Geen incidenten
Geen incidenten
Collaboration

ISAE3402 Type II certificering: waarborg voor betrouwbaarheid en transparantie bij uitbesteding

Corporate compliance: organisaties in diverse sectoren hebben ermee te maken. Het vergt niet alleen het op orde hebben van de eigen processen, ook heeft het zijn impact op het werken met (toe)leveranciers en afnemers. Certificeringen zijn daarbij onmisbaar.

Nieuwsbrief

Blijf op de hoogte rondom alle ontwikkelingen

Je ontvangt de nieuwsbrief 1 keer per maand.We helpen je graag verder.

Corporate compliance: organisaties in diverse sectoren hebben ermee te maken. Het vergt niet alleen het op orde hebben van de eigen processen, ook heeft het zijn impact op het werken met (toe)leveranciers en afnemers. Certificeringen zijn daarbij onmisbaar. ‘Het laat zien dat je samenwerkt met een partij die transparant werkt en betrouwbaar is’, legt Natalie Faas, manager Kwaliteit, Arbo & Milieu (KAM) bij Eurofiber Nederland, uit.

Extra garantie

Uitbesteden. Het is de afgelopen jaren dé manier geworden voor organisaties om zich zo goed mogelijk te kunnen concentreren op hun kernactiviteiten. En tegelijkertijd brengt het potentiële risico’s met zich mee. Want als processen in handen van derde partijen worden gelegd, blijft de uitbestedende organisatie uiteindelijk verantwoordelijk voor de naleving van wet- en regelgeving. Certificeringen zijn daar onmisbaar voor: zij geven de broodnodige waarborgen dat processen correct worden afgehandeld. Een van de meest bekende certificeringen op dat gebied is ISAE 3402 Type II, waarmee zekerheid wordt verschaft over alle processen die uiteindelijk effect hebben op de jaarrekening van de uitbestedende organisatie. Het geldt wereldwijd als een extra garantie voor de betrouwbaarheid en kwaliteit van de geboden dienstverlening. In Nederland is het zelfs een vereiste voor organisaties die onder het toezicht van de Nederlandse Bank vallen.

Jaarlijkse rapportage? Carve-out methode scheelt tijd en geld

‘Eurofiber beschikt al langer over de ISAE3402 Type II-certificering. Het is een duidelijke kwaliteitswaarborg voor onze klanten’, zegt Natalie Faas. ‘Wij gaan daarbij nog een stap verder door het feit dat wij de benodigde audits voor hen kunnen faciliteren, door middel van de zogenoemde uitsluitings- of carve-out methode. Hierdoor kan het tijdsbeslag van een jaarlijkse ISAE 3402 Type II rapportage aan de klantkant aanzienlijk worden teruggebracht. Dit omdat de klant zelf geen controls hoeft te definiëren en te verifiëren bij Eurofiber. Dat scheelt tijd én geld, zonder dat het uiteraard ten koste gaat van de betrouwbaarheid en effectiviteit van de rapportage.’

GouwIT vertrouwt op ISAE3402 Type II certificering

GouwIT is één van de klanten van Eurofiber die via de carve-out methode de jaarlijkse ISAE3402 Type II rapportage afhandelt. Het bedrijf bouwt en levert softwareoplossingen aan gemeenten, waterschappen en samenwerkingsverbanden. ‘We beschikken over een eigen professioneel en gecertificeerd datacenter, welke is gevestigd in Zaltbommel. Daarnaast maken we gebruik van verschillende leveranciers welke veelal hard- en software leveren. We zijn ISAE3402 type II gecertificeerd voor onze software-, hosting- en datacenteractiviteiten. Ook onze leveranciers moeten voldoen aan internationale en branche specifieke compliance-normen waarmee we afspraken op Service Level Management hebben’, aldus Marcel van der Heijden, kwaliteitsmanager bij GouwIT.

Carve-out methode in de praktijk

‘We maken al een aantal jaren met grote tevredenheid gebruik van de Managed Dark Fiber en Ethernet diensten van Eurofiber. Zij nemen Service Level Agreement-management onder hun hoede, zorgen voor adequate beheersmaatregelen om de fysieke toegang tot de PoP locaties strikt te beperken tot geautoriseerde personen en passen adequate monitoring van de netwerk infrastructuur toe’, zegt Van der Heijden. ‘Aangezien we in de beheersmaatregelen van onze eigen ISAE3402 Type II certificering verantwoordelijk zijn voor het identificeren en monitoren van afhankelijkheid van diensten en dienstverlening door Eurofiber, moeten we dit kunnen aantonen. Een veelomvattende en kostbare manier zou zijn om dit samen met Eurofiber te laten auditen. Dit is echter niet nodig als er gebruik gemaakt kan worden van de carve-out methode.

Aanbevelenswaardig

De toegevoegde waarde van het gebruik van de carve-out methode is voor GouwIT groot, aldus Marcel van der Heijden. ‘Alle (externe) beheersingsdoelstellingen en gerelateerde controles die worden geleverd door Eurofiber, maken dan geen deel uit van de ISAE3402 van GouwIT, maar we kunnen deze wel aantonen door te leunen op ISAE3402 verklaring van Eurofiber. We hebben daarom samen met Eurofiber de afspraak gemaakt om jaarlijks de ISA3402 verklaring te beoordelen om vast te stellen of de interne controles zijn uitgevoerd. We hebben in Eurofiber een goede leverancier gevonden om dit controle-proces uit te voeren en kunnen middels de carve-out methode de externe beheersmaatregelen in onze eigen ISAE3402 eenvoudig en kwalitatief goed borgen. Met de kennis en ervaring van Eurofiber op dit vlak, bevelen we dit graag aan voor iedere klant van Eurofiber die hier gebruik van wenst te maken.’

De certificeringen van Eurofiber

ISO 9001 (Processen en kwaliteitsmanagement)
ISO 14001 (Milieumanagement)
ISO 27001 (Informatiebeveiliging)
Carrier Ethernet 2.0 (Kwaliteitswaarborg Ethernetverbindingen)
ISAE 3402 Type II verklaring (Risico Management)