Dutch IT Chanel Logo mobile
Search icon
Redactie - 29 juli 2019

Aantoonbare privacy borging binnen Eshgro

Security Compliance Privacy Cloud

Door de invoering van de AVG moeten organisaties voldoen aan nieuwe verplichtingen op het gebied van privacy en gegevensbescherming. Passende maatregelen zijn nodig bij de verwerking van persoonsgegevens. Maar hoe zit dat wanneer je jouw IT-processen aan ons of een andere IT-leverancier uitbesteedt? Compliance Officer Maik van de Graaf ziet er dagelijks op toe dat Eshgro werkt in overeenstemming met wet- en regelgeving en doelstellingen uit certificeringen. In dit artikel vertelt hij hoe wij door middel van het NOREA Privacy Control Framework de verplichtingen uit de AVG naleven en dit aantoonbaar maken binnen een ISAE 3000A type 2 assurance rapport.

Eigen verantwoordelijkheid

Bij de uitbesteding van IT-processen blijf je wettelijk zelf (eind)verantwoordelijk voor de verwerking van persoonsgegevens. Daarom wil je zeker weten dat jouw IT-leverancier passende maatregelen neemt om jouw data te beschermen en daarmee de verplichtingen uit de AVG naleeft. Dat kan bijvoorbeeld door samen te werken met een IT-leverancier die de juiste certificaten en assurance rapportages en verklaringen bezit. Eshgro ontzorgt klanten en partners op dit gebied. Door de processen die betrekking hebben op de verwerking van persoonsgegevens te laten auditen, maken wij aantoonbaar dat wij de AVG verplichtingen naleven. Zo kun jij erop vertrouwen dat jouw gegevens op een integere en veilige manier verwerkt worden; in lijn met de AVG.

AVG-certificaat bestaat nog niet

Bij de inwerkingtreding van de AVG werd het AVG-certificaat geïntroduceerd. Met dit nieuwe instrument kunnen verwerkers en verwerkingsverantwoordelijken aantonen dat zij persoonsgegevens conform de verplichtingen uit de AVG verwerken en beschermen. Dat klinkt mooi, maar in de praktijk bestaat dit certificaat nog helemaal niet. Een dergelijk certificeringsmechanisme moet in Nederland namelijk eerst door de Raad van Accreditatie (RvA) worden goedgekeurd. Tot op heden is er geen enkele certificatie-instelling die door de RvA is geaccrediteerd tot de uitgifte van een AVG-certificaat. Daarom pakken wij het anders aan.

Privacy Control Framework

Tegelijk met de invoering van de AVG werd door NOREA, de beroepsorganisatie van IT-auditors in Nederland, het Privacy Control Framework (PCF) gepubliceerd. Dit is een handreiking aan IT-auditors die belast zijn met de uitvoering van zogenoemde ‘privacy assurance’ opdrachten. Om klanten en partners te helpen bij het nemen van passende maatregelen binnen de AVG, implementeerden wij de op ons van toepassing zijnde onderdelen uit dit PFC binnen een ISAE 3000A type 2 assurance rapport. Maar wat houdt het PCF precies in?

Aan de AVG voldoen met het PCF

Het PCF is opgesteld door een werkgroep binnen NOREA, bestaande uit onder andere (externe) registeraccountants, informatiebeveiligingsspecialisten, juristen en technisch specialisten. Het framework bevat vooropgestelde control objectives en noemt voorbeeldmaatregelen om aan deze doelstellingen te voldoen. Doel hiervan is om IT-auditors een richtlijn te geven bij het uitvoeren van opdrachten waarin de vraag centraal staat of een organisatie voldoet aan de op hem van toepassing zijnde doelstellingen op het gebied van privacy en verwerking van persoonsgegevens. Het totale PCF bestaat uit 104 controls, verspreid over 32 onderwerpen en 9 managementdomeinen.

Tijdens een privacy audit wordt getoetst of er beheersmaatregelen geïmplementeerd zijn binnen de organisatie en of deze voldoen aan de voorbeeldmaatregelen binnen het PCF. De auditor toetst ook de werking van deze maatregelen. Zo kan beoordeeld worden of een organisatie de regels uit de AVG naleeft.

ISAE 3000A met AVG normenkader

Al jarenlang laten wij onze publieke en private clouddiensten door IT-auditors, die bij NOREA zijn geregistreerd, toetsen voor een ISAE 3402 type 2 assurance rapportage. Onze scope is ontzettend ruim. Ook onze beheersorganisatie, inclusief incident management en change management, wordt getoetst. Daardoor is de zekerheid die Eshgro over uitbesteedde processen kan geven veel groter. Omdat het onder ISAE 3402 niet is toegestaan privacy vraagstukken mee te nemen, waaronder dus toetsing van het PCF, hebben wij voor het privacy vraagstuk een separate ISAE 3000A type 2 assurance audit laten uitvoeren. Daarom beschikken we nu over twee ISAE type 2 assurance verklaringen.

Volledig in control

Mensen zijn vaak sceptisch over de overstap naar de cloud, omdat data in de cloud niet tastbaar is. Ze zien dan geen servers staan die de data bevatten. Wij begrijpen de twijfels die de uitbesteding van IT-processen met zich meebrengt. Maar juist door de certificeringen en assurances die wij behalen, hoef jij je als klant geen zorgen te maken. De processen voor verwerking en opslag van data die je aan ons uitbesteed zijn volledig in control. En door de toevoeging van het PCF kunnen we nu ook nog aantoonbaar maken dat wij de AVG naleven bij het aanbieden en beheren van onze cloudoplossingen.

Meer weten?

webinar_isae3000a_1024x249.jpg

Tijdens een verdiepende online kennissessie op dinsdag 17 september en donderdag 3 oktober gaat Compliance Officer Maik dieper in op het NOREA Privacy Control Framework, ISAE 3000A en de relatie tussen beide om aan te tonen dat aan de AVG wordt voldaan. Ben jij er bij? Meld je dan snel aan.

Door: Maik van de Graaf (foto), Compliance Officer bij Eshgro

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!