Większość polis cybernetycznych zapewnia kompleksową ochronę przed stratami i kosztami związanymi z naruszeniem bezpieczeństwa danych.
Zwykle oznacza to atak hakerski lub atak z użyciem złośliwego oprogramowania, którego skutkiem jest utrata, kradzież lub uszkodzenie wrażliwych informacji biznesowych lub danych osobowych.
Jeśli organizacje gromadzą dane bez uzyskania odpowiedniej zgody, może być to bezprawne gromadzenie.
Jeśli wykorzystują dane do celów niezgodnych z ich przeznaczeniem, może to być nadużycie.
W przeciwieństwie do typowego naruszenia ochrony danych, w tym przypadku nikt nie włamuje się do systemu informatycznego ani nie żąda okupu.
Nieprawidłowe gromadzenie lub nadużycia w wykorzystaniu danych zazwyczaj mają źródło w praktykach stosowanych przez samą organizację lub jej partnerów w zakresie przetwarzania danych.
Polisy od ryzyk cybernetycznych zazwyczaj oferują dobre zabezpieczenie na wypadek naruszenia prywatności wynikające z ataków hakerskich i wprowadzenia złośliwego oprogramowania.
“Polisy cyber zazwyczaj oferują dobre zabezpieczenie na wypadek naruszenia prywatności wynikające z ataków hakerskich i złośliwego oprogramowania.”
Robert Barberi | Director, FINEX Cybersecurity and Professional Risk, WTW
Jednakże niektóre polisy będą wymagały wyraźnego rozszerzenia zakresu ochrony o nadużycia w wykorzystywaniu lub bezprawne gromadzenie danych.
Na obecnym trudnym rynku ubezpieczyciele mają tendencję do wycofywania się z szerokich definicji i są bardziej skłonni przyjmować konserwatywne podejście do nowych obszarów ochrony ubezpieczeniowej, niż wprowadzać innowacje.
Pandemia przyspieszyła proces cyfryzacji opieki zdrowotnej.
W jurysdykcjach wiodących prym w ochronie danych, takich jak UE i Kalifornia, już istnieją rygorystyczne przepisy regulujące sposób gromadzenia, udostępniania i wykorzystywania danych.
W innych porządkach prawnych ochrona danych jest słabsza, ale w wyniku niedawnych skandali i ujawnionych nadużyć presja opinii publicznej stale rośnie.
Jeśli chodzi o dane dotyczące zdrowia, wielu pacjentów chętnie udostępniałoby je na potrzeby badań medycznych, ale mogą być mniej skłonni do wyrażenia zgody, jeśli uznają, że firmy mogą czerpać zyski z tej działalności.
Inne potencjalne obawy obejmują:
Ogólne rozporządzenie o ochronie danych (RODO)1, które weszło w życie w 2018 r., nakłada na organizacje rygorystyczne obowiązki w zakresie gromadzenia danych osobowych w sposób zgodny z prawem, za wyraźną zgodą, oraz ich ochrony przed niewłaściwym użyciem.
Kalifornijska ustawa o ochronie prywatności konsumentów (2018)2 tworzy najbardziej restrykcyjny system ochrony danych w USA; dane mogą być gromadzone wyłącznie za świadomą zgodą i w ściśle ograniczonych celach.
Brazylijska ustawa Lei Geral de Proteção de Dados3, która weszła w życie w 2020 r., jest pierwszą istotną ustawą o ochronie danych w Ameryce Łacińskiej. Nakłada ona obowiązek informowania obywateli o celu, w jakim gromadzone są ich dane.
Czy mamy właściwą zgodę?
Świadczeniodawcy powinni w sposób przejrzysty współpracować z pacjentami i wyjaśniać, na co pacjenci wyrażają zgodę, jak ich dane będą wykorzystywane oraz w jaki sposób będą one przepływać przez systemy i trafiać do organizacji partnerskich.
“Świadczeniodawcy powinni w sposób przejrzysty współpracować z pacjentami i wyjaśniać, na co pacjenci wyrażają zgodę, jak ich dane będą wykorzystywane oraz w jaki sposób będą one przepływać przez systemy i trafiać do organizacji partnerskich.”
Kirsten Beasley | Head of Healthcare Broking, North America, WTW
Konsekwencje zaniechań w tym obszarze mogą być poważne, jeśli pacjenci odkryją, że ich dane są wykorzystywane do celów, których nie rozumieli.
Dzięki przedstawieniu rzetelnych wyjaśnień pacjenci będą w stanie zrozumieć korzyści, jakie płyną z wykorzystania ich danych.
Warto rozważyć standardy, jakie w zakresie wyrażania zgody ustanawia RODO. Artykuł 4 rozporządzenia definiuje zgodę jako:
Czy dane pozwalają na identyfikację?
W wielu jurysdykcjach do udostępniania danych nie jest wymagana wyraźna zgoda, jeżeli dane są pozbawione cech umożliwiających identyfikację osoby, której dotyczą.
“Coraz większy nacisk kładzie się na fakt, że niektórym danym można przywrócić cechy umożliwiające identyfikację poprzez zestawienie ich z innymi źródłami danych.”
Robert Barberi
Director, FINEX Cybersecurity and Professional Risk, WTW
Ostatnio jednak, coraz większy nacisk kładzie się na fakt, że niektórym danym można przywrócić cechy umożliwiające identyfikację poprzez zestawienie ich z innymi źródłami danych, w tym dostępnymi publicznie.
Legalność takiego działania nie została jednoznacznie potwierdzona, co dodatkowo przemawia za unikaniem ryzyka poprzez uzyskanie wyraźnej, bezspornej zgody, jak opisano powyżej.
Jakie mamy procedury?
Niektóre organizacje mogą nie zdawać sobie sprawy z potencjalnie niewłaściwego gromadzenia lub wykorzystania danych.
Na przykład, uzyskały zgodę, ale może ona nie być adekwatna do celu lub mogą nie w pełni rozumieć, w jaki sposób ich partnerzy planują wykorzystywać dane pacjentów.
Istotne jest poważne podejście do tej kwestii i upewnienie się, że dysponujemy solidnymi mechanizmami kontroli.
Wraz z postępującą cyfryzacją ochrony zdrowia będziemy prawdopodobnie świadkami rosnącego zainteresowania ze strony organów regulacyjnych i opinii publicznej przypadkami bezprawnego gromadzenia i nadużyć w korzystaniu z danych pacjentów.
Głośne sprawy pokazały skalę naruszeń prywatności i roszczeń z tego tytułu.
Istnieje jednak rozdźwięk pomiędzy ryzykiem a zakresem ochrony oferowanym przez większość ubezpieczeń cybernetycznych.
Potrzebne są polisy od ryzyk cybernetycznych, które będą stanowić adekwatną odpowiedź i zapewnią pewien stopień ochrony podmiotom świadczącym usługi medyczne, zaangażowanym w gromadzenie, przetwarzanie i udostępnianie danych.
Biorąc pod uwagę znaczne straty, jakie mogą wyniknąć z roszczeń dotyczących bezprawnego gromadzenia lub wykorzystywania danych, konieczne jest, aby organizacje z sektora opieki zdrowotnej starały się nadać swoim polisom cybernetycznym jak najszerszy zakres.
WTW oferuje usługi związane z ubezpieczeniami za pośrednictwem spółek posiadających odpowiednie licencje i zezwolenia w poszczególnych krajach, w których WTW prowadzi działalność. W celu uzyskania dalszych informacji na temat zezwoleń oraz szczegółów regulacyjnych dotyczących podmiotów prawnych WTW, działających w danym kraju, prosimy o zapoznanie się z naszą stroną internetową. Uwzględnianie lokalnych wymogów w zakresie licencji jest naszym prawnym obowiązkiem.
1 General Data Protection Regulation (GDPR) Compliance Guidelines
2 California Consumer Privacy Act (CCPA) | State of California - Department of Justice - Office of the Attorney General
3 ANPD — Português (Brasil)
4 Artykuł 4 RODO. Definicje