Na een intensief auditproces ontving Eshgro op 1 maart 2023 de SOC2 type II assurance rapportage over kalenderjaar 2022. Deze rapportage is van toepassing op zowel onze private cloud dienstverlening als de Smarter 365 dienstverlening op Microsoft Azure. Hiermee maakt Eshgro de transitie van ISAE 3000A type II naar SOC2 type II. Een belangrijke stap vanuit governance perspectief, omdat deze transitie de sturing op risico’s rondom IT-processen nog beter mogelijk maakt.
Uitbesteding van IT-processen
Data is, net als de cloud, niet tastbaar. Dit geldt ook voor de meeste processen daaromheen. IT vormt tegenwoordig de rode draad in iedere organisatie. Om die reden is het essentieel dat je alle risico’s beheerst die aan IT(-processen) zijn verbonden. Met name wanneer je ervoor kiest om IT-processen uit te besteden.
Als uitbestedende partij blijf je zelf namelijk (eind)verantwoordelijk voor de uitvoering van deze processen en de verwerking van persoonsgegevens die daarmee gepaard gaan. Daarom is het van groot belang dat je passende maatregelen treft om de risico’s rondom deze uitbestede IT-processen te beheersen en tevens de juiste beveiligingsmaatregelen treft om data te beschermen.
Onze tip is om altijd met IT-leveranciers in zee te gaan die over het totale spectrum aantoonbaar kunnen maken dat processen worden én zijn beheerst. Vooral dat laatste geeft je als uitbestede organisatie inzicht en zekerheid.” – Maik van de Graaf, Compliance Officer bij Eshgro
Door samen te werken met een IT-leverancier die de juiste ‘stempels’ bezit, kun je aantonen dat de door jou uitbestede processen worden beheerst. Daarom laat Eshgro jaarlijks haar dienstverlening auditen. Een succesvolle audit toont aan dat de beschikbaarheid, integriteit en vertrouwelijkheid van onze diensten op orde is. Onze ‘stempels’ helpen jou om inzichtelijk te maken dat je aan wet- en regelgeving voldoet.
Benieuwd hoe we dat doen? Je leest het in ons Compliance Dossier ????.
Waarom een SOC2 rapportage?
Dankzij diverse acquisities is Eshgro de afgelopen jaren flink gegroeid. Omdat we binnen de Eshgro Group met een zo uniform mogelijke rapportering willen werken, is de transitie van ISAE 3000A naar SOC2 ingezet. Voor organisaties die IT-processen aan Eshgro uitbesteden, heeft dat een positieve impact. Vanuit een governance perspectief is sturing op risico’s hierdoor nog beter mogelijk.
In de basis zijn ISAE 3000A en SOC2 type II beide een assurance en daarmee voor jou afdoende om aan te tonen dat uitbestede processen worden beheerst. In tegenstelling tot ISAE 3000A wordt bij SOC2 echter gewerkt met een vast control framework, vandaar dat sturing op risico’s beter mogelijk is. De toetsbasis is voor iedereen die deze assurance wil behalen identiek. Verder wordt in een SOC2 de uitbestedingsketen beter in kaart gebracht. Over uitbestede processen moet in een SOC2 rapport namelijk meer worden toegelicht. Er wordt dieper op de materie ingegaan en er moet meer verklaard worden rondom incidenten die kunnen of hebben plaatsgevonden en van invloed kunnen zijn op de beschikbaarheid van diensten of de vertrouwelijkheid van jouw data.
Lees meer over het verschil tussen ISAE 3000A en SOC2 in deze blog: https://www.eshgro.nl/blog/het-verschil-tussen-isae-3402-isae-3000-en-soc2/.
SOC2 rapportage inzien?
Ben je klant bij Eshgro en wil je de SOC2 type 2 rapportage inzien? Of heb je vragen naar aanleiding van dit nieuwsbericht? Neem dan gerust contact op door te mailen naar legal@eshgro.com. Onze compliance Officer Maik van der Graaf helpt je graag verder.