ISAE 3000A type 2 | Privacy assurance

Steeds vaker besteden organisaties non-core processen uit aan serviceorganisaties, zoals cloud providers, pensioenuitvoerders of datacenters. Wanneer je als organisatie processen uitbesteed aan een andere partij, blijf je echter zelf (eind)verantwoordelijk voor zaken als de verwerking van persoonsgegevens, beveiliging van data, encryptie en toegang tot applicaties. Hierdoor ontstaat de vraag hoe een serviceorganisatie deze processen beheerst en hoe zij omgaat met risicomanagement, informatiebeveiliging en anti-fraude. ISAE 3000A type 2 geeft antwoord op dit vraagstuk.

Wat houdt ISAE 3000A type 2 in?

NOREA, de beroepsorganisatie van IT-auditors, heeft het Privacy Control Framework (PCF) gepubliceerd. Het primaire doel van het PCF is het bieden van een handreiking aan (audit) professionals bij het beoordelen of de controledoelstellingen, van een organisatie, met betrekking tot privacy en de bescherming van persoonsgegevens, worden bereikt.

Het PCF omvat, naast de kernelementen van de GDPR, “best practices” op het gebied van privacy- en gegevensbescherming en informatie lifecycle management. Het PCF bevat voorgeschreven doelstellingen en elementen voor privacyopdrachten.

Eshgro heeft binnen haar ISAE 3000A type 2 rapportage, naast het TSPC 2016 normenkader van de AICPA, het PCF geïmplementeerd. Bij de implementatie is rekening gehouden met de rol van Eshgro als verwerker. Op deze manier tonen wij aan dat we in de rol van verwerker aan de GDPR voldoen.

✓ PCF in bestaande ISAE 3000A type 2 assurance rapportage geïntegreerd
✓ Voorgeschreven doelstellingen en elementen voor privacyopdrachten
✓ Helpt aan te tonen dat aan de AVG / GDPR wordt voldaan

"Met behulp van het NOREA Privacy Control Framework leven wij de verplichtingen uit de AVG na en maken wij dit aantoonbaar binnen een ISAE 3000A type 2 assurance rapport."

Maik van de Graaf, Compliance Officer Eshgro

Lees meer

Top 5 veelgestelde vragen over ISAE 3000A type 2

1. Wat is het verschil tussen ISAE 3000 type 1 en 2?
Een type 1 rapport betreft een onderzoek naar de opzet en het bestaan van processen rondom informatiebeveiligingsbeleid en risicomanagement en de daaruit voortkomende maatregelen. Bij type 2 wordt ook de effectieve werking van deze maatregelen onderzocht gedurende een bepaalde periode. In dat opzicht is ISAE 3000 niet anders dan de meer bekendere ISAE 3402.

2. Kan het wettelijk verplicht zijn om ISAE 3000 te eisen aan serviceorganisaties?
In wetgeving kan zijn vastgelegd dat een uitbestedende organisatie (ook wel gebruikersorganisatie genoemd) in het geval van outsourcing kan aantonen dat processen worden beheerst. Dit betekent dat bijvoorbeeld een organisatie altijd een Service Organisation Control (SOC) rapport zal vereisen van een leverancier, voordat deze haar diensten mag leveren. Denk hierbij aan het leveren van cloud computing diensten door een cloud provider. De uitbestedende organisatie toont door middel van het ISAE 3000A type 2 rapport aan, bijvoorbeeld aan toezichthouders of haar klanten, dat alle uitbestede processen door de cloud provider worden beheerst. Om aan te tonen dat financiële processen (die van invloed zijn op de jaarrekening) worden beheerst, moet ISAE 3402 worden gebruikt.

3. Waarom zou een klant die processen uitbesteed om een ISAE 3000A type 2 rapportage vragen?
Assurance rapportages, zoals ISAE 3000A type 2, worden in toenemende mate vereist door klanten van gebruikersorganisaties. Zij zullen de processen die deze uitbestedende organisatie verricht en die van invloed zijn op hun werkzaamheden moeten beoordelen. Indien de serviceorganisatie (zoals een IT-leverancier) een ISAE 3000A type 2 rapportage heeft, is het niet noodzakelijk dat klanten van de gebruikersorganisatie processen controleren, aangezien deze al gecontroleerd zijn door een externe partij.

4. Hoe is een ISAE 3000A type 2 rapportage opgebouwd?
Een ISAE 3000 en 3402 rapportage zijn identiek opgebouwd. De inhoud van een ISAE 3000A type 2 rapportage is in beginsel vormvrij. Een aantal onderdelen moet verplicht worden opgenomen, zoals een beschrijving van het risicomanagement framework, de criteria waarop de ISAE 3000 rapportage getoetst wordt en de maatregelen die waarborgen dat aan deze criteria is voldaan.

Het is gebruikelijk om een algemeen deel op te nemen in de rapportage, met daarin een beschrijving van de organisatie en het risicomanagement framework. Naast het algemene deel wordt een control matrix opgenomen, een beschrijving van de beheersdoelstellingen en de beheersmaatregelen die deze doelstellingen realiseren. De beheersdoelstellingen daarentegen kunnen bij een ISAE 3000 en ISAE 3402 wel inhoudelijk verschillen, waarbij ISAE 3402 specifiek is gericht op beheersdoelstellingen gerelateerd aan de beheersing van processen verbonden aan de jaarrekening.

5. Wat heeft de voorkeur: ISAE 3402 type 2 of ISAE 3000 type 2?
Vooropgesteld moet worden dat de scope van beide ISAE rapportages niet hetzelfde mag zijn. Bij ISAE 3402 type 2 gaat het erom aantoonbaar te maken dat sprake is van interne beheersing van processen die van invloed kunnen zijn op de jaarrekening. Bij ISAE 3000 type 2 gaat het om meer generieke processen die worden uitbesteed en de interne beheersing daarvan. Als vuistregel geldt dat wanneer een serviceorganisatie haar interne beheersing van risico’s verbonden aan uitbesteedde processen die van invloed zijn op de jaarrekening wil aantonen, ISAE 3402 type 2 de geschikte assurance is. Voor alle andere gevallen geldt dat ISAE 3000 type 2 passend is.

Neem contact op

Heb je een vraag over compliance of een van onze certificeringen of assurances? Wil je als klant of partner een certificaat opvragen? Neem dan contact op met onze Compliance Officer Maik van de Graaf via het contactformulier. Hij helpt je graag verder!