Op 28 februari ontving Eshgro de ISAE 3402 type 2 en ISAE 3000A type 2 assurance rapportages over kalenderjaar 2019. De scope van deze opdracht en rapportages omvat onze publieke en private cloud services, evenals de beheersorganisatie die hiervoor nodig is. De ISAE 3000A en ISAE 3402 rapportage dienen daarbij elk hun eigen doel. De een is dus niet in te wisselen voor de ander. Sterker nog, ze versterken elkaar! Benieuwd waarom? Lees dan snel verder.
Waarom een assurance opdracht?
Door de transitie naar de cloud verschuift de rol van een IT-dienstverlener steeds vaker naar een serviceprovider die bedrijven ontzorgt op het gebied van IT en serverbeheer. Wanneer je als organisatie processen uitbesteed aan een andere partij, blijf je echter zelf (eind)verantwoordelijk voor zaken als beveiliging van data, encryptie, de verwerking van persoonsgegevens en rechtmatige toegang tot applicaties. Daarom is het van belang dat een serviceprovider kan aantonen dat de door jou uitbestede processen intern worden beheerst. Dat kan bijvoorbeeld door het laten uitvoeren van een assuranceopdracht. Hiermee wordt met redelijke of beperkte mate van zekerheid aangegeven of die interne beheersing adequaat is.
Lees meer over assurance opdrachten
ISAE 3402: financiële processen
Al jarenlang worden onze publieke en private clouddiensten getoetst voor een ISAE 3402 type 2 assurance rapportage. Dit laten we doen door auditors die bij NOREA, de beroepsorganisatie van IT-auditors in Nederland, geregistreerd zijn. De uitvoering van een ISAE 3402 audit levert een rapportage op over de interne beheersmaatregelen van een serviceprovider. Alle IT-processen die je uitbesteed en die van invloed kunnen zijn op financiële processen vallen onder de scope van ISAE 3402. Denk hierbij bijvoorbeeld aan de implementatie en het beheer van een boekhoud- of CRM applicatie.
Dat ISAE 3402 steeds meer gemeengoed wordt, blijkt wel uit de praktijk. Accountants eisen steeds vaker een ISAE 3402 assurance rapportage van organisaties die hun IT processen aan een serviceprovider uitbesteden. Voor sommige financiële instellingen is zelfs in de ‘Wet financieel toezicht’ vastgelegd dat zij moeten aantonen dat de serviceorganisatie de uitbestede processen intern beheerst. Als organisatie wil je natuurlijk zeker weten dat jouw financiële data integer is, veilig wordt opgeslagen en de vertrouwelijkheid ervan geborgd blijft. Met ISAE 3402 wordt dat aangetoond.
ISAE 3000A: privacy assurance
Tegelijk met de invoering van de AVG werd door NOREA het Privacy Control Framework (PCF) gepubliceerd. Dit is een handreiking aan IT-auditors die de zogenoemde ‘privacy assurance’ opdrachten uitvoeren. Omdat het onder ISAE 3402 (vaktechnisch) niet is toegestaan privacy vraagstukken mee te nemen, waaronder dus toetsing van het PCF, hebben wij voor hiervoor een separate ISAE 3000A type 2 assurance audit laten uitvoeren. Daarom beschikken we nu over twee ISAE type 2 assurance verklaringen.
Het PCF is opgesteld door een werkgroep binnen NOREA, bestaande uit onder andere informatiebeveiligingsspecialisten, technisch specialisten, (externe) registeraccountants en juristen. Het framework bevat vooropgestelde control objectives en noemt voorbeeldmaatregelen om aan deze doelstellingen te voldoen. Dit geeft IT-auditors een richtlijn bij de uitvoer van opdrachten waarbij getoetst wordt of een organisatie voldoet aan de op hem van toepassing zijnde doelstellingen op het gebied van privacy en verwerking van persoonsgegevens. Het totale PCF bestaat uit 104 controls, verspreid over 32 onderwerpen en 9 managementdomeinen.
Tijdens de ISAE 3000A audit die wij lieten uitvoeren, is getoetst of de beheersmaatregelen die wij geïmplementeerd hebben ertoe leiden dat de beheerdoelstelling binnen het PCF wordt behaald. De auditor heeft ook de werking van deze maatregelen getoetst, afgespiegeld tegen de doelstelling. Op deze wijze oordeelt de auditor dat Eshgro de regels uit de AVG heeft nageleefd.
Lees ook: Aantoonbare privacy borging binnen Eshgro
Volledig in control
Omdat data in de cloud niet tastbaar is, zijn mensen vaak wat sceptisch over de overstap naar de cloud. Ze zien dan geen servers staan die hun bedrijfsdata bevatten. Wij begrijpen de twijfels die de uitbesteding van IT-processen met zich meebrengt. Maar juist door de certificeringen en assurances die wij behalen, hoef jij je als klant geen zorgen te maken. De processen voor verwerking en opslag van data die je aan ons uitbesteed zijn volledig in control.
ISAE 3402 en ISAE 3000A dienen elk hun eigen doel. Waar ISAE 3402 zich richt op financiële processen, ligt bij ISAE 3000A de focus op privacy. Door de toevoeging van het PCF binnen ISAE 3000A kunnen we nu dus ook aantonen dat wij de AVG naleven bij het aanbieden en beheren van onze cloudoplossingen. Een sterke combinatie!
Meer weten?
Heb je vragen naar aanleiding van dit nieuwsbericht? Of wil je als partner of klant (of juist jouw auditor of accountant) de ISAE rapportages inzien? Neem dan gerust contact op. Compliance Officer Maik helpt je graag verder.