James GRINDLEY, CEO, CertAsig
Andreea TIGAU, Chief Liability Underwriter, CertAsig
GDPR isi propune, in primul rand, sa protejeze persoanele fizice care pot fi mai sensibile la scurgeri sau pierderi de date. CertAsig respecta deja cea mai mare parte a reglementarilor GDPR. Avem un produs de asigurare care acopera anumite riscuri de nerespectare a conformitatii, inclusiv eventuale amenzi.
XPRIMM: Ce inseamna GDPR (Regulamentul General pentru Protectia Datelor Personale) pentru industria de asigurari?
Andreea TIGAU: GDPR reprezinta o oportunitate pentru orice companie de a-si revizui si analiza procesele. Prin cartografierea si realizarea evaluarii de impact, managementului ii este prezentata imaginea intregului sistem, ajutand fiecare departament sa isi perfectioneze fluxurile si, per total, sa duca la o imbunatatire a activitatii companiei de asigurari.
James GRINDLEY: Pentru asiguratorii din UE, vor fi necesare schimbari semnificative in operatiuni. Asiguratorii colecteaza volume mari de date din diferite motive - analiza, preturi, marketing etc. Modul in care aceste date sunt stocate si utilizate in siguranta vor fi revizuite cu atentie, pentru a asigura cele mai bune practici si conformitatea cu GDPR. Asiguratorii vor trebui sa ia in considerare modul in care intentioneaza sa utilizeze datele clientilor si cum vor obtine permisiunea de a face acest lucru.
XPRIMM: Care sunt sunt principalele efecte pozitive si negative in activitatea asiguratorilor?
J.G.: Pozitive - Ca rezultat al GDPR, va fi adoptata o abordare mai prudenta si responsabila. Clientii se pot gandi ca datele lor nu vor fi transferate altor companii fara aprobarea lor. Acolo unde exista schimbari in legislatie, exista si oportunitate. CertAsig a proiectat un produs pentru a aborda noile riscuri ale GDPR.
Negative - Din punct de vedere al investitiilor si al timpului costurile de conformitate se reflecta in cresterea primelor. CertAsig are deja baze de date bine controlate, care nu au fost compromise. Deci, pentru noi, conformitatea nu a fost un proiect atat de mare. In plus, contactul nostru direct este cu brokerii care isi reprezinta in mod legal clientii. Aceasta inseamna ca exista un buffer intre CertAsig ca asigurator si detinatorul politei de asigurare. Mai mult, clientii nostri sunt persoane juridice, si nu persoane fizice. GDPR isi propune, in primul rand, sa protejeze persoanele fizice care pot fi mai sensibile la scurgeri sau pierderi de date.
XPRIMM: Dar pentru consumatori ce impact estimati ca va avea Regulamentul?
A.T.: In ultima perioada, consumatorii au inceput sa primeasca din ce in ce mai des mesaje nesolicitate. Tot mai multe aplicatii au inceput sa stocheze un volum foarte mare de date personale. GDPR, pe langa faptul ca reprezinta o constientizare a individului cu privire la volumul de date personale pe care alte entitati le detin despre ei, prezinta si instrumentele pe care le are acesta pentru informarea, gestionarea sau stergerea propriilor date.
J.G.: Consumatorii ar trebui sa fie multumiti de faptul ca datele lor vor face obiectul unui management si al unei depozitari mai atente. Zi de zi, presupun ca vor observa foarte putine schimbari.
XPRIMM: Cum se pregateste CertAsig pentru GDPR? Care sunt cele mai mari schimbari pe care le-ati facut?
A.T.: CertAsig a aplicat intotdeauna masuri stricte pentru gestionarea datelor primite de la clientii sai, politica de confidentialitate stand la baza intregii noastre activitati. Am investit permanent in sistemele noastre IT si am imbunatatit masurile de securitate. Bunele practici deja implementate la nivelul angajatilor au fost acum transpuse sub forma unor proceduri. Avem o persoana desemnata pentru pozitia de DPO, care este in permanenta legatura cu managementul si care a participat la implementarea efectiva a tuturor masurilor stabilite de GDPR.
CertAsig a asimilat noile modificari legislative si a integrat principiile regulamentului in filozofia companiei. Noi credem ca datele persoanelor fizice trebuie procesate transparent in baza unui temei legal sau al consimtamantului subiectilor, intr-un mod adecvat, relevant scopului pentru care sunt procesate, dar limitate la acesta.
Persoanele fizice care sunt clientii CertAsig isi pot exercita drepturile legale, compania fiind pregatita sa raspunda solicitarilor cu privire la amprenta personala inregistrata, fie ca este vorba de accesul la datele personale, actualizarea sau stergerea lor. In ce priveste securitatea datelor, mentionam ca nu este un subiect nou pentru companiile de asigurari. Sa nu uitam ca vorbim de o piata reglementata, toate companiile au trecut printr-un audit independent de conformitate cu normele ASF si toate sistemele informatice sunt supuse anual unor teste de securitate care presupun si un test de penetrare. In cazul nostru particular, am fost auditati de Deloitte Romania, care ne-a impus cele mai inalte rigori internationale.
XPRIMM: Ce presupune adaptarea la noile prevederi legislative si care sunt etapele de parcurs? Sunt implicate costuri semnificative?
A.T.: GDPR aduce cateva elemente de noutate, industria asigurarilor avand reglementari anterioare care stabileau reguli pentru protectia datelor cu caracter personal. GDPR-ul reprezinta un moment de bilant, in care se verifica documentele primite de la clienti pana in prezent, se solicita formulare noi in cazul in care cele vechi necesita completari, se imbunatatesc masurile de securitate luate si sistemele IT, se stabileste un DPO sau se incheie un contract cu o societate in acest sens. Costurile necesare pentru implementarea GDRP decurg si din situatia initiala a masurilor aplicate de fiecare companie.
In procesul de aliniere la regulament, un pas important il constituie identificarea si numirea unei persoane care sa coordoneze acest proces. Urmatorii pasi practic integreaza regulamentul in sistemul de guvernanta al companiei. Pentru asiguratori, identificarea datelor cu caracter personal si al proceselor care opereaza cu aceste informatii nu reprezinta o noutate, insa modul in care facem analiza de risc se schimba. Trebuie sa avem in vedere impactul asupra protectiei datelor cu caracter personal. Elaborarea unor politici si proceduri care sa stabileasca modul in care compania isi insuseste principiile GDPR si documentarea actiunilor de aderare la regulament trebuie de asemenea avute in vedere. Companiile trebuie sa poata demonstra ca se conformeaza regulamentului GDPR in orice moment. Chiar daca au luat toate masurile de securitate impuse de gradul de risc descoperit, companiile ar fi bine sa nu uite ca bunele practici presupun si o polita ce acopera aceste riscuri.
XPRIMM: Ce se intampla daca societatile nu se supun noilor reguli?
A.T.: Capitolul de sanctiuni pentru nerespectarea GDPR a fost indelung dezbatut si sanctiunile sunt cunoscute deja la nivelul managementului oricarei societati. Amenda administrativa poate sa ajunga pana la 20.000.000 EUR sau de pana la 4% din cifra de afaceri mondiala totala anuala corespunzatoare exercitiului financiar anterior, luandu-se in calcul cea mai mare valoare. Pe langa cuantumul acestor amenzi, in cazul incalcarii Regulamentului General privind Protectia Datelor societatile pot ajunge sa aiba o problema de imagine si sa nu mai beneficieze de increderea clientilor.
J.G.: CertAsig respecta deja cea mai mare parte a reglementarilor GDPR, astfel ca nu suntem ingrijorati. Avem un produs de asigurare care acopera anumite riscuri de nerespectare a conformitatii, inclusiv eventuale amenzi.
XPRIMM: In ce masura considerati ca este pregatita industria pentru aplicarea GDPR?
A.T.: Avand in vedere interesul manifestat fata de conferintele si cursurile organizate pe aceasta tema, consideram ca majoritatea jucatorilor de pe piata de asigurari au un interes real si isi iau toate masurile rezonabile pentru a fi in conformitate cu GDPR pana la data de 25 mai 2018.
Masurile suplimentare de securitate implementate ne-au determinat ca anul acesta sa venim in sprijinul clientilor nostri cu un nou produs de asigurare privind protectia datelor si riscul cibernetic. CertAsig acopera atat pierderile provocate clientilor in urma unui atac cibernetic, cat si in urma scurgerii unor date cu caracter personal. Pe langa acoperirea pierderilor rezultate in urma unui eveniment asigurat, costurile de notificare a persoanelor afectate de scurgerea datelor, costurile utilizarii unui call center la care aceste persoane sa apeleze, cheltuieli de judecata sau alte costuri privind investigatiile necesare, CertAsig ofera asistenta imediata prin intermediul partenerilor nostri, experti in domeniul securitatii IT.
J.G.: Cred ca, in general, vor fi pregatiti. Au existat multe conferinte si dezbateri cu privire la cerintele GDPR. As spune ca asiguratorii care lucreaza direct cu clientul retail pentru asigurarile auto si asigurarile de proprietate vor avea cel mai mult de lucru pentru a se conforma. Profilul clientului este unul mai sensibil, unde este nevoie de mai multa atentie in ceea ce priveste sensibilitatea datelor. Acelasi comentariu pentru asigurarile de viata, in care se pastreaza date personale importante, cum ar fi istoricul medical personal.
In opinia noastra, cu cat mergem mai departe, cu atat mai in serios trebuie sa luam normele. De exemplu, in Cehia, unde avem un birou de lucru, vedem un interes semnificativ pentru produsele noastre de asigurare cibernetica. In Romania si Bulgaria, exista o constientizare a GDPR si a riscului cibernetic, insa cererea de asigurare este relativ scazuta, dar in curs de dezvoltare.
Editor: Andreea RADU | Publicat pe 14.02.2018 | 4139 vizualizari
