Chat with us, powered by LiveChat

Certificeringen

De dienstverlening van Eshgro is gecertificeerd volgens de belangrijkste normen. Dit helpt ons om de kwaliteit van onze diensten te waarborgen en jou om aan wet- en regelgeving, zoals de GDPR, te voldoen. Zo kun jij erop vertrouwen dat jouw data in een veilige omgeving wordt verwerkt. Hieronder lees je wat deze certificeringen betekenen voor jouw organisatie.

ISO 27001

ISO 27001 wordt wereldwijd gezien als dé standaard voor informatiebeveiliging. De norm beschrijft eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een Information Security Management System (ISMS). Het identificeren van bedrijfsrisico’s en het implementeren van beveiligingsmaatregelen staan daarbij centraal. Het ISMS is door de auditor van toepassing verklaard op alle private en publieke clouddiensten die Eshgro aanbiedt en de beheersorganisatie (o.a. change- en incident management proces) die hiervoor nodig is.

Door de brede bekendheid en toepassing wordt ISO 27001 in veel uitbestedingstrajecten als vereiste opgenomen. Ook helpt ISO 27001 om aan te tonen dat passende technische en organisatorische maatregelen zijn genomen om aan de GDPR te voldoen. De werking van ISO 27001 is altijd voor een toekomstige periode voor de geldigheid van het certificaat (3 jaar). Jaarlijks worden surveillance audits uitgevoerd met een diepgaande toetsing op enkele onderdelen uit de norm (focusgebieden).

• Informatiebeveiliging en risicomanagement
• Dé internationaal erkende standaard voor informatiebeveiliging
• Van toepassing op alle typen organisaties

ISAE 3402 type II

ISAE 3402 is een standaard voor de rapportage van uitbestede processen (SOC-rapporten). Een ISAE 3402 rapportage kan van het type I of type II zijn. Bij een type II audit wordt inhoudelijk getoetst op de inrichting en werking hiervan over een periode van minimaal zes maanden. Dat is niet het geval bij een type I audit. De ISAE 3402 verklaring is met name voor accountants en financiële instellingen zeer waardevol. Als klant kun je aan hen aantonen dat de uitbestede processen die van invloed zijn op de jaarrekening, worden beheerst. Een accountant kan hierop steunen bij de jaarrekeningcontrole. Hiermee bespaar je dus tijd en geld.

De scope, inhoud en (gekozen) normkader van het rapport zijn essentieel voor de waarde van de assurance. Het normkader dat Eshgro voor haar ISAE 3402 rapportage hanteert, is gebaseerd op de internationaal erkende Trust Services Principles and Criteria 2016 (TSPC 2016) van de American Institute of Certified Public Accountants (AICPA). Toetsing vindt plaats door een IT-auditor die in het register van NOREA (de beroepsorganisatie van IT-auditors) is ingeschreven. De IT-auditor geeft de assurance af over een voorafgaande periode.

• Standaard voor uitbesteding
• Toetsing door geregistreerde NOREA IT-auditors
• Essentieel voor accountants bij de jaarrekeningcontrole
• Inhoudelijke toetsing op inrichting en werking
• Veelal (wettelijk) verplicht voor accountants en financiële instellingen

NEN 7510

NEN 7510 is een in Nederland ontwikkelde norm voor informatiebeveiliging van zorg- en welzijnsgegevens. In de norm wordt extra aandacht besteed aan aspecten die specifiek zijn voor de zorgsector, zoals het verwerken van patiëntgegevens (medische gegevens, BSN, etc.). Het (verplicht) gebruik van NEN 7510 is opgenomen in Nederlandse wetgeving. Door samen te werken met Eshgro als NEN 7510 gecertificeerde toeleverancier, kun je waarborgen dat zorggegevens conform wet- en regelgeving worden verwerkt.

De keuze voor een NEN 7510 cloud service provider is altijd verstandig. Zelfs als je geen zorggegevens verwerkt. Het toont namelijk aan dat de cloud provider in staat is processen te beheersen op een dusdanig niveau dat zelfs bijzondere persoonsgegevens (zorggegevens en medische gegevens) volgens de wet mogen worden verwerkt. En hierdoor voldoe jij ook aan deze wet- en regelgeving.

• Informatiebeveiliging in de zorg
• Nederlandse normering
• Wettelijk verplicht voor zorginstellingen

Privacy: ISAE 3000A type II

NOREA, de beroepsorganisatie van IT-auditors, heeft het Privacy Control Framework (PCF) gepubliceerd. Het primaire doel van het PCF is het bieden van een handreiking aan (audit) professionals bij het beoordelen of de controledoelstellingen, van een organisatie, met betrekking tot privacy en de bescherming van persoonsgegevens, worden bereikt.

Het PCF omvat, naast de kernelementen van de GDPR, “best practices” op het gebied van privacy- en gegevensbescherming en informatie lifecycle management. Het PCF bevat voorgeschreven doelstellingen en elementen voor privacyopdrachten.

Eshgro heeft binnen haar ISAE 3000A type II rapportage, naast het TSPC 2016 normenkader van de AICPA (waar onze ISAE 3402 type II op is gestoeld), het PCF geïmplementeerd. Bij de implementatie is rekening gehouden met de rol van Eshgro als verwerker. Op deze manier tonen wij aan dat we in de rol van verwerker aan de GDPR voldoen.

• PCF in bestaande ISAE 3000A type II assurance rapportage geïntegreerd
• Voorgeschreven doelstellingen en elementen voor privacyopdrachten
• Helpt aan te tonen dat aan de AVG / GDPR wordt voldaan

ISO 9001 (verwacht in 2020)

ISO 9001 wordt wereldwijd gezien als dé standaard voor kwaliteitsmanagement. Deze norm kan worden gebruikt om te beoordelen of een organisatie in staat is te voldoen aan de eisen van haar klanten en de organisatie zelf, maar ook wet- en regelgeving die op hen van toepassing is. Door de bril van IT bekeken, heeft ISO 9001 in de kern betrekking op Service Level Management (afspraken in een Service Level Agreement (SLA) en Statement of Work (SoW)), maar ook in andere overeenkomsten, zoals de verwerkersovereenkomst en de dienstenovereenkomst. Ofwel, lever je de kwaliteit en hetgeen je samen bent overeengekomen in deze documenten.

Door de brede bekendheid en toepassing wordt ISO 9001 in veel uitbestedingstrajecten als vereiste opgenomen. Ook helpt ISO 9001 om aan te tonen dat onze processen worden beheerst. Aangezien jij onze diensten gebruikt om jouw diensten weer aan te bieden of te vermarkten, ben je gegarandeerd van een betrouwbaar en stabiel onderliggend proces dat voldoet aan relevante wet- en regelgeving.

De werking van ISO 9001 is altijd voor een toekomstige periode voor de geldigheid van het certificaat (3 jaar). Jaarlijks worden surveillance audits uitgevoerd met een diepgaande toetsing op enkele onderdelen uit de norm (focusgebieden).

• Dé internationaal erkende standaard voor kwaliteitsmanagement
• Aantoonbare kwaliteit van processen, producten en diensten
• Van toepassing op alle typen organisaties

Hoe goed ben jij voorbereid op 25 mei 2018?

Wil je graag meer informatie ontvangen over de GDPR? Download hier jouw whitepaper ‘GDPR: Voorbereid op weg naar compliancy‘ of bezoek de webpagina Dossier: Klaar voor de GDPR. Op deze webpagina vind je alles over de GDPR, zoals:

  • Gedetailleerde whitepapers
  • Praktische webinars
  • De laatste blogartikelen
Naar het GDPR-dossierDownload whitepaper

Contact

Heb je vragen of ontvang je graag meer informatie? Neem gerust contact met ons op!

Contact