Compliance

Compliance bij Eshgro: onze certificeringen en assurances

Door de transitie naar de cloud verschuift de rol van een IT-dienstverlener steeds vaker naar een service provider die bedrijven ontzorgt op het gebied van IT en serverbeheer. Wanneer je als organisatie processen uitbesteed aan een andere partij, blijf je zelf echter wettelijk (eind)verantwoordelijk voor zaken als beveiliging van data, encryptie, de verwerking van persoonsgegevens en rechtmatige toegang tot applicaties. Daarom is het van belang dat een service provider compliance serieus neemt en kan aantonen dat de door jou uitbestede processen intern worden beheerst.

Dat kan bijvoorbeeld door samen te werken met een IT-leverancier die de juiste certificaten en assurance rapportages en verklaringen bezit. Zo beschikt Eshgro over een ISO 27001 en NEN 7510 certificaat en een ISAE 3000A type 2 * assurance verklaring.  Vanuit zijn rol als Compliance Officer ziet Maik van de Graaf er dagelijks op toe dat Eshgro werkt in overeenstemming met wet- en regelgeving en doelstellingen uit deze certificeringen en assurance-opdrachten.

* Tot kalenderjaar 2020 was Eshgro ook in het bezit van een ISAE 3402 type 2 assurance verklaring. Dit is nu opgenomen in de ISAE 3000A type 2 assurance verklaring, omdat de scope hiervan veel breder is.

"De dienstverlening van Eshgro is gecertificeerd volgens de belangrijkste normen. Dit helpt ons om de kwaliteit van onze diensten te waarborgen en jou om aan wet- en regelgeving te voldoen. Zo kun jij erop vertrouwen dat jouw data in een veilige omgeving wordt verwerkt."

Anton Loeffen, oprichter van Eshgro en Chief Innovation & Strategy Officer

Assurances en certificeringen als onderdeel van compliance: wat is het verschil?

Regelmatig krijgen wij vragen over compliance en de assurances en certificeringen die Eshgro bezit. Is dit wel noodzakelijk en wat is inhoudelijk nou het verschil? Heel begrijpelijk, want als je hier niet dagelijks mee te maken hebt, is het soms lastig om door de bomen het bos te zien. Zowel een certificering als assurance-opdracht hebben op zichzelf een bepaald belang en kunnen relevant zijn. Maar het is juist de combinatie van beide die voor jou als uitbestedende organisatie veel waarde toevoegt.

Assurance-opdrachten
Als organisatie (beoogde gebruiker) besteedt je jouw IT (uitbesteed proces) uit aan een IT-leverancier (serviceorganisatie). Bij een assurance-opdracht controleert een auditor (onafhankelijke derde) of jouw IT-leverancier deze uitbestede processen wel beheerst (toetsing). Voor deze controle maakt men gebruik van een zogenoemd control framework (normenkader). Daarbij wordt onderscheid gemaakt tussen een type 1 of type 2 assurance-opdracht. Een type 1 opdracht heeft betrekking op een specifieke datum waarop door een auditor wordt vastgesteld of het normenkader met de juiste maatregelen wordt afgedekt. Of deze maatregelen ook daadwerkelijk effectief zijn, wordt hierbij niet gecontroleerd. Bij een type 2 opdracht gebeurt dat wel. Daarbij vindt een toetsing plaats ‘terug in de tijd’.

Op het gebied van IT-assurances is ISAE 3000A een van de bekendste typen assurance-opdrachten.

Certificeringen
Bij certificatie stelt een auditor (onafhankelijke, geaccrediteerde partij) vast of het beleid waarop een organisatie en/of processen worden bestuurd (managementsysteem) voldoet aan de specifieke eisen voor een bepaald onderwerp (object van onderzoek). Daarbij maakt men gebruik van een control framework (beheersdoelstellingen), ook wel certificeringseisen- of standaard genoemd. Het doel hiervan is het realiseren van een planmatige, systematische en continue verbetering van processen en procedures binnen de organisatie.

Afhankelijk van het object dat wordt gecertificeerd, kan een bepaald type certificering gelden. Zo bestaan er organisatie- of procescertificeringen, zoals ISO 27001 en NEN 7510, maar ook productcertificeringen of persoonscertificeringen.

De waarde van beide
Een assurance-opdracht is erg interessant wanneer je als organisatie overweegt om jouw IT uit te besteden aan een IT-leverancier. Zo kan met terugwerkende kracht en redelijke mate van zekerheid worden geconcludeerd dat processen door de IT-leverancier worden beheerst en deze hoge prioriteit geeft aan compliance. Vanzelfsprekend blijft er dan nog een kleine onzekerheid over. Worden toekomstige processen ook beheerst? Deze vraag kun je met certificatie beantwoorden. Zo ontstaat een krachtige combinatie die voor jou als uitbestedende organisatie veel waarde toevoegt.

"Onze tip is om altijd met IT-leveranciers in dienst te gaan die over het totale spectrum aantoonbaar kunnen maken dat processen worden én zijn beheerst."

Maik van de Graaf, Compliance Officer bij Eshgro

Hoe toon je aan dat jouw bedrijf of IT provider veilig persoonsgegevens verwerkt?

Vanaf 25 mei 2018 gaat iedereen een stuk bewuster om met persoonsgegevens in verband met de AVG, oftewel de privacywet. Maar zijn we naast dit bewustzijn ook actief aan de slag gegaan met de bescherming van persoonsgegevens? Uit onderzoek blijkt dat ruim 58% van de MKB bedrijven slachtoffer is van cybercriminaliteit. Het kan dus geen kwaad om je zaken goed op orde te hebben. Maar hoe doe je dat zonder al te veel technische kennis te hebben? In onderstaande podcast vertellen Anton en Maik je waar je op moet letten en waarom compliance van zo’n groot belang is.

Neem contact op

Heb je een vraag over compliance of een van onze certificeringen of assurances? Wil je als klant of partner een certificaat opvragen? Neem dan contact op met onze Compliance Officer Maik van de Graaf via het contactformulier. Hij helpt je graag verder!

  • Velden met een * zijn verplicht
    Je gegevens zijn veilig. Door het formulier te verzenden, ga je akkoord met de privacyverklaring.