskiä. Mahdollisten riskiä ja korkeaa riskiä sisältävien tapausten osalta Veritas noudatti yleisen tietosuoja-asetuksen mukaista menettelyä.
Kaikkiin vuonna 2024 tehtyihin GDPR:n mukaisiin omien henkilötietojen tarkastuspyyntöihin vastattiin neljän viikon sisällä pyynnöstä. Myös täydentäviin tietopyyntöihin vastattiin sääntelyn asettamissa aikarajoissa.