כיצד רגולציית ה-GDPR תשפיע על ענף הביטוח?

תקנות הגנת הפרטיות של האיחוד האירופי, שייכנסו לתוקף בעוד פחות מחצי שנה, מדאיגות ארגונים רבים, וצריכות להדאיג גם את חברות הביטוח ● מ עליהן לעשות על מנת לעמוד ברגולציה?

19/12/2017 14:51
מימין: עו"ד לאה מילר פורשטט ממשרד עורכות הדין SGFD, ואתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי

רגולציית הגנת הפרטיות של האיחוד האירופי (GDPR), שתיכנס לתוקפה בסוף מאי הקרוב, תשפיע על ארגונים שיש להם נתונים או כאלה המעבדים מידע אישי של תושבי האיחוד.

אף על פי שהוראות רגולציית ה-GDPR נועדו ליצור הרמוניה בין חוקי הגנת פרטיות הנתונים ברחבי אירופה, תעשיות מסוימות יצטרכו להגיב אחרת על מנת להשיג תאימות. אחת מהן היא תעשיית הביטוח.

העידן הדיגיטלי חולל מהפכה מלאה בענף הביטוח, תוך שהוא מבשר דרכים חדשות לאסוף נתוני לקוחות וליישם פוליסות. גישה לכמויות הולכות וגדלות של נתונים אפשרה למבטחים להבין טוב יותר את הלקוח ולנהל מודלים מעולים לסיכון, על מנת לספק מדיניות מחירים מדויקת יותר. כתוצאה מכך, הלקוחות נהנים מחבילות ביטוח שיותר מותאמות לצרכיהם.

מהן הדרישות מחברות הביטוח?

בהתאם לדרישות הרגולציה, חברות הביטוח נחשבות כגופים שהם גם בעלי נתונים וגם מעבדי נתונים. אי לכך, הדרישות בהן צריכות חברות אלה לעמוד כוללות:

עיבוד נתונים הוגן – מדיניות עיבוד הנתונים צריכה להגדיר את הסיבות לשמירה על נתונים, לתת למשתמשים נושאי הנתונים שנאספו את הזכות לקבל עותק של הנתונים שחברת הביטוח מחזיקה בהם ולאפשר את מחיקתם.

הסכמה – חברות הביטוח צריכות לוודא שתהליך איסוף הנתונים וההסכמה של המשתמשים לאיסוף זה עולים בקנה אחד עם תקנות ה-GDPR. הסיבה נעוצה בכך שכמות הנתונים הרגישים שמטופלים על ידם היא עצומה ולכן, יש צורך בקבלת הסכמה מפורשת. זוהי הזדמנות למבטחים להסביר איך איסוף המידע יכול להועיל ללקוח. לדוגמה, על ידי מתן מדיניות מותאמת אישית. מבטחים שואפים לצייר תמונה ברורה של חבילת ביטוח הלקוחות, ואת אותה גישה יש להחיל על הגנת נתוני הלקוח.

אבטחת מידע – חברות הביטוח חייבות לבחון את נהלי האבטחה שלהן ולהיות מוכנות להתאים אותם לדרישות הרגולציה. ההמלצה היא תמיד לשלב את תפיסת ניהול אבטחת המידע במסגרת תפיסת ניהול סיכונים רחבה יותר. על חברות הביטוח לשקול בנוסף שילוב של טכניקות להפחתת סיכונים (לדוגמה, שימוש במיסוך נתונים כאשר מדובר בשמירת ארכיונים של מידע), לבדוק באופן שוטף תכניות חירום, להעריך את אמצעי האבטחה שלהן ולחקור את האפקטיביות של ההגנות הטכנולוגיות שלהן.

ניידות נתונים – מונח זה מכיר בכך שללקוחות יש בעלות ושליטה על הנתונים האישיים שלהם, ומאפשר להם לעשות שימוש חוזר בנתונים שלהם למטרותיהם. לכן, על חברות הביטוח לקבל גישה לנתוני לקוחות אלה רק באופן זמני. גישה זו תסתיים ברגע שבו יחליטו הלקוחות לשנות את בחירת המבטח שלהם. אם הלקוח בוחר להחליף חברת ביטוח, המבטח הקודם יחויב, על פי חוק, בתנאים של ה-GDPR, להעביר את הנתונים שלו למבטח החדש, וכן למחוק את כל פרטי הלקוח מהרשומות שבידיו.

הזכות להישכח – ידועה גם בשם "הזכות למחוק". זכות זו היא אחד ההיבטים המרתיעים ביותר של רגולציית ה-GDPR ההולכת וקרבה מנקודת המבט של חברות הביטוח. על פי התקנות הללו, על הארגונים לוודא שננקטו כל הצעדים הסבירים על מנת להבטיח תיקון או מחיקה של נתונים אישיים לא מדויקים. כמו כן, יש לעבד נתונים אישיים באופן המבטיח אבטחה וסודיות הולמים של הנתונים האישיים, כולל מניעת גישה לא מורשית לנתונים אישיים או שימוש בהם.

אכיפת ציות – בהתחשב בקנסות פוטנציאליים על אי עמידה בתקנות, חברות הביטוח צריכות לעקוב אחר נהלי ניהול הנתונים של החברה. מעקב זה עשוי לכלול את קצין הגנת הפרטיות (אם ימונה), שידווח למועצת המנהלים, או הקצאת חבר מועצת המנהלים כדי לתת חסות לצוות של מבקרים פנימיים או חיצוניים.

האם חברות הביטוח צריכות להיות יותר מודאגות מכניסת התקנות לתוקף או יותר מרוצות? ההשפעה החיובית של רגולציית ה-GDPR תביא לבניית מערכת יחסים בריאה יותר בין חברות הביטוח ללקוחות. החקיקה תוביל לרמות גבוהות יותר של שקיפות, שייצרו אמון רב יותר מצד הלקוח. על ידי הצגה ברורה ללקוח של היתרונות של שיתוף הנתונים, תוכלנה חברות הביטוח לספק מדיניות ביטוחית מותאמת יותר, שמציעה תמורה טובה יותר לכסף ושאינה מבוססת על פרופיל לקוחות גנרי. אך לשם כך, חשוב שחברות הביטוח יקדימו וייערכו לקראת כניסתה לתוקף של רגולציית ה-GDPR, במאי הקרוב.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי, בשיתוף פעולה עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. שאול

    מאחר ומדובר על השוק האירופאי, מה ההשלכות שיכולות לחול על השוק המקומי ? המעורבות של מבטחים מאירופה בישראל מוגבל לבעלות על חברות ישראליות ( או חלקן ) ומהוות נתח גדול בתחום ביטוחי המשנה, אבל שם אין להן גישה ישירה למידע על בודדים , ובמקרה שכן, מדובר על גופים כגון חח"י, בזק, טבע, תעשייה אווירית וגוםים שכאלה, שמבוטחים באמצעות מבטחי חו"ל, לא באופן השוטף. אז איך זה משפיע על המידע לגבי כמות הת.ד. של מר ישראל ישראלי ? הרי אין להן גישה לנושא זה. והאכיפה חלה על השוק האירופאי, לא על השוק הישראלי. אז מה זה רלוונטי לנו ?

אירועים קרובים