Een verzekeringsmaatschappij beschikt over heel wat privacygevoelige gegevens. Sinds de invoering van de GDPR-wetgeving in 2018 moet elk bedrijf daar bijzonder strikt mee omspringen. Hoe gaat een verzekeraar te werk om de GDPR-wetgeving te respecteren bij de verwerking van persoonsgegevens tijdens verzekeringsactiviteiten? Daarover gingen we in gesprek met Piet Diependaele, DPO (Data Privacy Officer) bij AXA Belgium.
Accountability als basis van vertrouwen
“De Europese General Data Protection Regulation of GDPR-wetgeving is niet uit de lucht komen vallen”, zo steekt Piet Diependaele van wal. “Sinds de jaren negentig was er al een Europees directief dat vertaald was naar de wetgeving van de EU-lidstaten. België was daarin gevolgd. De GDPR heeft voornamelijk gefocust op een grotere ‘accountability’ of verantwoordingsplicht voor iedereen die persoonsgegevens verwerkt en dat als extra element aan de wetgeving toegevoegd. Accountability betekent doen wat er gevraagd wordt en in staat zijn te bewijzen dat je dat ook doet. Maar de GDPR heeft ook de rol van de privacy-autoriteiten versterkt: zij hebben meer macht gekregen en kunnen nu zware boetes opleggen aan bedrijven die de regels niet respecteren. En dat is de reden waarom bedrijven er sindsdien serieuzer mee omspringen dan vroeger.”
Voor verzekeringsmaatschappijen had de invoering van de GDPR-wetgeving een dubbele impact omdat data van klanten hun voornaamste en quasi enige asset zijn. En daartoe behoren ook gevoelige data, zoals gezondheidsgegevens.
“Door de GDPR-wetgeving zijn bedrijven verplicht om op een correcte manier met je gegevens om te gaan, als ze dat al niet vanuit zichzelf doen. Het moet voor jou in ieder geval transparant zijn wat een bedrijf met je gegevens doet. Jij moet daarover de volledige controle hebben. Op die manier wordt het GDPR-verhaal een vertrouwensverhaal: hoe bouw je een vertrouwensrelatie op met je klant zodat die met een gerust gemoed data kan delen? Hij moet er ook gerust in kunnen zijn dat wij als verzekeraar die data op een correcte manier beheren.”
Piet Diependaele, DPO AXA Belgium
Transparantie
Om als verzekeraar de klanten te kunnen beschermen tegen risico’s, moeten die hun gegevens ter beschikking stellen. Ze doen dat voor een autoverzekering, een schadegeval, een prijsvoorstel in een offerte, ... Als verzekeraars data verzamelen, moeten zij niet alleen transparantie geven over wat ze daarmee doen, maar ook wat de rechten van de betrokkene zijn zodat die de controle behoudt over wat ermee gebeurt. “Die communicatie moeten we doen op het moment dat we data collecteren”, stelt Piet Diependaele. “Intern moeten we er vervolgens voor zorgen dat we de data uitsluitend verwerken voor de doeleinden die we gecommuniceerd hebben. En voor niets anders. We mogen ze ook niet langer bijhouden dan nodig.”
De GDPR-wetgeving hecht een groot belang aan ‘accountability’ of verantwoordingsplicht. Diependaele: “We moeten kunnen aantonen dat we de regels respecteren. De dingen doen die nodig zijn is goed, maar het is ook belangrijk en noodzakelijk om te kunnen bewijzen dat je de dingen doet. En dat is toch een next level in de maturiteit van een organisatie: dat vraagt een extra formalisering en controle-laag. Op die manier ben je bewust bezig met gegevensbescherming.”
Training en awareness
100% bescherming van persoonsgegevens kan niemand garanderen.
“De meeste datalekken die we vaststellen, hebben als oorzaak een menselijke fout. Op dat vlak kunnen voldoende training en awareness oplossingen bieden, maar fouten volledig uitsluiten kan je nooit. Je kan ze wel zo minimaal mogelijk proberen te houden. En als er een datalek is, moeten we dat zo goed mogelijk capteren. Want ook dat maakt deel uit van de GDPR-verplichting: in staat zijn om datalekken zo snel mogelijk te identificeren en zo correct mogelijk aan te pakken, indien nodig met communicatie naar de klanten. Het kan bijvoorbeeld belangrijk zijn dat klanten zo snel mogelijk hun paswoord veranderen wanneer mocht blijken dat dat is gelekt.”
Piet Diependaele, DPO AXA Belgium
In een verzekeringscontext wordt er heel wat informatie uitgewisseld. Het risico is dat er een mismatch ontstaat tussen de content van de informatie en degene die die informatie ontvangt. “Aangezien we met mensen te maken hebben kan het altijd gebeuren dat er een fout gebeurt waardoor iemand informatie ontvangt die hij niet zou mogen ontvangen”, zegt Diependaele. “In die context spreken we over trusted parties en non-trusted parties. Als een makelaar bijvoorbeeld informatie ontvangt van andere klanten dan zijn eigen klanten, dan is dat doorgaans minder erg dan wanneer een lukraak iemand via een verkeerde postverzending persoonsgegevens zou krijgen die niet voor hem bestemd zijn: een makelaar beseft immers dat hij niet zomaar met die gegevens aan de slag kan en dat hij die onmiddellijk moet vernietigen. Gelukkig zijn verkeerde postverzendingen eerder uitzonderlijk.”
Privacy-clausule
“De verzekeringssector is zich alvast heel goed bewust van de privacyproblematiek”, stelt Diependaele. “We trachten altijd om onze maatregelen zo transparant mogelijk te vertalen voor onze klanten, met name via onze privacy-clausules. We brengen die informatie op een begrijpelijke manier, onder andere via onze website. De klanten die een bepaalde bezorgdheid hebben en hun rechten willen uitoefenen, kunnen die info altijd makkelijk terugvinden. Alles kan beter natuurlijk: we zouden nog meer gedetailleerde info kunnen geven over wat AXA doet met persoonsgegevens, en nog meer precieze instrumenten voor klanten om aan te geven wat AXA wel en niet mag doen met hun data. Maar je moet met dergelijke extra opties ook oppassen dat je niet te veel verwarring creëert in de hoofden van de klanten. Een goede balans is noodzakelijk.”
Een verzekeraar heeft natuurlijk bepaalde data nodig om contracten af te sluiten en uit te voeren. Zonder data is dat niet mogelijk. Klanten moeten dat ook begrijpen. Een verzekeraar moet er wel voor zorgen niet meer data te collecteren dan nodig.
Fraudedetectie behoort dan weer tot een van de finaliteiten waarvoor een verzekeraar persoonsgegevens mag verwerken zonder instemming van de klant, om evidente redenen.
Artificiële intelligentie in het kader van de GDPR-wetgeving
Alle richtlijnen van de GDPR blijven van toepassing in een context waarin AI aan de slag gaat met persoonsgegevens. Doorgaans functioneren AI-systemen op basis van een model dat je moet trainen met data. Reële data, geen fictieve data. Dat was tot nu toe niet gebruikelijk in IT-toepassingen. Daardoor krijgen bedrijven nu te maken met de problematiek van ‘bias’ of vooroordelen: indien de data die gebruikt worden om een model te trainen onvoldoende representatief zijn, kan het model vooroordelen genereren.
Daarnaast is ook transparantie geen evidentie. Een klant heeft het recht om te weten waarom een bepaalde beslissing is genomen, maar het is niet altijd duidelijk waarom een AI-model een bepaalde keuze heeft gemaakt. De onderliggende logica van een AI-model is namelijk niet altijd te begrijpen.
Ook bij de zogenaamde ‘generatieve AI’, die content genereert, wordt transparantie een sleutelbegrip: verzekeraars moeten duidelijk blijven ten opzichte van de klant, door expliciet aan te geven waar en wanneer ze AI gebruiken. Er moet ook human oversight (of menselijke tussenkomst in het systeem) voorzien worden zodat elk abnormaal gedrag van het systeem tijdig gedetecteerd wordt.
“Op dit moment gebruiken verzekeraars beveiligde AI die in staat is om tekst te herkennen, bijvoorbeeld in een aanrijdingsformulier ingevuld door mensen. AI interpreteert dan wat erop staat en werkt op die manier ondersteunend. Er is altijd nog een menselijke tussenkomst mocht het systeem zich vergissen. En ook mensen kunnen zich vergissen. Dus op zich is dat niet anders dan vroeger. Zolang we ons daarvan bewust zijn, kunnen AI-systemen een interessante ondersteunende rol opnemen.”
Piet Diependaele, DPO AXA Belgium
Privacybescherming betekent natuurlijk ook een adequate beveiliging van de data. Cyberaanvallen vormen een groot risico. Dagelijks worden zowel individuen als organisaties bestookt door cyberaanvallen met de bedoeling om in te breken in je persoonsgegevens. Lees aandachtig ons artikel ‘Cyberbeveiliging: wat doen bij een cyberaanval?’ om je gegevens zo goed mogelijk te beveiligen.