Compliance bij Eshgro
De dienstverlening van Eshgro is gecertificeerd volgens de belangrijkste normen.
Compliance bij Eshgro: onze certificeringen en assurances
Door de transitie naar de cloud verschuift de rol van een IT-dienstverlener steeds vaker naar een service provider die bedrijven ontzorgt op het gebied van IT en serverbeheer. Wanneer je als organisatie processen uitbesteed aan een andere partij, blijf je zelf echter wettelijk (eind)verantwoordelijk voor zaken als beveiliging van data, encryptie, de verwerking van persoonsgegevens en rechtmatige toegang tot applicaties. Daarom is het van belang dat een service provider compliance serieus neemt en kan aantonen dat de door jou uitbestede processen intern worden beheerst.
Dat kan bijvoorbeeld door samen te werken met een IT-leverancier die de juiste certificaten en assurance rapportages en verklaringen bezit. Zo beschikt Eshgro over een ISO 27001 certificaat en een type II Service Organization Control (SOC 2) assurance verklaring.
“De dienstverlening van Eshgro is gecertificeerd volgens de belangrijkste normen. Dit helpt ons om de kwaliteit van onze diensten te waarborgen en jou om aan wet- en regelgeving te voldoen. Zo kun jij erop vertrouwen dat jouw data in een veilige omgeving wordt verwerkt.”
Assurances en certificeringen als onderdeel van compliance: wat is het verschil?
Regelmatig krijgen wij vragen over compliance en de assurances en certificeringen die Eshgro bezit. Is dit wel noodzakelijk en wat is inhoudelijk nou het verschil? Heel begrijpelijk, want als je hier niet dagelijks mee te maken hebt, is het soms lastig om door de bomen het bos te zien. Zowel een certificering als assurance-opdracht hebben op zichzelf een bepaald belang en kunnen relevant zijn. Maar het is juist de combinatie van beide die voor jou als uitbestedende organisatie veel waarde toevoegt.
Assurance-opdrachten
Als organisatie (beoogde gebruiker) besteedt je jouw IT (uitbesteed proces) uit aan een IT-leverancier (serviceorganisatie). Bij een assurance-opdracht controleert een auditor (onafhankelijke derde) of jouw IT-leverancier deze uitbestede processen wel beheerst (toetsing). Voor deze controle maakt men gebruik van een zogenoemd control framework (normenkader). Daarbij wordt onderscheid gemaakt tussen een type 1 of type 2 assurance-opdracht. Een type 1 opdracht heeft betrekking op een specifieke datum waarop door een auditor wordt vastgesteld of het normenkader met de juiste maatregelen wordt afgedekt. Of deze maatregelen ook daadwerkelijk effectief zijn, wordt hierbij niet gecontroleerd. Bij een type 2 opdracht gebeurt dat wel. Daarbij vindt een toetsing plaats ‘terug in de tijd’.
Op het gebied van IT-assurances is ISAE 3000A een van de bekendste typen assurance-opdrachten.
Certificeringen
Bij certificatie stelt een auditor (onafhankelijke, geaccrediteerde partij) vast of het beleid waarop een organisatie en/of processen worden bestuurd (managementsysteem) voldoet aan de specifieke eisen voor een bepaald onderwerp (object van onderzoek). Daarbij maakt men gebruik van een control framework (beheersdoelstellingen), ook wel certificeringseisen- of standaard genoemd. Het doel hiervan is het realiseren van een planmatige, systematische en continue verbetering van processen en procedures binnen de organisatie.
Afhankelijk van het object dat wordt gecertificeerd, kan een bepaald type certificering gelden. Zo bestaan er organisatie- of procescertificeringen, zoals ISO 27001 en NEN 7510, maar ook productcertificeringen of persoonscertificeringen.
De waarde van beide
Een assurance-opdracht is erg interessant wanneer je als organisatie overweegt om jouw IT uit te besteden aan een IT-leverancier. Zo kan met terugwerkende kracht en redelijke mate van zekerheid worden geconcludeerd dat processen door de IT-leverancier worden beheerst en deze hoge prioriteit geeft aan compliance. Vanzelfsprekend blijft er dan nog een kleine onzekerheid over. Worden toekomstige processen ook beheerst? Deze vraag kun je met certificatie beantwoorden. Zo ontstaat een krachtige combinatie die voor jou als uitbestedende organisatie veel waarde toevoegt.
Lees meer over compliance en het verschil tussen assurances en certificeringen
In een driedelige blogserie leggen we je precies uit wat een assurance rapportage en certificering inhouden, wat het verschil is tussen ISAE en ISO / NEN en wat de meerwaarde van compliance is voor jou als klant of partner.
Laatste nieuws over compliance bij Eshgro
Lees hier over de laatste ontwikkelingen op het gebied van compliance.