Αντιμέτωπη με τις προκλήσεις του νέου Ευρωπαϊκού Κανονισμού General Data Protection Regulation (GDPR) σχετικά με τον χειρισμό και την προστασία των προσωπικών δεδομένων, που αναμένεται να τεθεί σε ισχύ στις 25 Μαΐου 2018, θα βρεθεί και η ασφαλιστική αγορά.

Το Ασφαλιστικό ΝΑΙ (τεύχος 169, Νοέμβριος - Δεκέμβριος 2017) επιχειρώντας να αποσαφηνίσει το νέο τοπίο απευθύνθηκε σε ειδικούς εμπειρογνώμονες και όπως τονίζουν οι ασφαλιστικές εταιρείες καλούνται να ενισχύσουν κυρίως το σύστημα εσωτερικού ελέγχου τους, εμπλουτίζοντας πολιτικές, διαδικασίες, controls, δίδοντας έμφαση στο μηχανογραφικό περιβάλλον τους.

Οι Δημήτρης Παρδάλης, Γιάννης Σουρλής και Νίκος Γεωργόπουλος γράφουν στο «Ασφαλιστικό ΝΑΙ» για τις προκλήσεις των προσωπικών δεδομένων!

Διαβάστε το θέμα όπως δημοσιεύθηκε στο Ασφαλιστικό ΝΑΙ, τεύχος 169, Νοέμβριος - Δεκέμβριος 2017 (πατήστε πάνω στις εικόνες για μεγέθυνση):

Δημήτρης Παρδάλης - Εθνική Ασφαλιστική
GDPR: Απειλή ή ευκαιρία

Στις 25 Μαΐου 2018 τίθεται σε ισχύ ο νέος Ευρωπαϊκός Κανονισμός General Data Protection Regulation (GDPR), σχετικά με τον χειρισμό και την προστασία των προσωπικών δεδομένων. Βασικό συστατικό στοιχείο του GDPR είναι η αυστηρότητα του, η οποία αποτυπώνεται στη δυνατότητα επιβολής προστίμων έως €20 εκατ. ή το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο.

Η αυστηρότητα αυτή έχει θορυβήσει πολλές εταιρίες, ανεξαρτήτως τομέα δραστηριοποίησης, καθιστώντας το GDPR ως κύριο project τους. Οι ασφαλιστικές εταιρίες δεν αποτελούν εξαίρεση. Το τελευταίο ιδιαίτερα έτος εντείνονται οι προσπάθειες εναρμόνισης τους με τις απαιτήσεις του GDPR, ανησυχώντας για τις πιθανές επιπτώσεις σε περίπτωση μη συμμόρφωσης τους.

Υπάρχει, όμως, λόγος για τόσο μεγάλη ανησυχία εκ μέρους των ασφαλιστικών; Ας κάνουμε ένα βήμα πίσω και ας εξετάσουμε τα στοιχεία. Το GDPR θέτει αναμφίβολα πιο αυστηρούς κανόνες σε σχέση με ό,τι ισχύει έως σήμερα. Οι βασικές όμως αρχές για τη διαχείριση των προσωπικών δεδομένων, παραμένουν σταθερές. Οι ασφαλιστικές, καλούνται σήμερα να ενισχύσουν κυρίως το σύστημα εσωτερικού ελέγχου τους, εμπλουτίζοντας πολιτικές, διαδικασίες, controls, δίδοντας έμφαση στο μηχανογραφικό περιβάλλον τους. Απαιτείται επομένως περισσότερο βελτίωση υφιστάμενων δομών για να αντιμετωπισθούν οι μεταβολές που φέρνει το GDPR, παρά δημιουργία νέων εκ του μηδενός.

Οι 6 κύριες μεταβολές στη διαχείριση των προσωπικών δεδομένων λόγω GDPR είναι οι ακόλουθες:

• Αυστηρότερη εφαρμογή του νόμου και σημαντικά πρόστιμα στις ασφαλιστικές που τον παραβιάζουν: έως €20 εκατ. ή το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο.

• Αυξημένη υποχρέωση λογοδοσίας: Οι ασφαλιστικές είναι υπόλογες για την προστασία των προσωπικών δεδομένων εργαζομένων, συνεργατών και πελατών τους. Πρέπει να μπορούν να αποδεικνύουν διαρκώς, βάσει κατάλληλου υποστηρικτικού υλικού πως έχουν λάβει τα βέλτιστα στο μέτρο του δυνατού, οργανωτικά και τεχνικά μέτρα προστασίας των δεδομένων.

• Σαφής συγκατάθεση: Τίθενται αυστηρές προϋποθέσεις αναφορικά με τη συγκατάθεση από το ενδιαφερόμενο πρόσωπο για την επεξεργασία των προσωπικών του δεδομένων, την οποία έχει δικαίωμα να ανακαλέσει ανά πάσα στιγμή.

• Προστασία των δεδομένων από το σχεδιασμό: Οι ασφαλιστικές πρέπει να εντοπίσουν και καταγράψουν τα προσωπικά δεδομένα που διαχειρίζονται, στοιχειοθετώντας με σαφήνεια τους λόγους που καθιστούν την επεξεργασία τους απαραίτητη. Επιπρόσθετα, πρέπει να καταγράψουν τις ροές που ακολουθούν τα δεδομένα, κατά τη διάρκεια του συνόλου της επεξεργασίας τους. Τέλος απαιτητό είναι να διασφαλίσουν πως από τον σχεδιασμό κιόλας των άνωθεν διαδικασιών, διασφαλίζεται στο μέτρο του δυνατού η προστασία τους.

• Σαφής και κατανοητή γλώσσα στις πολιτικές απορρήτου: Οι ασφαλιστικές πρέπει να παρέχουν στο ενδιαφερόμενο πρόσωπο κάθε απαιτούμενη από το νόμο πληροφορία σχετικά με τη διαχείριση των δεδομένων του σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή.

• Ανακοίνωση παραβίασης δεδομένων: Οι ασφαλιστικές πρέπει να ανακοινώνουν αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του.

Για να ανταποκριθούν οι ασφαλιστικές στα νέα δεδομένα, απαραίτητο είναι να επιδείξουν ψυχραιμία και να οργανώσουν ένα απλό και υλοποιήσιμο σχέδιο δράσης. Υπάρχουν 4 βασικά βήματα που καλό είναι να ακολουθηθούν:

• Ορισμός Data Protection Officer (DPO): Επιλογή και ορισμός DPO, ο οποίος θα αναλάβει την ευθύνη συντονισμού του συνόλου των εργασιών που απαιτούνται να γίνουν τόσο σε επίπεδο προετοιμασίας, αλλά πολύ περισσότερο από τη στιγμή που το GDPR τεθεί σε εφαρμογή και ύστερα. Ιδιαίτερη προσοχή πρέπει να δοθεί στο ότι ο DPO πρέπει να έχει μία σειρά από hard και soft skills. Πρέπει να γνωρίζει το business, να γνωρίζει το νομοθετικό και κανονιστικό περιβάλλον, να αντι- λαμβάνεται τις διαδικασίες λειτουργίας της εταιρίας, να διαχειρίζεται ζητήματα διαχείρισης κινδύνων, να γνωρίζει μεθοδολογίες ελέγχου, να κατανοεί το μηχανογραφικό περιβάλλον, σχεδιάζει και να υλοποιεί εκπαιδεύσεις, να λειτουργεί ως εκπρόσωπος της εταιρίας και να ασκεί project management. Αναζητήστε ή δημιουργήστε ένα υβριδικό, multi-tasking στέλεχος...

• Gap Analysis: Ανάλυση της υφιστάμενης κατάστασης και εντοπισμός αποκλίσεων σε σχέση με όσα απαιτεί το GDPR. Οι ασφαλιστικές λόγω της εναρμόνισης τους με την υφιστάμενη νομοθεσία περί προσωπικών δεδομένων Ν. 2472/97, ήδη διαθέτουν σχετικές υποδομές. Απαραίτητο είναι να εκτιμήσουν με ψυχραιμία τις υφιστάμενες δομές τους και να εντοπίσουν με ακρίβεια τις συγκεκριμένες διορθωτικές ενέργειες που πρέπει να κάνουν. Εντοπίστε πώς σας επηρεάζει το GDPR και υλοποιήστε στοχευμένες ενέργειες...

• Διαφάνεια και Λογοδοσία: Κατά την επεξεργασία των δεδομένων, οι ασφαλιστικές πρέπει να λειτουργούν με διαφάνεια και να μπορούν να αποδείξουν πως έχουν κάνει το βέλτιστο δυνατό για να προστατέψουν τα προσωπικά δεδομένα που διαχειρίζονται. Εμπλουτίστε το υποστηρικτικό υλικό που αποδεικνύει τα οργανωτικά και τεχνικά μέτρα που έχετε λάβει για την προστασία των δεδομένων…

Το GDPR αντιμετωπίζεται σήμερα από την ασφαλιστική αγορά ως μία απειλή. Από τη μία υπάρχει η ανησυχία για το ύψος των προβλεπόμενων προστίμων και από την άλλη η συνειδητοποίηση πως για να διασφαλιστεί η αποφυγή τους, θα πρέπει να πραγματοποιηθούν σημαντικές επενδύσεις. Στην πραγματικότητα όμως πρέπει να προσεγγίζεται ως μία μεγάλη ευκαιρία. Το GDPR μπορεί να δώσει το έναυσμα προκειμένου οι ασφαλιστικές να “νοικοκυρέψουν” τα δεδομένα τους, να διατηρήσουν μόνο εκείνα που πραγματικά χρειάζονται περιορίζοντας τις δαπάνες συντήρησης και προστασίας τους, να αναδομήσουν διαδικασίες τους, να δημιουργήσουν νέα multitasking στελέχη και να προσεγγίσουν εκ νέου συνεργάτες και πελάτες διασφαλίζοντας πλέον όχι μόνο την υγεία και την περιουσία τους αλλά και την ιδιωτικότητα τους.

Το GDPR μπορεί να οδηγήσει σε σπατάλη χρημάτων ή σε μία παραγωγική επένδυση. Μπορεί να είναι απειλή ή ευκαιρία. Η επιλογή είναι δική μας...

Ποιος είναι ο Δημήτρης Παρδάλης

Δρ. Δημήτριος Παρδάλης: Υπεύθυνος Προστασίας Δεδομένων (DPO) - Επικεφαλής της Μονάδας Εταιρικής Διακυβέρνησης και Δικλείδων Ασφαλείας, Εθνική Ασφαλιστική

Ο Δρ. Δημήτριος Παρδάλης είναι Υπεύθυνος Προστασίας Δεδομένων (DPO) και Επικεφαλής της Μονάδας Εταιρικής Διακυβέρνησης και Δικλείδων Ασφαλείας της Εθνικής Ασφαλιστικής Α.Ε.Ε.Γ.Α.

Ο Δημήτριος Παρδάλης είναι πιστοποιημένος EU GDPR DPO. Έχει ένα ευρύ γνωστικό υπόβαθρο στoν ασφαλιστικό κλάδο, ιδίως σε υπηρεσίες συμμόρφωσης, με σημαντικές γνώσεις σε δίκαιο, κανονισμούς και κατευθυντήριες γραμμές (π.χ. GDPR, Solvency II, SOX).

Έχει υψηλή εξειδίκευση στην ανάπτυξη προγραμμάτων ελέγχου συμμόρφωσης, αναγνώριση σημαντικών κινδύνων και σημείων ελέγχου, μέτρηση και παρακολούθηση του αντίκτυπου συμμόρφωσης σε νέα προϊόντα, υπηρεσίες και μηχανογραφικά συστήματα, χρήση και ανάλυση συγκεκριμένων δεικτών που σχετίζονται με την παρακολούθηση των επιχειρηματικών δραστηριοτήτων, προετοιμασία και παρουσίαση εκθέσεων στην ανώτατη διοίκηση, εκπροσώπηση της εταιρίας στην επικοινωνία και αλληλεπίδραση με τις ρυθμιστικές αρχές/όργανα.

Ο Δημήτριος Παρδαλής διδάσκει Διοίκηση Επιχειρήσεων και Λογιστική στο Εθνικό & Καποδιστριακό Πανεπιστήμιο Αθηνών, στο Ελληνικό Ανοικτό Πανεπιστήμιο και στο Ανοικτό Πανεπιστήμιο Κύπρου.

Είναι μέλος του συμβουλευτικού συμβουλίου εκδόσεων του περιοδικού "The Review of Financial & Accounting Studies". Είναι μέλος του Ινστιτούτου Εσωτερικών Ελεγκτών Ελλάδος, του Συνδέσμου Επαγγελματιών Κανονιστικής Συμμόρφωσης Ελλάδος και μέλος του Οικονομικού Επιμελητηρίου Ελλάδος.

Γιάννης Σουρλής - Υδρόγειος Ασφαλιστική
Η ασφαλιστική αγορά θα ανταποκριθεί στις προκλήσεις της νέας εποχής

Μετά πάροδο υπερεικοσαετίας, καταργείται η Κοινοτική Οδηγία 95/46/ΕΚ, η οποία ρύθμιζε τα θέματα προστασίας των δεδομένων προσωπικού χαρακτήρα των ατόμων και η οποία ενσωματώθηκε στην Ελληνική έννομη τάξη με το Νόμο 2472/1997.

Η ραγδαία εξέλιξη της τεχνολογίας στον ενδιάμεσο χρόνο και ιδιαίτερα της πληροφορικής, η ανάπτυξη νέων μορφών και τρόπων συναλλαγής μέσω διαδικτυακών εφαρμογών, αλλά και η έκνομη δραστηριότητα που αναπτύχθηκε με παραβίαση μηχανογραφικών συστημάτων, οδήγησαν στην ανάγκη θέσπισης και υιοθέτησης του νέου Κανονισμού (ΕΕ) 2016/679, μέσω του οποίου επιδιώκεται η προστασία των δεδομένων προσωπικού χαρακτήρα του ατόμου, χωρίς όμως να αποθαρρύνεται η λεγόμενη ψηφιακή οικονομία.

Ο νέος Κανονισμός αφορά βεβαίως και την ασφαλιστική δραστηριότητα, η οποία σημειωτέον είναι πολύ εξοικειωμένη και νομικά συμμορφωμένη με το αντικείμενο υπό το πρίσμα του Νόμου 2472/97 και των αποφάσεων της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Λόγω του μεγάλου εύρους των ρυθμίσεων του Κανονισμού και του περιορισμένου χώρου, θα εστιάσουμε στις νέες απαιτήσεις που έχουν σημαντικό αντίκτυπο στις ασφαλιστικές επιχειρήσεις.

• Ελαχιστοποίηση Δεδομένων: Τα προσωπικά δεδομένα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς, είναι κατάλληλα και συναφή για τον σκοπό της επεξεργασίας και διατηρούνται για όσο διάστημα είναι απαραίτητο για τον σκοπό της επεξεργασίας τους.

• Ευθύνη: Με βάση την αρχή της Λογοδοσίας, η ασφαλιστική επιχείρηση θα πρέπει να διαθέτει τα κατάλληλα συστήματα και τις διαδικασίες ώστε να αποδεικνύει τη σύννομη διαχείριση των δεδομένων κατά τη συλλογή, επεξεργασία, μεταβίβαση ή και την απαιτούμενη διόρθωση/ διαγραφή των δεδομένων αυτών. Τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας πληροφοριών, όπως η Ψευδωνυμοποίηση, διασφαλίζουν το απαιτούμενο επίπεδο συμμόρφωσης στις απαιτήσεις του Κανονισμού, όπως άλλωστε και η υποχρεωτική τήρηση αρχείου για κάθε είδους επεξεργασία που υφίστανται τα προσωπικά δεδομένα των πελατών της. Πρόκειται δηλαδή για μια αυτοαξιολόγηση της Εταιρείας στα πλαίσια τήρησης και απόδειξης προς την εποπτική αρχή των υποχρεώσεών της στις απαιτήσεις του Κανονισμού.

• Διενέργεια Εκτίμησης Αντικτύπου: Η ασφαλιστική εταιρεία εντοπίζει τους κινδύνους επεξεργασίας υψηλού κινδύνου και καθορίζει τα απαιτούμενα μέτρα που πρέπει να ληφθούν για αντιμετώπιση/ ελαχιστοποίηση των κινδύνων. Θα πρέπει να διασφαλίζει σε περιπτώσεις μεγάλης κλίμακας επεξεργασίας (όπου το μέγεθος καθορίζεται από παράγοντες όπως ο αριθμός υποκειμένων, όγκος δεδομένων, διάρκεια, γεωγραφική έκταση) ότι αναγνωρίζει τους κινδύνους και προβαίνει στις κατάλληλες διορθωτικές κινήσεις καθώς και στην υιοθέτηση πρόσθετων δικλείδων ασφαλείας προς μετριασμό του κινδύνου.

• Προστασία των δεδομένων από σχεδιασμό και εξ’ ορισμού: Η Εταιρεία είναι υπεύθυνη να σχεδιάσει εκ προοιμίου τη δομή, την τεχνολογία και τις διαδικασίες σύμφωνα με τις οποίες θα διεξάγεται η επεξεργασία των δεδομένων καθώς και να καθορίσει τα μέσα, βάση των οποίων αυτή η επεξεργασία θα είναι σύννομη ως προς τις αρχές προστασίας προσωπικών δεδομένων που διέπουν τον Κανονισμό (αναλυτικά στο άρθρο 5). Με την ενσωμάτωση των άνωθεν εγγυήσεων διασφαλίζεται εξ’ ορισμού ότι μόνο τα απαραίτητα δεδομένα για τον εκάστοτε σκοπό της επεξεργασίας θα υφίστανται επεξεργασία λαμβάνοντας συγχρόνως υπόψη το εύρος των δεδομένων που συλλέγονται, το βαθμό επεξεργασίας, την περίοδο αποθήκευσης και την προσβασιμότητα τους.

• Υποχρέωση Διορισμού Υπευθύνου Προστασίας Δεδομένων (DPO): Νέος ρόλος που πλέον εντάσσεται στη λειτουργία της ασφαλιστικής εταιρείας. Υποχρεούται στην τακτική και συστηματική παρακολούθηση των εργασιών επεξεργασίας της Εταιρείας και κατά του πόσον αυτές είναι σύμφωνες με τον Κανονισμό. Περαιτέρω υποδεικνύει κατάλληλες πολιτικές ασφάλειας και προστασίας προσωπικών δεδομένων, εκπαιδεύει το προσωπικό, συμμετέχει στις συναντήσεις της Διοίκησης για θέματα που έχουν αντίκτυπο στην προστασία προσωπικών δεδομένων. Επιπλέον, λειτουργεί ως σημείο επι- κοινωνίας με την εποπτική αρχή (ιδίως σε σχέση με την εκτίμηση αντικτύπου) και συνεργάζεται μαζί της κατόπιν αιτήματος της.

Οι πρόνοιες του Κανονισμού επιτάσσουν την θέσπιση καταγεγραμμένων Πολιτικών και Διαδικασιών, όπως ενδεικτικά: Πολιτική συλλογής, επεξεργασίας, μεταφοράς, διατήρησης και καταστροφής των προσωπικών δεδομένων, Πολιτική παραβίασης δεδομένων και διαδικασία διαχείρισης συμβάντων ασφαλείας, Πολιτική διαχείρισης αιτημάτων των υποκειμένων και διαγραφής των προσωπικών δεδομένων, κ.α. Ειδικά λογισμικά προφανώς θα χρειαστούν επίσης για την παρακολούθηση της ροής των δεδομένων καθόλη τη διάρκεια της ζωής τους.

Η ασφαλιστική αγορά το 2018 θα πρέπει να έχει αντιμετωπίσει την πρόκληση ενσωμάτωσης των δύο σημαντικών Κοινοτικών νομοθετημάτων, ήτοι την Οδηγία IDD και τον εν λόγω Κανονισμό GDPR. Η εμπειρία μας από την ενσωμάτωση της Οδηγίας για την «ΦΕΡΕΓΓΥΟΤΗΤΑ ΙΙ», είναι το εχέγγυο ότι για μία ακόμη φορά θα ανταποκριθούμε στις προκλήσεις της νέας εποχής.

Ποιος είναι ο Γιάννης Σουρλής

Ο κ. Γιάννης Σουρλής είναι Νομικός - Απόφοιτος της Νομικής Σχολής του Δημοκριτείου Πανεπιστημίου Θράκης. Από το 2003 Νομικός Σύμβουλος της «ΥΔΡΟΓΕΙΟΣ Α.Α.Α.Ε.» και από το 2006 μέχρι σήμερα και Αναπληρωτής Γενικός Διευθυντής.

Νίκος Γεωργόπουλος - Cyber Privacy Risks Advisor, της Cromar
Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) και ασφάλιση cyber insurance

Ο Γενικός Κανονισμός για την προστασία των δεδομένων απαιτεί την λήψη τεχνικών και οργανωτικών μέτρων από κάθε εταιρία για την προστασία των δεδομένων που διαχειρίζεται και απαιτεί γνωστοποίηση των περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων εντός 72ωρών από την ανακάλυψή τους στην αρμόδια αρχή.

Επίσης, προβλέπει πρόστιμα για τις εταιρείες που δεν κατάφεραν να διατηρήσουν την ασφάλεια των πληροφοριών που διαχειρίζονται, τα οποία μπορούν να φθάσουν έως το 4% του τζήρου τους ή 20 εκατ. ευρώ, όποιο από τα δύο είναι μεγαλύτερο. Η εφαρμογή των παραπάνω προστίμων θα ισχύει μετά τις 25 Μαΐου 2018.

Ενδυναμώνει τα δικαιώματα του Ευρωπαίου πολίτη και του δίνει το δικαίωμα να ενημερώνεται από τις εταιρίες που συνεργάζεται αν υπήρξαν περιστατικά παραβίασης και την δυνατότητα διεκδίκησης αποζημιώσεων από αυτές.

Ορίζει την έννοια της λογοδοσίας ζητώντας από κάθε εταιρία να μπορεί να αποδείξει τα τεχνικά και οργανωτικά μέτρα που έχει λάβει για την σωστή διαχείριση του κινδύνου.

Η λογοδοσία θα βοηθήσει τις εταιρίες να δημιουργήσουν τις κατάλληλες προϋποθέσεις συμμόρφωσης με τον Κανονισμό και θα τις καταστήσει ασφαλίσιμες.

Μια ακόμη υποχρέωση που εισάγει ο κανονισμός είναι ο ορισμός Data Protection Officer (Υπεύθυνος Προστασίας Δεδομένων) από τις εταιρίες ο οποίος αναλαμβάνει:

• Να εκπροσωπήσει την Επιχείρηση έναντι των Αρχών, Εθνικών και Ευρωπαϊκών

• Να διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ότι αφορά τις πολιτικές πρακτικές και μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς Δεδομένων Προσωπικού Χαρακτήρα με το σχετικό νομοθετικό πλαίσιο

• Να προστατέψει την επιχείρηση από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο Κανονισμός

H ασφάλιση Cyber Insurance αποτελεί ένα κρίσιμο κομμάτι της στρατηγικής για τη διαχείριση των κινδύνων, που πρέπει να χρησιμοποιεί κάθε εταιρεία για να διαχειριστεί τον υπολειπόμενο κίνδυνο (residual risk), που δεν μπορεί να μειώσει με τη χρήση διαδικασιών και πολιτικών διαχείρισης.

Λαμβάνοντας υπόψη ότι 100% ασφάλεια δεν υπάρχει, οι εταιρείες θα πρέπει να εξετάσουν τη δυνατότητα μεταφοράς του κινδύνου που απομένει σε ασφαλιστικά προϊόντα cyber insurance.

Ενώ η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό παραβίασης ασφάλειας, μπορεί, εκτός από την κάλυψη των οικονομικών επιπτώσεων, να βοηθήσει στην καλύτερη υλοποίηση του πλάνου αντιμετώπισης περιστατικών (Incident Response Plan) παραβίασης συστημάτων και απώλειας προσωπικών δεδομένων παρέχοντας εξειδικευμένες ομάδες ειδικών με εμπειρία στη διαχείριση και τις απαραίτητες υποδομές όταν εμφανίζεται συμβάν, μειώνοντας τις επιπτώσεις της παραβίασης στους πελάτες και τη φήμη της εταιρείας.

Ας δούμε λίγο που βρίσκεται σήμερα η Ευρωπαϊκή αγορά cyber insurance (stand alone συμβόλαια) και που αναμένεται φθάσει το 2020. H Ευρωπαϊκή αγορά αναπτύχθηκε κατά 40% το χρονικό διάστημα 2015-2016 και σύμφωνα με το πιο ρεαλιστικό σενάριο θα φθάσει τα $900εκ το 2020.

Με τη βοήθεια της ασφάλισης cyber insurance οι επιχειρήσεις θα προστατεύσουν τους ισολογισμούς τους και θα διαχειριστούν αποτελεσματικά τις συνέπειες των περιστατικών αυτών.

Ο Κανονισμός θα αναγκάσει επιπλέον τις εταιρείες να συμμορφωθούν στα νέα δεδομένα και να προετοιμαστούν κατάλληλα επιλέγοντας προϊόντα και υπηρεσίες προστασίας των πληροφοριών που διαχειρίζονται που θα τις βοηθήσουν να αντιμετωπίσουν αποτελεσματικά μελλοντικά περιστατικά, δημιουργώντας τις κατάλληλες συνθήκες που θα εξασφαλίσουν την ασφαλισιμότητα των εταιρειών και την ανάπτυξη της αγοράς του cyber insurance.