Verzekeraars en zorgverleners worden niet direct geassocieerd met PCI DSS, maar beide sectoren verwerken regelmatig betalingskaartgegevens. Premie-incasso's, eigen bijdragen bij medische behandelingen, ontvangsten voor klinische diensten: al deze betalingsstromen vallen onder PCI DSS wanneer ze via credit- of debetkaart verlopen. En de risico's zijn verhoogd, omdat deze sectoren tegelijkertijd opereren onder twee gevoelige regelgevingskaders: PCI DSS voor betalingsgegevens en AVG (evenals NIS2) voor gezondheidsgegevens.
Verzekeringen en PCI DSS: premie-incasso's en verborgen risico's
Een verzekeringsmaatschappij die premies via kaart int — online, telefonisch of via callcenter-agenten — valt binnen het PCI-bereik. Voor auto-, woon- of levensverzekeringen geeft de klant bij het afsluiten of bij de premietermijn kaartgegevens door, en het bedrijf wordt verantwoordelijk voor de veilige verwerking ervan. Wanneer deze kaartgegevens worden opgeslagen in interne CRM- of polisbeheerssoftware, wat bij veel traditionele verzekeraars het geval is, ontstaat een CDE zonder gestructureerde governance.
Een ander veelvoorkomend blind punt: verzekeringsagenten en -makelaars die kaartgegevens voor klantenbeheer verzamelen op papier of in onbeveiligde bestanden. Wanneer een agent kaartgegevens noteert op een formulier en het formulier later in papieren vorm wordt bewaard of handmatig wordt overgezet, ontstaat een diffuus risico dat moeilijk te auditeren en nog moeilijker te documenteren is.
Zorgverleners: waar kaartgegevens klinische systemen binnendringen
In de zorgsector vindt de betaalinning plaats in verschillende fasen van het klinische traject: bij de receptie (eigen bijdrage, co-betaling), na een diagnostisch onderzoek (betaling bij ontslag) of online (reservering van privéafspraken). Elk van deze momenten kan een PCI-risico creëren, met name wanneer de betalingsstroom is geïntegreerd in het klinisch informatiesysteem (KIS).
Veel KIS-systemen zijn niet ontworpen met het concept van een CDE: ze zijn ontwikkeld voor klinische documentatie, planning en patiëntendossiers. Wanneer de betalingscomponent later wordt toegevoegd, stromen kaartgegevens een systeem in dat niet is ingericht voor de veilige verwerking ervan. Om deze reden adviseren veel PCI-consultants voor zorgverleners het gebruik van een extern betaalplatform dat volledig losstaat van het KIS, met tokenisatie als integratiemethode tussen de twee systemen.
AVG en PCI DSS tegelijkertijd: dubbele naleving
Gezondheidsgegevens zijn krachtens artikel 9 AVG bijzonder gevoelige gegevens. Een zorgverlener die kaartgegevens opslaat die zijn gekoppeld aan een medische behandeling, verwerkt in feite een combinatie van bijzonder gevoelige gegevens (diagnose) en financiële gegevens (betaalkaart). In geval van een datalek worden beide kaders tegelijkertijd geactiveerd: PCI DSS-sancties via de acquirer en AVG-sancties van de nationale gegevensbeschermingsautoriteit.
De aanbevolen strategie om deze dubbele nalevingslast te beheersen is de volledige scheiding van gegevensstromen: gezondheidsgegevens blijven in het KIS, betalingsgegevens worden toevertrouwd aan een externe PCI DSS Level 1 gecertificeerde kluis (zoals PCI Proxy EU), en intern worden alleen tokens opgeslagen. Deze architectuur verkleint beide bereiken tegelijkertijd.
Veelgestelde vragen
Valt een huisarts onder PCI DSS wanneer hij kaartbetalingen voor consulten accepteert?
Technisch gezien ja, wanneer hij kaartgegevens rechtstreeks verwerkt of opslaat. In de praktijk kunnen artsen die uitsluitend fysieke POS-terminals gebruiken waarbij het verwerkingsproces volledig is uitbesteed aan de PSP, een SAQ A of SAQ B indienen, met een sterk verkleinde nalevingslast. Het probleem ontstaat wanneer kaartgegevens handmatig (bijv. per telefoon) worden verzameld en ergens worden geregistreerd; in dat geval treedt een directe PCI-verantwoordelijkheid in werking.
Hoe moet een privékliniek de betalingscomponent in het KIS integreren?
De beste praktijk is volledige scheiding: de betalingsinterface wordt gehost op een extern PCI DSS Level 1 gecertificeerd platform dat alleen tokens teruggeeft aan het KIS. Het KIS koppelt de token aan de patiënt en de behandeling, maar raakt nooit kaartgegevens in leesbare vorm. Deze architectuur verkleint tegelijkertijd het PCI-bereik en de AVG-risico's.
Zijn verzekeraars verplicht een QSA in te schakelen voor de jaarlijkse audit?
Dit hangt af van het transactievolume en de vereisten van de acquirers. Verzekeraars met een hoog volume aan kaarttransacties (Level 1: meer dan 6 miljoen per jaar) moeten een jaarlijkse audit indienen via een gekwalificeerde QSA. De grote meerderheid van de verzekeraars bevindt zich op Level 2-4 en kan SAQ-zelfbeoordelingen indienen, eventueel met ASV-scans. Het gebruik van PCI Proxy EU voor het beheer van kaartgegevens kan het SAQ terugbrengen tot type A, zelfs voor bedrijven met complexe betalingsstromen.
Bent u actief in de verzekerings- of zorgsector en wilt u begrijpen hoe u het PCI-bereik en de AVG-risico's tegelijkertijd kunt verkleinen?Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op