In einem zunehmend komplexen Regulierungsumfeld sind Versicherungsunternehmen mit zahlreichen – und sich oft überschneidenden – Datenschutz- und Sicherheitsvorschriften konfrontiert.
In diesem Artikel erhalten Sie eine detaillierte Analyse der neuesten und aktuellsten Maßnahmen und regulatorischen Trends, die für Versicherer gelten – oder bald gelten könnten.
Hierzu gehören die Kalifornisches Verbraucherschutzgesetz (CCPA), seine geänderte Kalifornisches Datenschutzgesetz (CPRA), Die Gramm Leach Bliley Act (GLBA), Die Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA), Landesgesetze wie (NYDFS) und New York SHIELD, NAICs Modell-Sicherheitsgesetz und die bevorstehenden Änderungen – und viele andere Maßnahmen, die sowohl derzeit in Kraft sind als auch in der Zukunft liegen.
Informieren Sie sich außerdem darüber, wie CCPA und CPRA Ausnahmen für Versicherer vorsehen, die GLBA, HIPAA und andere bestehende Vorschriften einhalten – und was Sie jetzt tun können, um ein umfassendes Datenprogramm aufzubauen, das die Einhaltung der Vorschriften gewährleistet.
Auswirkungen des CCPA auf Versicherungsunternehmen
Das CCPA ist – neben dem geänderten California Privacy Rights Act (CPRA), der im November 2020 per Referendum verabschiedet wurde – das erste umfassende Datenschutzgesetz eines Bundesstaates, das die Erhebung, Verwendung, den Verkauf und die Weitergabe personenbezogener Daten (PI) von Verbrauchern regelt.
Unter CCPA wird PI allgemein als jegliche Information definiert, die eine bestimmte Person oder einen bestimmten Haushalt identifiziert, sich auf sie bezieht, sie beschreibt, vernünftigerweise mit ihr in Verbindung gebracht werden kann oder vernünftigerweise direkt oder indirekt mit ihr verknüpft werden könnte.
Die kommende CPRA fügt die neue Definition von sensible personenbezogene Daten (SPI). SPI ist eine Untergruppe von PI und umfasst Daten wie staatliche Kennungen, Konto- und Anmeldeinformationen, genetische Daten, biometrische Informationen und mehr – für alle gelten strengere Anforderungen hinsichtlich Transparenz, Weitergabe und Verantwortung zur Risikominderung.
CCPA gilt für „Unternehmen“ – definiert als gewinnorientierte Unternehmen, die den Zweck und die Mittel der Verarbeitung von Verbraucherdaten bestimmen –, die in Kalifornien tätig sind und bestimmte Anwendbarkeitsschwellenwerte erfüllen. Versicherer, die in Kalifornien tätig sind und diese Schwellenwerte erfüllen, unterliegen einer Reihe von Verpflichtungen, darunter Anforderungen in Bezug auf Offenlegung und Datenrechte.
GLBA, HIPAA und staatliche Datenschutzgesetze, die für Versicherer gelten
Versicherer, die Einzelpersonen Produkte oder Dienstleistungen für deren persönliche, familiäre oder Haushaltszwecke anbieten, unterliegen möglicherweise dem Health Information Portability & Accountability Act (HIPAA) und dem Gramm Leach Bliley Act (GLBA) auf Bundes- und Landesebene.
Auch die Datenschutzgesetze der Bundesstaaten können für Versicherer eine Herausforderung darstellen, wenn sie versuchen, in mehreren Bundesstaaten ähnliche, aber leicht unterschiedliche Verpflichtungen und Beschränkungen einzuhalten.
Viele dieser Landesgesetze basieren auf der Modellverordnung 670 der National Association of Insurance Commissioners (NAIC) zum Datenschutz bei Finanz- und Gesundheitsinformationen von Verbrauchern. Einige Landesgesetze sehen jedoch Einschränkungen vor, die über die GLBA oder das Modell 670 hinausgehen.
Zu den Verpflichtungen, die den Versicherern durch GLBA und staatliche Gesetze auferlegt werden, gehören unter anderem Mitteilungspflichten und Anforderungen im Zusammenhang mit Weitergabe personenbezogener Daten an DritteEinige Landesgesetze sehen außerdem Zugriffs-, Korrektur- und Löschungsrechte für die vom Versicherer erhobenen Daten vor.
Ausnahmen gemäß CCPA für Versicherungsunternehmen
Die überwiegende Mehrheit der Daten, die viele Versicherer erheben, verarbeiten und speichern, fällt möglicherweise unter eine Ausnahmeregelung des CCPA. Der CCPA sieht Ausnahmen vor für:
- PI, die gemäß dem Gramm-Leach-Bliley Act (GLBA) gesammelt, verarbeitet, verkauft oder offengelegt werden
- PI, die gemäß dem California Financial Information Privacy Act (CalFIPA) gesammelt, verarbeitet, verkauft oder offengelegt werden
- Persönliche Gesundheitsinformationen, die von einer abgedeckten Einheit oder einem Geschäftspartner gemäß der Definition im Health Insurance Portability and Accountability Act (HIPAA) erfasst werden
- Medizinische Informationen, die von einer abgedeckten Einheit oder einem Geschäftspartner gemäß der Definition im California Confidentiality of Medical Information Act (CCMIA) gesammelt wurden
- Abgedeckte Einheiten (wie in HIPAA definiert), sofern die Einheit Patienteninformationen auf die gleiche Weise wie persönliche Gesundheitsinformationen verwaltet
Beginnen Sie damit, Ihre Daten zu kennen
Die erste Herausforderung für Versicherer, die dem CCPA und anderen staatlichen Datenschutzgesetzen unterliegen, besteht darin, den Umfang ihrer Verpflichtungen zu bestimmen. Dazu gehört die Kategorisierung aller von ihnen erhobenen, verarbeiteten und offengelegten Daten.
Um die Anwendbarkeitsvoraussetzungen zu bestimmen, ist es für die Versicherer entscheidend, dass sie eine umfassendes Dateninventar das die Kategorien, Quellen und Verwendungszwecke der von ihnen gesammelten Informationen sowie die Kategorien der Daten bewertet, die sie an Dritte weitergeben.
Ohne eine umfassende Dateninventur kann es für einen Versicherer nahezu unmöglich sein, festzustellen, ob PI unter eine CCPA-Ausnahme fällt.
Bestimmen Sie, welche Daten dem CCPA und CPRA unterliegen
Bei der Kategorisierung von Daten müssen Versicherer besonders darauf achten, die Datentypen zu identifizieren, die nicht von GLBA, CalFIPA, HIPAA oder CCMIA abgedeckt sind und daher dem CCPA unterliegen.
Beispielsweise unterliegen die personenbezogenen Daten (PI) und die persönlichen Daten (SPI) von Bewerbern, Mitarbeitern und unabhängigen Auftragnehmern sowie die personenbezogenen Daten von Website-Besuchern voraussichtlich dem CCPA. Mit Blick auf den CPRA könnten die neuen Opt-out-Anforderungen für die Weitergabe verhaltensbasierter Werbung gelten. Wenn Versicherer Leads oder potenzielle Kunden gewinnen, können diese Informationen ebenfalls den CCPA-Bestimmungen unterliegen.
Bestimmen Sie die Datenrechtsverpflichtungen über CCPA hinaus
CCPA führt neue Datenschutzrechte für Verbraucher in Kalifornien ein, darunter:
- das Recht auf Zugang zu ihren Daten und Erhalt einer Kopie davon
- das Recht, die Löschung ihrer Daten zu verlangen
- das Recht, dem Verkauf oder der Weitergabe ihrer Daten zu widersprechen
Auch wenn ein Versicherer von der Erfüllung bestimmter Anforderungen des CCPA befreit sein kann, ist er dennoch verpflichtet, die durch GLBA, CalFIPA, HIPAA und CCMIA gewährleisteten Datenrechte einzuhalten.
Darüber hinaus müssen Versicherer voraussichtlich die Zugriffs-, Korrektur- und Löschungsrechte nach den Gesetzen der Bundesstaaten außerhalb Kaliforniens erfüllen. Daher ist es unerlässlich, dass Versicherer eine Methode implementieren, um diese Anfragen gemäß den verschiedenen gesetzlichen Anforderungen des Bundesstaates – nicht nur gemäß CCPA – zu verfolgen und zu beantworten.
Die Notwendigkeit von Datenflussprüfungen
Das kalifornische Gesetz enthält strenge Vorschriften in Bezug auf den „Verkauf“ oder die „Weitergabe“ von PI und SPI.
Bei allen Informationen, die dem CCPA unterliegen, müssen die Versicherer die Datenströme überprüfen, die sie an Dritte weitergeben, und ihre Verträge gegebenenfalls überarbeiten, um zu vermeiden, dass die Daten im Sinne des Gesetzes als „Verkauf“ oder „Weitergabe“ gelten.
Versicherer sollten sich außerdem darüber im Klaren sein, dass die bevorstehende CPRA neue vertragliche Regelungen mit Dienstleistern erfordert. Das bedeutet, dass Versicherungsunternehmen, die der CPRA unterliegen, sicherstellen müssen, dass die Parteien, mit denen sie zusammenarbeiten, ebenfalls über geeignete Sicherheitsmaßnahmen verfügen, um die GLBA, die staatlichen Gesetze zur Umsetzung der GLBA und alle neuen branchenspezifischen Datenschutzgesetze einzuhalten.
Anforderungen an die Datenaufbewahrung
Die bevorstehende CPRA enthält neue Anforderungen in Bezug auf Datensparsamkeit und DatenaufbewahrungDaher sollten Versicherer ein Datensatzverwaltungsprogramm einführen, das festlegt, wie lange Daten aufbewahrt werden müssen.
Um die CPRA sowie andere staatliche Vorschriften hinsichtlich der Aufbewahrungsdauer bestimmter Aufzeichnungen einzuhalten, müssen die Versicherer offenlegen, wie lange sie Daten aufbewahren, und sicherstellen, dass der Zeitraum nur so lang ist, wie es „vernünftigerweise erforderlich“ ist.
Angesichts der vielfältigen Deckungsmöglichkeiten, die Versicherungsanbieter ihren Kunden anbieten, ist die Art der Police oder des Tarifs entscheidend dafür, was gerettet und was weggeworfen werden kann. Beispielsweise müssen „ereignisbasierte Policen“, die langfristigen Schutz bieten und alle während der Laufzeit auftretenden Schäden abdecken – unabhängig vom Zeitpunkt der Schadensmeldung – möglicherweise unbegrenzt aufrechterhalten werden.
Bei „Claim-Made-Policen“, die Ansprüche abdecken, die während der Laufzeit der Police geltend gemacht oder eingereicht werden – und die möglicherweise eine „Tail“-Verlängerung des Versicherungsschutzes nach Ablauf der Police beinhalten – ist es hingegen weniger wahrscheinlich, dass sie langfristige Auswirkungen haben und mit einer angemessenen Aufbewahrungsfrist abgeschlossen werden können, wenn die Police nicht mehr aktiv ist.
Datensicherheitsanforderungen über CCPA hinaus
Zusätzlich zu den Datenschutzanforderungen, die Versicherer erfüllen müssen, gibt es eine wachsende Zahl staatlicher Datenschutzgesetze und -vorschriften, die sich an die Versicherungsbranche richten.
Die Cybersicherheitsanforderungen des New York Department of Financial Services (NYDFS) für Finanzdienstleistungsunternehmen (Teil 500), die am 1. März 2019 vollständig in Kraft traten, sind eine der ersten Cybersicherheitsvorschriften für Finanzdienstleistungsunternehmen – einschließlich Versicherungsunternehmen –, die unter anderem schriftliche Informationssicherheitsprogramme verabschieden, die sich mit dem Schutz nichtöffentlicher Informationen und Informationssysteme befassen.
Der New York SHIELD Act umfasst zudem ein breites Spektrum an betroffenen Unternehmen und eine extraterritoriale Dimension. Dies bedeutet, dass die meisten Versicherungsunternehmen den verbindlichen Sicherheitsanforderungen des Gesetzes unterliegen. Diese Sicherheitsanforderungen umfassen administrative, technische und physische Schutzmaßnahmen.
Die National Association of Insurance Commissioners (NAIC), die separat ein Modellgesetz zur Cybersicherheit vorbereitet hatte, hat das Modellgesetz zur Datensicherheit in der Versicherungsbranche (Model Security Law) verabschiedet, das dem NYDFS sehr ähnelt. Obwohl das NYFDS strengere Vorschriften enthält als das Model Security Law, legen beide Gesetze Standards für die Datensicherheit in der Versicherungsbranche fest – einschließlich Untersuchungs- und Meldepflichten im Falle eines Datensicherheitsvorfalls.
Neben den branchenspezifischen Gesetzen und Vorschriften der einzelnen Bundesländer unterliegen Versicherer auch den allgemeinen Datenschutzgesetzen der Bundesländer, in denen sie tätig sind. Diese Maßnahmen umfassen Daten, die Versicherer außerhalb des Versicherungskontexts erfassen – beispielsweise personenbezogene Daten von Mitarbeitern.
Bisher haben 13 Bundesstaaten das Modellsicherheitsgesetz übernommen – und jeder Bundesstaat passt es an seine eigenen Bedürfnisse an. Obwohl es einige Unterschiede zwischen dem NYFDS, dem Modellsicherheitsgesetz und den bundesstaatlichen Versionen des Modellsicherheitsgesetzes gibt, sind sie inhaltlich alle ähnlich.
Alle diese Maßnahmen erfordern von den Versicherern:
- Führen Sie eine Risikobewertung durch
- Implementieren und pflegen Sie ein Cybersicherheitsprogramm, das auf identifizierten Risiken basiert
- Entwickeln, Implementieren und Aufrechterhalten eines Reaktionsplans für Sicherheitsverletzungen
- Überwachung von Drittanbietern
- Datensicherheitsvorfälle untersuchen und melden
- die Einhaltung des jeweiligen Gesetzes/Modellverordnung bescheinigen
NAIC und das kommende Modell-Datenschutzgesetz
Im vergangenen Jahr hat NAIC an der Aktualisierung eines Musterdatenschutzgesetzes gearbeitet, das an die aktuellen Datenschutzansätze angepasst werden soll, die im Sicherheitsmustergesetz, im CCPA und in der Datenschutz-Grundverordnung (DSGVO) der EU zum Ausdruck kommen.
Die für die Aktualisierungen zuständige Arbeitsgruppe soll Empfehlungen abgeben, ob und in welchem Umfang eine Auffrischung erforderlich ist. Fünf Schlüsselbereiche werden geprüft:
- Arten der Datenerfassung, -freigabe und -nutzung, die für Versicherer spezifisch sind
- Wie sich Datenschutzrisiken auf Versicherungskunden auswirken
- Lücken im Bundes- und Landesrecht
- Verpflichtungen der Versicherer gegenüber den Verbrauchern
- welche Rechte Verbraucher haben sollten, ihre persönlichen Daten zu kontrollieren
Beim letzten Treffen diskutierte die Gruppe einen ersten Entwurf einer Lückenanalyse zu Verbraucherproblemen, der Folgendes umfasst:
- Benachrichtigungen
- Portabilität
- Opt-Ins/Opt-Outs
- Offenlegungen
Zwar wurde noch keine Frist für Kommentare und Aktualisierungen des Musterdatenschutzgesetzes festgelegt, doch das jüngste Treffen zeigt, dass die Versicherungsbranche bereit sein muss, sich an alle Vorschläge der Arbeitsgruppe zu halten.
Was Versicherungsunternehmen jetzt tun können, um konform zu bleiben
Versicherungsunternehmen stehen vor komplexen Herausforderungen, wenn es um die Sicherung von Daten und die Einhaltung gesetzlicher Vorschriften geht.
Versicherer müssen konkrete Schritte unternehmen, um ein umfassendes Datenprogramm aufzubauen, das alle Daten berücksichtigt und vollständige Transparenz über alle personenbezogenen und vertraulichen Informationen des Unternehmens ermöglicht – über alle Datensysteme und -quellen hinweg. Hier sind einige Punkte, die Unternehmen der Versicherungsbranche erfüllen sollten:
- Kennen Sie Ihre Daten: Kombinieren Sie die Identifizierung personenbezogener Daten und die Klassifizierung sensibler Daten.
- Definieren Sie PI und SPI: Automatisieren Sie die Erkennung, Identifizierung und Zuordnung all Ihrer PI und SPI, wo immer sie sich befinden – vor Ort, in der Cloud und hybrid.
- Daten für rechtliche Zwecke markieren und kennzeichnen: Stellen Sie sicher, dass die Daten entsprechend den verschiedenen für Versicherer geltenden Vorschriften identifiziert und gekennzeichnet werden.
- Priorisieren Sie gefährdete Daten: .
- Optimieren Sie die Reaktion auf Verstöße und die Benachrichtigungen: Bestimmen Sie nach einem Datenverstoß genau die betroffenen Benutzer und vereinfachen Sie die Reaktion auf Vorfälle
- Definieren und Durchsetzen von Regeln zur Datenaufbewahrung: Führen Sie automatisierte Workflows ein und decken Sie doppelte, abgeleitete und ähnliche Daten auf, um Datenschutz, Governance und effektives Reporting zu gewährleisten.
- Automatisieren Sie die Erfüllung von Datenzugriffsrechten: Automatisieren Sie die manuelle Erfüllung einzelner Datenzugriffs- und Löschanfragen.
- Erkennen Sie richtlinienwidrige, grenzüberschreitende Datenübertragungen: Verfolgen Sie Verstöße gegen den Datenzugriff, die Datennutzung und die Datenübertragung im gesamten Unternehmen, um sofort Maßnahmen ergreifen zu können.
Erfahren Sie mehr Versicherungsunternehmen können BigID nutzen, um ein umfassendes Dateninventar aufzubauen, das Ihnen vollständige Transparenz über die von Ihnen vorhandenen PI und SPI bietet – und Maßnahmen ergreifen, um die damit verbundenen Risiken im gesamten Unternehmen zu managen.
Autor
