Im Gesundheitswesen tätig zu sein bedeutet, unter ständiger Beobachtung zu arbeiten. Für Aidn, ein Softwareunternehmen, das norwegische Kommunen mit kritischen Journalsystemen unterstützt, ist Compliance nicht nur eine vertragliche Verpflichtung – sie ist eine grundlegende Voraussetzung für Vertrauen.
Angesichts strenger regulatorischer Anforderungen, verteilter Teams und mehrerer parallel zu erfüllender Compliance-Rahmenwerke benötigte Aidn eine Lösung, um Risiken und Compliance klar, konsistent und glaubwürdig zu dokumentieren. Dieses Bedürfnis führte zu NorthGRC.
Christian Jacobsen, Head of Security bei Aidn, arbeitet in einem verteilten Betriebsmodell. Aidn beschäftigt rund 120 Mitarbeitende, organisiert in zwölf Produktteams, die jeweils für ihre eigenen Risikobewertungen verantwortlich sind.
„Wir arbeiten mit einem hohen Grad an Dezentralisierung. Jedes Produktteam fungiert als eigener Risikoverantwortlicher, gleichzeitig benötigen wir aber eine gemeinsame Struktur, ein geteiltes Rahmenwerk und eine zentrale, verlässliche Informationsquelle“, erklärt Christian.
Gerade dieses Gleichgewicht zwischen Autonomie und Überblick ist zentral für Aidns Ansatz in den Bereichen Governance, Risk und Compliance.
Aidn liefert cloudbasierte Journalsoftware an norwegische Kommunen, die jeweils als Verantwortliche für die Datenverarbeitung fungieren. Das schafft ein besonders anspruchsvolles Compliance-Umfeld.
„Viele Kommunen verfügen schlicht nicht über ausreichende Ressourcen für Informationssicherheit und Datenschutz. Das macht sie risikoaverser, als sie eigentlich sein müssten. Gleichzeitig sind die Erwartungen an die Compliance-Dokumentation gegenüber einem Anbieter wie uns im Gesundheitswesen sehr hoch.“
In diesem Kontext spielt NorthGRC eine entscheidende Rolle.
„NorthGRC ist äußerst hilfreich, um Compliance zu dokumentieren und zu zeigen, dass wir unsere Aufgaben im Griff haben“, sagt Christian. „Die Plattform hilft uns, unseren Reifegrad gegenüber Kunden zu belegen, die ein hohes Maß an sicherheitsbezogener Gewissheit benötigen.“
Aidn arbeitet parallel mit mehreren Standards und Rahmenwerken, darunter internationale Standards wie ISO 27001, NIS2 und CIS18 sowie norwegische Standards wie Normen und die NSM-Grundprinzipien für IKT-Sicherheit. Diese Anforderungen getrennt zu managen wäre ineffizient und mit einem erhöhten Fehlerrisiko verbunden.
„Die Querverknüpfung in NorthGRC ist eine klare Stärke“, erklärt Christian. „Sie ermöglicht es uns, mit mehreren Rahmenwerken gleichzeitig zu arbeiten, ohne Aufwand zu duplizieren.“
Dieser vernetzte Ansatz im System versetzt Aidn in die Lage, den Überblick über alle Anforderungen zu behalten und gleichzeitig die Risikobewertungen auf die einzelnen Produktteams zuzuschneiden.
NorthGRC hat eine zentrale Rolle auf Aidns Compliance-Reise gespielt, einschließlich der erfolgreichen ISO-27001-Zertifizierung.
„NorthGRC war entscheidend für das Erreichen der Zertifizierung“, sagt Christian. „Die Plattform hat uns einen klaren Weg zu ISO 27001 aufgezeigt, indem sie genau gezeigt hat, wo wir den Fokus setzen müssen.“
Compliance-Status, Auditberichte und Dokumentationen aus durchgeführten Audits in NorthGRC werden im internen Informationssicherheitsforum von Aidn überprüft. So ist sichergestellt, dass das Management zur richtigen Zeit Zugriff auf die richtigen Informationen hat.
Als Christian 2024 zu Aidn kam, hatte die Auswahl einer GRC-Plattform hohe Priorität, und es wurde ein strukturierter Evaluierungsprozess gestartet.
„Letztlich haben wir uns für NorthGRC entschieden, weil die Plattform bei Risikobewertungen und der übergreifenden Struktur deutlich stärker war“, erklärt Christian. „Das war für uns wichtiger als eine rein technische oder endpoint-fokussierte Sicht auf Compliance.“
Dieser Fokus passte gut zur Größe von Aidn, zu den regulatorischen Anforderungen im Gesundheitswesen und zu einer verteilten Organisation, in der klare Risikoverantwortung essenziell ist.
Die Google-Authentifizierung von NorthGRC erleichtert es Mitarbeitenden, sich bei Bedarf an der Compliance-Arbeit zu beteiligen. Aidn hat den Zugriff zudem auf externe Stakeholder ausgeweitet.
„Wir gewähren Datenschutzbeauftragten (DPOs) und Sicherheitsverantwortlichen in den Kommunen, mit denen wir zusammenarbeiten, Zugriff“, sagt Christian. „Diese Transparenz schafft Vertrauen und erleichtert die Zusammenarbeit erheblich.“
Für Aidn ist NorthGRC nicht nur eine Plattform, um Audits zu bestehen, sondern ein Werkzeug, das Glaubwürdigkeit, Struktur und langfristiges Vertrauen in einem stark regulierten Sektor unterstützt.
NorthGRC unterstützt Organisationen dabei, Risiken, Dokumentation und mehrere Frameworks über eine vernetzte Plattform zu
steuern — und regulatorische Komplexität in klare, handlungsorientierte Risiko-Intelligenz zu übersetzen.
Gehen Sie den nächsten Schritt in Richtung einer klaren Ausrichtung. Buchen Sie eine persönliche Demo und erfahren Sie, wie wir Ihr Wegweiser für Governance, Risk & Compliance sein können.