Mijn klant vraagt ISAE 3000/3402 van mij. Wat nu?

Steeds vaker krijgen onze klanten vragen van hun klanten over ISAE. Dit naar aanleiding van de toenemende behoefte meer grip te krijgen op risico’s bij uitbesteding van processen. Bijvoorbeeld, zijn de verwerkte data van de uitbestedende partij wel goed beschermd of is de leverancier wel in staat de uitbestede processen altijd uit te voeren op het vereiste moment?


Terechte en logische vragen die het verdienen om serieus beantwoord te worden. En daar komt ISAE3000/3402 om de hoek kijken als internationale standaard voor betrouwbare uitbesteding.


Het probleem is echter dat de vraag (van een uitbestedende partij) aan een leverancier om een ISAE rapport te vaak wordt gezien door de leverancier als een dure en bureaucratische exercitie. Terwijl het eigenlijk een prima kans kan zijn om: 


• Zelf kritisch naar je processen te kijken

• Zelf (zinvolle!) controles te introduceren en uit te voeren

• De basis voor continue verbetering te versterken (of die te bouwen)

• En daarmee meer toegevoegde waarde te creëren dan ISAE kost (want een ISAE3000 verklaring kan minder kosten dan je misschien denkt) 


Kortom, hoe maak je van ISAE een kans om toegevoegde waarde te realiseren in plaats van een probleem? 

Aan de hand van de succesvol gerealiseerde ISAE 3000 Type II assurance-verklaring bij Vcareconnect laat ik zien hoe deze aanpak concreet toegevoegde waarde oplevert


1. Wat is ISAE?

ISAE 3000 en 3402 zijn internationale standaarden voor het aantoonbaar maken van de betrouwbaarheid van uitbestede processen. Ze stellen eisen aan de inrichting en werking van beheersmaatregelen bij dienstverleners, en bieden onafhankelijke zekerheid over de kwaliteit van die beheersing.


Wanneer ISAE3000? Als de uitbestede diensten impact kunnen hebben op de uitbestedende organisatie.


Wanneer ISAE3402? Als de uitbestede diensten impact kunnen hebben op de financiële verslaglegging en dus de jaarrekening van de uitbestedende organisatie. Wij zien in de praktijk regelmatig dat ISAE 3402 ten onrechte wordt gevraagd, zonder dat eerst is vastgesteld of er daadwerkelijk sprake is van financieel-relevante uitbesteding. Door vroegtijdig een heldere en onderbouwde scope vast te stellen, voorkomen we onnodige kosten en zorgen we dat de ISAE-aanpak maximaal bijdraagt aan beheersing en transparantie.


Type I versus Type II: 

  1. Type I (ontwerp en bestaan): verklaring van IT Auditor (Accountant) vereist dat ontwerp en implementatie voldoen
  2. Type II (ontwerp, bestaan en werking): audit en verklaring van IT-auditor (accountant) vereist dat ook controles op werking zijn uitgevoerd en uitkomst daarvan voldoet.


In de praktijk wordt vrijwel altijd een Type II verklaring geëist omdat deze zekerheid geeft dat de genomen maatregelen ook daadwerkelijk in de praktijk worden uitgevoerd en gehandhaafd.


In dit blog wordt de (succesvolle!) implementatie van ISAE3000 Type2 uitgewerkt.


ISAE 3000-assurance dient te worden uitgevoerd tegen een bestaand en toetsbaar framework. Wij hanteren hiervoor een door ons ontwikkeld controleframework, dat breed wordt erkend door IT-auditors en accountants vanwege de praktische toepasbaarheid, duidelijke structuur en beheersbaarheid in de uitvoering. De voorgeschreven controles kunnen bv. door de organisatie zelf uitgevoerd worden hetgeen kosten bespaart en inzicht vergroot, maar de assurance daarover moet wel onafhankelijk worden vastgesteld.

 

2. Hoe implementeer ik succesvol ISAE3000?

Zoals al aangegeven, is het van belang de implementatie(?) van ISAE3000 zo uit te voeren dat zoveel mogelijk toegevoegde waarde voor de organisatie kan worden gegenereerd. Een implementatie omvat de volgende stappen:


Scope: Hier specificeren gebruikers (met hulp en, waar nodig, sturing van de adviseur) de reikwijdte van de ISAE-rapportage. Dit omvat een duidelijke afbakening van de processen, systemen, en controles die worden geëvalueerd en gerapporteerd. Het definiëren van de scope is essentieel om de grenzen van de evaluatie te bepalen en zorgt ervoor dat alle relevante gebieden worden gedekt. 


Risico-evaluatie: Deze stap betreft het identificeren en evalueren van de potentiële risico's voor het serviceproces en het bepalen van maatregelen om deze risico's te mitigeren. Ook hier worden gebruikers betrokken en getraind om zo in de toekomst zelfstandig risico- evaluaties uit te kunnen voeren en zo de ISAE3000 implementatie continu te kunnen verbeteren.


Ontwerp en implementatie maatregelen: Op basis van de risico-evaluatie worden maatregelen ontworpen en geïmplementeerd op basis van ons framework. Deze maatregelen kunnen beleid, procedures, monitoring en controles omvatten. In alle gevallen zijn de maatregelen zorgvuldig afgestemd op scope en risico-evaluatie. En leggen we het gewicht van de rapportage op de dienstverlening die verstrekt wordt door u aan uw klant. 


Controle op werking en uitvoering van de maatregelen: er wordt een controlelijst opgezet in onze software waarbij gebruikers zelf de controles kunnen uitvoeren en efficiënt bewijsmateriaal kunnen uploaden. Onze software zet dit automatisch om in de door de externe auditor vereiste rapportage. 

Deze toepassing is het resultaat van jaren intensieve samenwerking tussen verschillende partijen, ieder met hun eigen diepgaande expertise. Door deze kennis te combineren is een uniek en praktisch toepasbaar product ontstaan dat inhoudelijk sterk is én aantoonbare toegevoegde waarde biedt – voor een eerlijke prijs. 


Beoordeling door onafhankelijke IT Auditor: de ISAE standaard schrijft voor dat een onafhankelijke auditor de rapportage moet beoordelen en formeel moet goedkeuren.

IsoSecure kan dankzij onze innovatieve aanpak een ISAE3000 assurance rapporage opstellen voor € 12.000,- (richtprijs; te verifiëren middels gratis scoping sessie). Dit is exclusief het honorarium van de onafhankelijke IT Auditor.

 


3. Klantcase: Vcareconnect

Bij Vcare hebben we Q4 2024/Q1 2025 succesvol een ISAE3000 implementatie uitgevoerd. De ervaring van deze organisatie met onze aanpak is hieronder door Frank Schonewille (Functionaris Gegevensbescherming / Security & Kwaliteitsspecialist bij Vcare) beschreven.


Vcare kreeg al een aantal keren de vraag of wij een ISAE-verklaring konden overleggen, maar na het aantonen van onze Verklaring van Toepasselijkheid van ISO 27001 en NEN 7510 was dit vaak niet meer nodig. Maar omdat deze vraag zo vaak kwam, besloten we om dit te gaan onderzoeken. Zo kwamen op het juiste moment BorgesiusConsulting/IsoSecure om de hoek, die een goede uitleg kon geven hierover en het ook behapbaar wist te maken. Wij zijn als Vcare al langer dan 6 jaar gecertificeerd voor ISO 27001 en NEN 7510, waardoor een ISAE 3000 een logisch vervolg ging worden. Samen met IsoSecure zijn wij dit pad in 2024 ingegaan om einde van dit jaar te horen dat wij succesvol de verklaring ISAE3000 Type II behaald hebben. 


Wat heeft dit ons nu gebracht? Voornamelijk voorspelbaarheid en nog meer controle, waar ISO en NEN zich richten op het ‘bestaan van een proces’ gaat ISAE verder. Het spreekwoordelijke ‘laat maar eens zien dan’ zogezegd. Maar dan ook niet een streekproef voor 1 of 2 bewijsstukken, nee, alles over de te auditen periode. 


De ‘beheersmaatregelen’ waar je bij ISAE 3000 aan moet voldoen sluiten naadloos aan op de controls van ISO 27001 en derhalve ook NEN 7510. We kunnen hiermee niet alleen bewijzen dat wij de processen aanwezig hebben om het op orde te hebben, maar kunnen dit ook bewijzen. De verklaring is een document welke wij actief met onze klanten kunnen delen. Niet omdat wij dit moeten van onze klanten, maar omdat wij dit als organisatie willen. 


Is dat dan niet ontzettend duur? Nou, ja en nee. Een ISAE-verklaring is voor mij vergelijkbaar met een ISO audit en denk ik even zo noodzakelijk. De kosten van niet compliant zijn of het niet op orde hebben zijn vele malen hoger dan dit traject. Het voordeel van IsoSecure is daarbij dat ze niet alleen het rapport jaarlijks opstellen, maar ook helpen om de bewijslast geautomatiseerd te krijgen. Met dit systeem is het een spreekwoordelijke druk op de knop om het rapport eruit te krijgen en daarmee een fractie van de kosten die ‘op internet’ te vinden zijn voor een ISAE-verklaring. Kortom, wij hebben met ISAE 3000 niet alleen de logische next step als Vcare gedaan in professionalisering en transparantie, maar hebben in IsoSecure ook een partner gevonden waar wij met veel plezier samen mee optrekken!


Tot zover de ervaring van VcareConnect met onze aanpak van ISAE3000.



Auteur van dit blog: Eildert Karstens. 

Meer weten? Neem contact met IsoSecure op via info@isosecure.nl of 06-22592010


A group of women are sitting at a table looking at a laptop computer.

Kwaliteitsmanagers en NIS2

door Eildert Karstens 27 maart 2025
Door gebruik te maken van hun ervaring kunnen kwaliteitsmanagers helpen de strenge eisen van NIS2 soepel te integreren in de bedrijfsactiviteiten, waardoor de risico’s worden verminderd en de efficiëntie en veerkracht van de organisatie behouden blijven.
De PDCA cyclus is een essentieel model voor continue verbetering binnen organisaties. In de context

Wat is een PDCA cyclus en hoe pas je het toe binnen ISO 27001?

door Eildert Karstens 6 maart 2025
De PDCA cyclus is een essentieel model voor continue verbetering binnen organisaties. In de context van ISO 27001, de internationale norm voor informatiebeveiliging, helpt de PDCA cyclus organisaties bij het structureel beheren en verbeteren van hun informatiebeveiligingsbeleid. In deze blog bespreken we wat de PDCA cyclus is, hoe je deze toepast binnen ISO 27001, en waarom dit model cruciaal is voor een effectief Information Security Management System (ISMS).
De zorgsector krijgt steeds vaker te maken met cyberdreigingen en strengere regelgeving rondom infor

De nieuwe NEN7510: Wat verandert er en wat betekent het voor jouw organisatie?

door Eildert Karstens 6 maart 2025
De zorgsector krijgt steeds vaker te maken met cyberdreigingen en strengere regelgeving rondom informatiebeveiliging. Om patiëntgegevens beter te beschermen, is de NEN7510 norm aangepast. Maar wat verandert er precies en hoe zorg je ervoor dat jouw organisatie aan de nieuwe eisen voldoet? In deze blog nemen we je mee door de belangrijkste wijzigingen en geven we praktische tips om goed voorbereid te zijn.
Steeds vaker krijgen onze klanten vragen van hun klanten over DORA. Dit naar aanleiding van het in w

Mijn klant eist DORA van mij. Wat nu?

door Eildert Karstens 6 maart 2025
Steeds vaker krijgen onze klanten vragen van hun klanten over DORA. Dit naar aanleiding van het in werking treden van de DORA verordening per 17 januari 2025 en de daarmee ontstane druk om “iets” te doen. Het risico ontstaat daarbij dat er, net als bij de andere verordeningen AVG en NIS2, onnodige onrust ontstaat en daarmee onnodig veel tijd en inspanning wordt besteed aan DORA. Hieronder leg ik kort uit hoe om te gaan met de vraag/eis van een klant om te voldoen aan DORA.