En granskning av Australiens fyra stora banker av Office of the Australian Information Commissioner (OAIC) har visat att de har hanterat konsumentdata under Consumer Data Right (CDR) på ett öppet och transparent sätt och har visat god sekretesspraxis eftersom det hittade inga områden med hög integritetsrisk.
Som en del av den första CDR-integritetsbedömningen undersökte OAIC, som är en medregulator för CDR, ANZ, Commonwealth Bank, National Australia Bank och Westpac eftersom de var ursprungliga CDR-datainnehavare.
Varje bank utvärderades enligt deras överensstämmelse med integritetsskydd 1, som kräver att leverantörer har en CDR-policy som beskriver hur de hanterar konsumentdata och implementerar interna rutiner, procedurer, och system för att säkerställa efterlevnad.
Det finns 13 juridiskt bindande integritetsskydd under CDR som anger konsumenternas integritetsrättigheter och leverantörers skyldigheter när de samlar in och hanterar deras data. Integritetsskydd 1 anses, som OAIC uttrycker det, det grundläggande skyddet för integritetsskydd som underbygger efterlevnaden av alla andra integritetsskydd.
“Vår sekretessbedömning fann att de fyra stora bankerna i allmänhet följer grunden för Consumer Data Right Privacy Protection”, sa den australiensiska informationskommissionären och integritetskommissionären Angelene Falk.
Enligt bedömningen har alla banker god sekretesspraxis på plats, eftersom de var och en utvecklade en CDR-policy som beskrev hur de hanterade CDR-data och deras process för hantering av konsumentklagomål.
Det fann också att bankerna vidtog åtgärder för att etablera och främja en kultur som respekterar integritet och god informationshantering när de hanterar CDR-data.
“Alla banker hade utsett högre personal med ansvar för strategiskt ledarskap av CDR-regimen och tjänstemän ansvariga för den dagliga hanteringen av CDR-data”, sa OAIC-revisionen.
“Tre banker visade god sekretesspraxis i begränsa åtkomst till CDR-system och data för personal med ett operativt krav på åtkomst.
“Bankerna visade i allmänhet god praxis genom att sätta upp praxis, procedurer och system för att se över sina CDR-policyer på schemalagd basis, samt följa lagändringar och operativa förändringar. De använde befintliga dokumentkontrollramar och specifik personal var ansvarig för att granska deras CDR-policy. “
Samtidigt avslöjade revisionen förbättringsområden. För varje bank identifierade OAIC minst en medelhög integritetsrisk. En bank hade fyra medelstora integritetsrisker, två banker hade tre och en bank hade en. Majoriteten av medelstora integritetsrisker var relaterade till hur bankerna har implementerat interna rutiner, procedurer och system för att säkerställa efterlevnad av deras CDR-skyldigheter.
Mot bakgrund av dessa upptäckter rekommenderade OAIC vad varje bank skulle kunna göra för att ta itu med de medelstora integritetsriskerna, såsom att utveckla interna rutiner, procedurer och system som specifikt behandlar efterlevnad av integritetsskydd som avviker från, eller är ytterligare skyldigheter till, Australiensiska integritetsprinciper. Alla banker accepterade OAIC:s rekommendationer.
“Våra rekommendationer och förslag kommer att hjälpa dessa datainnehavare och andra leverantörer i systemet att ytterligare bädda in, granska och förbättra deras sekretesspraxis, så att konsumenter kan fortsätta att använda konsumentdatarätten med förtroende,” sa Falk.
< p>När bedömningen slutförts skrev OAIC till bankerna och beskrev sin förväntan att de skulle svara med en plan för att implementera rekommendationerna. OAIC kommer att besöka varje bank igen om sex månader för att säkerställa att alla rekommendationer implementeras fullt ut.
“Consumer Data Right har ett starkt regelverk för att skydda konsumenternas integritet och bygga upp förtroende för systemet,” sa Falk.
“Vi granskar och övervakar proaktivt leverantörer i systemet för att säkerställa dessa strikta integritetsskydd. upprätthålls, så att konsumenter kan känna sig säkra på att deras data är skyddad.
Australiens CDR lanserades officiellt den 1 juli, med den första tranchen, en öppen banksystem, som kräver att leverantörer av finansiella tjänster ska dela kundernas data när kunden begär det.
Enligt CDR kan enskilda kunder hos de fyra stora bankerna begära att deras bank delar sina “live” data för insättnings- och transaktionskonton och kredit- och betalkort med ackrediterade datamottagare.
Tidigare denna månad, ändringar i CDR gjordes så att den kunde utvidgas till energisektorn.
Enligt ändringarna kommer energiproduktinformation från oktober 2022 att delas så att konsumenterna bättre kan jämföra energiplaner, och från november 2022 kommer energikonsumenter att kunna ge sitt samtycke till att dela sina uppgifter om sin egen energianvändning och koppling till en jämförelsetjänst eller fintech-appen.
“Med ökad konsumentmobilitet kommer energihandlare att uppmuntras att förbättra skräddarsydda tjänster och skapa bättre konsumentupplevelser för att behålla sina kunder. Jag är glad över att se denna expansion av CDR över hela ekonomin, med telekommunikation som nästa sektor som övervägs,” sa Jane Hume, minister för Superannuation, Financial Services and the Digital Economy.
Relaterad täckning
Uppdaterade CDR-regler för att tillåta ackrediterade deltagare att utse representanter för Commonwealth Bank-kunder för att se saldon från andra banker i appenAustraliens konsumentdata. Just nu uppdaterad för att inkludera mellanhänderACCC säger att stora banker drar CDR-resurser som ett resultat av covid-19
Reviderade regler för konsumentdatarätt utökar samtycke och ger affärspartner tillgångACCC och OAIC lovar att sätta konsumenterna vid center of CDR enforcementNAB ber att inte missgynnas genom att öppna CDR för nya spelare Australien | Säkerhets-TV | Datahantering | CXO | Datacenter