כיצד רגולציית ה-GDPR תשפיע על ענף הביטוח?

רגולציית הגנת הפרטיות של האיחוד האירופי (GDPR), שתיכנס לתוקפה בסוף מאי הקרוב, תשפיע על ארגונים שיש להם נתונים או כאלה המעבדים מידע אישי של תושבי האיחוד.

אף על פי שהוראות רגולציית ה-GDPR נועדו ליצור הרמוניה בין חוקי הגנת פרטיות הנתונים ברחבי אירופה, תעשיות מסוימות יצטרכו להגיב אחרת על מנת להשיג תאימות. אחת מהן היא תעשיית הביטוח.

העידן הדיגיטלי חולל מהפכה מלאה בענף הביטוח, תוך שהוא מבשר דרכים חדשות לאסוף נתוני לקוחות וליישם פוליסות. גישה לכמויות הולכות וגדלות של נתונים אפשרה למבטחים להבין טוב יותר את הלקוח ולנהל מודלים מעולים לסיכון, על מנת לספק מדיניות מחירים מדויקת יותר. כתוצאה מכך, הלקוחות נהנים מחבילות ביטוח שיותר מותאמות לצרכיהם.

מהן הדרישות מחברות הביטוח?

בהתאם לדרישות הרגולציה, חברות הביטוח נחשבות כגופים שהם גם בעלי נתונים וגם מעבדי נתונים. אי לכך, הדרישות בהן צריכות חברות אלה לעמוד כוללות:

עיבוד נתונים הוגן – מדיניות עיבוד הנתונים צריכה להגדיר את הסיבות לשמירה על נתונים, לתת למשתמשים נושאי הנתונים שנאספו את הזכות לקבל עותק של הנתונים שחברת הביטוח מחזיקה בהם ולאפשר את מחיקתם.

הסכמה – חברות הביטוח צריכות לוודא שתהליך איסוף הנתונים וההסכמה של המשתמשים לאיסוף זה עולים בקנה אחד עם תקנות ה-GDPR. הסיבה נעוצה בכך שכמות הנתונים הרגישים שמטופלים על ידם היא עצומה ולכן, יש צורך בקבלת הסכמה מפורשת. זוהי הזדמנות למבטחים להסביר איך איסוף המידע יכול להועיל ללקוח. לדוגמה, על ידי מתן מדיניות מותאמת אישית. מבטחים שואפים לצייר תמונה ברורה של חבילת ביטוח הלקוחות, ואת אותה גישה יש להחיל על הגנת נתוני הלקוח.

אבטחת מידע – חברות הביטוח חייבות לבחון את נהלי האבטחה שלהן ולהיות מוכנות להתאים אותם לדרישות הרגולציה. ההמלצה היא תמיד לשלב את תפיסת ניהול אבטחת המידע במסגרת תפיסת ניהול סיכונים רחבה יותר. על חברות הביטוח לשקול בנוסף שילוב של טכניקות להפחתת סיכונים (לדוגמה, שימוש במיסוך נתונים כאשר מדובר בשמירת ארכיונים של מידע), לבדוק באופן שוטף תכניות חירום, להעריך את אמצעי האבטחה שלהן ולחקור את האפקטיביות של ההגנות הטכנולוגיות שלהן.

ניידות נתונים – מונח זה מכיר בכך שללקוחות יש בעלות ושליטה על הנתונים האישיים שלהם, ומאפשר להם לעשות שימוש חוזר בנתונים שלהם למטרותיהם. לכן, על חברות הביטוח לקבל גישה לנתוני לקוחות אלה רק באופן זמני. גישה זו תסתיים ברגע שבו יחליטו הלקוחות לשנות את בחירת המבטח שלהם. אם הלקוח בוחר להחליף חברת ביטוח, המבטח הקודם יחויב, על פי חוק, בתנאים של ה-GDPR, להעביר את הנתונים שלו למבטח החדש, וכן למחוק את כל פרטי הלקוח מהרשומות שבידיו.

הזכות להישכח – ידועה גם בשם "הזכות למחוק". זכות זו היא אחד ההיבטים המרתיעים ביותר של רגולציית ה-GDPR ההולכת וקרבה מנקודת המבט של חברות הביטוח. על פי התקנות הללו, על הארגונים לוודא שננקטו כל הצעדים הסבירים על מנת להבטיח תיקון או מחיקה של נתונים אישיים לא מדויקים. כמו כן, יש לעבד נתונים אישיים באופן המבטיח אבטחה וסודיות הולמים של הנתונים האישיים, כולל מניעת גישה לא מורשית לנתונים אישיים או שימוש בהם.

אכיפת ציות – בהתחשב בקנסות פוטנציאליים על אי עמידה בתקנות, חברות הביטוח צריכות לעקוב אחר נהלי ניהול הנתונים של החברה. מעקב זה עשוי לכלול את קצין הגנת הפרטיות (אם ימונה), שידווח למועצת המנהלים, או הקצאת חבר מועצת המנהלים כדי לתת חסות לצוות של מבקרים פנימיים או חיצוניים.

האם חברות הביטוח צריכות להיות יותר מודאגות מכניסת התקנות לתוקף או יותר מרוצות? ההשפעה החיובית של רגולציית ה-GDPR תביא לבניית מערכת יחסים בריאה יותר בין חברות הביטוח ללקוחות. החקיקה תוביל לרמות גבוהות יותר של שקיפות, שייצרו אמון רב יותר מצד הלקוח. על ידי הצגה ברורה ללקוח של היתרונות של שיתוף הנתונים, תוכלנה חברות הביטוח לספק מדיניות ביטוחית מותאמת יותר, שמציעה תמורה טובה יותר לכסף ושאינה מבוססת על פרופיל לקוחות גנרי. אך לשם כך, חשוב שחברות הביטוח יקדימו וייערכו לקראת כניסתה לתוקף של רגולציית ה-GDPR, במאי הקרוב.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי, בשיתוף פעולה עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.