HanseMerkur – Datenschutz, Informationssicherheit & internes Kontrollsystem (IKS) „all in one“ auf der Basis des integrierten Managementsystems QSEC
Die HanseMerkur ist eine konzernunabhängige mittelständische Versicherungsgruppe mit Sitz in Hamburg. Sie bietet Versicherungsschutz für die Versicherungsrisiken Gesundheit, Pflege, Leben, Risiko- und Altersvorsorge, Reise und Freizeit, Schaden und Unfall sowie betrieblicher Zusatzversicherung.
Innovative Produkte, finanzielle Stärke und Traditionsbewusstsein – diese Eigenschaften schätzen Kunden und Vertriebspartner an der HanseMerkur. Das Unternehmen ist ein finanziell solider mittelständischer Personenversicherer und die einzige selbständige und konzernunabhängige Versicherungsgruppe am Finanzplatz Hamburg, die bundesweit tätig ist. Als „Versicherungsverein auf Gegenseitigkeit“ ist die Organisation nur Kunden und Mitarbeitern verpflichtet – nicht Aktionären oder Investoren. Dieses Prinzip prägt das Handeln, ist Teil der Unternehmenskultur und äußert sich in einer klaren Haltung. Das alte hanseatische Prinzip des Ehrbaren Kaufmannes ist für eine traditionsreiche hanseatische Versicherung wie die HanseMerkur grundlegend. Einschlägige gesetzliche Vorschriften und interne Regelungen einzuhalten ist für uns deshalb Bestandteil unserer Unternehmensphilosophie.
Das Motto „Hand in Hand ist… HanseMerkur“ spiegelt dieses Selbstverständnis wider. Es geht dabei sowohl um die partnerschaftliche Zusammenarbeit im Haus, zwischen Mitarbeitern und Führungskräften sowie den Mitgliedern des Vorstandes, als auch um das ehrliche Bemühen den Kunden gegenüber. Die Leitidee „Hand in Hand ist HanseMerkur“ übersetzt den Gemeinschaftsgedanken in ein zutiefst menschliches Prinzip. Denn mit gegenseitiger Unterstützung – also Hand in Hand – funktioniert einfach alles besser.
Die Ausgangssituation
Als Versicherungsunternehmen unterliegt die HanseMerkur neben den grundsätzlich geltenden Anforderungen an Informationssicherheit und Datenschutz ergänzend den regulatorischen Bestimmungen der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht). Im Kontext der Informationssicherheit hat die BaFin die versicherungsaufsichtlichen Anforderungen an die IT, abgekürzt VAIT, im März 2019 veröffentlicht. Erläutert werden hier im Wesentlichen die aufsichtsrechtlichen Anforderungen an IT-Strategie, IT-Governance, Informationsrisiko-Management, Informationssicherheitsrisikomanagement, Benutzerberechtigungs-Management, IT-Projekte, IT-Betrieb und Ausgliederungen von IT-Dienstleistungen.
Bereits vor dem Inkrafttreten der VAIT-Anforderungen hat sich die HanseMerkur seit 2017 auf künftig steigende Herausforderungen zu Datenschutz, Informationssicherheit und Risikomanagement vorbereitet. Während der intensiv betriebenen IST-Analyse in diesen Themenbereichen wurde deutlich, dass nachhaltige Verfahren und Prozesse für zukünftige Anforderungen mit den bis zu diesem Zeitpunkt etablierten Bordmitteln wie Word, Excel oder PowerPoint nicht sinnvoll und ressourcensparend abgebildet werden können.
Es wurde klar, dass die komplexen Anforderungen toolgestützt deutlich besser zu managen sein würden. Für die Auswahl eines geeigneten Lösungsanbieters war die erklärte Anforderung, einen Partner zu finden, der nicht nur eine im Markt gut etablierte Managementlösung für Datenschutz und Informationssicherheit nach allen Anforderungen der Versicherungsbranche anbietet, sondern auch den gewünschten Zusatznutzen zum Aufbau eines ganzheitlichen internen Kontrollsystems (IKS) innerhalb der Software darstellen kann. Außerdem war es für die HanseMerkur wesentlich, dass der zukünftige Partner über langjährige Beratungserfahrung und Referenzen in großen Sicherheits- und Datenschutzprojekten verfügt, weil für die Umsetzung ein partnerschaftliches und professionelles Hand in Hand arbeiten zwischen Auftraggeber und Auftragnehmer vorausgesetzt wurde.
Der Entscheidungsprozess
Einige wesentliche Anforderungen für den Entscheidungsprozess waren, einen Hersteller zu evaluieren, der in seiner Lösung
[…]
Wie genau der Entscheidungsprozess und die Umsetzung des ganzheitlichen Managementsystems verlaufen sind und welchen weiteren Nutzen die Softwarelösung QSEC hat, erfahren Sie in der informativen Case Study, die auf der Webseite von WMC zum Download zur Verfügung steht.
HanseMerkur Case Study zum Download:
WMC, gegründet 2001, ist mit QSEC® ein führender Anbieter integrierter GRC, Information Security und Datenschutz-Managementsysteme. Als Spezialist für ganzheitliche Compliance, Datenschutz, Risk Management und Informationssicherheit verfügt WMC über langjährige Umsetzungserfahrung von weltweiten Projekten. Die Multinormenlösung QSEC® unterstützt Organisationen jeder Größenordnung im Datenschutz-, Sicherheits- und Risikomanagement. Das Produkt ist seit mehr als 12 Jahren im Markt etabliert und bei vielen namhaften Referenzen erfolgreich im Einsatz.
Nexis GRC GmbH
Zimmerstrasse 1
22085 Hamburg
Telefon: +49 (40) 650336-0
Telefax: +49 (40) 650336-29
http://www.nexis-qsec.com
Marketing Manager
Telefon: +49 (40) 65033627
Fax: +49 (40) 650336-29
E-Mail: karina.kuestner@wmc-direkt.de