29
Пт, март

Не будет спроса - не будет и предложения

Защита персональных данных клиентов Защита персональных данных клиентов страховых компаний давно уже вопрос не праздный. Постоянные разговоры о том, что по рынку «гуляют» базы данных клиентов страховых компаний, являются причиной «косых взглядов» в сторону отдельных страховщиков.

 

 

С 2008 года В страховой отрасли Казахстана наблюдается взрывной рост объёмов внедрения информационных технологий, чему немало способствовало усиление законодательных требований в области автоматизации страховой деятельности, в том числе требования по взаимодействию с Единой базой данных по страхованию.

Ещё не так давно количество страховых компаний, имеющих мощные информационные системы, предназначенные для ведения бухгалтерского учёта и автоматизации бизнес-процессов страховой деятельности, можно было пересчитать на пальцах одной руки, да и выписка страховых полисов была полностью ручным трудом.

Сейчас практически все страховые компании Казахстана используют самые современные и высокотехнологичные IT-системы в основной деятельности, начиная от сервиса выписки страховых полисов в режиме «on-line», который доступен даже в самых отдалённых регионах и заканчивая использованием электронной цифровой подписи (ЭЦП) для согласования документов.

Однако такой стремительный технологический бум не мог не принести новых проблем, к которым, как оказалось, страховая отрасль не готова. Прежде всего речь идёт о постоянно ухудшающейся ситуации с соблюдением режима конфиденциальности в отношении персональных данных клиентов страховых компаний.

На страховом рынке сложилась ситуация, когда по массовым розничным страховым продуктам «правила игры» диктуют страховые агенты, обладающие налаженными каналами продаж. В условиях жёсткой конкуренции за страхователя и лучшие условия от страховщика ценность информации о потенциальных клиентах постоянно возрастает. Ситуация усугубляется ещё и миграцией как целых агентских сетей, так и отдельных сотрудников, обладающих практически полной информацией о деятельности страховой компании. Ни для кого не секрет, что ценность сотрудника отдела продаж для работодателя определяется его «клиентской базой», или «портфелем».

Миграция отдельных агентов - это ещё не большая беда. А вот появление специализированной организации, которая предлагает страховщикам свои посреднические услуги по продаже страховых продуктов, строящая свою бизнес-стратегию на использовании персональных данных, явно полученных и используемых на незаконных основаниях и в нарушение закона «О персональных данных» и Гражданского кодекса, должно насторожить. В таких компаниях бизнес поставлен на прочную основу с использованием CRM-систем, организацией call-центра и большим количеством операторов, которые методично «отрабатывают» базу потенциальных клиентов. Результат работы таких компаний - постоянные звонки на сотовый телефон автовладельца, у которого в скором времени должна закончиться страховка.

Такая ситуация наносит ущерб не только клиентам страховых организаций, но и каждой страховой компании в отдельности и страховому рынку в целом. Кроме того, во многих случаях это всё напоминает «навязчивый сервис», что негативно сказывается на доверии граждан страховой системе Республики Казахстан и явно не способствует росту культуры страхования.

В сложившейся ситуации каждый участник страхового рынка, заинтересованный в его долгосрочном развитии, должен осознавать свою персональную ответственность за сложившуюся ситуацию. Масштабы проблемы требуют согласованных и целенаправленных действий всех участников страхового рынка.

ТОО «Актуарное статистическое бюро», являясь официальным оператором по ведению Единой страховой базы данных предлагает комплекс мер для решения сложившейся на рынке ситуации:

  • Всем страховым организациям признать политику использования персональных данных клиентов, полученных незаконным путём, - недопустимой.
  • Заключить Меморандум о согласии с тем, что если страховая компания будет уличена в использовании таких данных либо в сотрудничестве с организациями, которые используют незаконно полученные персональные данные, к такой организации должны применяться соответствующие санкции.
  • Разработать комплекс мер (санкций) для применения в вышеуказанных случаях, начиная от предупреждений и заканчивая обращениями в государственные органы, уполномоченные следить за соблюдением законодательства, или в СМИ. В том числе необходимо рассмотреть принципы взаимодействия со страховыми организациями, отказавшимися подписать Меморандум (соблюдать кодекс).
  • Создать постоянно действующий Комитет информационной безопасности(далее - Комитет) и наделить его следующими функциями:

1. Расследование инцидентов

В случае возникновения подозрения об утечке персональных данных страховая организация обращается в Комитет с предоставлением всей имеющейся об инциденте информации. Комитет имеет право запрашивать документы от страховых организаций для подтверждения легитимности использования персональных данных в конкретных случаях, а также на обращение в уполномоченные государственные органы от имени Ассоциации страховщиков Казахстана в целях расследований инцидентов.

Кроме того, Комитет может привлекать в качестве экспертов как сотрудников страховых организаций так и независимых лиц.

2. Ведение «чёрных списков» физических и юридических лиц, уличённых в незаконном использовании или распространении персональных данных.

В дальнейшем участникам Меморандума будет рекомендовано избегать либо запрещено взаимодействовать с лицами, содержащимися в «чёрных списках»

3. Представление на Совет АСК результатов расследований с выдачей рекомендации о мерах (санкциях).

4. Выработка стандартов по режиму информационной безопасности внутри страховых организаций, в том числе требований к информационным системам.

Возможно инициирование принятия данных стандартов в качестве нормативного правового акта. В дальнейшем возможно осуществление Комитетом контроля за соблюдением указанным стандартов.

5. Контроль за инфраструктурными институтами, в первую очередь - организацией по формированию и ведению базы данных по страхованию.

Вне зависимости от формы собственности, репутации учредителя, профессионализма сотрудников организации - оператора Единой страховой базы данных (далее - ЕСБД) ввиду большой важности осуществляемых ею функций необходим постоянный независимый мониторинг режима информационной безопасности не только в организации, но и в соблюдения режима в связке «страховая организация - ЕСБД».

Кроме того, Комитет по согласованию со страховыми организациями будет вырабатывать технические задания по совершенствованию взаимодействия ЕСБД с контрагентами в плане усиления информационной безопасности.

 

Для эффективности работы Комитета в его состав обязательно должны входить специалисты из различных подразделений страховых организаций: юристы, сотрудники служб безопасности, специалисты по ИТ и страховой омбудсман.

Также следует отметить, что указанные меры не преследуют цели пресечения утечек данных из информационных систем страховых организаций, поскольку каждая компания самостоятельно должна решать вопросы информационной безопасности. В первую очередь предлагаемые меры нацелены на снижение спроса на персональные данные страхователей, полученные незаконным путём с использованием служебного положения, а когда нет спроса, тогда не будет и предложения.

 

Источник: Журнал "Рынок страхования" Апрель 2014 г.