Your SlideShare is downloading. ×
MAIA Panel Big Event
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

MAIA Panel Big Event

299
views

Published on

Summary of 201 CMR 17.00 and what it means to insurance agencies in MA.

Summary of 201 CMR 17.00 and what it means to insurance agencies in MA.


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
299
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. The Big Event 2009 201 CMR 17.00 Personal Information Security  Jason Hoeppner, CIC B. H. Burke & Co., Inc.
  • 2. 201 CMR 17.00 The Basics of the Law (note, these are my own thoughts and should not be construed as legal advice): • All entities that own or license personal information (names connected to  SSNs, drivers’ license #s) about a resident of MA must comply with this  law by March 1, 2010. • Every agency must have a designated Security Officer and a written  information security plan (WISP) in place. • All employees must be trained on the security plan. • The safeguarding of this information applies to physical security as well as  electronic security (paper and computer files as well.) • If a breach occurs, it must be reported and the corrective actions must be  taken.
  • 3. 201 CMR 17.00 What Does It Mean? • Network security and password policies must be up‐to‐date and enforced  No yellow sticky notes with passwords!!!!! • Emails that contain personal information (PI) must be encrypted as much  as it is technically feasible and reasonable. My thought here is that you  cannot go completely without encryption of some type. • Any portable devices (e.g., laptops, thumb drives) that store PI (even in a  copy of an email or other document) must be encrypted. • Wireless networks must be encrypted. • Paper records must be stored in a secure, locked area and accessible only  to those employees who need access. Ideally all files (even management  system screens) should never be visible to customers or personnel who do  not work for the agency.
  • 4. 201 CMR 17.00 What Do I Need to Do as an Agency Owner/Principal? 1. Read the law. 2. Designate a Security Officer/Manager. 3. Have the Security Officer read the law. 4. Conduct a security assessment based on the requirements of the law.  5. This can be a self assessment, or better yet, an assessment by an outside  consultant with experience and understanding of the law to give you an  objective security review of your agency. 6. With the gaps identified in step 4, create an action plan to close the  compliance issues. 7. With the results of steps 4 and 5, write your security plan (WISP). 8. Train all employees on the WISP. 9. Monitor the items outlined on your WISP. 10.Review & update your plan at least yearly.
  • 5. 201 CMR 17.00 What You Do (or Not Do) in Response  to This Regulation is Important!  Think of this from your clients’ point of view.  If the law is not  addressed in the appropriate manner and there is a resulting  breach, the results could be extremely negative for your agency.  On the other hand, a conscientious and transparent approach to  this will build on the trust and strong relationships you have with  your customers.
  • 6. Questions? Jason Hoeppner, CIC B. H. Burke & Co., Inc. Jason@bhbco.com (860) 399‐8288 http://twitter.com/JasonBHBCo http://www.linkedin.com/in/JasonBHBCo http://www.facebook.com/JasonBHBCo