Op maat gemaakte producten die van big data en analyses zijn afgeleid hebben een keerzijde: er moeten op grote schaal persoonsgegevens worden verzameld. Niet alleen doet hyperpersonalisatie op een bepaald niveau inbreuk op het verzekeringsbeginsel. Het heeft er ook voor gezorgd dat mensen steeds wantrouwiger zijn geworden inzake de bijwerkingen van deze omvangrijke gegevensverzameling.
Consumenten zijn steeds voorzichtiger met betrekking tot hun gegevens
Een onderzoek uit 2017 uitgevoerd door onderzoeksbureau GfK namens de IAB Europe, waarin 11.020 mensen in 11 Europese landen werden ondervraagd, gaf 77% van de respondenten aan gratis algemene generieke nieuwsinhoud en -services te willen gebruiken terwijl hun browsegeschiedenis privé blijft, in plaats van een meer gepersonaliseerde inhoudservaring die toegang tot meer gegevens vereist.
Nu de EU-AVG/ GDPR (General Data Protection Regulation; Algemene Verordening Gegevensbescherming) van kracht is, wordt de gegevensbescherming heel actueel. De Europese richtlijn breidt de definitie van persoonsinformatie uit met iemands naam, postadres, locatiegegevens, internetprotocoladres, cookiegegevens, gezondheids- en genetische informatie, biometrische gegevens, etniciteit, politieke opvattingen en seksuele geaardheid.
De verordening bepaalt dat gegevens die voor een specifiek doel zijn verzameld enkel en alleen voor dat doel mogen worden gebruikt. Als een verzekeraar de gegevens voor een ander doel wil inzetten, moet hiervoor afzonderlijke toestemming worden verkregen. En, het toestemmingsformulier mag geen ondoorgrondelijk privacybeleid of click-wrap-overeenkomst worden. Bovendien mogen bedrijven gebruikersgegevens slechts bewaren voor de tijd die ze nodig hebben om het oorspronkelijke doel te bereiken en hebben consumenten het recht om te eisen dat websites en services hun persoonsgegevens verwijderen wanneer ze dat willen.
Lees ook: Praktische Big Data toepassingen in de verzekeringssector
En last but not least vereist de EU-AVG/ GDPR dat organisaties binnen 72 uur na een ontdekte datalek "die een hoog risico voor hun rechten en vrijheden inhoudt" aan klanten melden. Deze verplichting is van toepassing op alle inbreuken op persoonsgegevens. Wanneer de kennisgeving aan de toezichthoudende autoriteit niet binnen 72 uur wordt gedaan, moet deze vergezeld worden van redenen voor de vertraging. De vereiste informatie omtrent de inbreuk moet de aard van de inbreuk, de categorieën en het geschatte aantal betrokken personen en bestanden met persoonsgegevens bevatten, evenals de waarschijnlijke gevolgen van de inbreuk, en de maatregelen die zijn genomen om deze aan te pakken en beperken.
Het privacydilemma oplossen
Het verzamelen van persoonsgegevens is op zich geen probleem, zolang de contextuele integriteit van die gegevens maar wordt gerespecteerd, volgens de Conventies van Genève, de toonaangevende internationale denktank van de verzekeringswereld voor strategisch belangrijke verzekerings- en risicobeheerkwesties. Het concept van contextuele integriteit veronderstelt dat persoonlijke informatie dient te stromen in overeenstemming met de verwachte contextspecifieke informatienormen. Wanneer klanten bijvoorbeeld contact hebben met hun verzekeraar verwachten ze meestal dat persoonsgegevens vertrouwelijk worden behandeld, ongeacht of de interactie face-to-face plaatsvindt, via de telefoon, of online.
Men verwacht bij sociale interacties op platforms van de sociale media evenwel ook dat dergelijke persoonsgegevens niet wordt gebruikt om verzekeringspremies vast te stellen. De noodzaak om contextuele integriteit te respecteren limiteert het gebruik van persoonsgegevens voor secundaire gebruik, omdat ongerechtvaardigd secundair gebruik door de klanten als storend of verwerpelijk kan worden ervaren.
De beste manier om het privacydilemma aan te pakken is om ervoor te zorgen dat verzekeraars transparant zijn in de omgang ermee. De klant moet kunnen begrijpen voor welk doel en op welke manier zijn gegevens worden gebruikt. Business consultant Bearring Point raadt derhalve de volgende stappen aan:
- Bevestiging het verzamelen van gegevens: vraag klanten duidelijk om toestemming om hun gegevens te mogen delen en geef hen de mogelijkheid gegevens te laten verwijderen indien wenselijk. Geef klanten in het algemeen de mogelijkheid om de controle te behouden. Dit geeft gemoedsrust en voorkomt het gevoel in een duistere deal te worden gelokt.
- Bescherm persoonsgegevens: datalekken moeten niet lichtvaardig worden opgevat. In de tijd van cloud computing kunnen datalekken rampzalig uitpakken voor zowel de klant als het bedrijf. Denk maar aan Ashley Madison, een online datingwebsite voor getrouwde mensen, die werd gehackt. Een verzekeraar die gevoelige gegevens verliest kan vergelijkbaar vertrouwensprobleem krijgen.
- Wees verantwoordelijk: naleving van regelgeving en handelen naar de waarden van de klant is een absoluut noodzakelijk. Voor Roland Lüthi betekent dit: "een cultuur creëren met betrekking tot gegevensprivacy en -beveiliging is een basis die wordt gekenmerkt door goede trouw, legitimiteit, een gemeenschappelijk doel, en geschiktheid.
Een ander nuttig hulpmiddel bij het beheer van klantgegevens is deze nieuwe template van Insurance Europe, de Europese federatie voor verzekeringen en herverzekeringen, die specifiek ontworpen is om verzekeraars te helpen om, in geval van een inbreuk op de EU-AVG/ GDPR, aan de meldingsplicht te voldoen. De template is verdeeld in drie afzonderlijke secties:
- Sectie 1: Persoonsgegevens en informatie over het getroffen bedrijf.
- Sectie 2: Gegevens met betrekking tot de gegevensinbreuk als bedoeld in Artikel 33 van de EU-AVG/ GDPR.
- Sectie 3: Dit gedeelte moet binnen een periode van 72 uur, nadat meer informatie beschikbaar is over de inbreuk, worden voltooid. Het omvat aanvullende gegevenssets ten einde meer kennis te krijgen over de aard van de inbreuk.