Bij de uitbesteding van IT-processen van jouw organisatie aan een IT-dienstverlener blijf je zelf (eind)verantwoordelijk voor de verwerking van persoonsgegevens en te nemen beveiligingsmaatregelen. Door samen te werken met een IT-leverancier die de juiste ‘stempels’ bezit, kun je als organisatie aantonen dat de door jou uitbestede processen intern worden beheerst. Zo kun je erop vertrouwen dat jouw data in een veilige omgeving wordt verwerkt. In deze blog neemt onze Compliance Officer Maik van de Graaf je mee in de wereld van assurance rapportages en verklaringen. Hij gaat in op het verschil tussen ISAE 3402, ISAE 3000 en SOC2 en neemt je mee in de beweging die de markt hierbij momenteel maakt.
Als organisatie (beoogde gebruiker) besteedt je jouw IT (uitbesteed proces) uit aan een IT-leverancier (serviceorganisatie). Een auditor (onafhankelijke derde) controleert of jouw IT-leverancier deze uitbestede processen wel beheerst (toetsing). Voor deze controle maakt men gebruik van een zogenoemd control framework (normenkader).
Met een assurance-opdracht laat je door een externe auditor met terugwerkende kracht toetsen of de door jou uitbestede processen werden beheerst door de IT-dienstverlener. In het geval van een ISAE 3402 assurance betreft dit alle uitbestede IT-processen die van invloed kunnen zijn op financiële processen. Denk hierbij aan de uitbesteding van je salarisadministratie, een CRM applicatie die je naar de cloud migreert of de configuratie en het beheer van een boekhoudsysteem.
Bij de beoordeling van de jaarrekeningcontrole wil een accountant weten of deze processen in control zijn. Oftewel: is jouw financiële data integer, veilig opgeslagen en de vertrouwelijkheid hiervan gewaarborgd? Met behulp van een ISAE 3402 assurance verklaring maak je dat aan je accountant inzichtelijk.
Door de invoering van de Algemene Verordening Gegevensbescherming (AVG) in 2016 moesten organisaties voldoen aan nieuwe verplichtingen op het gebied van privacy en de verwerking van persoonsgegevens. Ook hierbij ben je wettelijk gezien zelf (eind)verantwoordelijk voor de correcte verwerking van persoonsgegevens wanneer je IT-processen uitbesteed. Hierdoor ontstond steeds vaker de vraag om onafhankelijk te laten vaststellen of een IT-leverancier passende maatregelen heeft getroffen om verplichtingen uit de AVG na te leven.
Helaas bestaat er geen AVG-certificaat om de opzet, het bestaan en de werking van het van toepassing zijnde (privacy)beleid en maatregelen aan te tonen. Wel publiceerde NOREA, de beroepsorganisatie van IT-auditors, tegelijk met de invoering van de AVG het Privacy Control Framework (PCF). Dit is een handreiking aan IT-auditors die de zogenoemde ‘privacy assurance’ opdrachten uitvoeren. Omdat het onder ISAE 3402 (vaktechnisch) niet is toegestaan privacy vraagstukken mee te nemen (waaronder toetsing van het PCF) werd gezocht naar een andere manier om processen die privacy raken te laten toetsen.
Eshgro koos ervoor om de financiële processen uit de ISAE 3402 en de privacy controls uit het PCF gezamenlijk te verwerken in een ISAE 3000A type 2 assurance. Door de ISAE 3000A type 2 assurance vorm te geven met financiële en privacy controls, heeft Eshgro het beste van twee werelden gecombineerd in één assurance rapportage.
Lees meer over de privacy borging bij Eshgro
Sinds 2018 beweegt de markt zich steeds meer van ISAE 3402 naar ISAE 3000. Inmiddels hebben veel organisaties de stap naar ISAE 3000 gemaakt. Eshgro gaat daarin nog verder en heeft de transitie van ISAE 3000 naar SOC2 in gang gezet. De afgelopen jaren is Eshgro namelijk enorm gegroeid dankzij diverse acquisities. Omdat we binnen de Eshgro Group met een zo uniform mogelijke identiteit en rapportering willen werken, zijn we nu bezig met de transitie naar SOC2.
SOC, wat staat voor Service Organization Control, is in de Verenigde Staten ontwikkeld en heeft daarmee een internationaal normenkader. In de basis zijn een SOC en ISAE 3000 gelijk. Beide betreffen een assurance-opdracht. Het nuanceverschil zit hem met name in de aanpak. Bij ISAE 3000 is het control framework flexibel. Het geeft je de ruimte om het in te kleuren zoals jij dat graag wilt. Zo ontstaat een maatwerkoplossing en ga je op een unieke manier rapporteren. Die controls zijn alleen niet voor iedere organisatie even relevant. Wanneer je processen aan verschillende IT-leveranciers uitbesteed die allemaal een eigen ISAE 3000 hanteren, heb je te maken met inhoudelijk verschillende assurances.
Bij een SOC werk je juist met een vast control framework: de Trust Services Criteria van het American Institute of Certified Public Accountants (AICPA). Je kunt deze beroepsorganisatie zien als de evenknie van NOREA. Het voordeel van zo’n vast control framework is dat steeds dezelfde dingen worden getoetst. De toetsbasis is dus identiek, wat het eenduidig maakt. Wanneer je processen aan verschillende IT-leveranciers uitbesteed die allemaal SOC2 geimplementeerd hebben, weet je dus zeker dat de controls hetzelfde zijn.
Dankzij SOC2 wordt ook de uitbestedingsketen beter in kaart gebracht. Over uitbestede processen moet in een SOC2 rapport namelijk meer worden toegelicht. Er wordt dieper op de materie ingegaan en er moet meer verklaard worden rondom incidenten die kunnen of hebben plaatsgevonden en van invloed kunnen zijn op de beschikbaarheid van diensten of de vertrouwelijkheid van jouw data.
Heb je vragen naar aanleiding van deze blog? Of wil je meer weten over de certificeringen en assurance rapportages van Eshgro? Neem dan gerust contact op. Compliance Officer Maik vertelt je er graag meer over.