Konzeption und Umsetzung des CoC bei der WGV mit paralleler Zertifizierung des ISMS nach ISO 27001

Transkript

1 Konzeption und Umsetzung des CoC bei der WGV mit paralleler Zertifizierung des ISMS nach ISO Leipzig Seite 1

2 Agenda Vorstellung WGV / WGV-Informatik Motivation und Konzeption des CoC Umsetzung in ICIS ISO Zertifizierung Leipzig Seite 2

3 Vorstellung WGV Württembergische Gemeinde- Versicherung a.g. Württembergische WGV- Gemeinde- WGV- Versicherung AG Versicherung Lebensversicherung AG WGV-Informatik und Media GmbH ca. 1,5 Mio. Kunden ca. 4,3 Mio. Verträge ca. 920 Mitarbeiter ca. 620 Mio. Euro gebuchte Bruttobeiträge wgv - Wertvolles günstig versichert. Für alles Wertvolle im Leben. Leistungsstarker Schutz zu sehr günstigen Konditionen. Servicezentren: Ravensburg, Ulm, Augsburg, Dresden, Leipzig, Frankfurt, Nürnberg, München, Düsseldorf, Essen, Heilbronn und Köln Hauptverwaltung: Stuttgart Ca. 40 Servicebüros und 400 Vermittler im Geschäftsgebiet Innovative Versicherungskonzepte als Antwort auf die Herausforderungen der Zukunft. Leipzig Seite 3

5 Verhaltenskodex in der Versicherungswirtschaft Gesetzliche Regelung - 38a BDSG: 38a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen (1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten. (2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht. - Selbstregulierung durch Verbände (hier: GDV) - Zweck: Förderung der Durchführung von datenschutzrechtlichen Regelungen Zuständige Aufsichtsbehörde (Berlin) überprüft - Vereinbarkeit mit dem geltenden DS-Recht - Positiver Bescheid vom für die GDV-Fassung vom Bindungswirkung aller Datenschutzbehörden der Länder (Düsseldorfer Kreis) Auswirkungen des Code of Conduct: - Datenschutz und -sicherheit sind Kernanliegen der Versicherungswirtschaft - Bekenntnis zu datenschutzkonformem unternehmerischen Verhalten -> Rechtssicherheit! - Besondere Beachtung von Transparenz, Erforderlichkeit der verarbeiteten Daten, Datenvermeidung und sparsamkeit - Einheitliche Standards in der Branche = Mindestanforderungen Werden die Anforderungen des CoC vollständig erfüllt, sind die Aufsichtsbehörden gehalten, die Geschäftsprozesse des Unternehmens als datenschutzkonform zu bewerten! Leipzig Seite 5

6 Projektteam CoC Projektauftrag Lenkungsausschuss: IT-Vorstand DSB Recht Marketing/Vermittler SWE PE/DVK PL DSB Recht Marketing SWE IT-Sicherheit PE/DVK Fachbereiche Leipzig Seite 6

7 Verhaltenskodex in der Versicherungswirtschaft Maßnahmen im Allgemeinen: Beitrittserklärung Zeitpunkt: ab Bestandsinformation per wgv-aktuell (03/2014) Anpassung Internetauftritt (Website Datenschutz, Volltext des CoC, Liste DL/AN, SEE, Verfahrensverzeichnis, ) Prüfung, ob und welche Prozesse betroffen sind Änderung/Anpassung IT-gestützter Prozesse in ICIS (Reportsystem, Partner, Vertrag, Schaden, Vermittler, ) Anpassung der Texte (Anträge, Kundeninfos, etc.) Schulung Mitarbeiter / Vermittler, ggf. Anpassung Handbücher Erstellung eines Datenschutz-Konzepts (Ziel: ISO27001 ISMS ) -> zum Vortragszeitpunkt umgesetzt Leipzig Seite 7

8 Verhaltenskodex in der Versicherungswirtschaft Code of Conduct Art. 2 Grundsatz (1) Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten erfolgt grundsätzlich nur, soweit dies zur Begründung, Durchführung oder Beendigung eines Versicherungsverhältnisses erforderlich ist, insbesondere zur Bearbeitung eine Antrags, zur Beurteilung des zu versichernden Risikos, zur Erfüllung der Beratungspflichten nach 6 VVG, zur Prüfung einer Leistungspflicht und zur internen Prüfung des fristgerechten Forderungsausgleichs. Sie erfolgt auch zur Missbrauchsbekämpfung oder zur Erfüllung gesetzlicher Verpflichtungen oder zu Zwecken der Werbung sowie der Markt- und Meinungsforschung. Art. 4 Grundsätze der Datensicherheit (1) Zur Gewährleistung der Datensicherheit werden die erforderlichen technischorganisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen. Dabei sind die Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass 1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit), 2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität) Maßnahmen Antragscheck, ob die erhobenen Datenarten für die Durchführung eines Versicherungsvertrags erforderlich sind Sicherstellung des Grundsatzes der Zweckbindung bzw. der Information oder Einwilligung im Falle einer Zweckänderung. Zuständigkeit: Produktentwicklung und Vertragsabteilung Regelmäßige Überprüfung des Datenschutz-Konzepts Weiterentwicklung in Richtung eines zertifizierbaren ISMS (Integriertes Sicherheitsmanagementsystem) im Sinne der ISO27001 bzw. der ISO27001 auf Basis IT-Grundschutz. WGV plant Zertifizierung bis zum 2. Quartal 2015 Zuständigkeit: Informationssicherheitsbeauftragter Leipzig Seite 8

10 CoC Datenschutz in ICIS Teilaspekte IT Produktberechtigungen Sichtberechtigungen Vermittler 35 BDSG Anonymisierung Löschen von Interessenten und den zugeordneten Angeboten Testinstanzen ICIS und SAP-FSCD Leipzig Seite 10

11 CoC Datenschutz in ICIS Personenbezogene Daten 35 BDSG Personenbezogene Daten sind zu löschen sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist Leipzig Seite 11

12 CoC Datenschutz in ICIS Logisches Löschen Mandantenkonzept als Lösungsansatz für Datensperre Gründung des Unternehmens Datenschutz Daten gehören genau einem Unternehmen an Vor Löschlauf: Alle Daten gehören dem Unternehmen WGV Durch Löschlauf: Zuordnung der zu sperrenden Daten zum Unternehmen Datenschutz Abbildung der Mitarbeiterzuordnungen zu einem Unternehmen Unternehmen WGV: Alle Anwender am System Unternehmen Datenschutz: Datenschutzschutzbeauftragter Leipzig Seite 12

13 Ablauf der Datenbank SELECT * FROM vertragstabelle where vertragsnummer =123; Policy-Funktion für die Tabelle wird ausgeführt and ver_unternehmen is WGV ; Programmtext wird von der Datenbank automatisch und unumgänglich an JEDEN Datenzugriff angehängt: Insert, Update, Delete SELECT * FROM vertragstabelle where vertragsnummer =123 and ver_unternehmen is WGV ; Ausführung der Abfrage gegen die Tabelle Ist das Tabellen Unternehmens-Flag DATENSCHUTZ gesetzt, ist ein Zugriff auf den Datensatz nicht mehr möglich Leipzig Seite 13

14 CoC Datenschutz in ICIS Löschlauf in der ICIS-Produktion % Angaben in Prozent zum Gesamtbestand % % Vertrag Schadenmeldungen Partner *) Schadenpartner Partner *): Interessenten ohne Vertrags- oder Schadenkontext werden nach 6 Mon gelöscht Leipzig Seite 14

15 CoC Datenschutz in ICIS IT Aufwand Sichtberechtigungen Vermittler Produktberechtigungen 35 BDSG Anonymisierung Testinstanzen Löschen Interessenten / Angebote Aufwand Software Engineering {Konzeption, Implementierung u. Tests} ~ 900 PT Leipzig Seite 15

17 ISO Zertifizierung Gründe für die ISO Zertifizierung Art. 4 CoC legt Zertifizierung nahe Erfüllung der zukünftigen rechtlichen Anforderungen (IT-Sicherheitsgesetz) Nachweis gegenüber Aufsichtsbehörde, BSI, WP, etc. Stetige Verbesserung des Sicherheitsniveaus Einführung Zonenkonzept Erhöhung der ICIS-Sicherheit Patchmanagement Personalisierte Konten Awareness und Schulungen Leipzig Seite 17

18 ISO Zertifizierung Einführung und Betrieb des ISMS 2009: Aufbau einer konzernweiten Sicherheitsorganisation 2010: Einführung des Informationssicherheitsforums (ISF) Leitlinie Informationssicherheit + div. Richtlinien 2012: Schulungskonzept Informationssicherheit + Datenschutz 2013: GAP-Analyse ISO (Soll-Ist-Vergleich) 2014: Auftrag vom Vorstand zur ISO Zertifizierung 2015: Vor-Audit durch HiSolutions (Juli) ISO zertifiziert durch TÜV Nord (seit Nov.) Leipzig Seite 18

19 ISO Zertifizierung Anforderungen Hauptteil der ISO (Kap. 4-10) Umsetzung bei der WGV 4 Kontext der Organisation Definition des Geltungsbereichs (Scope) 5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation Einführung ISF 6.1 Maßnahmen zum Umgang mit Risiken und Chancen Enge Zusammenarbeit mit dem Zentralen Risikomanagement; Nutzung von Verinice für Informationssicherheitsrisiken 7.3 Bewusstsein Schulungen, Newsletter und Flyer zur Informationssicherheit und Datenschutz an die WGV-Mitarbeiter 8.3 Informationssicherheitsrisikobehandlung Erfassung offener Themen im Risikobehandlungsplan und Abarbeitung nach definiertem Zeitplan 9.2 Internes Audit Aufnahme Informationssicherheit in die Prüfungsplanung der Internen Revision als festen Bestandteil 9.3 Managementbewertung Jährliche Bewertung durch das ISF 10 Verbesserung Abweichungen und Fehler werden im Risikobehandlungsplan nachgehalten und abgearbeitet Leipzig Seite 19

20 ISO Zertifizierung Sensibilisierung aller Mitarbeiter z.b. über Flyer Leipzig Seite 20

21 ISO Zertifizierung Anforderungen Anhang A der ISO (Kap. A.5-18) Umsetzung bei der WGV A.5 Informationssicherheitsrichtlinien Erstellung erforderlicher Informationssicherheitsrichtlinien A.7 Personalsicherheit Bei Neueinstellung Vorlage von Führungszeugnis und Personalausweis A.11 Physische Sicherheit Klassifizierung von Geschäftsbereichen (Sicherheitszonen) A.12 Betriebssicherheit Change Management Prozess A.15 Lieferantenbeziehungen Einbeziehung von Compliance, Risikomanagement, IT-Sicherheits- und Datenschutzbeauftragten bei Outsourcing A.18 Compliance Kopplung mit dem unternehmensweiten Internen Kontrollsystem (IKS) Leipzig Seite 21

22 ISO Zertifizierung Leipzig Seite 22