Per 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden. Dit houdt in dat verzekeringsmaatschappijen een ernstig datalek zo spoedig mogelijk moeten melden bij de Autoriteit Persoonsgegevens. Bij verzekeringsmaatschappijen is de kans op een datalek bij een beveiligingsincident extra groot. Allereerst komt dit door de gevoelige aard van de gegevens die worden verzameld, waaronder medische gegevens en persoonsnummers. Ten tweede zijn verzekeraars vaak extra kwetsbaar vanwege de omvang van de gegevensverzamelingen, waarbij diezelfde gegevensomvang maakt dat deze organisaties een aantrekkelijk doelwit zijn voor hackers.
Incidentenbeheer
Het is onmogelijk om beveiligingsincidenten helemaal uit te sluiten. Daarom is het van belang dat verzekeraars veel aandacht besteden aan intern incidentenbeheer. Veel bedrijven doen er verstandig aan om de organisatie in zijn geheel te betrekken en te informeren over de nieuwe regels omtrent datalekken, zodat er sneller en efficiënter actie kan worden ondernomen als een beveiligingsincident zich voordoet.
Botsende belangen
Verzekeraars krijgen steeds meer te maken met interne botsende belangen. Zo is het voor de goede bedrijfsvoering van belang om zo veel mogelijk gegevens te verzamelen. Echter, voor een adequate bescherming van persoonsgegevens moeten verzekeraars juist zo min mogelijk gegevens opslaan waarbij er elke keer een zorgvuldige afweging moet worden gemaakt van de noodzaak en duur van de verwerking van persoonsgegevens. Verder worden persoonsgegevens binnen een verzekeringsmaatschappij vanuit praktische overwegingen vaak over een keten verdeeld, hetgeen juist extra risico’s als gevolg kan hebben indien deze persoonsgegevens worden gewist, gewijzigd of ontoegankelijk worden bij een datalek.
Juridische beschermingsmaatregelen
Naast organisatorische- en technische beschermingsmaatregelen kunnen verzekeringsmaatschappijen ook juridische maatregelen treffen om schade van datalekken te voorkomen of te verminderen. Zo zijn verzekeraars volgens de Wet Bescherming Persoonsgegevens vaak verantwoordelijk voor de verwerking van persoonsgegevens, ook als deze verwerking uit handen wordt gegeven aan een technische partij: de bewerker. Door een bewerkersovereenkomst af te sluiten met bewerkers, waaronder hostingproviders en aanbieders van Clouddiensten, kunnen verzekeraars een deel van de verantwoordelijkheid voor de bescherming van persoonsgegevens verschuiven naar de bewerker.
Zo moeten verzekeraars bij de beveiliging van persoonsgegevens altijd rekening houden met de stand van de techniek. Wat op het ene moment nog een techniek is waardoor gegevens goed kunnen worden geanonimiseerd, kan dankzij technische ontwikkelingen op een later moment niet meer voldoende zijn voor een goede bescherming van persoonsgegevens. Om dit probleem te voorkomen kunnen verzekeraars in een bewerkersovereenkomst opnemen dat de bewerker te allen tijde wordt verplicht om beveiligingsmaatregelen nemen rekening houdend met de actuele stand van de techniek.
Eva Lammers
Joke Schraagen
Marjolein Meijer