Assurance en compliance, Assurance, Third party verklaring

Assurance en Compliance

Assurance en compliance audits geven inzicht in de werking van uw processen. Met een assurance-verklaring heeft u inzicht in de mate waarin wordt voldaan aan gestelde eisen. Dit geeft vertrouwen, zowel bij uw klanten als bij u. Compliance audits geven u inzicht in de mate waarin uw processen voldoen aan specifieke normen of standaarden. Met dit inzicht kunt u vervolgens uw eigen processen verder verbeteren.

Verschillende soorten Assurance en compliance normenkaders

Mathison biedt assurance in de vorm van assurance-audits in een aantal vormen:

TPM-verklaringen

Klanten besteden een deel van hun processen uit en maken gebruik van u als dienstverlener of service provider. Natuurlijk is het van belang dat die dienstverlening voldoet aan de overeengekomen verwachtingen.

Dienstverleners bieden inzage in de eigen prestaties via bijvoorbeeld service level rapportages, of portals waarmee de klant bepaalde kwaliteitsaspecten van de geleverde dienst kunnen beoordelen. In een aantal gevallen is dat niet voldoende en wenst de klant (of de toezichthouder) aanvullende zekerheid over de dienstverlening.

Via een onafhankelijke audit kunt u aan klanten aantonen dat hun (uitbestede) processen goed worden beheerst en daarmee aantoonbaar ‘in control’ zijn. Een dergelijke Third Party Memorandum (TPM-verklaring) dient verschillende doelgroepen. De vorm van de verklaringen verschilt en is toegespitst op de beoogde doelgroepen ISAE 3000, ISAE 3402 en SOC 2.

Third party verklaringen, Assurance en compliance
DigiD, Digital ID, DigiD audit, DigiD assessment

DigiD-audits

Organisaties of overheidsdiensten die een DigiD-aansluiting aanvragen of reeds gebruiken, dienen te voldoen aan de aansluitvoorwaarden van het DigiD-platform. Om aan te sluiten op het DigiD-platform stelt Logius een aantal voorwaarden.

Een onafhankelijke eerste toets moet worden uitgevoerd binnen twee maanden nadat de DigiD-aansluiting actief is. Daarna volgt een jaarlijks ICT-beveiligingsassessment. Deze audits dienen te worden uitgevoerd door een onafhankelijke Register EDP-Auditor (RE), die formeel is ingeschreven in het register van de NOREA.

Meer informatie hierover vindt u op onze DigiD-pagina: DigiD audits

Contact

Contact opnemen

Heeft u vragen over een assurance audit, of hebben uw klanten om een assurance verklaring gevraagd? Of wilt u eens van gedachten wisselen over de mogelijkheden om de beheersing van uw eigen processen te verbeteren? Wij wisselen graag met u van gedachten over de mogelijkheden.

ENSIA-audits

Gemeenten dienen jaarlijks verantwoording af te leggen over de informatieveiligheid. Dit gaat via het invullen van de zelfevaluaties. Door middel van een Collegeverklaring Informatiebeveiliging geeft het college van B en W vervolgens aan in welke mate wordt voldaan aan de beheersingsmaatregelen.

Meer informatie over de ENSIA-audits en de wijze waarop Mathison deze uitvoert, vindt u op onze ENSIA-pagina.

Heeft u vragen over een of meer van de bovenstaande toetsingen of bent u op zoek naar een betrouwbare partij om een toetsing uit te voeren? Neemt u dan even contact met ons op. We helpen u met plezier.

ENSIA-audit, ENSIA verklaring, gemeente audit

ISAE3402

Digitale dienstverleners dienen betrouwbaar te zijn en dat in toenemende mate ook te kunnen aantonen dat zij dat zijn en dat hun klanten op hen kunnen vertrouwen.  serviceorganisatie. Mede door wettelijke vereisten onder andere vanuit de Network and Information Security directive (NIS2-richtlijn), de Cyber Resilience Act (CRA) vereist de overheid toezicht en in de Wet Financieel Toezicht (Wft).
Lees meer…

SOC2

Een organisatie die processen uitbesteedt wil dit doen bij een betrouwbare serviceorganisatie. Het is dan vanuit de digitale dienstverlener belangrijk om te kunnen aantonen dat klanten kunnen vertrouwen op de aangeboden diensten. In toenemende mate wordt dit ook een wettelijke vereiste om te kunnen voldoen aan de NIS2 of Cyber Resilience Act (CRA).
Lees meer….

ENSIA-audit

Gemeenten dienen jaarlijks verantwoording af te leggen over de informatieveiligheid. Dit gaat via het invullen van de zelfevaluaties. Door middel van een Collegeverklaring Informatiebeveiliging geeft het college van B en W vervolgens aan in welke mate wordt voldaan aan de beheersingsmaatregelen.
Lees meer…

DigiD-audit

Een belangrijke eerste eis is dat de aansluiting door een onafhankelijke auditor moet worden getoetst op een aantal onderdelen binnen twee maanden nadat de DigiD-aansluiting gerealiseerd is en deze getoetst is via een DigiD audit. Daarnaast dient jaarlijks opnieuw een ICT-beveiligings assessment te worden uitgevoerd om de aansluiting te behouden.
Lees meer…

Privacy toetsing

Organisaties dienen passende maatregelen te nemen om de persoonsgegevens goed te beschermen. Wanneer meer of meer gevoelige gegevens worden verwerkt, dan zullen de maatregelen die de persoonsgegevens beschermen eveneens moeten toenemen.
Lees meer…

Wpg toetsing

Vanuit de wet politiegegevens dienen de verwerkersverantwoordelijken (veelal de werkgever van de boa’s) in het huidige jaar een privacy audit te laten uitvoeren en vervolgens jaarlijks interne en eens per vier jaar een externe privacy audit te laten uitvoeren. Deze privacy audit wordt uitgevoerd middels een IT-audit.
Lees meer….

Integrated audit

Geïntegreerde ISO 27001 / NEN7510 audit met een ISAE3000 of ISAE3402 assurance audit zien wij steeds vaker. Uitbestedende organisaties vragen vanuit risicobeheersing steeds vaker om een ISO-certificaat én assurance verklaring van leveranciers.
Lees meer.