Skip to Main Content
Pilih bahasa
Login Agen
30 September 2024

Apa yang Perlu Diketahui Setiap Operator P&C Tentang Perlindungan Data dan Privasi

Pelanggaran data menjadi berita utama di seluruh dunia pada tahun 2018. Perusahaan seperti T-Mobile, Quora, Google, Orbitz dan Facebook terpengaruh, mengekspos informasi pribadi jutaan orang.

Perlindungan data dan privasi adalah masalah serius di dunia yang sangat terhubung saat ini, dan mereka menjadi pusat perhatian di banyak badan legislatif negara bagian. Risiko dan tantangan keamanan data harus menjadi perhatian utama perusahaan, agen, dan broker di bidang asuransi properti dan kecelakaan.

Masalah Teratas dalam Keamanan dan Privasi Data Asuransi

Pertanyaan tentang keamanan, perlindungan, dan privasi data muncul setiap hari. Apa yang menyebabkan serangan ini, dan bagaimana mereka bisa dihentikan?

“Pelanggaran data dapat terjadi karena berbagai alasan. Beberapa perusahaan diretas. Data dapat disalahtangani atau dijual kepada pihak ketiga. Lubang dalam sistem keamanan situs web dapat membuat informasi tidak terlindungi,” kata Paige Leskin di Business Insider.

Perusahaan menghadapi kebutuhan yang terus mendesak untuk melindungi data pelanggan dan bisnis sambil tetap membuat komunikasi menjadi sederhana dan dapat diakses oleh semua orang. 2018 menandai tahun pertama di mana banyak negara bagian mengambil langkah-langkah regulasi aktif untuk mengatasi tantangan ini. Seiring dengan meningkatnya undang-undang keamanan data asuransi, pertanyaan seputar undang-undang tersebut menjadi lebih kompleks bagi perusahaan asuransi.

Peraturan Tambal Sulam

Salah satu masalah terbesar yang dihadapi penyedia asuransi adalah kurangnya persyaratan keamanan data dan privasi yang konsisten di berbagai negara bagian.

Tanggapan negara terhadap perlindungan data dan masalah privasi telah muncul dengan cara tambal sulam. Semua 50 negara bagian saat ini memiliki undang-undang pemberitahuan pelanggaran data, tetapi mayoritas belum membahas keamanan siber dalam konteks asuransi secara khusus, kata Bindu Nair dan Sean B. Hoar, pengacara di Lewis Brisbois Bisgaard & Smith LLP.

Misalnya, undang-undang privasi data California memberi konsumen kontrol yang belum pernah terjadi sebelumnya atas data pribadi mereka, menimbulkan tantangan dan peluang bagi perusahaan asuransi yang beroperasi di negara bagian, kata Don Jergler di Insurance Journal.

Undang-undang ini bervariasi di setiap negara bagian saat ini, tetapi gagasan undang-undang pelanggaran data nasional sedang didukung oleh Departemen Keuangan AS, kata Nair dan Hoar.

Biaya Perlindungan Data

Perubahan peraturan perlindungan data juga menyebabkan masalah biaya bagi perusahaan asuransi properti dan kecelakaan, terutama ketika perusahaan-perusahaan ini sudah menghadapi tantangan kembar dari penurunan pendaftaran asuransi mobil dan meningkatnya klaim kerusakan properti.

“Efek sebenarnya akan menjadi pembengkakan besar untuk biaya kepatuhan, yang kemungkinan bukan bagian dari anggaran lembaga saat ini,” prediksi Richard Fernandez, seorang spesialis kewajiban dunia maya.

Biaya tersebut akan mencakup kebutuhan akan staf yang berdedikasi untuk keamanan siber dan kepatuhan, yang diwajibkan oleh beberapa undang-undang negara bagian yang baru-baru ini diberlakukan. Karena berbagai pengadilan telah mencapai keputusan yang berbeda tentang litigasi perdata yang melibatkan pelanggaran data pelanggan, perusahaan asuransi juga menghadapi lanskap hukum yang semakin kompleks, kata pengacara Kimberly Horn.

Tangan wanita bisnis menganalisis penilaian pada dokumen data

Negara Bagian Mengambil Tindakan terhadap Keamanan Data

Dengan tidak adanya tanggapan federal terpadu terhadap keamanan data asuransi, negara bagian AS telah mulai mengatur pertanyaan itu sendiri. New York dan Rhode Island telah memberlakukan aturan mengenai perlindungan data dan privasi asuransi, sementara Carolina Selatan, Michigan, dan Ohio mengadopsi undang-undang model pada tahun 2018.

Negara bagian tambahan – termasuk Georgia, Illinois, Kentucky, Maryland dan Virginia – sedang mempertimbangkan undang-undang keamanan data asuransi. Perubahan yang diprakarsai negara seperti itu mengharuskan perusahaan asuransi properti dan kecelakaan lokal untuk menghadapi lanskap peraturan yang semakin kompleks, kata Christopher M. Brubaker di PropertyCasualty360.

New York

New York membuka jalan bagi peraturan perlindungan data khusus asuransi. Departemen Layanan Keuangan (DFS) negara bagian menerapkan peraturan keamanan siber pada tahun 2017. Ini mengharuskan perusahaan asuransi untuk menerapkan otentikasi multifaktor untuk akses data dan melaporkan insiden keamanan siber dalam waktu 72 jam. Ini juga melibatkan persyaratan tambahan seputar tata kelola dan akuntabilitas dalam bentuk chief information security officer (CISO), kata Larry Bianculli, direktur pelaksana di CCSI.

Undang-Undang Model Keamanan Data Asuransi NAIC, yang dirilis pada akhir 2017, didasarkan pada peraturan New York. Beberapa negara bagian telah mengadopsi undang-undang model sepenuhnya, sementara yang lain sedang mempertimbangkan RUU yang akan memberlakukan beberapa ketentuan undang-undang model.

Carolina Selatan

Carolina Selatan menjadi berita utama pada Mei 2018 dengan menjadi negara bagian pertama yang mengadopsi Undang-Undang Model Keamanan Data Asuransi NAIC.

Undang-undang Carolina Selatan mewajibkan individu dan perusahaan yang dilisensikan berdasarkan undang-undang asuransi Carolina Selatan untuk memenuhi persyaratan baru terkait keamanan data. Inti dari undang-undang adalah persyaratan untuk membuat program keamanan informasi tertulis yang komprehensif (WISP), kata Nameir Abbas, seorang pengacara di Alston & Bird.

Jika pelanggaran data terjadi, perusahaan asuransi diharuskan untuk menyelidiki peristiwa tersebut, menilai sifat dan ruang lingkupnya, mengidentifikasi informasi yang disusupi dan “melakukan langkah-langkah yang wajar untuk memulihkan keamanan informasi yang disusupi,” kata Joshua Mooney, Richard Borden dan Sedgwick Jeanite di White & Williams LLP. Perusahaan asuransi juga diharuskan melaporkan peristiwa tertentu ke departemen asuransi negara bagian.

Michigan dan Ohio

Michigan dan Ohio juga memberlakukan undang-undang keamanan data asuransi pada Desember 2018, mengadopsi Undang-Undang Model Keamanan Data Asuransi NAIC. Undang-undang baru berlaku untuk setiap individu atau perusahaan yang dilisensikan oleh departemen asuransi masing-masing negara bagian.

Undang-undang Michigan juga menggabungkan beberapa ketentuan dari Undang-Undang Pencegahan Pencurian ID negara bagian, kata Kate Hanniford, seorang pengacara dan anggota tim respons keamanan siber di Alston & Bird.

Undang-undang Ohio hanya mencakup perusahaan asuransi, agensi, dan pialang yang melakukan bisnis di Ohio. “Reasuransi yang berdomisili di luar Ohio serta kelompok retensi risiko dan kelompok pembelian yang disewa dan dilisensikan di negara bagian lain dikecualikan dari Undang-Undang,” kata Edward R. McNicholas dan Thomas D. Cunningham, pengacara dan mitra di Sidley.

Dua pebisnis berbicara tentang kontrak di kantor

Memahami Undang-Undang Model Keamanan Data Asuransi

Undang-Undang Model Keamanan Data Asuransi NAIC “menetapkan kerangka hukum untuk mewajibkan organisasi asuransi untuk mengoperasikan program keamanan siber yang lengkap,” kata Matt Franko, direktur keamanan, privasi, dan risiko di RSM. Kerangka kerja ini mencakup berbagai masalah keamanan data, mulai dari pengujian keamanan siber dan pengawasan dewan hingga rencana respons insiden dan prosedur pemberitahuan pelanggaran.

Model undang-undang telah diadopsi oleh beberapa negara bagian, dan sedang dipertimbangkan di badan legislatif negara bagian tambahan. Popularitasnya membuatnya layak dipertimbangkan oleh perusahaan asuransi P&C, agen, dan broker.

Tiga ketentuan penting mendefinisikan undang-undang ini, kata Andreas Kaitsounis dan Shea M. Leitch, pengacara di Baker Hostetler. Pertama, model undang-undang mendefinisikan informasi nonpublik secara luas, termasuk tidak hanya informasi pribadi pelanggan tetapi juga jenis informasi bisnis sensitif tertentu.

“Sebagai salah satu contoh, ini berarti bahwa peristiwa ransomware yang melumpuhkan operasi bisnis entitas kemungkinan akan memicu kewajiban pemberitahuan bahkan jika peristiwa tersebut tidak melibatkan informasi pribadi,” kata Kaitsounis dan Leitch.

Undang-undang model juga menetapkan persyaratan ketat untuk program keamanan informasi, termasuk program tertulis, rencana respons insiden, dan persyaratan pengawasan baik di dalam organisasi maupun dalam hubungan pihak ketiga.

Akhirnya, ketentuan kerahasiaan undang-undang model cukup luas, melindungi informasi yang terkait dengan peristiwa keamanan siber dari permintaan catatan publik, panggilan pengadilan, atau penggunaan dalam litigasi perdata swasta.

Meskipun NAIC telah secara aktif mempromosikan adopsi hukum modelnya oleh berbagai negara bagian, undang-undang model itu sendiri tidak berpengaruh sampai diberlakukan oleh badan legislatif negara bagian. Hingga saat ini, beberapa negara bagian telah memberlakukan model undang-undang dengan modifikasi agar sesuai dengan sistem regulasi asuransi mereka yang ada.

Misalnya, sementara model undang-undang memberi perusahaan asuransi hanya satu tahun untuk mematuhi peraturannya, Michigan telah memberlakukan sistem untuk menerapkan persyaratan secara bertahap dalam jangka waktu yang lebih lama. Undang-undang tersebut mulai berlaku pada 20 Januari 2021, memberi perusahaan asuransi satu tahun untuk mematuhi sebagian besar ketentuan dan dua tahun untuk memenuhi persyaratan untuk penyedia layanan pihak ketiga, kata Lawrence R. Hamilton, Jeffrey P. Taft dan Matthew Bisanz di PropertyCasualty360.

Model undang-undang mengharuskan perusahaan asuransi untuk mengikuti persyaratan umum negara bagian untuk pemberitahuan pelanggaran data. Namun baik Ohio dan Michigan mengganti bahasa ini dengan persyaratan pemberitahuan pelanggaran data khusus yang hanya berlaku untuk agen asuransi, pialang, dan perusahaan yang tercakup dalam undang-undang tersebut, kata pengacara dan pemegang saham Josephine Cicchetti.

Ketika negara bagian terus menguji iterasi model undang-undang mereka sendiri, operator asuransi perlu mencatat perubahan sifat peraturan privasi data baik di seluruh geografi maupun dari waktu ke waktu.

Gambar oleh: Sergey Nivens/©123RF.com, swollowpp/©123RF.com, stylephotographs/©123RF.com