SecurityLab,
7 июня 2017 г.
Обязательства по договору, «третья сторона» и киберстрахование. Часть 1 270 просмотров
Джон Саутри объясняет, что вам нужно понимать в отношении договоров с третьими лицами и киберстраховании в том случае, если вы хотите принимать правильные решения.
Полагаетесь ли вы на «третью сторону» в своей организации? Являетесь ли вы третьей стороной в отношениях с кем-либо? И подписали ли вы с этими сторонами соглашения?
Многие дадут утвердительный ответ на все эти вопросы.
Знаете ли вы, какие обязательства или риски вы приняли на себя в рамках этих соглашений? Или какие риски, как вы ожидаете, примут на себя другие? Знают ли они об этом? Согласуется ли ваше страховое покрытие с договорными обязательствами?
Сегодня большая часть договоров предполагает риск или возлагает его на других. После того, как вы вникните в правила этой «игры» по возложению рисков на других, осуществляемой при составлении договоров для третьих сторон, вы обретете способность задавать правильные вопросы и принимать правильные решения.
Своим пониманием этой темы делится Джон Саутри, CIC, CRM , директор по развитию продуктов и оказанию консалтинговых услуг для компании Texas Medical Trust . Джон руководит разработкой и маркетингом киберответственности, технологических ошибок и упущений при страховании больниц, медицинских групп, ИТ-компаний, работающих в сфере здравоохранения, и юридических фирм. Он управляет корпоративным коммерческим страхованием и киберстрахованием в компании, а также проводит обучение относительно киберстрахования среди организаций Техаса. Он является сертифицированным консультантом по страхованию (CIC) и сертифицированным менеджером по рискам (CRM).
Джон читает много договоров и научился задавать наводящие вопросы, которые оказываются полезными для всех вовлеченных сторон. Стоит также сделать одну оговорку: компания TMLT и Джон Саутри не предоставляют юридические консультации и не делают юридических заключений относительно договора (договоров). Эта статья опубликована в информационных целях, третьим сторонам не стоит всецело полагаться на нее. Читателю следует обращаться к юристу по всем вопросам. Любые описания страхового покрытия также регулируются условиями конкретной политики и зависят от истолкования страховщика, а также любыми применимыми правилами.
Как вы можете себе представить, мы с Джоном провели несколько интересных бесед. Говорили об увеличении случаев нарушения безопасности данных в целом и конкретных нарушениях электронной информации о здоровье (ePHI). Мы согласились в том, что нарушения безопасности информации могут случиться даже с наиболее защищенными организациями.
Опыт Джона в изучении обширной и постоянно расширяющейся структуры электронной информации о здоровье и зависимости от третьих сторон в ее обработке и хранении побуждает относиться к любому, кто работает или действует с подобной информацией, как к третьей стороне. Хотя приведенные ниже примеры и идеи вытекают из случаев, связанных с применением HIPAA, подумайте о том, как данные принципы применимы к вашей ситуации.
Что должны знать лидеры в сфере безопасности, когда речь заходит о множестве договоров, с которыми им приходится сталкиваться?
В соответствии с HIPAA, подпадающие под его действия организации, пользующиеся услугами независимого подрядчика / делового партнера (BA), таких как поставщики облачных услуг (CSP) для обработки и хранения электронной защищенной медицинской информации (ePHI), должны подписать Деловое соглашение Партнеров (BAA), не противоречащее HIPAA. Соглашение возлагает на организации ответственность (в соответствии с договором) за выполнение условий соглашения, а также прямую ответственность за соблюдение правил HIPAA. Компании также часто подписывают соглашение с деловыми партнерами относительно уровня обслуживания, оно обговаривает другие обязанности по обеспечению безопасности данных. Эти соглашения неизбежно дополняются положениями о нанесении возможного ущерба третьей стороне и выплате компенсации. Они то и могут оказаться самой важной частью договора.
Компании, работающие в сфере здравоохранения, должны пересмотреть все договоры на предмет наличия подобных положений и иметь план на случай непредвиденных обстоятельств в качестве финансового механизма поддержки, поскольку положение о компенсации может потерпеть неудачу. Вот важный вопрос, который организации, работающие в сфере здравоохранения, должны рассмотреть со своим адвокатом до подписания договора с любым подрядчиком: «Является ли моя организация Гарантом или Получателем возмещения в соответствии с этим договором?» Иными словами, кто соглашается о возмещении и кому?
Гарант — это сторона, которая обеспечивает возмещение, или, лучше сказать, согласилась взять на себя гражданско-правовую ответственность Получателя Возмещения, а Получатель Возмещения — это сторона, которая получает возмещение, вытекающее из ее ответственности перед третьей стороной. Именно эту ответственность принимает на себя Гарант. Освобождение — это соглашение о возмещении, но оно не предусматривает защиту Получателя Возмещения. Оговорка о возмещении ущерба является соглашением об ответе за или о защите ответственности, которую несет на себе другая сторона, но она не освобождает Получателя Возмещения от его гражданско-правовой ответственности перед третьей стороной.
Руководители должны убедиться в том, что понимают свои обязательства в отношении любой ответственности, принятой на себя в соответствии с договором. Современная «игра» по передаче риска заключается в том, чтобы стороны попытались договориться о передаче как можно большего количества рисков и принять как можно меньше рисков (для себя). И попытки возложить все или какую-то часть финансовых последствий за ущерб, нанесенный третьей стороне, появляются также во множестве других договоров, включая заявление о конфиденциальности веб-сайта, политику конфиденциальности компании и соглашение об обслуживании.
Основное соглашение о возмещении убытков заключается в том, что Гарант соглашается освободить Получателя Возмещения от любых требований, штрафов, пеней, обязательств или убытков, понесенных Получателем Возмещения в связи с нарушением Гарантом своих обязательств, имеющих отношение к использованию, раскрытию или защите электронной информации о здоровье (ePHI). В некоторых случаях Гарантом является подрядчик, а его клиент – Получателем Возмещения. И, наоборот, в других соглашениях клиент может оказаться Гарантом, и ожидается, что он будет финансировать любые принятые на себя обязательства.
Каковы некоторые общие или, возможно, не столь распространенные вопросы для выявления информации о потенциальном ущербе в результате нарушения безопасности информации?
Каждое нарушение безопасности информации требует уникальной реакции в зависимости от обстоятельств. Во многих случаях мы обнаружили, что руководители не знают о спектре прямых и косвенных затрат, которые могут возникнуть в результате нарушения безопасности данных. Прямые затраты могут включать в себя судебные издержки; затраты на проведение ИТ-экспертизы с целью определения причины нарушения безопасности, на выяснение того, произошла ли утечка информации, на восстановление данных; а также расходы на уведомление нарушении безопасности данных и ответные меры, включая судебные издержки, найм call-центра и предоставление кредитного мониторинга, а также восстановление обслуживания. Косвенные издержки могут включать в себя потерю прибыли, утрату расположения со стороны пациентов и ущерб репутации.
Недавно обладатель страхового полиса компании TMLT сообщил об одном из крупнейших на сегодняшний день требований в отношении возмещения киберответственности. Это была атака вымогателей, которая привела к нарушению безопасности данных более чем 270 000 пациентов. Резерв расходов, необходимых лишь на уведомление о нарушении безопасности, исчисляется шестизначным числом. Застрахованный не заплатил выкуп, но при попытке исправить причиненный вымогательством ущерб, были стерты с серверов все доказательства, способные подтвердить «низкую вероятность компрометации» электронной безопасности информации о здоровье (ePHI). Если бы застрахованный незамедлительно сообщил об инциденте в отдел претензий TMLT, в срочном порядке было бы начато судебное расследование, чтобы определить, произошла ли утечка каких либо данных или нет.
Незамедлительное обращение к своему страховщику киберответственности и сохранение доказательств должно быть двумя основными целями для любой организации, подвергшейся атаке вымогателей. Затем можно будет определить, нужно ли проводить судебное расследование или нет.
Евгений ЦАРЕВ
Продолжение: 08.06.2017 г.
Вся пресса за 7 июня 2017 г.
Смотрите другие материалы по этой тематике: Киберугрозы, киберриски и киберстрахование
Установите трансляцию заголовков прессы на своем сайте
|
|
|
Архив прессы
|
|
|
|
Текущая пресса
|
| |
21 ноября 2024 г.
|
|
ТАСС, 21 ноября 2024 г.
В Минтрансе заявили о саботаже некоторыми странами страховок танкеров РФ
|
|
Финмаркет, 21 ноября 2024 г.
Альфа-банк подтверждает рекомендацию «выше рынка» для акций «Ренессанс страхования»
|
|
Финмаркет, 21 ноября 2024 г.
Акции «Ренессанс страхования» остаются привлекательными для долгосрочных покупок - «Газпромбанк Инвестиции»
|
|
PrimaMedia, Владивосток, 21 ноября 2024 г.
Росгосстрах в Приморье застраховал судовладельцев на 2,150 млн долларов США
|
|
Интерфакс, 21 ноября 2024 г.
РНПК назвала условия предоставления перестраховочной емкости партнерам из СНГ
|
|
Колеса.ру, Санкт-Петербург, 21 ноября 2024 г.
Газпромбанк Автолизинг застрахует от издержек в период ремонта или ожидания запчастей на СТОА
|
|
02.мвд.рф, Уфа, 21 ноября 2024 г.
Никому не сообщайте код из СМС!
|
|
РИАМО, 21 ноября 2024 г.
Стало известно, сколько россияне готовы тратить на защиту здоровья питомцев
|
|
РИА Новости, 21 ноября 2024 г.
ЭКСАР помогли ростовской компании выйти на рынки Армении и Грузии
|
|
Дума ТВ, 21 ноября 2024 г.
«Новые люди» проведут широкую дискуссию о необходимости присутствия страховых медицинских организаций в системе ОМС
|
|
Орловские новости, 21 ноября 2024 г.
В Орловской области автомобильная ОПГ вместе с организатором пойдет под суд
|
|
Финмаркет, 21 ноября 2024 г.
«Велес Капитал» подтверждает рекомендацию «покупать» для акций «Ренессанс страхования»
|
|
МК в Хакасии, 21 ноября 2024 г.
Житель Черногорска потерял 290 тыс. руб. при мошенничестве с медполисом
|
|
Кабар, Бишкек, 21 ноября 2024 г.
Сотрудники Минфина первыми массово застраховали свои автомобили и жилье
|
|
Пульс Хакасии, 21 ноября 2024 г.
Черногорца обманули мошенники, представившиеся сотрудниками страховой компании
|
|
Кабар, Бишкек, 21 ноября 2024 г.
В Кыргызстане сохраняется тенденция роста доходов страховых компаний
|
|
мвд.рф, 21 ноября 2024 г.
В Орловской области завершено расследование многоэпизодного уголовного дела о мошенничестве в сфере автострахования
|
 Остальные материалы за 21 ноября 2024 г. |
 Самое главное
 Найти
: по изданию
, по теме
, за период
 Получать: на e-mail, на свой сайт
|
|
|
|
|
|