IT Assurance

Een ISAE3402, vergelijkbaar met SOC1-rapporten, wordt opgesteld ten behoeve van de jaarrekeningcontrole van je klanten. Deze rapportage stelt de accountant van je klanten in staat om de kwaliteit van jouw dienstverlening binnen hun jaarrekeningcontrole te wegen. De scope van deze rapportage is daarmee beperkt tot datgene wat voor een accountantscontrole relevant is. Dit zijn vaak ook IT-onderwerpen. 

Een SOC2 / SOC3 -rapport is bedoeld om meer in de breedte aan je klanten assurance te verschaffen over de kwaliteit (bijvoorbeeld veiligheid, continuïteit of integriteit) van jouw IT-dienstverlening. 

SOC voor cybersecurity is bedoeld om verantwoording af te leggen over het cybersecurity programma van jo organisatie. Met een SOC voor Cybersecurity-assurance kan je specifiek op dit thema vertrouwen creëren richting je klanten. 

Met de ENSIA-audit (Eenduidige Normatiek Single Information Audit) geeft een gemeente inzicht aan de gemeenteraad over de mate waarin informatiebeveiliging voor verschillende aspecten binnen haar huishouding op orde is. Met name de DigiD-omgevingen en de SUWI-omgevingen liggen binnen de scope van de IT-auditwerkzaamheden. De rapportage die daar uit volgt wordt beschikbaar gesteld aan toezichthoudende instanties, zoals Logius of ministeries. 

De Wet Politiegegevens heeft bepaald dat organisaties met een BOA in dienst zich eens in de 4 jaar richting de Autoriteit Persoonsgegevens moeten verantwoorden over de wijze waarop met privacygevoelige wordt omgegaan. Het eerste jaar waarover de BOA-organisaties zich moesten verantwoorden was 2021. Het eerstvolgende jaar dat een externe audit plaats zal moeten vinden is in 2025. In de tussentijd helpen onze auditors de BOA-organisaties graag bij het jaarlijks uitvoeren van hun interne audit op de WPG-gegevens.  

De Baseline Informatiebeveiliging (BIO) heeft als doel om informatiebeveiliging binnen de overheid te borgen. Momenteel heeft een overheidsorganisatie de verplichting om aan de BIO te voldoen, maar het is nog niet verplicht om door een externe auditor te laten onderzoeken of een overheidsorganisatie hieraan daadwerkelijk voldoet. Een dergelijke verplichting is wel onze wens, want dan pas wordt informatiebeveiliging bij de overheid, maar ook bij de organisaties die aan overheden diensten verlenen, naar een hoger niveau getild. Desalniettemin voeren wij nu al bij verschillende overheidsorganisaties BIO-audits uit. Een positieve ontwikkeling waar we graag meer overheidsorganisaties bij van dienst zijn.  

Het Privacy Control Framework is een Nederlandse standaard voor het verschaffen van assurance aan klanten en andere stakeholders over de mate van privacy-beheersing binnen een organisatie. Met dit rapport kan je onderbouwd aantonen dat je zorgvuldig omgaat met privacygevoelige gegevens die bij je organisatie binnenkomen.