SecurityLab,
7 июня 2017 г.
Обязательства по договору, «третья сторона» и киберстрахование. Часть 1 263 просмотра
Джон Саутри объясняет, что вам нужно понимать в отношении договоров с третьими лицами и киберстраховании в том случае, если вы хотите принимать правильные решения.
Полагаетесь ли вы на «третью сторону» в своей организации? Являетесь ли вы третьей стороной в отношениях с кем-либо? И подписали ли вы с этими сторонами соглашения?
Многие дадут утвердительный ответ на все эти вопросы.
Знаете ли вы, какие обязательства или риски вы приняли на себя в рамках этих соглашений? Или какие риски, как вы ожидаете, примут на себя другие? Знают ли они об этом? Согласуется ли ваше страховое покрытие с договорными обязательствами?
Сегодня большая часть договоров предполагает риск или возлагает его на других. После того, как вы вникните в правила этой «игры» по возложению рисков на других, осуществляемой при составлении договоров для третьих сторон, вы обретете способность задавать правильные вопросы и принимать правильные решения.
Своим пониманием этой темы делится Джон Саутри, CIC, CRM , директор по развитию продуктов и оказанию консалтинговых услуг для компании Texas Medical Trust . Джон руководит разработкой и маркетингом киберответственности, технологических ошибок и упущений при страховании больниц, медицинских групп, ИТ-компаний, работающих в сфере здравоохранения, и юридических фирм. Он управляет корпоративным коммерческим страхованием и киберстрахованием в компании, а также проводит обучение относительно киберстрахования среди организаций Техаса. Он является сертифицированным консультантом по страхованию (CIC) и сертифицированным менеджером по рискам (CRM).
Джон читает много договоров и научился задавать наводящие вопросы, которые оказываются полезными для всех вовлеченных сторон. Стоит также сделать одну оговорку: компания TMLT и Джон Саутри не предоставляют юридические консультации и не делают юридических заключений относительно договора (договоров). Эта статья опубликована в информационных целях, третьим сторонам не стоит всецело полагаться на нее. Читателю следует обращаться к юристу по всем вопросам. Любые описания страхового покрытия также регулируются условиями конкретной политики и зависят от истолкования страховщика, а также любыми применимыми правилами.
Как вы можете себе представить, мы с Джоном провели несколько интересных бесед. Говорили об увеличении случаев нарушения безопасности данных в целом и конкретных нарушениях электронной информации о здоровье (ePHI). Мы согласились в том, что нарушения безопасности информации могут случиться даже с наиболее защищенными организациями.
Опыт Джона в изучении обширной и постоянно расширяющейся структуры электронной информации о здоровье и зависимости от третьих сторон в ее обработке и хранении побуждает относиться к любому, кто работает или действует с подобной информацией, как к третьей стороне. Хотя приведенные ниже примеры и идеи вытекают из случаев, связанных с применением HIPAA, подумайте о том, как данные принципы применимы к вашей ситуации.
Что должны знать лидеры в сфере безопасности, когда речь заходит о множестве договоров, с которыми им приходится сталкиваться?
В соответствии с HIPAA, подпадающие под его действия организации, пользующиеся услугами независимого подрядчика / делового партнера (BA), таких как поставщики облачных услуг (CSP) для обработки и хранения электронной защищенной медицинской информации (ePHI), должны подписать Деловое соглашение Партнеров (BAA), не противоречащее HIPAA. Соглашение возлагает на организации ответственность (в соответствии с договором) за выполнение условий соглашения, а также прямую ответственность за соблюдение правил HIPAA. Компании также часто подписывают соглашение с деловыми партнерами относительно уровня обслуживания, оно обговаривает другие обязанности по обеспечению безопасности данных. Эти соглашения неизбежно дополняются положениями о нанесении возможного ущерба третьей стороне и выплате компенсации. Они то и могут оказаться самой важной частью договора.
Компании, работающие в сфере здравоохранения, должны пересмотреть все договоры на предмет наличия подобных положений и иметь план на случай непредвиденных обстоятельств в качестве финансового механизма поддержки, поскольку положение о компенсации может потерпеть неудачу. Вот важный вопрос, который организации, работающие в сфере здравоохранения, должны рассмотреть со своим адвокатом до подписания договора с любым подрядчиком: «Является ли моя организация Гарантом или Получателем возмещения в соответствии с этим договором?» Иными словами, кто соглашается о возмещении и кому?
Гарант — это сторона, которая обеспечивает возмещение, или, лучше сказать, согласилась взять на себя гражданско-правовую ответственность Получателя Возмещения, а Получатель Возмещения — это сторона, которая получает возмещение, вытекающее из ее ответственности перед третьей стороной. Именно эту ответственность принимает на себя Гарант. Освобождение — это соглашение о возмещении, но оно не предусматривает защиту Получателя Возмещения. Оговорка о возмещении ущерба является соглашением об ответе за или о защите ответственности, которую несет на себе другая сторона, но она не освобождает Получателя Возмещения от его гражданско-правовой ответственности перед третьей стороной.
Руководители должны убедиться в том, что понимают свои обязательства в отношении любой ответственности, принятой на себя в соответствии с договором. Современная «игра» по передаче риска заключается в том, чтобы стороны попытались договориться о передаче как можно большего количества рисков и принять как можно меньше рисков (для себя). И попытки возложить все или какую-то часть финансовых последствий за ущерб, нанесенный третьей стороне, появляются также во множестве других договоров, включая заявление о конфиденциальности веб-сайта, политику конфиденциальности компании и соглашение об обслуживании.
Основное соглашение о возмещении убытков заключается в том, что Гарант соглашается освободить Получателя Возмещения от любых требований, штрафов, пеней, обязательств или убытков, понесенных Получателем Возмещения в связи с нарушением Гарантом своих обязательств, имеющих отношение к использованию, раскрытию или защите электронной информации о здоровье (ePHI). В некоторых случаях Гарантом является подрядчик, а его клиент – Получателем Возмещения. И, наоборот, в других соглашениях клиент может оказаться Гарантом, и ожидается, что он будет финансировать любые принятые на себя обязательства.
Каковы некоторые общие или, возможно, не столь распространенные вопросы для выявления информации о потенциальном ущербе в результате нарушения безопасности информации?
Каждое нарушение безопасности информации требует уникальной реакции в зависимости от обстоятельств. Во многих случаях мы обнаружили, что руководители не знают о спектре прямых и косвенных затрат, которые могут возникнуть в результате нарушения безопасности данных. Прямые затраты могут включать в себя судебные издержки; затраты на проведение ИТ-экспертизы с целью определения причины нарушения безопасности, на выяснение того, произошла ли утечка информации, на восстановление данных; а также расходы на уведомление нарушении безопасности данных и ответные меры, включая судебные издержки, найм call-центра и предоставление кредитного мониторинга, а также восстановление обслуживания. Косвенные издержки могут включать в себя потерю прибыли, утрату расположения со стороны пациентов и ущерб репутации.
Недавно обладатель страхового полиса компании TMLT сообщил об одном из крупнейших на сегодняшний день требований в отношении возмещения киберответственности. Это была атака вымогателей, которая привела к нарушению безопасности данных более чем 270 000 пациентов. Резерв расходов, необходимых лишь на уведомление о нарушении безопасности, исчисляется шестизначным числом. Застрахованный не заплатил выкуп, но при попытке исправить причиненный вымогательством ущерб, были стерты с серверов все доказательства, способные подтвердить «низкую вероятность компрометации» электронной безопасности информации о здоровье (ePHI). Если бы застрахованный незамедлительно сообщил об инциденте в отдел претензий TMLT, в срочном порядке было бы начато судебное расследование, чтобы определить, произошла ли утечка каких либо данных или нет.
Незамедлительное обращение к своему страховщику киберответственности и сохранение доказательств должно быть двумя основными целями для любой организации, подвергшейся атаке вымогателей. Затем можно будет определить, нужно ли проводить судебное расследование или нет.
Евгений ЦАРЕВ
Продолжение: 08.06.2017 г.
Вся пресса за 7 июня 2017 г.
Смотрите другие материалы по этой тематике: Киберугрозы, киберриски и киберстрахование
Установите трансляцию заголовков прессы на своем сайте
|
|
![](https://www.insur-info.ru/img/_.gif) |
Архив прессы
|
|
|
![](https://www.insur-info.ru/img/_.gif) |
Текущая пресса
![](https://www.insur-info.ru/img/_.gif) |
| |
16 июля 2024 г.
![](https://www.insur-info.ru/img/trans.gif)
|
|
Якутия.Инфо, 16 июля 2024 г.
Для курьеров на электросамокатах собираются ввести аналог ОСАГО
![](https://www.insur-info.ru/img/trans.gif)
|
|
Известия, 16 июля 2024 г.
Роза километров: куда едут самостоятельные путешественники этим летом
![](https://www.insur-info.ru/img/trans.gif)
|
|
Коммерсантъ, 16 июля 2024 г.
Автослесарям раскручивают гайки
![](https://www.insur-info.ru/img/trans.gif)
|
15 июля 2024 г.
![](https://www.insur-info.ru/img/trans.gif)
|
|
Дагестан, РИА, 15 июля 2024 г.
Абдулмуслим Абдулмуслимов обсудил нормализацию ситуации на рынке ОСАГО с Евгением Эберенцем
![](https://www.insur-info.ru/img/trans.gif)
|
|
Правда УРФО, Екатеринбург, 15 июля 2024 г.
«Транснефть» теряет полмиллиарда на ЧП в Тюменской области, а «РИ-ИНВЕСТ» поборется за десятки миллионов евро со страховщиками
![](https://www.insur-info.ru/img/trans.gif)
|
|
Комиинформ, Сыктывкар, 15 июля 2024 г.
Двое сыктывкарцев обвиняются в мошенничестве при получении страховки за ДТП
![](https://www.insur-info.ru/img/trans.gif)
|
|
Business FM Санкт-Петербург, 15 июля 2024 г.
Правительство концептуально одобрило идею увеличения срока ремонта автомобиля по ОСАГО до 45 дней
![](https://www.insur-info.ru/img/trans.gif)
|
|
Справедливая Россия, 15 июля 2024 г.
Сергей Миронов: «гражданская» медицина обязана оказывать помощь участникам СВО
![](https://www.insur-info.ru/img/trans.gif)
|
|
Комсомольская правда в республике Коми, 15 июля 2024 г.
В Сыктывкаре двое мужчин сжульничали при получении страховки за ДТП
![](https://www.insur-info.ru/img/trans.gif)
|
|
Коммерсантъ-Санкт-Петербург, 15 июля 2024 г.
Защитить и приумножить семейный бизнес
![](https://www.insur-info.ru/img/trans.gif)
|
|
Столичное телевидение, Минск, 15 июля 2024 г.
«Выплаты есть». Как и на каких условиях можно застраховать урожай?
![](https://www.insur-info.ru/img/trans.gif)
|
|
Финмаркет, 15 июля 2024 г.
Чистая прибыль ПАО СК «Росгосстрах» в январе-июне выросла в 2 раза
![](https://www.insur-info.ru/img/trans.gif)
|
|
РБК.Ростов, 15 июля 2024 г.
Донские депутаты попросят расширить поддержку пострадавших от ЧС аграриев
![](https://www.insur-info.ru/img/trans.gif)
|
|
РБК.Ростов, 15 июля 2024 г.
На Дону просят ввести мораторий на банкротство пострадавших в ЧС агрофирм
![](https://www.insur-info.ru/img/trans.gif)
|
|
Правда.ru, 15 июля 2024 г.
Как «Мосэнерго» «СОГАЗ» на 1,7 млрд.$ кинул
![](https://www.insur-info.ru/img/trans.gif)
|
|
CityTraffic, Самара, 15 июля 2024 г.
В Самаре суд освободил от выплаты кредита на миллион рублей семью умершего заемщика
![](https://www.insur-info.ru/img/trans.gif)
|
|
Правда.ru, 15 июля 2024 г.
«Не ознакомился с ОМС и стал жертвой мошенников»: случай в Хабаровске
![](https://www.insur-info.ru/img/trans.gif)
|
 Остальные материалы за 15 июля 2024 г. |
 Самое главное
 Найти
: по изданию
, по теме
, за период
 Получать: на e-mail, на свой сайт
|
|
|
|
|
|