Những điều mọi nhà cung cấp dịch vụ P&C cần biết về bảo vệ dữ liệu và quyền riêng tư
Vi phạm dữ liệu đã trở thành tiêu đề trên khắp thế giới vào năm 2018. Các công ty như T-Mobile, Quora, Google, Orbitz và Facebook đã bị ảnh hưởng, làm lộ thông tin cá nhân của hàng triệu người.
Bảo vệ dữ liệu và quyền riêng tư là những vấn đề nghiêm trọng trong thế giới siêu kết nối ngày nay và chúng đang chiếm vị trí trung tâm trong nhiều cơ quan lập pháp tiểu bang. Những rủi ro và thách thức của bảo mật dữ liệu nên là mối quan tâm hàng đầu đối với các công ty, đại lý và nhà môi giới trong lĩnh vực bảo hiểm tài sản và thương vong.
Các vấn đề hàng đầu về bảo mật, bảo mật và quyền riêng tư dữ liệu bảo hiểm
Các câu hỏi về bảo mật, bảo vệ và quyền riêng tư dữ liệu phát sinh hàng ngày. Điều gì gây ra các cuộc tấn công này, và làm thế nào chúng có thể được ngăn chặn?
“Vi phạm dữ liệu có thể xảy ra vì nhiều lý do. Một số công ty bị tấn công. Dữ liệu có thể bị xử lý sai hoặc bán cho bên thứ ba. Các lỗ hổng trong hệ thống bảo mật của trang web có thể khiến thông tin không được bảo vệ”, Paige Leskin tại Business Insider cho biết.
Các công ty phải đối mặt với nhu cầu cấp bách liên tục để bảo vệ dữ liệu khách hàng và doanh nghiệp trong khi vẫn làm cho giao tiếp trở nên đơn giản và dễ tiếp cận cho tất cả mọi người. Năm 2018 đánh dấu năm đầu tiên nhiều tiểu bang thực hiện các biện pháp quản lý tích cực để giải quyết thách thức này. Khi luật bảo mật dữ liệu bảo hiểm tăng lên, các câu hỏi xung quanh các luật như vậy trở nên phức tạp hơn đối với các công ty bảo hiểm.
Quy định chắp vá
Một trong những vấn đề lớn nhất mà các nhà cung cấp bảo hiểm phải đối mặt là thiếu các yêu cầu về bảo mật dữ liệu và quyền riêng tư nhất quán trên các tiểu bang khác nhau.
Phản ứng của nhà nước đối với các mối quan tâm về bảo vệ dữ liệu và quyền riêng tư đã xuất hiện theo kiểu chắp vá. Tất cả 50 tiểu bang hiện có luật thông báo vi phạm dữ liệu, nhưng phần lớn chưa đề cập cụ thể đến an ninh mạng trong bối cảnh bảo hiểm, Bindu Nair và Sean B. Hoar, luật sư tại Lewis Brisbois Bisgaard &; Smith LLP cho biết.
Ví dụ, luật bảo mật dữ liệu của California cung cấp cho người tiêu dùng quyền kiểm soát chưa từng có đối với dữ liệu cá nhân của họ, đặt ra cả thách thức và cơ hội cho các công ty bảo hiểm hoạt động trong tiểu bang, Don Jergler nói trong Tạp chí Bảo hiểm.
Các luật này hiện khác nhau tùy theo tiểu bang, nhưng ý tưởng về luật vi phạm dữ liệu trên toàn quốc đang được Bộ Tài chính Hoa Kỳ xác nhận, Nair và Hoar nói.
Chi phí bảo vệ dữ liệu
Những thay đổi trong các quy định bảo vệ dữ liệu cũng dẫn đến những lo ngại về chi phí cho các công ty bảo hiểm tài sản và thương vong, đặc biệt là khi các công ty này đã phải đối mặt với những thách thức kép là đăng ký bảo hiểm ô tô giảm và yêu cầu bồi thường thiệt hại tài sản gia tăng.
“Hiệu quả thực sự sẽ là một sự phình to lớn đối với chi phí tuân thủ, có khả năng không phải là một phần của ngân sách hiện tại của tổ chức”, Richard Fernandez, một chuyên gia trách nhiệm pháp lý mạng dự đoán.
Chi phí sẽ bao gồm nhu cầu về nhân viên chuyên về an ninh mạng và tuân thủ, được yêu cầu bởi một số luật tiểu bang được ban hành gần đây. Khi các tòa án khác nhau đã đưa ra các quyết định khác nhau về kiện tụng dân sự liên quan đến vi phạm dữ liệu khách hàng, các công ty bảo hiểm cũng phải đối mặt với bối cảnh pháp lý ngày càng phức tạp, luật sư Kimberly Horn nói.
Các quốc gia thực hiện hành động về bảo mật dữ liệu
Trong trường hợp không có phản ứng thống nhất của liên bang đối với bảo mật dữ liệu bảo hiểm, các tiểu bang Hoa Kỳ đã bắt đầu tự điều chỉnh câu hỏi. New York và Rhode Island đã ban hành các quy tắc liên quan đến bảo vệ dữ liệu bảo hiểm và quyền riêng tư, trong khi Nam Carolina, Michigan và Ohio đã thông qua luật mẫu vào năm 2018.
Các tiểu bang khác – bao gồm Georgia, Illinois, Kentucky, Maryland và Virginia – đang xem xét luật bảo mật dữ liệu bảo hiểm. Những thay đổi do nhà nước khởi xướng như vậy đòi hỏi các công ty bảo hiểm tài sản và thương vong địa phương phải đối mặt với bối cảnh pháp lý ngày càng phức tạp, Christopher M. Brubaker tại PropertyCasualty360 nói.
Nữu Nữu
New York đã mở đường cho các quy định bảo vệ dữ liệu cụ thể về bảo hiểm. Bộ Dịch vụ Tài chính (DFS) của tiểu bang đã thực hiện quy định an ninh mạng vào năm 2017. Nó yêu cầu các công ty bảo hiểm thực hiện xác thực đa yếu tố để truy cập dữ liệu và báo cáo các sự cố an ninh mạng trong vòng 72 giờ. Nó cũng liên quan đến các yêu cầu bổ sung xung quanh quản trị và trách nhiệm giải trình dưới hình thức giám đốc an ninh thông tin (CISO), Larry Bianculli, giám đốc điều hành tại CCSI cho biết.
Luật Mô hình Bảo mật Dữ liệu Bảo hiểm NAIC, được phát hành vào cuối năm 2017, dựa trên các quy định của New York. Một số tiểu bang đã áp dụng luật mẫu hoàn toàn, trong khi những tiểu bang khác đang xem xét các dự luật sẽ ban hành một số điều khoản của luật mẫu.
Nam Carolina
Nam Carolina đã gây chú ý vào tháng 5 năm 2018 bằng cách trở thành tiểu bang đầu tiên áp dụng Luật Mô hình Bảo mật Dữ liệu Bảo hiểm NAIC.
Luật của Nam Carolina yêu cầu cả cá nhân và công ty được cấp phép theo luật bảo hiểm của Nam Carolina phải đáp ứng các yêu cầu mới về bảo mật dữ liệu. Trọng tâm của luật pháp là yêu cầu tạo ra một chương trình bảo mật thông tin bằng văn bản toàn diện (WISP), Nameir Abbas, một luật sư tại Alston &; Bird nói.
Nếu vi phạm dữ liệu xảy ra, các công ty bảo hiểm được yêu cầu điều tra sự kiện, đánh giá bản chất và phạm vi của nó, xác định thông tin bị xâm phạm và “thực hiện các biện pháp hợp lý để khôi phục tính bảo mật của thông tin bị xâm phạm”, Joshua Mooney, Richard Borden và Sedgwick Jeanite tại White &; Williams LLP cho biết. Các công ty bảo hiểm cũng được yêu cầu báo cáo một số sự kiện nhất định cho bộ phận bảo hiểm của tiểu bang.
Michigan và Ohio
Michigan và Ohio cũng đã ban hành luật bảo mật dữ liệu bảo hiểm vào tháng 12 năm 2018, áp dụng Luật mô hình bảo mật dữ liệu bảo hiểm NAIC. Luật mới áp dụng cho bất kỳ cá nhân hoặc công ty nào được cấp phép bởi các bộ phận bảo hiểm của các tiểu bang tương ứng.
Luật của Michigan cũng kết hợp một số điều khoản của Đạo luật Phòng chống Trộm cắp ID của tiểu bang, Kate Hanniford, một luật sư và thành viên nhóm phản ứng an ninh mạng tại Alston &; Bird cho biết.
Luật của Ohio chỉ bao gồm các công ty bảo hiểm, đại lý và môi giới kinh doanh tại Ohio. “Các công ty tái bảo hiểm có trụ sở bên ngoài Ohio cũng như các nhóm duy trì rủi ro và các nhóm mua hàng được thuê và cấp phép ở một tiểu bang khác bị loại trừ khỏi Đạo luật,” Edward R. McNicholas và Thomas D. Cunningham, luật sư và đối tác tại Sidley nói.
Hiểu Luật mẫu bảo mật dữ liệu bảo hiểm
Luật mẫu bảo mật dữ liệu bảo hiểm NAIC “thiết lập một khung pháp lý để yêu cầu các tổ chức bảo hiểm vận hành các chương trình an ninh mạng hoàn chỉnh”, Matt Franko, giám đốc bảo mật, quyền riêng tư và rủi ro tại RSM cho biết. Khung này bao gồm một loạt các vấn đề bảo mật dữ liệu, từ kiểm tra an ninh mạng và giám sát hội đồng quản trị đến các kế hoạch ứng phó sự cố và quy trình thông báo vi phạm.
Luật mẫu đã được một số tiểu bang thông qua và nó đang được xem xét trong các cơ quan lập pháp tiểu bang bổ sung. Sự phổ biến của nó làm cho nó đáng được xem xét bởi các công ty bảo hiểm, đại lý và môi giới P&C.
Ba điều khoản đáng chú ý xác định luật này, theo Andreas Kaitsounis và Shea M. Leitch, luật sư tại Baker Hostetler. Đầu tiên, luật mẫu định nghĩa thông tin không công khai một cách rộng rãi, bao gồm không chỉ thông tin cá nhân của khách hàng mà còn một số loại thông tin kinh doanh nhạy cảm.
“Chỉ là một ví dụ, điều này có nghĩa là một sự kiện ransomware làm tê liệt hoạt động kinh doanh của một thực thể có thể sẽ kích hoạt nghĩa vụ thông báo ngay cả khi sự kiện không liên quan đến thông tin cá nhân”, Kaitsounis và Leitch nói.
Luật mẫu cũng đặt ra các yêu cầu nghiêm ngặt đối với các chương trình bảo mật thông tin, bao gồm các chương trình bằng văn bản, kế hoạch ứng phó sự cố và yêu cầu giám sát cả trong tổ chức và trong các mối quan hệ của bên thứ ba.
Cuối cùng, các điều khoản bảo mật của luật mẫu khá rộng, bảo vệ thông tin liên quan đến các sự kiện an ninh mạng khỏi các yêu cầu hồ sơ công khai, trát đòi hầu tòa hoặc sử dụng trong các vụ kiện dân sự tư nhân.
Mặc dù NAIC đã tích cực thúc đẩy việc áp dụng luật mẫu của mình bởi các tiểu bang khác nhau, bản thân luật mẫu không có hiệu lực cho đến khi nó được ban hành bởi cơ quan lập pháp tiểu bang. Cho đến nay, một số tiểu bang đã ban hành luật mẫu với những sửa đổi cho phù hợp với hệ thống quy định bảo hiểm hiện có của riêng họ.
Ví dụ, trong khi luật mẫu chỉ cho phép các công ty bảo hiểm tuân thủ các quy định của mình, Michigan đã ban hành một hệ thống để thực hiện các yêu cầu trong một thời gian dài hơn. Luật có hiệu lực vào ngày 20 tháng 1 năm 2021, cho phép các công ty bảo hiểm một năm tuân thủ hầu hết các điều khoản và hai năm để đáp ứng các yêu cầu đối với các nhà cung cấp dịch vụ bên thứ ba, Lawrence R. Hamilton, Jeffrey P. Taft và Matthew Bisanz tại PropertyCasualty360 cho biết.
Luật mẫu yêu cầu các công ty bảo hiểm phải tuân theo các yêu cầu chung của tiểu bang về thông báo vi phạm dữ liệu. Tuy nhiên, cả Ohio và Michigan đã thay thế ngôn ngữ này bằng các yêu cầu thông báo vi phạm dữ liệu cụ thể chỉ áp dụng cho các đại lý bảo hiểm, nhà môi giới và các công ty thuộc phạm vi điều chỉnh của đạo luật, luật sư và cổ đông Josephine Cicchetti nói.
Khi các tiểu bang tiếp tục thử nghiệm các lần lặp lại luật mẫu của riêng họ, các hãng bảo hiểm sẽ cần lưu ý bản chất thay đổi của các quy định bảo mật dữ liệu cả trên các khu vực địa lý và theo thời gian.
Ảnh: Sergey Nivens/©123RF.com, swollowpp/©123RF.com, stylephotoss/©123RF.com