Eshgro helpt met voldoen aan regels rond privacy en gegevensbescherming

Maik van de Graaf

26-08-2019 | door: Johan van Leeuwen

Eshgro helpt met voldoen aan regels rond privacy en gegevensbescherming

De storm rond de AVG is een beetje gaan liggen, maar verantwoord omgaan met persoonsgegevens blijft van groot belang. Eshgro gaat daar heel ver in en kan dat ook met assurance rapportages en certificeringen aantonen. De cloud service provider helpt partners en eindklanten om aantoonbaar te voldoen aan alle verplichtingen op het gebied van privacy en gegevensbescherming. Compliance Officer Maik van de Graaf legt uit.

Van de Graaf houdt zich als Compliance Officer bij Eshgro heel nadrukkelijk met de AVG, certificeringen en assurances bezig. “De AVG is nog steeds erg actueel. We krijgen regelmatig vragen van klanten of hun werkprocedures, beleid en de daarop genomen maatregelen in lijn zijn met de AVG. Op veel vragen valt geen ‘ja’ of ‘nee’ te zeggen. De organisatie moet meestal zelf een keuze maken. De AVG is bewust behoorlijk vaag. Het laat organisaties daardoor zelf nadenken. Bijvoorbeeld over de vraag of het informatiebeveiligingsbeleid van de organisatie passend is. Het antwoord daarop is afhankelijk van meerdere factoren. Wat voor soort gegevens verwerk je? Voor welke duur? Met welke doeleinden? Op welke wijze? Ook is het relevant welke maatregelen worden genomen. Je hoort vaak dat bedrijven de AVG onduidelijk vinden, maar dat zijn vaak juist de bedrijven die het lastig vinden om een standpunt in te nemen. Tegelijkertijd merk ik wel dat er veel meer bewustwording is.”

Kritische vragen
Zelf heeft Eshgro vergaande maatregelen getroffen om aan te kunnen tonen dat het verantwoord omgaat met de privacy van haar klanten en partners en de verwerking van hun gegevens. “We zijn uniek omdat we het Privacy Control Framework (PCF), dat NOREA vorig jaar lanceerde, hebben geïmplementeerd in een ISAE 3000A type 2 assurance rapportage. We tonen daarmee aan dat we de privacy van onze klanten en partners en de verwerking van hun persoonsgegevens conform AVG op orde hebben. Klanten en partners verwachten van ons dat wij dat kunnen laten zien. Ze hebben namelijk zelf ook weer klanten die hen kritische vragen stellen, ook over onze positie in de keten. Daarnaast schakelen zij ons in, waardoor zij verantwoordelijk zijn voor ons. We willen de ultieme zekerheid en aantoonbaarheid bieden dat er verantwoord met data wordt omgegaan. Daarmee maken we de verwerkingen voor de keten, van eindgebruiker tot leverancier, transparant.”

Certificeringsmechanismen
In de AVG wordt gesproken over certificeringsmechanismen waarmee bedrijven kunnen aantonen dat ze omgaan met persoonsgegevens zoals de AVG dat vraagt. Maar op dit moment is er Nederland geen instelling geaccrediteerd om een ‘AVG certificaat’ te mogen uitgeven. Dus kozen ze bij Eshgro voor de optie die volgens hen daarna het meest geschikt is. “NOREA is de beroepsorganisatie van IT-auditors”, legt Van de Graaf uit. “We laten onze publieke en private clouddienst en de beheersorganisatie daarvoor al jarenlang toetsen door auditors die bij hen zijn geregistreerd. Dat wordt dan vervat in een ISAE 3402 type 2 assurance rapportage. Maar omdat ISAE 3402 zich beperkt tot financiële gegevens en het bij de AVG om de verwerking van persoonsgegevens gaat, hebben we gekozen voor een extra assurance rapportage. Onze ISAE 3000A type 2 rapportage is daarvan het resultaat. Daarmee kunnen we aantonen dat we integer omgaan met de (persoons)gegevens die door klanten en partners worden verwerkt bij de IT-processen die ze aan ons hebben uitbesteed. Vooral de stakeholders van klanten en partners hechten daar steeds meer waarde aan.”

De ISAE 3000A type 2 rapportage is niet nieuw, de koppeling met de PCF van NOREA is dat wel. En daarmee wordt het element privacy toegevoegd aan de beginselen beveiliging, beschikbaarheid, integriteit en vertrouwelijkheid van data, zoals nu in de ISAE 3402 rapportage vervat. “Die combinatie van rapportages maakt de scope van de totale assurance zeer breed. Vergelijk het met een APK-keuring waarbij je vraagt om op veel extra punten, die buiten de standaard APK-keuring vallen, te letten en waarbij dat door een erkende garage als extra aantekening op de bon wordt gezet. Die extra aantoonbaarheid door erkende auditors hebben wij voor onze klanten en partners kunnen borgen.”

Zekerheid
Alle gegevens die Eshgro verwerkt voor haar dienstverlening vallen daarnaast onder NEN 7510. “De wetgever heeft aangegeven dat medische gegevens daaraan moeten voldoen. Die gegevens zijn natuurlijk extreem privacygevoelig. Dat de wetgever dat zo nadrukkelijk zegt, is niet voor niets. Klanten en partners verwerken via onze cloudoplossingen ook medische gegevens, dus moeten wij voldoen aan NEN 7510. Maar niet alleen medische gegevens worden volgens NEN 7510 verwerkt. Dat geldt ook voor alle andere gegevens waarover we beschikken. De bouwtekeningen van een architect voldoen bij ons dus aan dezelfde protocollen. Ook daarmee gaan we dus een stap verder dan strikt noodzakelijk.”

Eshgro beschikt daarnaast ook over een ISO 27001 certificering. “Waar bij ISAE 3402 en 3000A type 2 naar de toepassing wordt gekeken en of de processen ook echt zo zijn gegaan als de organisatie zegt dat ze zouden moeten gaan, kijkt ISO 27001 naar de opzet en naar het bestaan van de processen. De kracht zit dus in de combinatie. En deze kracht wordt versterkt doordat ISAE 3402 en 3000A over een afgelopen periode worden getoetst, terwijl ISO 27001 gericht is op toekomstige processen. In alle eerlijkheid: wij zouden niet weten hoe we het complete geheel beter kunnen doen, dan dat we nu doen.”

Partners en klanten
Partners en klanten van Eshgro profiteren volgens Van de Graaf mee van de stappen die het bedrijf heeft gezet. “Ze kunnen ervan uitgaan dat wat wij opleveren voldoet aan de wet en regelgeving die op de dienst van toepassing is, aangetoond door de assurances en certificaten.” Daarnaast helpt Eshgro hen ook graag op weg. “Voor onze partners geven we sessies en webinars (zie kader, red.) en ze kunnen altijd langskomen om het erover te hebben. Zoals gezegd: de AVG is vaak niet concreet genoeg om ‘ja’ of ‘nee’ te kunnen zeggen op vragen over het opslaan van bepaalde gegevens. Maar op een meer abstract niveau geven we veel advies over hoe ze er het beste mee om kunnen gaan. Onze partners, maar ook de klanten van de partners, kunnen er ook voor kiezen om het PCF van NOREA te implementeren. Het voordeel voor hen is dan dat veel van de processen bij ons liggen en al binnen dat raamwerk vallen. Denk aan de borging van change- en incidentmanagement als onderdeel van de beheersorganisatie. Partners en hun klanten kunnen daardoor dus veel makkelijker een certificering binnenhalen, omdat ze kunnen bouwen op onze assurances en certificeringen.”

Webinars
Eshgro organiseert binnenkort een aantal webinars over hoe zij het PCF in haar organisatie heeft verwerkt en hoe dat partners helpt om te kunnen aantonen dat ze AVG-proof zijn. Die zijn met name bedoeld voor nieuwe en bestaande IT-partners. Ze worden gehouden op . Aanmelden kan via <https://www.eshgro.nl/webinar-isae-3000a-deep-dive/ >. Van de Graaf: “We willen in de webinars ook uitleggen aan potentiële partners hoe ze kritisch kunnen kijken naar de manier waarop hun huidige (cloud) leveranciers met persoonsgegevens omgaan en welke zekerheid zij kunnen geven over de correctheid van deze processen. We hebben veel kennis op dit vlak en willen die graag delen.”

 

Terug naar nieuws overzicht

Tags

AVG