Categorie: Assurance

Procesbenadering ISO 9001

PROCESBENADERING ISO 9001

De ISO/IEC 9001 standaard is de internationale standaard ten aanzien van kwaliteitsbeheersing. Het richt zich op het voldoen aan de eisen van de klant en het verbeteren van de klanttevredenheid. Specifieke aspecten binnen de ISO 9001-norm worden beschreven als vereisten.

De impact van deze componenten van de ISO 9001-norm op een organisatie wordt visueel weergegeven in de bijgevoegde figuur. Er zijn acht gedefinieerde componenten die samen het kwaliteitsmanagementsysteem (QMS) vormen. Het QMS dient als basis voor de implementatie van ISO 9001 om ervoor te zorgen dat de diensten voldoen aan de eisen van de klant en dat de klanten tevreden zijn.

De Plan-Do-Check-Act cyclus is rood gemarkeerd. Dit staat centraal bij de implementatie van ISO 9001: plannen vanuit de eisen van de klant, de uitvoering meten en evalueren om de algehele operationele kwaliteit te verbeteren.

Het implementeren van een effectief kwaliteitsmanagementsysteem is de sleutel tot duurzame organisatieontwikkeling en kan de algehele prestaties verbeteren. ISO 9001 maakt gebruik van een procesbenadering en risicogebaseerd denken.

PROCESBENADERING ISO 9001

De procesaanpak, gedetailleerd in de Plan-Do-Check-Act cyclus (PDCA), zorgt ervoor dat kwaliteitsmanagement een integraal onderdeel is van de activiteiten, waarbij de nadruk ligt op voortdurende procesverbetering. Het maakt gebruik van risicogebaseerd denken om te anticiperen op gebeurtenissen die voorkomen dat processen de gewenste resultaten behalen.

VOORDELEN VAN ISO 9001

  • Hoge klanttevredenheid
  • Kwaliteit
  • Gestandaardiseerde procedures
  • Gemotiveerde en betrokken werknemers

Gevolgen van ISAE 3402

Gevolgen van ISAE 3402

Om een ISAE 3402-certificering te verkrijgen, heb je een beschrijving nodig van je interne controle, ook wel een Service Organization Control Report (SOC) genoemd.

Dit verslag is gecertificeerd door een externe accountant. De accountant certificeert eigenlijk niet, maar levert een assurance-rapport in overeenstemming met de ISAE 3402-standaard voor je SOC. Er bestaan specifieke vereisten voor de inhoud van een dergelijk SOC- of ISAE 3402-rapport. Bij Risklane beschrijven we je rapport volgens deze eisen. We kunnen je dan in contact brengen met een externe accountant die je ISAE 3402 zal certificeren.

Veel organisaties richten zich op hun kernactiviteiten en besteden niet-kernactiviteiten uit aan andere organisaties. Door regelgeving en afnemend vertrouwen tussen marktpartijen is de vraag naar zekerheid over uitbesteding toegenomen. Een ISAE 3402 geeft zekerheid over alle processen die uiteindelijk van invloed zijn op de jaarrekening van de gebruikende organisatie.

Veel organisaties die onder toezicht staan van De Nederlandsche Bank moeten aantonen dat uitbestede processen effectief worden beheerst. Een ISAE 3402-rapport kan hierbij helpen en is nu verplicht voor meer organisaties zoals zorgverzekeraars en de AFM. Internationale bedrijven die onder toezicht staan van de SEC en moeten voldoen aan SOx 404, moeten ook voldoen aan alle ISAE 3402- of SSAE16-vereisten voor de processen die ze uitbesteden. In deze gevallen is de vraag naar ISAE 3402 zeker gerechtvaardigd.

Wat is GDPR/AVG?

Wat is GDPR/AVG?

EUROPESE PRIVACYVERORDENING

De Europese Commissie heeft besloten dat de huidige wetgeving niet langer aansluit bij de voortdurende veranderingen als gevolg van de digitalisering. Deze nieuwe privacyregelgeving komt in de vorm van een Europese verordening die van toepassing is op alle organisaties in de Europese Unie; de General Data Protection Regulation (GDPR). De GDPR is rechtstreeks van toepassing in alle EU-lidstaten zonder dat omzetting in nationale wetgeving nodig is.

NIEUWE PRIVACYCONCEPTEN GDPR (GEMIDDELD)

introduceert nieuwe concepten, zoals het recht op toegang en het recht om vergeten te worden. Daarnaast is GDPR gebaseerd op een reeks privacyprincipes. Dit brengt verschillende verplichtingen voor organisaties met zich mee. Deze verplichtingen kunnen variëren van het opstellen van een register van verwerkingsactiviteiten van persoonsgegevens tot het uitvoeren van risicobeoordelingen (DPIA) en het aanstellen van een functionaris voor gegevensbescherming (Data Protection Officer, DPO).

GEVOLGEN VAN GDPR

De gevolgen van de Algemene Verordening Gegevensbescherming zijn voor de meeste organisaties beperkt tot het bijhouden van een register van verwerkingsactiviteiten en het implementeren van privacygerichte informatiebeveiligingsmaatregelen. Risklane biedt verschillende oplossingen om te bepalen welke maatregelen verplicht zijn binnen uw organisatie. De belangrijkste potentiële verplichtingen zijn:

  • Veiligheidsmaatregelen
  • Register van verwerkingsactiviteiten
  • Effectbeoordeling gegevensbescherming (DPIA)
  • Functionaris voor gegevensbescherming (DPO)

Waarde van ISAE 3000 | SOC 2 Assurance

Waarde van ISAE 3000 | SOC 2 Assurance

Wie kan waarde verwachten van ISAE 3000 | SOC 2 Assurance?

ISAE 3000 | SOC 2 is speciaal ontworpen voor dienstverleners die klantgegevens opslaan in de cloud. Dit betekent dat ISAE 3000 | SOC 2 assurance waarde kan toevoegen aan bijna elk SaaS-bedrijf, evenals aan elke organisatie die de cloud gebruikt om klantgegevens op te slaan.

ISAE 3000 | SOC 2 vereist dat dienstverleners strikte beleidsregels en procedures voor informatiebeveiliging opstellen en volgen, waaronder beveiliging, beschikbaarheid, verwerking, integriteit en vertrouwelijkheid van klantgegevens. ISAE 3000 | SOC 2 zorgt ervoor dat de informatiebeveiligingsmaatregelen van een serviceprovider in overeenstemming zijn met de huidige regelgeving voor de cloud. Nu bedrijven steeds meer gebruik maken van de cloud om klantgegevens op te slaan, wordt ISAE 3000 | SOC 2 compliance een noodzaak voor een groot aantal organisaties die clouddiensten leveren. Het ISAE 3000 | SOC 2-rapport kan transparantie en zekerheid bieden aan verschillende belanghebbenden.

Het ISAE 3000 | SOC 2-rapport is uniek

De ISAE 3000 | SOC 2 vereisten bieden een dienstverlener een zekere mate van flexibiliteit om te beslissen hoe hij aan de Trust Services criteria zal voldoen. Daarom zijn ISAE 3000 | SOC 2-rapporten uniek voor elke individuele organisatie. In essentie kijkt de serviceprovider naar de ISAE 3000 | SOC 2-vereisten, beslist welke relevant zijn voor hun organisatie en definieert vervolgens hun eigen controles om aan die vereisten te voldoen. De serviceprovider kan aanvullende controles definiëren als dat nodig is en andere controles negeren als ze niet relevant zijn voor hun kernactiviteiten. De ISAE 3000 | SOC 2-audit is het oordeel van de auditor over hoe de controlemaatregelen van de serviceprovider voldoen aan de vereisten.