Álitamál

Þekking almennings og fyrirtækja á málefnum samfélagsábyrgðar og sjálfbærni hefur vaxið mjög á undanförnum árum. Veruleg vitundarvakning varð í kringum Parísarsamkomulagið í desember 2015. Á liðnu ári var mikil umræða um samfélagsábyrgð í ferðaþjónustu og upp komu nokkur mál í fjölmiðlum sem tengdust grunnviðmiðum samfélagsábyrgðar beint, þ.m.t. mansal og grænþvottur.3

Aukin vitund neytenda er af hinu góða fyrir fyrirtæki sem telja sig vera að vinna með samfélagsábyrgðina í sínu daglega starfi. Fyrirtæki sem stunda óeðlilega viðskiptahætti skekkja samkeppnisumhverfið og það kemur niður á þeim fyrirtækjum sem stunda eðlilega og heilbrigða starfshætti. Landsbankinn fagnar aukinni umræðu, enda telur bankinn sig eiga margt ólært og hafa gagn af að heyra sjónarmið viðskiptavina á starf sitt um samfélagsábyrgð.

Samfélagsskýrsla Landsbankans er einnig í samræmi við eigendastefnu ríkisins. Þar kemur fram að fjármálafyrirtæki skulu miðla framtíðarsýn sinni, stefnumörkun og árangri með skýrum hætti á heimasíðum sínum og er sérstaklega tekið fram að miðla skuli sýn og árangri í samfélagsábyrgð. Til að afla trausts og trúverðugleika er ekki nægjanlegt að telja eingöngu upp árangur og það sem vel hefur tekist. Hjá Landsbankanum eins og öllum öðrum fyrirtækjum sem eru að feta sig áfram á þessari braut koma upp álitamál sem þarf að taka afstöðu til. Í skýrslum seinustu ára hafa álitamál eins og vaxtamunur, verðlagning, þróun útibúanets, sala bankans á fyrirtækjum og húsnæðismál bankans verið rædd.

Á seinasta ári var fjallað um nokkur mál um ábyrgð fyrirtækja á starfsemi annarra aðila í virðiskeðjunni, s.s. birgja eða viðskiptavina. Í því sambandi var kallað töluvert eftir því sem oft hefur verið nefnt keðjuábyrgð. Á seinasta ári komu einnig upp mál sem snerta rétt neytenda til vitneskju um þær upplýsingar sem fyrirtæki vistar og meðhöndlar um viðkomandi. Á árinu var síðan samþykkt Evróputilskipun um vernd persónuupplýsinga sem tekur gildi árið 2018. Sú reglugerð leggur nýjar og auknar skyldur á herðar þeirra sem vinna með upplýsingar háðar persónuvernd að viðurlögðum háum sektum. Þetta kann að hafa bein áhrif á Landsbankann og viðskiptavini hans. Hér á eftir verður fjallað um bæði þessi álitamál og þann árangur sem bankinn hefur náð á árinu.

Keðjuábyrgð fyrirtækja

Á árinu 2016 komu upp nokkur atvik í íslensku atvinnulífi sem drógu athygli að keðjuábyrgð íslenskra fyrirtækja, þ.e. ábyrgð á gerðum og athöfnum birgja eða viðskiptavina. Landsbankinn er með víðtæka starfsemi á Íslandi og getur þannig borið óbeina siðferðilega ábyrgð á starfsemi viðskiptavina og birgja. Til að mæta þessari ábyrgð hefur bankinn markað sér stefnu í ýmsum málaflokkum sem snerta keðjuábyrgðina, svo sem í samskiptum við birgja, ábyrgar fjárfestingar og í útlánum.

Keðjuábyrgð vísar til þess að sá sem er efstur í virðiskeðjunni beri ábyrgð á verklagi og samningsskyldum birgja sinna og undirverktaka.

Töluverð umræða hefur verið um keðjuábyrgð í samfélaginu, m.a. vegna meintra mansalsmála, um ábyrgð verslana á framleiðslu birgja og vegna vanefnda verktaka á launagreiðslum til starfsmanna erlendra starfsmannaleiga. Keðjuábyrgð vísar til þess að sá sem er efstur í virðiskeðjunni beri ábyrgð á verklagi og samningsskyldum birgja sinna og undirverktaka. Á Íslandi hefur umræðan verið um aðstæður erlends verkafólks hérlendis, sem og ábyrgð íslenskra innflytjenda á vinnuaðstæðum verkafólks erlendis.

Keðjuábyrgðin nær einnig upp virðiskeðjuna, þ.e. til viðskiptavina. Hér er átt við að aðilar sem eru tengdir á beinan eða óbeinan hátt með samningum geta borið ábyrgð á gerðum hvers annars.4 Í sumum tilfellum hverfur ekki ábyrgð fyrirtækja á vörum sínum þegar þær eru afhentar kaupenda. Vörur mega ekki, í gegnum virðiskeðjuna eða milliliði, enda sem íhlutir í vörum frá löndum sem á er viðskiptabann, þó svo að varan sé upphaflega seld í góðri trú. Vörur eru einnig notaðar í öðrum tilgangi en upphafleg framleiðsla gerir ráð fyrir en framleiðendur eru engu að síður gerðir ábyrgir fyrir notkuninni. Þekkt dæmi um þetta er að árið 2011 kom í ljós að evrópskt flogaveikislyf var notað í lyfjablöndur við aftökur í Bandaríkjunum. Neytendur gerðu framleiðandann ábyrgan. Framleiðandinn brást skjótt við, breytti sínum söluferlum til Bandaríkjanna og tókst þannig að minnka skaðann af orðsporsáhættu.

Eftir því sem almenningur lætur sig umhverfis- og neytendavernd meira varða, er hrein og bein eftirfylgni við lög og reglur ekki nóg. Neytendur velja í auknum mæli að beina viðskiptum sínum til fyrirtækja sem þeir geta samsvarað sig með, sem þeir telja að deili gildum sínum. Neytendur vilja í auknum mæli eiga viðskipti við fyrirtæki sem sýna ábyrgð í verki. Það er ekki lengur ásættanlegt að beita fyrir sig þekkingarleysi á rekstri samstarfsaðila – neytendur gera kröfu um rannsóknarskyldu fyrirtækja á rekstri samstarfsaðila.

Keðjuábyrgð er nú þegar til staðar í fjármálastarfsemi að ákveðnu leyti, svo sem í gegnum lög um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.

Ábyrgð fjármálastofnanna

Svört atvinnustarfsemi fellur meðal annars undir skilgreiningu peningaþvættis og ber fjármálafyrirtækjum að láta viðeigandi eftirlitsaðila vita ef grunur vaknar um slíka starfsemi.

Kröfurnar um keðjuábyrgð koma ekki eingöngu frá opinberum aðilum og neytendum. Erlendar lánastofnanir, sem hluti af sínu áhættumati, eru farnar að skoða hvernig Landsbankinn metur sína viðskiptavini, t.d. út frá samfélagsábyrgð. Þetta er gert í þeim tilgangi að minnka útlánaáhættu. Þessar kröfur eiga einungis eftir að aukast í framtíðinni og því betur sem bankinn er undirbúinn til að mæta slíkum kröfum, því hagstæðari verður fjármögnun bankans í framtíðinni.

Verklag Landsbankans

Landsbankinn er að feta sig áfram á þeirri braut að innleiða keðjuábyrgð. Bankinn hefur haft stefnu um sölu eigna og samskipti við birgja síðan árið 2011 sem meðal annars tekur að hluta tillit til keðjuábyrgðar.

Bankinn hefur verið aðili að ábyrgum fjárfestingum, Principles for Responsible Investment (PRI), frá árinu 2012. Á liðnu ári samþykkti bankinn sérstaka orðsporsáhættustefnu sem tekur meðal annars á orðsporsáhættu í útlánum. Í lok árs lauk vinnu að almennum og sértækum samfélagsviðmiðum í útlánum sem fjalla meðal annars um keðjuábyrgð.

Keðjuábyrgð er vandmeðfarin og ekki alltaf auðvelt að skilgreina hve langt hún nær. Almenna reglan er sú að hún gildi innan áhrifasviðs viðkomandi og áhrifin dofna eftir því sem fjær er farið í virðiskeðjuna. Mikilvægt er að huga að því að markmið keðjuábyrgðar er að bæta viðskiptasamband, ekki að skaða það. Komi í ljós brestir hjá samstarfsaðilum skal gefa þeim eðlilegt svigrúm til úrbóta. Að því loknu er eðlilegt að endurmeta viðskiptasambandið, hvort sem um er að ræða viðskiptavini eða birgja.

Hin hliðin á keðjuábyrgðinni er að hún getur skapað góð viðskiptatækifæri. Fyrirtæki með minni rekstrar- eða orðsporsáhættu eru betri viðskiptavinir og það gæti endurspeglast í kjörum. Þannig er hægt að beita jákvæðum hvötum til að bæta viðskiptahætti í staðinn fyrir neikvæða skimun og útilokun. Með jákvæðri nálgun verður keðjuábyrgð verkfæri til að innleiða og bæta almenna viðskiptahætti.

Dæmi um aðila er geta valdið orðsporsáhættu

  • Þeir sem grunaðir eru um peningaþvætti eða fjármögnun hryðjuverka.
  • Þeir sem koma að vopnaframleiðslu.
  • Þeir sem koma að framleiðslu og/eða dreifingu ólöglegra eiturefna.
  • Þeir sem bjóða upp á veðmál og/eða happdrætti sem ekki starfa samkvæmt íslenskum lögum.
  • Þeir sem framleiða, dreifa eða annast greiðsluþjónustu fyrir klám, mansal og/eða vændi.

Ný persónuverndarlöggjöf

Þar sem Landsbankinn vinnur með persónuupplýsingar, bæði starfsmanna og viðskiptavina, verður bankinn að aðlaga verk- og vinnuferla, skilmála, samninga, hugbúnað, tölvukerfi og annað sem við á að nýrri persónuverndarlöggjöf.

Ný persónuverndarlöggjöf

Umfangsmiklar breytingar á löggjöf um persónuvernd hafa nú verið samþykktar af Evrópuþinginu og Evrópuráðinu. Þann 25. maí 2018 tekur gildi í Evrópu ný reglugerð Evrópusambandsins (GDPR) um vernd einstaklinga við vinnslu persónuupplýsinga („Reglugerð um persónuvernd“) og tilskipun um vernd einstaklinga við vinnslu persónuupplýsinga hjá löggæsluaðilum („Löggæslutilskipunin“). Öll fyrirtæki og stofnanir sem vinna með persónuupplýsingar þurfa að aðlaga starfsemi sína að þessari breyttu löggjöf. Nýja löggjöfin leggur nýjar og auknar skyldur á herðar þeirra sem vinna með persónuupplýsingar, að viðlögðum háum sektum. Þar sem Landsbankinn vinnur með persónuupplýsingar, bæði starfsmanna og viðskiptavina, verður bankinn að aðlaga verk- og vinnuferla, skilmála, samninga, hugbúnað, tölvukerfi og annað sem við á að þessari breyttu löggjöf.

Helstu áhrif á bankann

Bankinn þarf að útbúa sérstaka skrá yfir vinnsluaðgerðir og sú skrá þarf að vera aðgengileg Persónuvernd. Þá ber bankanum að veita viðskiptavinum aðgang að persónuverndarupplýsingum sem hann býr yfir án endurgjalds og innan 30 daga frá því að fyrirspurn þess efnis berst bankanum.

Þar sem bankinn er með umfangsmikið, reglubundið og kerfisbundið eftirlit ber honum að skipa sérstakan persónuverndarfulltrúa. Hann heyrir beint undir bankastjóra og er sjálfstæður og óháður í störfum. Helstu verkefni hans eru reglufylgni, fræðsla, ráðgjöf, eftirlit, utanumhald um skrár og að tilkynna um öryggisbrot til viðkomandi aðila, sem og Persónuverndar.

Mikilvægt er að halda skrá utan um alla vinnslu því sú skylda hvílir á bankanum að skrá alla öryggisbresti sem eiga sér stað. Komi til öryggisbrests ber bankanum að tilkynna um það til Persónuverndar innan 72 tíma og til þeirra viðskiptavina sem upplýsingarnar varða án tafar á skýru og einföldu máli. Með öryggisbresti er t.d. átt við eyðingu, breytingu, afhendingu gagna, upplýsingar gerðar aðgengilegar eða þær unnar með öðrum hætti en heimild er fyrir.

Persónuvernd mun hafa eftirlit með framfylgd nýju löggjafarinnar. Brjóti bankinn gegn ákvæðum reglugerðarinnar er Persónuvernd heimilt að sekta bankann um allt að 1,3 – 2,6 milljarða króna, allt eftir alvarleika brots.

Hin nýja persónuverndarreglugerð tekur aðeins til réttinda einstaklinga en ekki fyrirtækja. Meginregla hennar er að vernda friðhelgi einstaklinga og stjórnarskrárvarin réttindi þeirra með því að tryggja samræmda og öfluga vernd persónuupplýsinga.

Aukin réttindi viðskiptavina

Sé vinnsla persónuupplýsinga byggð á samþykki þarf samþykkið að vera óþvingað og ótvírætt og aðeins er heimilt að vinna upplýsingar í þeim tilgangi sem samþykkið var veitt. Strangari skilyrði gilda um samþykki varðandi vinnslu persónuupplýsinga barna.

Með tilkomu nýju löggjafarinnar eiga viðskiptavinir rétt á því að vita hvort unnið sé með upplýsingar um þá, í hvaða tilgangi, hvaða upplýsingar sé unnið með, hverjir hafi aðgang að þeim og hve lengi. Bankanum ber að svara slíkum fyrirspurnum innan 30 daga. Þá geta viðskiptavinir farið fram á það að gleymast, þ.e. að persónuupplýsingum um þá sé eytt sé þeirra ekki lengur þörf vegna vinnslu.

Næstu skref fyrir Landsbankann

Landsbankinn mun á næstu mánuðum leggja áherslu á nauðsynlegar umbætur til að standast kröfur samkvæmt nýju persónuverndarlöggjöfinni. Yfirfara þarf allar reglur og verkferla bankans, samninga og skilmála. Uppfæra þarf öryggisstefnu bankans sem og áhættumat og gera viðeigandi öryggisráðstafanir. Þá þarf að yfirfara öll kerfi og hugbúnað. Það eru því margar deildir bankans sem koma að framangreindum umbótum, einkum Regluvarsla, Lögfræðideild, Áhættustýring og Upplýsingatæknideild. Þá verður lögð áhersla á nauðsynlega fræðslu og ráðgjöf fyrir starfsmenn bankans.

Með tilkomu nýju löggjafarinnar eiga viðskiptavinir rétt á því að vita hvort unnið sé með upplýsingar um þá, í hvaða tilgangi, hvaða upplýsingar sé unnið með, hverjir hafi aðgang að þeim og hve lengi.

Öryggi á netinu

Á undanförnum árum hefur tilraunum til fjársvika á netinu fjölgað umtalsvert. Landsbankanum er mikið í mun að vara viðskiptavini sína og aðra við þeim hættum sem af slíkri glæpastarfsemi stafa. Netglæpir eru stór iðnaður á heimsvísu. Starfsemin er oft mjög þróuð og krefst mikillar tæknikunnáttu.

Ólíkt fjölda annarra glæpategunda einskorðast netglæpir ekki við tiltekna þjóðfélagshópa, aldursbil, kyn eða staðsetningu.

Hins vegar hefur einnig sprottið upp nýr glæpaiðnaður sem krefst lítillar tæknikunnáttu. Sá hópur glæpamanna kaupir lausnir af þróaðri netþrjótum og er í áskrift að hugbúnaði, nýtur þjónustusamninga og kaupir varning á borð við bankaupplýsingar, kortaupplýsingar, notendanöfn og lykilorð á svörtu markaðstorgi. Ólíkt fjölda annarra glæpategunda einskorðast netglæpir ekki við tiltekna þjóðfélagshópa, aldursbil, kyn eða staðsetningu. Það er ekki orðum aukið að segja að enginn netnotandi er óhultur.

Þá er erfiðara að hafa uppi á netsvikurum en öðrum glæpamönnum því þeir eru í vissum skilningi nafn- og andlitslausir. Þeir eru þjálfaðir í að dyljast umheiminum. Oftar en ekki fremja þeir glæpi sína í gegnum mismunandi tölvur sem eru staðsettar í öðrum löndum en þeir sjálfir. Gerandi og þolandi eru oftast í sitt hvoru landinu. Þá bætir ólík löggjöf landa ekki úr skák, s.s. lög um meðferð opinberra mála, hegningarlög og fjarskiptalög, heldur torveldir yfirvöldum að hafa hendur í hári netsvikara.

Landsbankinn telur sig hafa hlutverki að gegna í þessum málum. Ein mikilvægasta vörnin gegn árásum er að miðla upplýsingum um þróun glæpastarfseminnar og mögulegar varnir. Þjónustuaðilar, lögregla og rannsakendur verða að vinna náið saman til að koma í veg fyrir frekara tjón, enda verða netógnir sífellt flóknari og þróaðri. Á sama hátt er það hlutverk þjónustuaðila, þ. á m. banka, að fræða viðskiptavini sína um ógnina og bestu starfshætti.

Landsbankinn birtir greinar og upplýsingar um netöryggi

Á Íslandi fara yfir 90% bankaviðskipta fram á netinu. Þarna er um veruleg verðmæti að ræða og því mikilvægt að Landsbankinn standi að vitundarvakningu í samfélaginu um bestu venjur í netnotkun og miðla fræðslu og tækifærum til úrbóta. Af því tilefni hafa sérfræðingar bankans birt greinar um netöryggi á Umræðunni, nýrri frétta- og efnisveitu Landsbankans. Í greinunum er fjallað um bestu venjur í tölvunotkun, breyttar áskoranir í viðskiptaháttum á netinu, vernd á réttindum notenda og margt fleira sem höfðar jafnt til einstaklinga og fyrirtækja. Á Umræðunni hefur meðal annars verið fjallað um svokallaðar fyrirmælafalsanir og hvernig megi bera kennsl á þær. Einnig hefur verið fjallað um nauðsyn þess að varast gylliboð á netinu.

Norrænt samstarf

Landsbankinn tekur þátt í margvíslegu samstarfi á sviði öryggismála og er m.a. eini íslenski bankinn sem tekur þátt í starfi öryggishóps norrænna banka. Öryggissérfræðingar Landsbankans taka vikulega virkan þátt í símafundi með fulltrúum margra stærstu banka Norðurlandanna þar sem farið er yfir helstu áskoranir vikunnar. Fjallað er um það sem hæst ber í öryggismálum þá vikuna; rætt um tölvuárásir, varnir og viðbrögð. Bankinn fær verðmætar upplýsingar í gegnum samstarfið og getur sömuleiðis miðlað af reynslu sinni. Dæmi eru um að glæpahópar hafi útbúið áætlun um tölvuárásir á banka en viljað prófa þær fyrst á litlu bankakerfi og þess vegna byrjað á Íslandi. Í slíkum tilfellum hefur Landsbankinn getað upplýst samstarfsbanka sína um yfirvofandi árásir og þessir bankar hafa sömuleiðis varað Landsbankann við ef árásirnar byrja þar.

Samstarf mikilvægt

Víða um heim eru bankar að innleiða þróaðri varnir sem felst m.a. í að áhættumeta aðgerðir og efla samstarf við nauðsynlega hagsmunaaðila. Beggja vegna Atlantshafs er mikilvæg hugarfarsbreyting að eiga sér stað í atvinnulífinu þar sem fjármálafyrirtæki, fjarskiptafyrirtæki, stjórnvöld og fjöldi annarra fyrirtækja leggja í vaxandi mæli áherslu á mikilvægi samstarfs. Sífellt fleiri fyrirtækjum og stofnunum er ljóst að ekki nægir að styrkja einungis eigin innviði.

Árið 2016 hafði Landsbankinn frumkvæði að stofnun hóps á vettvangi Samtaka fjármálafyrirtækja (SFF) sem hefur þann tilgang að sameina krafta íslenskra banka í baráttunni við netglæpi. Tilgangurinn er meðal annars sá að þjálfa fumlaus viðbrögð við alvarlegum og jafnvel langvarandi árásum, t.d. gagnvart greiðslumiðlun. Þetta er afbragðsdæmi um mikilvægi þess að deila reynslu og samræma aðgerðir í öryggismálum.

Árið 2012 hóf Landsbankinn samstarf við þúsundir erlendra banka um miðlun innbrotstilrauna. Allt gerist þetta sjálfkrafa og í rauntíma - þegar innbrot í netbanka á sér stað í einhverju samstarfslandi, lokast samstundis fyrir IP-tölu netþrjótsins hjá Landsbankanum. Ennfremur les öryggiskerfi Landsbankans rauntímaupplýsingar um nýjustu óværur í öllum álfum, á nokkurra sekúndna fresti.

Á Umræðunni hefur meðal annars verið fjallað um svokallaðar fyrirmælafalsanir og hvernig megi bera kennsl á þær. Einnig hefur verið fjallað um nauðsyn þess að varast gylliboð á netinu.

Öryggissérfræðingar Landsbankans unnu hin eftirsóttu verðlaun Best in Class 2016 hjá RSA, einu virtasta netöryggisfyrirtæki veraldar. RSA er með yfir 8.000 viðskiptavini og yfir 250.000.000 notendur.

Landsbankinn í fararbroddi í öryggismálum

Landsbankinn hefur verið í fararbroddi í öryggismálum íslenskra banka. Hann var fyrstur banka til að innleiða öryggislykla, hlaut fyrstur ISO27001:2013 vottun um stjórnkerfi upplýsingaöryggis, hagnýtti fyrstur mynsturgreiningar og bauð fyrstur upp á öryggislykil í appi, svo fáein dæmi séu nefnd.

Árangur Landsbankans í netöryggismálum á liðnum árum hefur vakið athygli út fyrir landsteinana. Þótt Ísland sé fámennt land, erum við á margan hátt smækkuð útgáfa af þeirri þróun sem á sér stað í heiminum, líkt og lítil rannsóknarstofa. Hér má sjá í hnotskurn, og afar hratt, þá umbreytingu sem er að verða á stafrænum heimi. Geti óværa ógnað íslenskum bönkum, má hæglega ímynda sér áhrifin á stærri banka. Þess vegna hafa stórir erlendir bankar og leiðandi aðilar í framleiðslu öryggislausna á heimsvísu, sýnt mikinn áhuga á góðum árangri Landsbankans.

3 Það kallast grænþvottur (e. greenwashing) þegar fyrirtæki nota villandi markaðssetningu til að virðast umhverfs- eða vistvænni en þau eru í þeim tilgangi að blekkja neytendur.

4 Hér má benda á að í ISO 26000 staðlinum um samfélagsábyrgð er sérstaklega rætt um í meginreglum um samfélagsábyrgð að fyrirtæki eigi að forðast að vera meðsekt í starfsemi annars fyrirtækis sem ekki er í samræmi við alþjóðlega viðtekna háttsemi.