Is ISAE 3402 verplicht?
Is ISAE 3402 verplicht? En hoe kun je het behalen?


Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlFinanciële instellingen dienen wettelijk (Art 4.16 Wft) aan te kunnen tonen dat outsourcingsdiensten beheerst worden. Deze eis geldt voor alle leveranciers zoals creditmanagementorganisaties, SaaS-providers en datacenter die diensten leveren aan banken, pensioenfondsen en verzekeraars. Hiervoor dienen financiële instellingen zoals een verzekeraar of bank een Service Organisation Control (SOC) rapport aan te tonen aan de leverancier alvorens de leverancier diensten kan leveren aan de instelling. Dit maakt dat de ISAE 3402 verplicht is.
ISAE 3402 is verplicht, wat zijn de voordelen?
Steeds meer klanten selecteren hun leverancier op IT-security. Met het voldoen aan de ISAE 3402 laat je zien dat jouw organisatie de zaken op orde heeft en wek je vertrouwen bij (potentiële) nieuwe klanten.
Daarnaast is de norm ook in wettelijke context een steeds vaker gevraagde assurance verklaring. Ook de overheid weet de ISAE 3402 inmiddels te vinden voor bijvoorbeeld de Wet Financieel Toezicht en internationale wet- en regelgeving zoals Sarbanes Oxley (SOx 404). Doordat de ISAE 3402 internationaal erkend is, kun je zowel nationaal als internationaal aan deze vraag van je leveranciers voldoen.
ISAE 3402 behalen
DE ISAE 3402 kent twee typen verklaringen; de type 1 en type 2 verklaring. Beide verklaring zijn inhoudelijk hetzelfde. Het verschil tussen de twee verklaringen is terug te zien in de uitgevoerde controle op het rapport. Om de type 1 verklaring te toetsen aan ISAE3402 beoordeeld de auditor of de beschrijving van het ISAE-rapport overeenkomt met de actuele situatie. Het toetsen van een type 2 verklaring duurt daarentegen een stuk langer. De organisatie dient gedurende 6 maanden bewijs te verzamelen over de risicobeheersing binnen een proces of tool, de aanwezige risico’s en maatregelen dienen in kaart te worden gebracht. De auditor zal vervolgens beoordelen hoe de maatregelen hebben gewerkt om de vastgestelde beheersdoelstellingen te behalen.
Meer informatie?
Hopelijk heb je na het lezen van dit blogartikel een beter beeld over wanneer ISAE 3402 verplicht is. Wil je meer weten over ISAE 3402, SOC of gerelateerde vraagstukken? Neem dan gerust contact met ons op. Onze adviseur vertelt je graag meer over de mogelijkheden.

Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlDirect aan de slag met een ISAE 3402 verklaring?
Al 500+ organisaties gingen je voor!
- Deskundige experts met veel kennis
- Voldoe aan de eisen en de wet
- Vrijblijvende offerte op maat