Categorie: Advisory

Gevolgen van ISAE 3402

Gevolgen van ISAE 3402

Om een ISAE 3402-certificering te verkrijgen, heb je een beschrijving nodig van je interne controle, ook wel een Service Organization Control Report (SOC) genoemd.

Dit verslag is gecertificeerd door een externe accountant. De accountant certificeert eigenlijk niet, maar levert een assurance-rapport in overeenstemming met de ISAE 3402-standaard voor je SOC. Er bestaan specifieke vereisten voor de inhoud van een dergelijk SOC- of ISAE 3402-rapport. Bij Risklane beschrijven we je rapport volgens deze eisen. We kunnen je dan in contact brengen met een externe accountant die je ISAE 3402 zal certificeren.

Veel organisaties richten zich op hun kernactiviteiten en besteden niet-kernactiviteiten uit aan andere organisaties. Door regelgeving en afnemend vertrouwen tussen marktpartijen is de vraag naar zekerheid over uitbesteding toegenomen. Een ISAE 3402 geeft zekerheid over alle processen die uiteindelijk van invloed zijn op de jaarrekening van de gebruikende organisatie.

Veel organisaties die onder toezicht staan van De Nederlandsche Bank moeten aantonen dat uitbestede processen effectief worden beheerst. Een ISAE 3402-rapport kan hierbij helpen en is nu verplicht voor meer organisaties zoals zorgverzekeraars en de AFM. Internationale bedrijven die onder toezicht staan van de SEC en moeten voldoen aan SOx 404, moeten ook voldoen aan alle ISAE 3402- of SSAE16-vereisten voor de processen die ze uitbesteden. In deze gevallen is de vraag naar ISAE 3402 zeker gerechtvaardigd.

Wat is GDPR/AVG?

Wat is GDPR/AVG?

EUROPESE PRIVACYVERORDENING

De Europese Commissie heeft besloten dat de huidige wetgeving niet langer aansluit bij de voortdurende veranderingen als gevolg van de digitalisering. Deze nieuwe privacyregelgeving komt in de vorm van een Europese verordening die van toepassing is op alle organisaties in de Europese Unie; de General Data Protection Regulation (GDPR). De GDPR is rechtstreeks van toepassing in alle EU-lidstaten zonder dat omzetting in nationale wetgeving nodig is.

NIEUWE PRIVACYCONCEPTEN GDPR (GEMIDDELD)

introduceert nieuwe concepten, zoals het recht op toegang en het recht om vergeten te worden. Daarnaast is GDPR gebaseerd op een reeks privacyprincipes. Dit brengt verschillende verplichtingen voor organisaties met zich mee. Deze verplichtingen kunnen variëren van het opstellen van een register van verwerkingsactiviteiten van persoonsgegevens tot het uitvoeren van risicobeoordelingen (DPIA) en het aanstellen van een functionaris voor gegevensbescherming (Data Protection Officer, DPO).

GEVOLGEN VAN GDPR

De gevolgen van de Algemene Verordening Gegevensbescherming zijn voor de meeste organisaties beperkt tot het bijhouden van een register van verwerkingsactiviteiten en het implementeren van privacygerichte informatiebeveiligingsmaatregelen. Risklane biedt verschillende oplossingen om te bepalen welke maatregelen verplicht zijn binnen uw organisatie. De belangrijkste potentiële verplichtingen zijn:

  • Veiligheidsmaatregelen
  • Register van verwerkingsactiviteiten
  • Effectbeoordeling gegevensbescherming (DPIA)
  • Functionaris voor gegevensbescherming (DPO)

Waarde van ISAE 3000 | SOC 2 Assurance

Waarde van ISAE 3000 | SOC 2 Assurance

Wie kan waarde verwachten van ISAE 3000 | SOC 2 Assurance?

ISAE 3000 | SOC 2 is speciaal ontworpen voor dienstverleners die klantgegevens opslaan in de cloud. Dit betekent dat ISAE 3000 | SOC 2 assurance waarde kan toevoegen aan bijna elk SaaS-bedrijf, evenals aan elke organisatie die de cloud gebruikt om klantgegevens op te slaan.

ISAE 3000 | SOC 2 vereist dat dienstverleners strikte beleidsregels en procedures voor informatiebeveiliging opstellen en volgen, waaronder beveiliging, beschikbaarheid, verwerking, integriteit en vertrouwelijkheid van klantgegevens. ISAE 3000 | SOC 2 zorgt ervoor dat de informatiebeveiligingsmaatregelen van een serviceprovider in overeenstemming zijn met de huidige regelgeving voor de cloud. Nu bedrijven steeds meer gebruik maken van de cloud om klantgegevens op te slaan, wordt ISAE 3000 | SOC 2 compliance een noodzaak voor een groot aantal organisaties die clouddiensten leveren. Het ISAE 3000 | SOC 2-rapport kan transparantie en zekerheid bieden aan verschillende belanghebbenden.

Het ISAE 3000 | SOC 2-rapport is uniek

De ISAE 3000 | SOC 2 vereisten bieden een dienstverlener een zekere mate van flexibiliteit om te beslissen hoe hij aan de Trust Services criteria zal voldoen. Daarom zijn ISAE 3000 | SOC 2-rapporten uniek voor elke individuele organisatie. In essentie kijkt de serviceprovider naar de ISAE 3000 | SOC 2-vereisten, beslist welke relevant zijn voor hun organisatie en definieert vervolgens hun eigen controles om aan die vereisten te voldoen. De serviceprovider kan aanvullende controles definiëren als dat nodig is en andere controles negeren als ze niet relevant zijn voor hun kernactiviteiten. De ISAE 3000 | SOC 2-audit is het oordeel van de auditor over hoe de controlemaatregelen van de serviceprovider voldoen aan de vereisten.

ISAE 3000 | SOC 2 en ISO 27001

ISAE 3000 | SOC 2 en ISO 27001

ISAE 3402 | SOC 2

ISAE 3000 | SOC 2 is de internationale standaard voor beveiliging en andere niet-financiële informatie. ISAE 3402 wordt toegepast wanneer er sprake is van uitbesteding waarbij financiële informatie wordt verwerkt door de serviceorganisatie. Als dit niet het geval is, kan SOC 2 worden gebruikt, bijvoorbeeld als alleen de General IT Controls (GITC’s) zijn opgenomen in de scope van het SOC-rapport. De SOC 2-standaard bevat geen bepalingen voor interne controle, zoals het COSO-raamwerk. Deze onderdelen zijn daarom niet verplicht in een SOC 2-rapport. In de Verenigde Staten zijn de standaarden voor SOC 2-rapporten de Trust Services Criteria en SSAE 18, die specifieke vereisten bevatten voor GITC’s bij dienstverlenende organisaties. Als een SOC 2-rapport wordt opgesteld volgens de Trust Service Criteria, dan zijn deze onderdelen verplicht.

ISO 27001

Informatiebeveiliging is belangrijk voor elk bedrijf. De ISO 27001 standaard is een internationaal normenkader voor informatiebeveiliging. ISO 27001 kan worden gebruikt om informatiebeveiliging tot stand te brengen. Risklane heeft meer dan 10 jaar ervaring in het opzetten van risicomanagementstructuren, informatiebeveiliging en procesverbetering. Informatiebeveiliging moet altijd toegevoegde waarde hebben, waardoor de organisatie beter beheersbaar wordt, en ISO 27001 biedt kansen voor nieuwe klanten.

Welke is het meest geschikt voor jou?

Beide standaarden zijn bedoeld om uw klanten zekerheid te bieden. Er zijn drie belangrijke overwegingen voor wat het beste bij je klanten past:

  • Heeft uw klant(en) specifiek om een van de twee standaarden gevraagd of deze verplicht gesteld?
  • Waar bevinden uw klanten zich?
  • In welke sectoren zijn uw klanten actief?

Klanten geven de voorkeur aan de standaard waarmee ze meer vertrouwd zijn. Europese klanten geven de voorkeur aan ISO 27001, terwijl SOC 2 in de VS de voorkeur geniet. De financiële dienstverleningssector geeft de voorkeur aan SOC 2, in overeenstemming met hun focus op operationele effectiviteit en voortvloeiend uit de boekhoudkundige praktijk die van toepassing is op hun bedrijf en de wettelijke vereisten in het algemeen.

Het is het beste om de aanpak te bespreken met bestaande klanten en/of potentiële klanten. Zo word je niet verrast en kun je een weloverwogen keuze maken.