Samfundsansvar

Datasikkerhed og beskyttelse af personoplysninger

I Nykredit tager vi informationssikkerhed og beskyttelse af vores kunders personoplysninger alvorligt. Vi tilstræber at opretholde den højest mulige informationssikkerhed og har stor fokus på beskyttelse af kundedata.

Cyberrisici og it-sikkerhed

Vi har stærke overvågnings- og kontrolforanstaltninger, der beskytter os mod angreb fra cyberkriminelle. Vi overvåger konstant vores systemer og sikrer den højeste grad af beskyttelse. Nykredits medarbejdere bliver regelmæssigt uddannet og testet: 

  • Nykredit har fastsat it-sikkerhedsniveauet ved it-sikkerhedspolitikker, beredskabsplaner og forretningsnødplaner baseret på ISO 27001. Bestyrelsen godkender informationssikkerhedspolitikken, og Intern Revision kontrollerer og foretager revision af politikker og planer, samt efterlevelse heraf. Planerne er udarbejdet på grundlag af internationale retningslinjer for best practice.
  • Nykredits interne it-sikkerhedsfunktion udfører løbende it-sikkerhedsvurderinger, it-risikovurdering og it-inspektioner for at sikre et tilstrækkeligt højt it-sikkerhedsniveau, samt at eventuelle svagheder er kommunikeret til ledelsen minimum kvartalsvis. Derudover foretager Intern Revision årligt it-revision af området.
  • Nykredit får løbende foretaget eksterne test af cybersikkerheden. Dette sker ved årlige penetrationstest og Red Team-test (TIBER-DK) ca. hvert andet år. Derudover foretages interne månedlige sårbarhedsskanninger. Nykredit har en moden proces for sikkerhedshændelser, således at alle hændelser bliver behandlet i henhold til standardprocedurer.
  • Nykredit benytter nyeste sikkerhedsteknologier. Alle internetvendte løsninger har således to-faktor autentifikation og alle e-mails sendes krypteret med minimum TLS version 1.2.
  • Alle medarbejdere skal årligt obligatorisk gennemgå undervisning i IT-sikkerhed

Personoplysninger

I Nykredit behandler vi personoplysninger og har som dataansvarlig virksomhed fokus på, at vores behandling af personoplysninger sker i overensstemmelse med persondatalovgivningen. Nykredit respekterer individets ret til at have kontrol over hvilke personoplysninger, de deler med Nykredit og til hvilke formål, i overensstemmelse med de retlige rammer. Nykredit respekterer endvidere de registreredes rettigheder fx den registreredes ret til berigtigelse af urigtige personoplysninger og ret til sletning af personoplysninger, med de begrænsninger der følger af lovgivningen.  

Nykredit behandler personoplysninger med stor omhu og alene til de legitime formål, som personoplysningerne er indsamlet til og i øvrigt i overensstemmelse med persondatareglerne. Vores fokus på ansvarlig behandling af personoplysninger består uanset eventuelt endt kunde- og leverandørforhold mv.

Nykredit deler personoplysninger internt i Nykredit-koncernen eller med vores samarbejdspartnere, hvis vi er berettiget hertil fx i henhold til lovgivning eller efter tilladelse fra den registrerede.

Læs nærmere om Nykredits behandling af personoplysninger i vores privatlivspolitik.

I overensstemmelse med persondatalovgivningens krav om ansvarlighed har Nykredit implementeret processer og et kontrolrammeværk med henblik på intern kontrol med efterlevelse af persondatalovgivningen. Det betyder, at vi fx har etableret en proces for risikovurdering af vores databehandlere.

Når vi i Nykredit anvender databehandlere, indgår vi en databehandleraftale med den pågældende leverandør som fx JN Data A/S eller Bankernes EDB Central a.m.b.a., der er større IT-leverandører til Nykredit. En databehandler behandler personoplysninger på vegne af Nykredit og baseret på Nykredits instruks i overensstemmelse med Nykredits politikker på persondataområdet. Det betyder bl.a., at de skal følge de IT-sikkerhedskrav, vi har til en databehandler.     

Uddannelse af medarbejdere

I Nykredit uddanner vi løbende vores medarbejdere med henblik på at sikre, at alle har den fornødne viden om behandling af personoplysninger for at kunne varetage deres jobfunktion. 

Alle Nykredits medarbejdere, herunder fastansatte, timelønnede samt midlertidigt ansatte, eksempelvis vikarer ansat på Nykredit kontrakter, gennemfører uddannelse inden for persondataområdet, der er udarbejdet og vedligeholdes af Finanssektorens Uddannelsescenter. Derudover gennemfører alle medarbejdere et af Nykredit udarbejdet uddannelsesmodul, der sikrer, at medarbejderne undervises i, hvordan personoplysninger håndteres i Nykredit fx i forhold til brud på persondatasikkerheden.

Brud på persondatasikkerheden

I Nykredit anmelder vi brud på persondatasikkerheden til Datatilsynet, ligesom vi underretter de registrerede herom uden unødigt ophold.

Læs nærmere om Nykredits forpligtelse til at foretage anmeldelse og underretning her: