Op 12 oktober kwamen meer dan 200 professionals uit de Fintech-wereld samen in het Novotel van Kirchberg voor de eerste editie van de RegTech Summit. Terwijl plaatselijke en internationale experts die gericht zijn op de opportuniteiten die tot stand komen door het gebruik van RegTech-oplossingen of op het belang van het veilig stellen van informatie in een tijd van “big data”, gaf Eric Lippert, COO van OneLife, een presentatie over de nakende algemene regelgeving rond gegevensbescherming. Op welke manier zal dit een invloed hebben op de sector van levensverzekeringen?

Bedrijven zijn nog niet in regel

De COO van OneLife begon met het meedelen van een aantal cijfers over de komende GPDR-wetgeving, die beoordelen in welke mate bedrijven klaar zijn: “In oktober 2016 beschikte 97% van de bedrijven in Europa niet over een strategie om met GDPR om te gaan. 23% verwacht dat er sancties zullen volgen omdat ze niet klaar zullen zijn. En meer dan 50% geeft toe dat ze niet volledig aan de regels zullen beantwoorden”. Toch denkt Eric Lippert dat Luxemburg goed geplaatst is en een sterk voordeel heeft in vergelijking met andere Europese landen, vooral omwille van de privacywetten in het bank- en verzekeringswezen en de aanwezigheid van autoriteiten zoals CSSF en CNPD. “We zijn al jaren bezig met dataprivacy,” voegde hij eraan toe.

De nieuwe regels zullen voor levensverzekeraars een belangrijke wijziging teweegbrengen

Eric Lippert gaf daarna een overzicht van de verschillen ten opzichte van de huidige privacyregels: in geval van een data-inbreuk zullen bedrijven 72 uur de tijd hebben om de CNPD alle relevante documentatie te bezorgen. De boete kan oplopen tot € 20 m of 4% van de omzet. “Dit zal enorme gevolgen hebben voor de bedrijven die deze nieuwe GDPR-regels niet naleven,” legde de heer Lippert uit. Een ander belangrijk aspect van de nieuwe Europese wetgeving zal de toestemming zijn: de formele toestemming van de klant zal namelijk vereist zijn voordat bedrijven de gegevens mogen gebruiken. Ze zullen dit ook op elk moment moeten kunnen bewijzen en voorleggen. Ten slotte zal het “recht om vergeten te worden” een ingrijpende verandering teweegbrengen, waarbij klanten nu de verzekeraar kunnen vragen om al hun informatie te wissen, en dit geldt ook voor het overdraagbaarheidsaspect: verzekeraars zullen de gegevensoverdracht moeten ondersteunen indien de cliënt hierom vraagt. “De grote beperking zal eigenlijk administratief van aard zijn, met de formalisering van de nieuwe regels. Hiervoor moet een Directeur Gegevensbescherming worden aangesteld en moeten er jaarlijkse audits plaatsvinden van de processen en regels, om zeker te zijn dat het bedrijf de regels blijft naleven.

Eric Lippert eindigde zijn presentatie met een positievere toon en benadrukte dat GDPR ook staat voor nieuwe opportuniteiten voor levensverzekeringsbedrijven: ze zullen de controle kunnen nemen over hun eigen naleving, een sterkere band kunnen opbouwen met hun cliënten, die gebaseerd is op vertrouwen, kunnen werken aan de kwaliteit van hun data en hun digitale marketing verder uitbouwen. “Voor gecentraliseerde KYC is er ook een grote opportuniteit weggelegd,” voegde hij eraan toe.