跳转到主要内容

文章分类

2018年,欧盟委员会将授权《通用数据保护条例》(GDPR),在欧盟28个成员国集中监管,并针对数字时代进行更新。任何针对或监测欧洲公民的实体都需要遵守规定。

这是一次巨大的变革,将对保险公司存储、管理和处理个人数据的方式造成重大影响。

简言之,GDPR

预计欧盟委员会将于2016年5月批准GDPR的最终文本。届时,保险公司将有两年的时间来确保合规。现在的挑战是保险公司将GDPR视为一个被接受的机会,同时也是一个需要克服的挑战。

那么,变化是什么?

  • 数据泄露截止日期

保险公司只有72小时的时间向监管机构披露个人数据泄露,在某些情况下,还可以向受影响的个人披露。

  • 需要更高质量的许可

如果保险公司想依靠法律同意来处理个人数据,就必须满足更严格的法律同意质量要求。客户必须在充分了解每种使用类型的性质的基础上自由地给予同意。保险公司必须能够证明他们已经获得了正确质量的同意。

  • 设计隐私

保险公司将被要求尽量减少个人数据的收集和使用,并且在设计新产品和服务时,保险公司将自动做到这一点。

  • 新的罚款和处罚

监管机构将有权对最严重违反数据保护法的保险公司处以最高2000万欧元或全球年营业额的4%(以较高者为准)的罚款。

  • 处理现在面临风险

客户有权反对将其数据用于风险和定价建模等保险活动,除非保险公司有令人信服的合法理由这样做。客户有权反对直接营销的数据处理。

  • 分析变得更加困难

保险公司通常不会被允许纯粹基于自动处理(包括分析)来对客户做出决定,除非他们已经确立了这样做的合法权利,通常是基于合同的。

  • 被遗忘的新权利

客户将有权要求保险公司删除其原始目的不再需要的个人数据,或他们已撤回同意的个人数据。

  • 保证便携性

客户在切换公司时,有权要求将其个人数据从一家保险公司转移到另一家。保险公司有义务促成这一点。

  • 国际数据传输

虽然欧盟的数据传输规则没有根本改变,但将加强对现有机制的监管,以确保个人数据在国外受到适当保护。

  • 数据保护官员

一些评论员将GDPR解释为要求在保险行业强制雇佣数据保护官(DPO)。普华永道认为,在所有情况下,DPO都是一个良好治理问题。

GDPR将如何影响您?

许多大型保险公司对进入其组织的数据没有很好的监督,也没有对他们已经持有的数据的看法——单个客户可能会在多个系统中生成多个数据条目。与老化的技术和遗留系统作斗争,很少有保险公司能够引入全面的数据治理政策。因此,尽管他们热衷于发掘数据的价值,但他们不知道自己最有价值的信息存储在哪里,更不用说拥有遵守GDPR所需的可见性。

GDPR的监管要求为保险公司带来了一些非常具体的问题,而不合规的成本将非常高,无论是潜在的罚款还是更广泛的声誉损害。例如,对于那些没有事件检测机制和上报流程的公司来说,要在72小时内完全披露数据泄露的最后期限内准确报告所泄露的内容是不可能的。保险公司还需要做好准备,将客户的数据传输给新的提供商,或在要求时将其删除。要做到这一点,保险公司需要有响应流程,并知道他们的数据在哪里。

同样,要求获得更高质量的同意,即使是从现有客户那里获得数据处理,也将是一个令人头疼的问题。一些国家将需要重大的文化转变。例如,随着新客户的获得,产品和服务的开发,保险公司将需要考虑“设计隐私”和“被遗忘的权利”等因素。

更广泛的担忧是,GDPR威胁到保险公司的创新渠道,甚至威胁到他们的竞争能力。有一个明显的威胁,即保险行业的新进入者不受遗留负担的约束,可以从头开始构建自己的系统,并从一开始就遵守GDPR。

尽管如此,保险公司确实需要将GDPR视为一个被接受的机会和一个需要克服的困难。随着保险公司寻求快速创新,新法规所要求的系统和流程更新可能被证明是积极的。将合规努力与从数据和分析中获得竞争优势的努力相结合,将使首席数据官(CDO)及其团队别无选择,只能以客户为中心。那些能够确保数据优势的保险公司可能会认为GDPR的影响是良性的,甚至是积极的。

下一步是什么?

保险公司现在必须迅速采取行动,解决GDPR带来的问题,并抓住其带来的机遇。

第一件事

保险公司必须首先评估GDPR在其风险偏好范围内的位置,并审视其可能带来的机会。他们还需要对与新法规相关的当前状态进行评估。大多数组织在弥补差距方面还有很多工作要做,我们建议采用基于风险的方法来实现合规。基于风险的方法考虑了组织的具体特征(例如个人数据类型、客户互动的性质、地理运营等),并将这些因素与差距和风险偏好放在一起。

在评估和优先排序阶段之后,组织可能需要执行以下一项或多项示例活动:

  • 了解您拥有什么以及它在哪里
  • 保险公司的当务之急是准确识别他们已经拥有的数据,以及这些信息的存储方式和位置。
  • 这将既适用于现有数据存储,也适用于新数据,这些数据存储可能分布在无数系统中,以不同的形式保存,而且往往难以协调。

审计过程的一个关键部分是了解所持有的每个数据元素都获得了哪些同意和许可。如果GDPR中缺少或不够明确的同意,可能需要联系客户以获得适当的许可。

在第一阶段响应结束时,保险公司应:

  • 了解保存了哪些数据、数据在哪里以及谁可以访问这些数据
  • 清楚地了解第三方访问数据所带来的任何额外风险
  • 确保数据仅以客户同意的方式使用
  • 知道他们的数据受到了多好的保护。


考虑您当前如何在整个业务中使用数据,以及您希望如何使用数据。

保险公司在不同的职能部门以不同的方式使用数据,许多公司正在开拓创新的工具和技术,有可能降低成本、限制风险并促进收入增长。现在,他们必须研究他们数据的每一个用例(无论是当前的还是正在开发中的),以确定在GDPR下哪些仍然可行,哪些需要改变。这一过程必须在每个功能中进行,包括以下示例。

声称

保险公司已经在减少欺诈的斗争中使用数据和分析工具——为了所有人的利益——还有更多的机会可以探索;例如,社交媒体能否为欺诈索赔提供有价值的证据?然而,关于数据处理所需同意的新规定可能会对这项工作构成威胁。

定价

保险公司对远程信息技术的潜力感到兴奋,这有助于他们在更加定制的基础上为保单定价。新法规将限制远程信息处理数据在未经同意的情况下的使用方式——将这些信息货币化肯定会变得更加困难。

承销

丰富的数据使保险公司能够识别越来越小的同质风险池,特别是通过引入非传统保险数据,如客户的信用记录和健康记录,甚至是地理位置工具的数据。

客户将在多大程度上同意GDPR下的此类数据尚不得而知。有价值的健康数据可能是一个特别棘手的问题。

营销

市场营销越来越依赖于高度复杂的数据和分析工具,这些工具能够向客户传递个性化信息,从而促进获取和留住客户。对于2018年后的保险营销人员来说,这可能会变得更加困难,因为GDPR为客户提供了反对使用个人数据进行直接营销的权利。如果国际保险集团为了交叉销售而在公司内部共享信息,对数据传输的新限制可能会有问题。

在每一个职能部门和整个业务部门,保险公司都需要评估他们目前所做的以及他们希望在未来所做的是否符合GDPR的要求。这将决定是否需要新的同意和披露,或者某些活动是否将被禁止。

在第二阶段结束时,保险公司应:

  • 对数据隐私对整个企业意味着什么有组织的看法
  • 通常将数据保护和隐私问题纳入整体业务战略
  • 相信他们的系统和流程足够灵活,能够促进创新
  • 随着监管环境的发展,做好进一步改变的准备。

 

如何提供帮助?

我们可以与您合作,了解数据保护和隐私是如何影响您的组织的,无论是在今天还是在GDPR下,我们都可以帮助您解开数据保护和保密的神秘面纱(包括其含义和相关要求)。

  • 您可以完成我们的准备就绪评估测试,帮助您识别弱点和差距。
  • 我们可以为您提供一个全球性的多学科团队,该团队包括风险保证、法律和取证能力以及跨部门专业知识。
  • 我们的团队可以帮助您制定隐私投资策略,并建议隐私管理方法,包括角色和责任、治理和报告。
  • 我们将向您展示与保险最相关的威胁,并可以帮助您确定对您的组织最重要的是什么,它在哪里,以及谁可以访问它。
  • 定制培训可以确保您的员工和供应商正确参与、接受培训并了解其职责。
文章链接