Джон Саутри объясняет, что вам нужно понимать в отношении договоров с третьими лицами и киберстраховании в том случае, если вы хотите принимать правильные решения.
Полагаетесь ли вы на «третью сторону» в своей организации? Являетесь ли вы третьей стороной в отношениях с кем-либо? И подписали ли вы с этими сторонами соглашения?
Многие дадут утвердительный ответ на все эти вопросы.
Знаете ли вы, какие обязательства или риски вы приняли на себя в рамках этих соглашений? Или какие риски, как вы ожидаете, примут на себя другие? Знают ли они об этом? Согласуется ли ваше страховое покрытие с договорными обязательствами?
Сегодня большая часть договоров предполагает риск или возлагает его на других. После того, как вы вникните в правила этой «игры» по возложению рисков на других, осуществляемой при составлении договоров для третьих сторон, вы обретете способность задавать правильные вопросы и принимать правильные решения.
Своим пониманием этой темы делится Джон Саутри, CIC, CRM, директор по развитию продуктов и оказанию консалтинговых услуг для компании Texas Medical Trust. Джон руководит разработкой и маркетингом киберответственности, технологических ошибок и упущений при страховании больниц, медицинских групп, ИТ-компаний, работающих в сфере здравоохранения, и юридических фирм. Он управляет корпоративным коммерческим страхованием и киберстрахованием в компании, а также проводит обучение относительно киберстрахования среди организаций Техаса. Он является сертифицированным консультантом по страхованию (CIC) и сертифицированным менеджером по рискам (CRM).
Джон читает много договоров и научился задавать наводящие вопросы, которые оказываются полезными для всех вовлеченных сторон. Стоит также сделать одну оговорку: компания TMLT и Джон Саутри не предоставляют юридические консультации и не делают юридических заключений относительно договора (договоров). Эта статья опубликована в информационных целях, третьим сторонам не стоит всецело полагаться на нее. Читателю следует обращаться к юристу по всем вопросам. Любые описания страхового покрытия также регулируются условиями конкретной политики и зависят от истолкования страховщика, а также любыми применимыми правилами.
Как вы можете себе представить, мы с Джоном провели несколько интересных бесед. Говорили об увеличении случаев нарушения безопасности данных в целом и конкретных нарушениях электронной информации о здоровье (ePHI). Мы согласились в том, что нарушения безопасности информации могут случиться даже с наиболее защищенными организациями.
Опыт Джона в изучении обширной и постоянно расширяющейся структуры электронной информации о здоровье и зависимости от третьих сторон в ее обработке и хранении побуждает относиться к любому, кто работает или действует с подобной информацией, как к третьей стороне. Хотя приведенные ниже примеры и идеи вытекают из случаев, связанных с применением HIPAA, подумайте о том, как данные принципы применимы к вашей ситуации.
Что должны знать лидеры в сфере безопасности, когда речь заходит о множестве договоров, с которыми им приходится сталкиваться?
В соответствии с HIPAA, подпадающие под его действия организации, пользующиеся услугами независимого подрядчика / делового партнера (BA), таких как поставщики облачных услуг (CSP) для обработки и хранения электронной защищенной медицинской информации (ePHI), должны подписать Деловое соглашение Партнеров (BAA), не противоречащее HIPAA. Соглашение возлагает на организации ответственность (в соответствии с договором) за выполнение условий соглашения, а также прямую ответственность за соблюдение правил HIPAA. Компании также часто подписывают соглашение с деловыми партнерами относительно уровня обслуживания, оно обговаривает другие обязанности по обеспечению безопасности данных. Эти соглашения неизбежно дополняются положениями о нанесении возможного ущерба третьей стороне и выплате компенсации. Они то и могут оказаться самой важной частью договора.
Компании, работающие в сфере здравоохранения, должны пересмотреть все договоры на предмет наличия подобных положений и иметь план на случай непредвиденных обстоятельств в качестве финансового механизма поддержки, поскольку положение о компенсации может потерпеть неудачу. Вот важный вопрос, который организации, работающие в сфере здравоохранения, должны рассмотреть со своим адвокатом до подписания договора с любым подрядчиком: «Является ли моя организация Гарантом или Получателем возмещения в соответствии с этим договором?» Иными словами, кто соглашается о возмещении и кому?
Гарант - это сторона, которая обеспечивает возмещение, или, лучше сказать, согласилась взять на себя гражданско-правовую ответственность Получателя Возмещения, а Получатель Возмещения - это сторона, которая получает возмещение, вытекающее из ее ответственности перед третьей стороной. Именно эту ответственность принимает на себя Гарант. Освобождение - это соглашение о возмещении, но оно не предусматривает защиту Получателя Возмещения. Оговорка о возмещении ущерба является соглашением об ответе за или о защите ответственности, которую несет на себе другая сторона, но она не освобождает Получателя Возмещения от его гражданско-правовой ответственности перед третьей стороной.
Руководители должны убедиться в том, что понимают свои обязательства в отношении любой ответственности, принятой на себя в соответствии с договором. Современная «игра» по передаче риска заключается в том, чтобы стороны попытались договориться о передаче как можно большего количества рисков и принять как можно меньше рисков (для себя). И попытки возложить все или какую-то часть финансовых последствий за ущерб, нанесенный третьей стороне, появляются также во множестве других договоров, включая заявление о конфиденциальности веб-сайта, политику конфиденциальности компании и соглашение об обслуживании.
Основное соглашение о возмещении убытков заключается в том, что Гарант соглашается освободить Получателя Возмещения от любых требований, штрафов, пеней, обязательств или убытков, понесенных Получателем Возмещения в связи с нарушением Гарантом своих обязательств, имеющих отношение к использованию, раскрытию или защите электронной информации о здоровье (ePHI). В некоторых случаях Гарантом является подрядчик, а его клиент – Получателем Возмещения. И, наоборот, в других соглашениях клиент может оказаться Гарантом, и ожидается, что он будет финансировать любые принятые на себя обязательства.
Каковы некоторые общие или, возможно, не столь распространенные вопросы для выявления информации о потенциальном ущербе в результате нарушения безопасности информации?
Каждое нарушение безопасности информации требует уникальной реакции в зависимости от обстоятельств. Во многих случаях мы обнаружили, что руководители не знают о спектре прямых и косвенных затрат, которые могут возникнуть в результате нарушения безопасности данных. Прямые затраты могут включать в себя судебные издержки; затраты на проведение ИТ-экспертизы с целью определения причины нарушения безопасности, на выяснение того, произошла ли утечка информации, на восстановление данных; а также расходы на уведомление нарушении безопасности данных и ответные меры, включая судебные издержки, найм call-центра и предоставление кредитного мониторинга, а также восстановление обслуживания. Косвенные издержки могут включать в себя потерю прибыли, утрату расположения со стороны пациентов и ущерб репутации.
Недавно обладатель страхового полиса компании TMLT сообщил об одном из крупнейших на сегодняшний день требований в отношении возмещения киберответственности. Это была атака вымогателей, которая привела к нарушению безопасности данных более чем 270 000 пациентов. Резерв расходов, необходимых лишь на уведомление о нарушении безопасности, исчисляется шестизначным числом. Застрахованный не заплатил выкуп, но при попытке исправить причиненный вымогательством ущерб, были стерты с серверов все доказательства, способные подтвердить «низкую вероятность компрометации» электронной безопасности информации о здоровье (ePHI). Если бы застрахованный незамедлительно сообщил об инциденте в отдел претензий TMLT, в срочном порядке было бы начато судебное расследование, чтобы определить, произошла ли утечка каких либо данных или нет.
Незамедлительное обращение к своему страховщику киберответственности и сохранение доказательств должно быть двумя основными целями для любой организации, подвергшейся атаке вымогателей. Затем можно будет определить, нужно ли проводить судебное расследование или нет.
Продолжение: 08.06.2017г.
Предоставлю подробную консультацию
Предложу актуальное и наиболее выгодное решение Вашей проблемы.