Wederom twee assurance verklaringen voor Eshgro: ISAE 3000A en ISAE 3402

rood_1200x800-1

Op 28 februari ontving Eshgro de ISAE 3402 type 2 en ISAE 3000A type 2 assurance rapportages over kalenderjaar 2019. De scope van deze opdracht en rapportages omvat onze publieke en private cloud services, evenals de beheersorganisatie die hiervoor nodig is. De ISAE 3000A en ISAE 3402 rapportage dienen daarbij elk hun eigen doel. De een is dus niet in te wisselen voor de ander. Sterker nog, ze versterken elkaar! Benieuwd waarom? Lees dan snel verder.

Waarom een assurance opdracht?

Door de transitie naar de cloud verschuift de rol van een IT-dienstverlener steeds vaker naar een serviceprovider die bedrijven ontzorgt op het gebied van IT en serverbeheer. Wanneer je als organisatie processen uitbesteed aan een andere partij, blijf je echter zelf (eind)verantwoordelijk voor zaken als beveiliging van data, encryptie, de verwerking van persoonsgegevens en rechtmatige toegang tot applicaties. Daarom is het van belang dat een serviceprovider kan aantonen dat de door jou uitbestede processen intern worden beheerst. Dat kan bijvoorbeeld door het laten uitvoeren van een assuranceopdracht. Hiermee wordt met redelijke of beperkte mate van zekerheid aangegeven of die interne beheersing adequaat is.

Lees meer over assurance opdrachten

ISAE 3402: financiële processen

Al jarenlang worden onze publieke en private clouddiensten getoetst voor een ISAE 3402 type 2 assurance rapportage. Dit laten we doen door auditors die bij NOREA, de beroepsorganisatie van IT-auditors in Nederland, geregistreerd zijn. De uitvoering van een ISAE 3402 audit levert een rapportage op over de interne beheersmaatregelen van een serviceprovider. Alle IT-processen die je uitbesteed en die van invloed kunnen zijn op financiële processen vallen onder de scope van ISAE 3402. Denk hierbij bijvoorbeeld aan de implementatie en het beheer van een boekhoud- of CRM applicatie.

Dat ISAE 3402 steeds meer gemeengoed wordt, blijkt wel uit de praktijk. Accountants eisen steeds vaker een ISAE 3402 assurance rapportage van organisaties die hun IT processen aan een serviceprovider uitbesteden. Voor sommige financiële instellingen is zelfs in de ‘Wet financieel toezicht’ vastgelegd dat zij moeten aantonen dat de serviceorganisatie de uitbestede processen intern beheerst. Als organisatie wil je natuurlijk zeker weten dat jouw financiële data integer is, veilig wordt opgeslagen en de vertrouwelijkheid ervan geborgd blijft. Met ISAE 3402 wordt dat aangetoond.

ISAE 3000A: privacy assurance

Tegelijk met de invoering van de AVG werd door NOREA het Privacy Control Framework (PCF) gepubliceerd. Dit is een handreiking aan IT-auditors die de zogenoemde ‘privacy assurance’ opdrachten uitvoeren. Omdat het onder ISAE 3402 (vaktechnisch) niet is toegestaan privacy vraagstukken mee te nemen, waaronder dus toetsing van het PCF, hebben wij voor hiervoor een separate ISAE 3000A type 2 assurance audit laten uitvoeren. Daarom beschikken we nu over twee ISAE type 2 assurance verklaringen.

Het PCF is opgesteld door een werkgroep binnen NOREA, bestaande uit onder andere informatiebeveiligingsspecialisten, technisch specialisten, (externe) registeraccountants en juristen. Het framework bevat vooropgestelde control objectives en noemt voorbeeldmaatregelen om aan deze doelstellingen te voldoen. Dit geeft IT-auditors een richtlijn bij de uitvoer van opdrachten waarbij getoetst wordt of een organisatie voldoet aan de op hem van toepassing zijnde doelstellingen op het gebied van privacy en verwerking van persoonsgegevens. Het totale PCF bestaat uit 104 controls, verspreid over 32 onderwerpen en 9 managementdomeinen.

Tijdens de ISAE 3000A audit die wij lieten uitvoeren, is getoetst of de beheersmaatregelen die wij geïmplementeerd hebben ertoe leiden dat de beheerdoelstelling binnen het PCF wordt behaald. De auditor heeft ook de werking van deze maatregelen getoetst, afgespiegeld tegen de doelstelling. Op deze wijze oordeelt de auditor dat Eshgro de regels uit de AVG heeft nageleefd.

Lees ook: Aantoonbare privacy borging binnen Eshgro 

Volledig in control

Omdat data in de cloud niet tastbaar is, zijn mensen vaak wat sceptisch over de overstap naar de cloud. Ze zien dan geen servers staan die hun bedrijfsdata bevatten. Wij begrijpen de twijfels die de uitbesteding van IT-processen met zich meebrengt. Maar juist door de certificeringen en assurances die wij behalen, hoef jij je als klant geen zorgen te maken. De processen voor verwerking en opslag van data die je aan ons uitbesteed zijn volledig in control.

ISAE 3402 en ISAE 3000A dienen elk hun eigen doel. Waar ISAE 3402 zich richt op financiële processen, ligt bij ISAE 3000A de focus op privacy. Door de toevoeging van het PCF binnen ISAE 3000A kunnen we nu dus ook aantonen dat wij de AVG naleven bij het aanbieden en beheren van onze cloudoplossingen. Een sterke combinatie!

Meer weten?

Heb je vragen naar aanleiding van dit nieuwsbericht? Of wil je als partner of klant (of juist jouw auditor of accountant) de ISAE rapportages inzien? Neem dan gerust contact op. Compliance Officer Maik helpt je graag verder. 

 

Ontdek het laatste van Eshgro

Deze website gebruikt cookies

Met deze cookies kunnen wij en derde partijen informatie over jou en jouw internetgedrag verzamelen, zowel binnen als buiten onze website. Op basis daarvan passen wij en derde partijen de website, onze communicatie en advertenties aan op jouw interesses en profiel. Meer informatie lees je in ons cookie statement.

Kies je voor accepteren, dan plaatsen we alle cookies. Kies je voor afwijzen, dan plaatsen we alleen functionele en analytische cookies. Je kunt je voorkeuren later nog aanpassen.

Accepteren Weigeren Meer opties

Deze website gebruikt cookies

Met deze cookies kunnen wij en derde partijen informatie over jou en jouw internetgedrag verzamelen, zowel binnen als buiten onze website. Op basis daarvan passen wij en derde partijen de website, onze communicatie en advertenties aan op jouw interesses en profiel. Meer informatie lees je in ons cookie statement.

Functionele cookies
Arrow down

Functionele cookies zijn essentieel voor het correct functioneren van onze website. Ze stellen ons in staat om basisfuncties zoals paginanavigatie en toegang tot beveiligde gebieden mogelijk te maken. Deze cookies verzamelen geen persoonlijke informatie en kunnen niet worden uitgeschakeld.

Analytische cookies
Arrow down

Analytische cookies helpen ons inzicht te krijgen in hoe bezoekers onze website gebruiken. We verzamelen geanonimiseerde gegevens over pagina-interacties en navigatie, waardoor we onze site voortdurend kunnen verbeteren.

Marketing cookies
Arrow down

Marketing cookies worden gebruikt om bezoekers te volgen wanneer ze verschillende websites bezoeken. Het doel is om relevante advertenties te vertonen aan de individuele gebruiker. Door deze cookies toe te staan, help je ons relevante inhoud en aanbiedingen aan je te vertonen.

Accepteren Opslaan
Ga naar de inhoud