Goed nieuws! Op 1 maart ontving Eshgro de ISAE 3000A type 2 assurance rapportage over kalenderjaar 2020. Wederom zijn hierbij alle doelstellingen behaald. De scope van deze opdracht en rapportage omvat onze publieke en private cloud services, evenals de beheersorganisatie die hiervoor nodig is. Tijdens de ISAE 3000A audit die wij lieten uitvoeren door een externe auditor, werd getoetst of de interne beheersing van de aan ons uitbestede IT processen adequaat is.
Waarom een assurance opdracht?
De rol van een IT-dienstverlener verschuift door de transitie naar de cloud steeds vaker naar een service provider die organisaties ontzorgt op het gebied van serverbeheer en IT. Wanneer je jouw processen aan een externe partij uitbesteed, blijf je echter zelf (eind)verantwoordelijk voor zaken als encryptie, rechtmatige toegang tot applicaties, beveiliging van data en de verwerking van persoonsgegevens. Hierdoor ontstaat de vraag hoe een service provider deze processen beheerst en hoe zij omgaat met risicomanagement, informatiebeveiliging en anti-fraude. Een manier om hier antwoord op te krijgen, is door het laten uitvoeren van een assurance opdracht zoals ISAE 3000A type 2. Hiermee wordt met redelijke of beperkte mate van zekerheid aangegeven of die interne beheersing adequaat is.
Lees ook: Wat is een assurance rapportage?
ISAE 3000A type 2: privacy assurance
Tegelijk met de invoering van de AVG werd door NOREA het Privacy Control Framework (PCF) gepubliceerd. Dit is een handreiking aan IT-auditors die de zogenoemde ‘privacy assurance’ opdrachten uitvoeren. Omdat het onder ISAE 3402 (vaktechnisch) niet is toegestaan privacy vraagstukken mee te nemen, waaronder dus toetsing van het PCF, laten wij hiervoor een separate ISAE 3000A type 2 assurance audit uitvoeren.
Het PCF is opgesteld door een werkgroep binnen NOREA, bestaande uit onder andere informatiebeveiligingsspecialisten, technisch specialisten, (externe) registeraccountants en juristen. Het framework bevat vooropgestelde control objectives en noemt voorbeeld maatregelen om aan deze doelstellingen te voldoen. Dit geeft IT-auditors een richtlijn bij de uitvoer van opdrachten waarbij getoetst wordt of een organisatie voldoet aan de op hem van toepassing zijnde doelstellingen op het gebied van privacy en verwerking van persoonsgegevens. Het totale PCF bestaat uit 104 controls, verspreid over 32 onderwerpen en 9 managementdomeinen.
Met behulp van het NOREA Privacy Control Framework leeft Eshgro de verplichtingen uit de AVG na en maken wij dit aantoonbaar binnen een ISAE 3000A type 2 assurance rapport.
Tijdens de ISAE 3000A audit die wij lieten uitvoeren, is getoetst of de beheersmaatregelen die wij geïmplementeerd hebben ertoe leiden dat de beheerdoelstelling binnen het Privacy Control Framework wordt behaald. De auditor heeft ook de werking van deze maatregelen getoetst, afgespiegeld tegen de doelstelling. Op deze wijze oordeelt de auditor dat Eshgro de regels uit de AVG heeft nageleefd.
Meer weten?
Heb je vragen naar aanleiding van dit nieuwsbericht? Of wil je als partner of klant (of juist jouw auditor of accountant) de ISAE 3000A type 2 rapportage inzien? Neem dan gerust contact op. Onze compliance Officer Maik helpt je graag verder.
