General Data Protection Regulation

After Solvency II, the European Union is ready for its next big and comprehensive regulation, called GDPR (General Data Protection Regulation). GDPR was approved by the EU Parliament on 14 April 2016 and after two-year grace period, it will be effective from 25 May 2018! The new regulation GDPR will replace the current Data Protection Directive 95/46/EC. Naturally, this brings much more than the existing directive.

Regulatory Landscape and Breaches

The first key point of the new regulation is protecting all EU citizens’ data privacy with an extended regulatory landscape. With GDPR, new data privacy rules should be applied to all personal data of subjects residing in the European Union, regardless of companies’ locations.

With GDPR, fines for possible breaches were increased sharply. Breaches can be fined up to 4% of annual global turnover or 20 million Euro (whichever is the greater ). Another radical change in GDPR is, regulations will be applied not just controllers, also for processors. So, cloud processors were also included in legacy scope.

Approval of data owner about usage was also a key point in the previous directive. In GDPR, usage of consent was regulated customer-centric. Mentioned document should be prepared in an understandable, simple and easy-accessible way. Furthermore, also consent withdrawal should be made easy for customers.

Notification and Access Rights

With GDPR, breach notification will become mandatory and should be performed within 72 hours after becoming aware of the breach. Notifications will be performed by data controllers to all affected data owners about possible risks for rights and freedoms of individuals.

“Data Erasure” or ‘Right to be Forgotten” were also regulated by GDPR. According to owner’s request, data can be made no longer relevant for original purposes for processing. The key term in this subject is ‘the public interest in the availability of the data’. So EU still leaves an exit strategy for using data when it was found to be necessary.

DPO and Hierarchy of Data

Another crucial point is building a hierarchy of data security within companies. With GDPR, users of data should build a structure for allowing access of not every employee but just related ones. After enforcement date, companies should appoint a Data Protection Officer (DPO) who must report directly to highest management level and must not have any responsibilities that bring possible conflicts of interests. GDPR should also make any important notifications about local Data Protection Acts (DPAs) and finalized notification requirements according to local DPAs. Regulation specified internal record keeping requirements and DPOs will be responsible from regular and systematic monitoring of data traffic.

GDPR and Insurtech

With the increase of connected IoT devices, real-time data collection and high profile cyber-attacks, data security and privacy appeared as the main threats against Insurtech. Although, customers will be more eager and feel more comfortable if they will be satisfied about data privacy as a common standard without regard to the size of the company. With GDPR, the main triggers of Insurtech like IoT, machine learning and much more won’t be considered as possible tools for data breaches and GDPR will be a spontaneous trigger of Insurtech!

GDPR and Its Effects on the Turkish Market

Even if Turkey is not a European Union member, Turkish financial institutes have many EU located customers which will be covered by GDPR. Furthermore, as Solvency II, Turkey will be pushed for making similar regulations by international financial groups which control 80% of insurance market and 60% of banking sector. As it has been discussed for years, data privacy regulation of Turkish financial markets is found very weak and not customer-centric by sector professionals. The rights to data access and penalties were already regulated in the current data privacy act. However, the regulatory landscape, right to be forgotten and privacy design are still open issues of act and consents are not still customer-centric and still not as easy to withdraw consent as it is to give it. Furthermore, Turkey financial markets are now preparing for new regulations on data privacy and above mentioned points will be possible improvements for next data privacy act named as KVKK.

195 total views, 2 views today

GDPR

Avrupa Birliği, Solvency II’den sonra hazırladığı en büyük ve kapsamlı düzenlemesini hayata geçirebilmek için gün sayıyor. Yaklaşık dört yılda hazırlanabilen, ülkelerden ve büyük ölçekli birçok şirketten gelen itirazlar dolayısıyla defalarca gözden geçirilen ve nihayet 14 Nisan 2016 tarihinde Avrupa Birliği Parlamentosu tarafından onaylanan GDPR yasası 25 Mayıs 2018 tarihinde yürürlüğe girmiş olacak.

GDPR, İngilizce ‘General Data Protection Regulation’ tanımının kısaltması. Türkçe’ye ‘Genel-Kapsamlı Veri Koruma Kanunu’ olarak çevirebiliriz. Başındaki ‘General’ tanımı kanunun genel çerçeveyi tanımlayan bir kanun olmasından ziyade, çok geniş kapsamlı ve geniş etki alanına sahip bir kanun olmasından ileri gelmekte. 14 Nisan 2016’da onaylanan, 20 gün sonra Avrupa Birliği resmi gazetesinde duyurulduktan sonra iki senelik bir uyum süresi tanımlanan kanun, aslında Avrupa Birliği’nde zaten mevcut olan Veri Koruma Direktifi (Data Protection Directive 95/46/EC)’nin güncellenmiş versiyonu. Güncellemenin sebebi ise önceki direktifin 1995 yılında uygulamaya konulması, IoT, insurtech, AI ve siber risk gibi son beş yılın öne çıkan teknolojik gelişmelerine karşı ciddi anlamda yetersiz kalmasıydı.

GDPR ile öncelikle bütün Avrupa Birliği vatandaşlarının veri güvenliği ve gizliliği kavramlarının koruma altına alınması planlanmakta. Bu yapılırken ve kanun kaleme alınırken uzmanların çıkış noktası ise tek bir değişken yani iş etkisi (business impact). Düzenlemeleri değerlendirirken gözümüze çarpan ilk özellik ise her durumda tüketici haklarının korunması amacının ilk sıraya konulması.

Yeni Yaptırımlar ve Düzenlemenin Kapsamı

GDPR’ı okuyunca dokuz ana başlığın ortaya çıktığını görüyoruz. Bu dokuz başlık hem GDPR’ın ortaya çıkış nedenlerini hem de yaptırımların ana başlıklarını özetlemekte. GDPR’ın getirdiği en büyük yenilik, veri gizliliğinin kaynağı. Yeni düzenleme ile veri sahibinin Avrupa Birliği sınırları içerisinde oturması, düzenlemeden yararlanması için yeterli hale getiriliyor. Önceki düzenleme ilgili tüzel kişinin lokasyonunu baz alıyordu. Bu sayede Avrupa Birliği sınırları içerisinde herhangi bir kurumu olmayan ancak müşterileri Avrupa Birliği sınırları içerisinde olan kurumlar GDPR’ı uygulamak zorunda kalacaklar.

GDPR ile yönetmeliğin ihlali durumundaki cezalar da yenilendi. Düzenlemeye göre GDPR tarafından getirilen yükümlülüklerin ihlali durumunda 20 milyon Euro veya yıllık brüt cironun %4’üne kadar (bu iki değerden hangisi daha büyük ise) çıkabilecek yaptırımlar söz konusu olacak. Diğer önemli bir nokta ise Bulut üzerinde mevcut organizasyonların da bu yaptırımlardan sorumlu olacak olması.

Verilerin Kullanım Onayı ve Taşınabilirliği

Verinin kullanımı ile ilgili veri sahiplerinin onayı ise düzenlemede yine çok önemsenmekte. Onayın açık ve anlaşılır bir biçimde yazılması, veri sahibinin verilerinin tamamı gibi bir kısımını da ilgili şirketin onayına sunabilmesi sağlanmakta. Önceden verilen ancak sonra kullanıma kapatılmak istenen veriler için de sürecin kolaylaştırılması hedeflenmekte.

GDPR’da gördüğümüz diğer bir özellik ise düzenlemenin hayata geçirilmesi sonrasında ortaya çıkan ihlallerle alakalı, tespitinden itibaren 72 saat içerisinde ilgili kişilere veya veri sahiplerine bilgi verilmesi. GDPR ayrıca, Türkiye’de unutulma hakkı olarak bilinen, düzenlemenin orjinal metninde ‘Data Erasure’ veya ‘Right to be Forgotten’ olarak belirtilen alanda da düzenleme yaptı. Veri sahiplerinin herhangi bir kurumun bünyesinde yer almasını istemediği veriler, öncelikle verinin kullanımındaki kamu çıkarı dikkate alınarak değerlendirilebilecek ve kullanımdan kaldırılabilecek.

GDPR ayrıca verinin kullanımının taşınabilirliği ile ilgili de bir düzenleme yaptı. Böylece kullanım için belli bir kuruma verilen veri, sahibinin onayı ile benzer kapsamda veya farklı bir kapsamda başka bir şirketin kullanımına da sunulabilecek, yani bir nevi taşınmış olacak.

Veri Ulaşımında Kademelendirme ve Veri Koruma Görevlileri (Data Protection Officers)

GDPR, verinin kullanım hakkının sahibinden alınması sonrasında, kullanım onayını alan şirketin personeli arasında da bir sınıflandırma ön görmekte. Yani veriye ilgili şirketteki herkesin ulaşamaması, sadece veriyi kullanacak olan birimin görevlilerinin ulaşabilmesi amaçlanmakta. Bu nedenle şirketler içerisinde güvenlik esaslı veri erişim yapılarının kurulması gerekmekte. Şirketlerin zaten bünyelerinde olan veri koruma kuralları (DPA – Data Protection Act) ile bazı önlemler almış durumdalar. Ancak birçok farklı ülkede faaliyet gösteren şirketler için birçok farklı kurala göre raporlama yapmak ciddi bir iş yükü ve verimsizlik yaratmaktaydı. GDPR ile olası ihlallerle alakalı bildirim yerine şirket içi kayıtların belirlenen kurallara göre düzenli ve gerçekleştirilebilecek denetimlere hazır şekilde tutulması amaçlanmakta.

GDPR yaptırımlarına göre şirketlerin DPO (Data Protection Officer – Verinin Korunmasından Sorumlu Personel) atamaları da gerekmekte. Öncelikle DPO, ilgili şirket bünyesinde olabilecek en yüksek yönetim seviyesine bağlı olacak, görev aldığı organizasyon bünyesinde çıkar çatışmasına yol açabilecek başka bir sorumluluğu olmayacak ve mutlaka görevin gerektirdiği profesyonel yeterliliğe sahip olacak.

Insurtech ve GDPR

GDPR ile Avrupa Birliği uzun zamandır gerçekleştirmek istediği ve özellikle finansal alanda ciddi boşluk olduğunu düşünülen bir alana el atmış oldu. Siber saldırılar, çalınan kredi kartı veya kimlik bilgileri, artan şikayetler GDPR’ın çözüm bulması umulan alanlar. Insurtech ile daha veri merkezli  ve teknoloji odaklı olmayı amaçlayan sigorta şirketleri için GDPR oyun alanlarını sağlamlaştıracak ve pürüzleri giderecek bir düzenleme.

Türkiye sigorta sektörü açısından baktığımızda ise veri korunmasını amaçlayan düzenlemelerin olduğunu ancak GDPR kadar detaylı ve müşteriyi koruma amaçlı olmadığını görüyoruz. Avrupa Birliği vatandaşı olan birçok müşteriye sahip Türk sigorta şirketi olduğunu düşünürsek GDPR’ın ülkemizde de, geniş anlamda olmasa bile uygulanacağını söyleyebiliriz. Düzenleyici kurumun GDPR sonrası Türk veri koruma anlayışını da Avrupa Birliği seviyesine çekmesi elbette olası ve memnuniyet verici bir gelişme olacaktır.

#GDPR, #Insurtech, #DPO, #EU, #BusinessImpactAnalysis, #DPA, #DataErasure, #RighttobeForgotten, #ZeynepStefan

http://www.sigortagundem.com/yazarlar/genel-kapsamli-veri-koruma-kanunu-yazisi/1293341

 

260 total views, 3 views today

Yeni Nesil Hayat Sigortası ve Insurtech!

Hayat Branşı Yeniden mi Doğuyor?

Hayat sigortası poliçeleri Euro bölgesindeki krizin sonrasında ciddi bir karlılık krizine girmişti. Günümüzde de halen etkilerini gördüğümüz iktisadi daralma sonrasında sigorta şirketleri hayat portföylerini, taahhüt ettikleri getirileri poliçe sonunda sağlayamayacaklarını gördüklerinden ellerinden çıkarmak için sıraya girdiler, düzenleyici kurumlar ise poliçe devirlerini yasaklayamadıklarından portöylerinin başka şirketlerce devralınmasının tercih ettikleri bir uygulama olmadığını ifade etmekle yetindiler. Bu olumsuz finansal ortam, hayat sigortası alanında penetrasyonu düşürmekle kalmadı, hane halkı diye adlandırdığımız sıradan kişilerin sahip olması gereken ancak olmadıkları-olamadıkları güvence açıklarını da dramatik bir şekilde arttırdı.

2017 rakamlarına göre Amerika Birleşik Devletleri’nde hane halkının sahip olduğu ve sahip olması gereken güvence değerleri arasındaki fark 21 trilyon Dolar’a ulaştı. Bu, aile başına 400 bin Dolar demek. Yani, Amerika Birleşik Devletleri’nde yaşayan bir ailenin gerçekleşebilecek risklerin maliyeti ile sahip oldukları sigorta teminatı değeri arasındaki fark 400.000 Dolar değerinde. Yapılan araştırmalar, ailenin geçimini büyük oranda karşılayan anne veya babanın ani bir şekilde hayata veda etmesi durumunda Amerikan ailelerinin %58’inin sadece birkaç ay yaşam maliyetlerini ödeyebilecek kadar birikime sahip olduklarını ortaya koymakta. Bu durum, 19 trilyon Dolarlık ekonomisiyle dünyanın en büyüğü olan Amerika Birleşik Devletleri için çok trajik bir tablo. Sosyal devlet modeli daha çok öne çıkan Avrupa Ekonomik Bölgesi (European Economic Area)’deki durum da benzer. Toplam teminat açığı 17 trilyon Dolar değerinde ve her geçen yıl artmakta.

Yaklaşık 10 yıldır hayat sigortası sektörü, değişken piyasalar, düşük faiz gelirleri, düzenleyici kurumların artan baskısı, mevcut veya potansiyel müşterilerinin değişen demografik yapısı ve yatırım alışkanlıkları gibi, etkileri kapsamlı risklerle baş etmekte. Yani hayat portföyünün daralmasında ekonomik krizin yanında hedef kitledeki demografik değişimler de rol oynamakta.

Bu olumsuz ortamı, yaşam süresinin sağlık sektöründeki gelişmeler ile birlikte artması, sosyal güvenlik sistemlerinin artan nüfus ve yaşam süresi gibi temel değişimlere uyum sağlayamaması, iş güvencesinin artık neredeyse hiçbir sektörde olmaması ve gelir dağılımı eşitsizliğinin her geçen gün yaygınlaşması gibi olumsuz faktörler de kötüleştirmekte.

Çözüm Teknolojide

İşte bu kritik konjonktürde, sigorta sektörünün teknolojik yolculuğu olarak adlandırabileceğimiz insurtech, hayat sigortası sektörünün ihtiyacı olan yaşam enerjisini vermek için devreye girmiş durumda. Sektörün değişen müşteri istekleri ile birlikte gelişimini gerçekleştirememesi, süreçlerindeki maliyet optimizasyonunu sağlayamaması dolayısıyla elde edilebilir fiyatlarla ürünlerini satamaması ve standart ürün kavramından müşteriye özel ürün kavramına geçememesi gibi faktörler, Insurtech ile hayata geçirilebilecek bir model ile, tamamen online, kullanımı kolay ve kişiselleştirilebilecek bir sigortalanma deneyimine dönüşebilecek.

Sigorta teminatına sahip olmanın ilk adımı olan müşteriye ulaşım bu modelde her kanaldan sağlanabilmekte. Teknik süreç, insurtech yardımıyla tamamen otomatize edilmiş durumda. Anlık sigortalama ve fiyat hesaplaması yapabilen algoritmalar ile bir yılda altı milyona yakın sigortalanma talebi otomatik olarak cevaplanabilmekte. Bu, günde yaklaşık 16.500 talebin cevaplanabilmesi demek ki, standart bir şirkette bunun sağlanabilmesi için ilgili departmanda yüzlerce çalışanın olması gerekmekte. Müşteri, poliçesine istediği her kanaldan ulaşabilmekte. Ürünler müşteri ihtiyaçlarına göre farklılaştırılabilmekte. Dolayısıyla, standart bir hayat poliçesi yüzlerce farklı kombinasyonla müşteriye sunulabilmekte. Ürünlerin içeriği olabildiği kadar sadeleştirilmiş ve eğitilmiş bir satış gücüne ihtiyaç bırakmayacak kadar açık bir yapıya sahip. Müşterinin hasar anında şirkete ulaşabilmesi ise yine otomatize edilmiş süreçlerle desteklenmekte. Hasar anında, hasarın türüne göre otomatik cevaplama sistemleri veya ürün konusunda bilgilendirilmiş çağrı merkezi devreye girmekte.

Bu kadar otomatize edilen ve süreç kalitesi arttırılan bir ürün için bir sonraki aşama markalaşmaya gerek duyulmaması. Dolayısıyla bir sigorta şirketi, ki günümüzde Avrupa piyasasında uygulama bu yönde, direk müşteriye ulaşma yerine (B2C), portföyü olan bir kuruma ulaşabilir (B2B) ve ürettiği poliçe üzerine aracı kurumun logosunu koyarak üretim yapabilir. Hayat sigortasında devrim olarak niteleyebileceğim bu model sağlık sigortasında veya elementer branşta da uygulanabilir.

Türkiye gibi gelişmekte olan ve finansal derinleşme sürecini henüz tamamlayamamış piyasalarda, küçük bir ekip tarafından kolaylıkla uygulanabilecek bu yöntem, sektördeki dengeleri değiştirebilir. Ve piyasanın yeni kuralı olan, hızlı balık büyük balığı alt edebilir. İlk kim uygulayacak merakla bekliyorum.

263 total views, 1 views today

New Generation Life Policies with Insurtech!

After the financial crisis in European Economic Area (EEA), life insurance business was significantly influenced by volatile market conditions, low interest rate regime, pressures from regulatory bodies, changing customer demographics and investment patterns.

These undesired economic conditions caused a dramatic increase in protection gap. The insurance protection gap or underinsurance shows us the difference between the amount of actual need for insurance coverage and the amount that is purchased. This significant gap reached 21 trillion Dollar in USA. According to their financial agility, 58% of American families would not be able to cover their monthly expenses just a few months after a loved one from their families passed away. European Union countries are in a similar situation as well. Sadly, the coverage gap reached 17 trillion Dollar in EEA. Moreover, inequality is widening faster than ever. Current social security systems are strained because people live longer lives and job security is not a given anymore.

When we look on other contributors to protection gap, we saw the negative perception about life insurance among customer as well. Life insurance is found very complicated, not easy to understand, requires very bureaucratic processes beforehand and policy premiums are not affordable. So, simplifying life insurance, especially for the new generation insurance buyers will be crucial for life insurers’ future. The key of success is definitely insurtech!

When we examine classic life cycle of a life insurance product, we see 5 main steps. These are:

  • New business&UW support
  • Agency & distribution management
  • Policy admin support
  • Claims management
  • Shared services

With insurtech, these steps will be converted to standardized, efficient and optimized processes. The necessity for new product introduction will be performed while maintaining consistency and maximum quality in customer services.

With insurtech, buying a life insurance will be converted as a digital customer experience and this is a brand new business model. With insurtech, life insurers will:

  • create easy-to-understand and non-advisory life products,
  • have customer-centricity for creating new life products,
  • have automated UW (underwriting) decision processes which enable instant decision,
  • reach target customers via different distribution channels,
  • use predictive analytics to transform business with measurable variables easily and
  • provide a high level end-customer satisfaction.

Finally, creating a straight forward and informative online journey for life customers will be the unique solution for penetration problem of life insurers. And main drivers for mentioned solution come absolutely from insurtech!

232 total views, 2 views today

Insurtech’te 5N1K

Insurtech, 2017 yılında Türkiye sigorta sektörüne hızlı bir giriş yaptı. 2018 yılında daha fazla konuşacağımız ve konuyla alakalı gerçekleştirilen faaliyetlerin sonuçlarını göreceğimiz Insurtech# sektörde şirketlerin sıralamalarını değiştirebilecek, bazılarının ticari faaliyetlerini sonlandırmasını sağlayabilecek kadar etkili bir değişim olarak karşımıza çıkacak. Sigortcılar için “köprüden önceki son çıkış” olarak adlandırılan insurtech’le alakalı bilinmesi gerken temel kavramları, sıklıkla kullandığım bir yöntem olan ve ana çerçeveyi eksiksiz çizdiğini düşündüğüm 5N1K yöntemi ile özetlemek isterim. 5N1K yönteminin bir sonraki aşaması olan ve insurtech’le alakalı yapacağım bir SWOT analizi ise diğer bir yazının konusu olacak.

5N1K televizyonda izlediğimiz haber programından çok önce iş dünyasında kullanılan bir analiz methodu. Çözümün oluşabilmesi için sorunun iyi anlaşılması gerektiği temel kuralından yola çıkarsak, 5N1K analizi insurtech gibi karmaşık olabilecek bir kavramı basitleştirerek anlamamıza giden yolda ilk adımımız olacak. 5N1K; ne, neden, nasıl, nerede, ne zaman ve kim sorularının baş harflerinden oluşan bir kısaltma. Ne sorusu ile konunun genel bir adlandırması yapılır, neden sorusu ile amaç belirtilir, nasıl sorusu ile yöntem ifade edilir, nerede sorusu ile mekan ve yer kavramları açığa kavuşturulur, ne zaman sorusu ile süre ve süreç detayları belirtilir ve son olarak kim sorusu ile ilgili veya sorumlu kişiler ifade edilir.

Read more

203 total views, 1 views today