Compliance-Frameworks

Übersicht aller Compliance-Frameworks, die Onesurance überwacht und einhält. Von DSGVO und DORA bis ISO 27001 und EU AI Act — wir stellen sicher, dass unsere Dienste den strengsten Anforderungen genügen.

Compliance-Übersicht

  • 6 Frameworks — Aktiv überwacht und auditiert
  • DSGVO + DORA konform — Vollständige Einhaltung seit Gründung
  • ISO 27001 in Bearbeitung — ISMS operativ, Zertifizierung Q2 2026

Compliance-Dashboard

Konform

DSGVO / GDPR

Vollständige Compliance seit Gründung. Alle 7 Grundsätze eingehalten.

Q2 2026

ISO 27001

ISMS operativ. Zertifizierungsaudit geplant Q2 2026.

Konform

DORA

Alle 5 Säulen implementiert. Anforderungen der Versicherungsbranche erfüllt.

Monitoring

EU AI Act

Klassifizierung als begrenztes Risiko. Aktive Überwachung der Anforderungen.

Monitoring

NIST CSF

Kernkontrollen implementiert. Kontinuierliche Verbesserung.

Monitoring

CIS Controls

Top 10 kritische Kontrollen aktiv. Periodische Evaluierung.

Konform

Datenschutz-Grundverordnung

Onesurance erfüllt die DSGVO vollständig seit Gründung. Alle 7 Grundsätze der Datenverarbeitung werden eingehalten, unterstützt durch technische und organisatorische Maßnahmen.

DSGVO-Grundsätze

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz — Verarbeitung auf Basis gültiger Rechtsgrundlagen mit klarer Kommunikation an Betroffene.
  • Betroffenenrechte — Vollständig implementierte Verfahren für Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität und Widerspruch.
  • Einwilligungsverwaltung — Granulare Einwilligung mit Widerrufmöglichkeit. Vollständiger Audit-Trail.
  • Privacy by Design & Default — Datenschutz von Anfang an in alle Systeme und Prozesse integriert.
  • Sicherheit der Verarbeitung — Angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.
  • Meldepflicht bei Datenschutzverletzungen — Verfahren zur Meldung an die Aufsichtsbehörde innerhalb von 48 Stunden und Benachrichtigung der Betroffenen bei Bedarf.
  • Verzeichnis von Verarbeitungstätigkeiten — Vollständig geführtes Verzeichnis gemäß Artikel 30 DSGVO.
  • Datenschutzbeauftragter — Bestellter DSB, der die Einhaltung überwacht und zum Datenschutz berät.

Nachweise & Dokumentation

Datenschutzerklärung Auftragsverarbeitungsverträge (AVV) Verzeichnis von Verarbeitungstätigkeiten Datenschutz-Folgenabschätzung (DSFA)
Q2 2026

ISO 27001 — Information Security Management System

Unser ISMS ist vollständig operativ und gemäß ISO 27001:2022 eingerichtet. Das Zertifizierungsaudit ist für Q2 2026 geplant. Alle Annex-A-Kontrollen sind implementiert und werden periodisch auditiert.

Annex-A-Kontrollen

  • Organisatorische Kontrollen — Informationssicherheitspolitik, Risikomanagement, Compliance-Management, Asset-Management und Lieferantenbeziehungen.
  • Personelle Kontrollen — Screening, Sicherheitsbewusstsein, Schulungen, disziplinarische Prozesse und Verantwortlichkeiten nach Beendigung des Arbeitsverhältnisses.
  • Physische Kontrollen — Physische Sicherheit über Azure-Rechenzentren (SOC 2 zertifiziert), Clean-Desk-Policy und Geräteverwaltung.
  • Technologische Kontrollen — Verschlüsselung, Netzwerksegmentierung, Zugriffskontrolle, Schwachstellenmanagement, Protokollierung und Überwachung.

Interne Audits

Wir führen halbjährlich oder bei wesentlichen Änderungen interne Audits aller ISMS-Prozesse durch. Feststellungen werden bis zum Abschluss verfolgt und dem Management berichtet.

Konform

Digital Operational Resilience Act

Als Dienstleister für die Versicherungsbranche erfüllt Onesurance vollständig die DORA-Anforderungen. Alle fünf Säulen sind implementiert und werden kontinuierlich überwacht.

Die 5 Säulen von DORA

  • IKT-Risikomanagement — Systematische Identifizierung, Bewertung und Minderung von IKT-Risiken mit einem dokumentierten Risikorahmenwerk.
  • Vorfallmanagement — Standardisierter Prozess für Erkennung, Klassifizierung, Eskalation und Berichterstattung IKT-bezogener Vorfälle.
  • Testen der digitalen Widerstandsfähigkeit — Regelmäßige Penetrationstests, Schwachstellenbewertungen und szenariobasierte Tests zur Validierung der operativen Resilienz.
  • Drittparteien-Risikomanagement — Due Diligence, vertragliche Sicherungen und kontinuierliche Überwachung aller IKT-Dienstleister.
  • Informationsaustausch — Teilnahme an relevanten Informationsaustauschnetzwerken für Cyberbedrohungen und -schwachstellen.
Monitoring

EU AI Act

Onesurance klassifiziert ihre KI-Anwendungen als Begrenztes Risiko (Limited Risk) unter dem EU AI Act. Wir überwachen aktiv die regulatorischen Entwicklungen und haben proaktive Maßnahmen ergriffen.

Maßnahmen

  • Risikobewertung — Klassifizierung aller KI-Systeme nach Risikoniveau gemäß der EU AI Act-Taxonomie.
  • Transparenz — Nutzer werden klar informiert, wenn sie mit KI-Systemen interagieren.
  • Menschliche Aufsicht — Alle KI-Entscheidungen unterliegen menschlicher Kontrolle und Überprüfung.
  • Daten-Governance — Qualitätskontrollen der Trainingsdaten, Bias-Monitoring und Datenminimierung.
  • Technische Dokumentation — Vollständige Dokumentation der KI-Modelle, Trainingsprozesse, Leistungskennzahlen und Einschränkungen.
Monitoring

NIST Cybersecurity Framework

Onesurance nutzt das NIST Cybersecurity Framework als Leitfaden für unseren Sicherheitsansatz. Die fünf Kernfunktionen sind in unsere operativen Prozesse integriert.

Identifizieren

Asset-Management, Risikobewertung, Governance und Geschäftsumfeld erfasst, um Cybersicherheitsrisiken zu verstehen.

Schützen

Zugriffskontrolle, Sicherheitsbewusstsein, Datenschutz und Wartung zur Sicherung kritischer Dienste.

Erkennen

Kontinuierliche Überwachung, Anomalieerkennung und Sicherheitsereignisse zur rechtzeitigen Identifizierung von Bedrohungen.

Reagieren

Reaktionsplanung, Kommunikation, Analyse, Minderung und Verbesserungen bei Sicherheitsvorfällen.

Wiederherstellen

Wiederherstellungsplanung, Verbesserungen und Kommunikation zur zeitnahen Wiederherstellung nach Sicherheitsvorfällen.

Monitoring

CIS Controls

Onesurance implementiert die CIS Critical Security Controls als ergänzendes Rahmenwerk für praktische Sicherheitsmaßnahmen. Die Top 10 Kontrollen sind aktiv.

Top 10 Kontrollen

  • 1. Inventar der Unternehmenswerte — Aktive Verwaltung aller Hardware- und Software-Assets im Netzwerk.
  • 2. Softwareinventar — Nur autorisierte Software läuft auf Unternehmenssystemen.
  • 3. Datenschutz — Klassifizierung, Verschlüsselung und Schutz sensibler Daten.
  • 4. Sichere Konfiguration — Standardisiertes Härten von Servern, Endpunkten und Netzwerkgeräten.
  • 5. Kontoverwaltung — Lifecycle-Management von Konten mit Least Privilege und regelmäßigen Reviews.
  • 6. Zugriffskontrolle — Rollenbasierter Zugriff mit MFA und kontinuierlicher Authentifizierungsüberwachung.
  • 7. Schwachstellenmanagement — Kontinuierliches Vulnerability-Scanning und zeitnahes Patching der Systeme.
  • 8. Audit-Log-Management — Zentrale Sammlung, Schutz und Analyse von Audit-Logs.
  • 9. E-Mail- und Webbrowser-Schutz — Filterung bösartiger Inhalte und Einschränkung nicht autorisierter Plugins.
  • 10. Malware-Abwehr — Endpoint Protection, Anti-Malware und Verhaltensanalyse auf allen Systemen.

Fragen zur Compliance?

Unser Datenschutzbeauftragter hilft Ihnen gerne bei Fragen zu Compliance, Zertifizierungen oder Regulierung.

Allgemeiner Support: support@onesurance.ai
DSB E-Mail: dpo@onesurance.ai (DSB — Menno Kooistra)
Telefon: +31 6 13 27 01 44 (Onesurance Support)
Kontaktieren Sie unseren DSB →