Regulierungsrahmen

Wir verfügen über ein umfassendes Compliance-Programm, das mehrere Rechtsrahmen, Industriestandards und Best Practices umfasst, die für den Versicherungssektor in der EU relevant sind. Unser Ansatz gewährleistet die Einhaltung der Datenschutzbestimmungen (DSGVO), der Informationssicherheit (ISO 27001), der operativen Widerstandsfähigkeit (DORA) und der KI-Vorschriften (EU-KI-Gesetz).

Wichtigste regulatorische Rahmenbedingungen

DSGVO (Datenschutz-Grundverordnung)

Status: ✅ Seit 2018 vollständig konform

Unsere Umsetzung

Governance

• Datenschutzbeauftragter (DSB) ernannt

• Register der Verarbeitungsaktivitäten (ROPA) vollständig

• Datenschutz-Folgenabschätzungen (DSFA) für risikoreiche Verarbeitungen

• Privacy by Design & Default in allen Systemen

Rechtsgrundlage

• Vertragliche Notwendigkeit (primär)

• Berechtigtes Interesse (Sicherheit, Betrugsbekämpfung)

• Gesetzliche Verpflichtung (sofern erforderlich)

• Einwilligung (Marketing, optionale Funktionen)

Rechte der betroffenen Personen

Für die Rechte der betroffenen Personen siehe Datenschutz & Datenverarbeitung.

Sicherheit

Siehe Datensicherheit für technische Maßnahmen.

Daten Standort

• Alle Daten innerhalb der EU (Azure West-Europe)

• Backup innerhalb der EU (Azure Nord-Europa)

• Keine Transfers außerhalb der EU/des EWR

Aufsichtsbehörde: Autoriteit Persoonsgegevens (NL)
Kontakt FG: onesurance

DORA (Digital Operational Resilience Act)

Status: ✅ Konform (gültig ab Januar 2025)

Als IT-Dienstleister für Versicherungen unterliegen wir den DORA-Vorschriften.

Fünf Säulen:

1. ICT Risicobeheer
Risk management framework, asset management, patch management (<48h critical)

2. Incident Management & Reporting
4 severity levels, 24/7 monitoring, <15 min response P1, notification within 24h

3. Resilienztests
Jährliche Tests: Schwachstellenanalysen, Penetrationstests, DR-Simulationen, TLPT (2026)

4. Risikomanagement bei Drittanbietern
-Due-Diligence-Prüfung von Anbietern, SLAs, laufende Überwachung, Ausstiegsstrategien

5. Informationsaustausch-
-Bedrohungsinformationen, Branchenbeteiligung, Austausch von Schwachstellen

Weitere Informationen finden Sie auch unter: Infrastruktur, Incident Response, BC/DR, Lieferanten

ISO 27001:2022 (Informationssicherheit)

Status: 🔄 Zertifizierung Q1 2026

Informationssicherheits-Managementsystem (ISMS)

Umfang: Alle 114 Kontrollen implementiert

Kernkomponenten

• Führungsengagement und Sicherheitspolitik

• Risikobewertung nach ISO 27005-Methodik

• Sicherheitsbewusstseinstraining für alle Mitarbeiter

• Kontinuierliche Sicherheitsüberwachung

• Vierteljährliche ISMS-Audits

• Managementbewertungen

14 Kontrollkategorien:

• ✅ Organisatorische Kontrollen (37)

• ✅ Personensteuerung (8)

• ✅ Physische Kontrollen (14)

• ✅ Technologische Kontrollen (34)

• ✅ Alle 14 Kategorien vollständig

Zertifizierungszeitplan:

• Q4 2024: Interne Revision und Gap-Analyse

• Q1 2025: Externe Vorabbewertung

• Q1 2026: Zertifizierungsaudit

EU-KI-Gesetz

Status: ✅ Überwachung und Vorbereitung (Umsetzung 2026)

Unsere KI-Systeme: Begrenztes Risiko / Minimales Risiko

Compliance-Maßnahmen

• Risikobewertung aller Systeme

• Transparenz: Klare Offenlegung von KI

• Menschliche Aufsicht: Human-in-the-Loop-Design

• Qualitätsmanagement: Lebenszyklus von KI-/ML-Modellen

• Bias-Überwachung und Leistungstests

• Überwachung nach der Bereitstellung

• AI-spezifische Vorfallverfahren

Zeitleiste

• Dezember 2024: Risikoklassifizierung abgeschlossen

• 2025: Technische Dokumentation

• Februar 2025: Einhaltung der Transparenzvorschriften

• August 2026: Vollständige Einhaltung der Anforderungen für begrenzte Risiken

Sicherheitsrahmenwerke und bewährte Verfahren

• NIST Cybersecurity Framework – Status: ✅ Implementiert (Reifegradstufe 3)

• CIS Controls v8 – Status: ✅ 18 kritische Sicherheitskontrollen implementiert

• OWASP Top 10 – Status: ✅ Abhilfemaßnahmen implementiert

Kontakt

Fragen zur Compliance
onesurance

Übersicht über den Compliance-Status