Inergy
Snel naar content

Hoe hou je regie op informatiebeveiliging en privacy bij IT-outsourcing? 

De meeste organisaties besteden tegenwoordig hun IT-(beheer)processen of -diensten uit aan IT-leveranciers en hebben een IT-outsourcing-strategie. IT uitbesteden aan derde partijen biedt vele voordelen zoals schaal- en capaciteitsvoordelen. Ook hoeft de kennis en expertise van interne medewerkers niet op peil gehouden te worden. Echter, als een organisatie een IT-outsourcingstrategie implementeert, moet de organisatie veranderen van een beheerorganisatie naar een regieorganisatie.

Dit vraagt andere kennis en expertises van de interne medewerkers. Want ook als de organisatie IT uitbesteedt, is de organisatie nog steeds verantwoordelijk voor de borging van informatiebeveiliging, privacy en continuïteit van gegevensverwerking. Medewerkers moeten de regie hebben op de uitbestede dienstverlening. In dit artikel wordt ingegaan op hoe de organisatie dat kan doen.  

Programma van eisen

Inergy adviseert om in het selectieproces de informatiebeveiliging- en privacyaspecten mee te nemen in de RFP-procedure en het programma van eisen. Stel een lijst op van eisen ten aanzien van informatiebeveiliging en privacy en gebruik deze lijst om de beoogde IT-leverancier te beoordelen. Wanneer je vooraf deze aspecten nagaat en specifieke eisen stelt aan de IT-leverancier, kom je na contractering niet voor verassingen te staan.

Kan de leverancier aantonen dat zij voldoen aan de gestelde eisen?

In veel gevallen moet de leverancier aan dezelfde wet- en regelgeving voldoen als de eigen organisatie. Ga daarom na in hoeverre de leverancier kan aantonen dat de interne processen van de leverancier op orde zijn en voldaan wordt aan die wet- en regelgeving. Zowel certificering als een Service Organisation Control (SOC) rapport (hierna genoemd IT-assurance-rapportage) zijn daarvoor het meest betrouwbaar, omdat een onafhankelijke auditor het onderzoek uitgevoerd en daarover onafhankelijk gerapporteerd.

Indien dergelijke certificeringen of een IT-assurance-rapportage niet aanwezig zijn, is een zogenaamde ‘right to audit’-clausule aan te raden om zelf een audit uit te (laten) voeren bij de leverancier, om na te gaan of zij voldoen aan de gestelde eisen.  

Certificering

Wanneer een IT-leverancier gecertificeerd is tegen een bepaalde norm, dan heeft een onafhankelijke, geaccrediteerde partij vastgesteld dat het managementsysteem van de betreffende organisatie voldoet aan alle eisen van de betreffende norm. Het managementsysteem is de manier waarop een organisatie of proces bestuurd, oftewel de organisatiestructuur en de samenhangende beleidsregels, afspraken en werkwijzen binnen een bedrijf ten behoeve van een planmatige en systematische beheersing en verbetering van bedrijfsprocessen en -procedures om vooraf bepaalde doelstellingen te realiseren.

Plan-Do-Check-Act
Onderdeel hiervan is het doorlopen van een zogenaamde Plan-Do-Check-Act-cyclus voor het continu verminderen van variatie in de procesuitvoering. Variatie gaat namelijk ten koste van de kwaliteit van een product of dienst. Relevante normen die gaan over informatiebeveiliging zijn de ISO27001, ISO 270002, NEN7510 (voor de Nederlandse zorgsector) en de BIO (Nederlandse overheid). Voor privacy is dat de nieuwe norm BC5701:2022 ten aanzien van AVG-compliance.  

Lees ook:
Een terug- en vooruitblik op Informatiebeveiliging en Privacy: 2023 vs 2024

IT assurance

Wanneer het om hoge risico’s gaat ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid van informatie, en je in geval van uitbesteding aan een externe partij zekerheid wil over privacy- en informatiebeveiliging en continuïteit van gegevensverwerking, dan is een IT assurance-verklaring meer geschikt dan specifieke certificering. Een relevant assurance-rapportage type 2 geeft namelijk meer zekerheid over de betrouwbaarheid van de dienstverlening dan een certificaat.

Dit komt door de aard en diepgang van de werkzaamheden van de IT-auditor bij een dergelijk onderzoek. Op basis van een risicoanalyse en BBN-niveau wordt bepaald of een certificaat afdoende is, of dat meer zekerheid nodig is en (aanvullend) een IT-assurance-rapport type 2 wordt vereist van de leverancier.  

Waarborgen bij onderleveranciers 

In veel gevallen is tevens sprake van onderleveranciers. Bijvoorbeeld voor housing en hosting van data en software. De beoogde leverancier dient op haar beurt regie te voeren over de uitbestede IT-diensten. In dat geval is het van belang om na te gaan of voldoende waarborgen zijn ingericht bij de beoogde leverancier op de regievoering van haar leveranciers en wat de stand van zaken is ten aanzien van informatiebeveiliging en privacy is bij de onderleverancier. 

IT-assurancerapport

Indien de leverancier een IT-assurance-rapport ter beschikking stelt, betekent dat nog niet direct dat het rapport relevant is, noch dat de leverancier haar interne processen op orde heeft en volledig ‘in control’ is over de risico’s. Een dergelijk rapport moet daarom goed gelezen en begrepen worden.  

Waar let je op bij het lezen van een IT-assurancerapport? 

Een IT-assurance-rapportage beschrijft onder andere de onderzoeksmethodiek, de onderzoeksresultaten en de geconstateerde bevindingen van de externe auditor op de beheersingsdoelstellingen en beheersingsmaatregelen van de leverancier. Ook is een dergelijke rapportage opgesteld volgens specifieke rapportagenormen. Veel voorkomende normen zijn ISAE, Standaard en Richtlijn. ISAE is de internationale variant en ‘Standaard’ of ‘Richtlijn’ is de Nederlandse variant. Daarnaast bestaan de rapportagenormen 3402 en 3000.

Rapportagenorm 3402

Een 3402 rapporteert in het kader van de financiële processen en verwerkingen. Accountants van de jaarrekeningcontrole hebben deze ISAE3402 type 2 rapportages nodig om voldoende vertrouwen te hebben in de brongegevens die uiteindelijk in de financiële verantwoording terecht komen. Een ISAE3402 rapport heeft doorgaans hetzelfde controleraamwerk.

Als het leveranciersbeleid ook van toepassing is in het kader van de controle van de jaarrekening, kan een ISAE3402 type 2 rapport worden opgenomen in het programma van eisen. Een dergelijk rapport dient dan enkel bij die leveranciers te worden opgevraagd die relevant zijn voor de jaarrekeningcontrole.  

Rapportagenorm 3000

In een 3000 rapportage heeft de auditor (ook) de niet-financiële processen onderzocht. Bij een 3000 onderzoek stelt de leverancier zelf haar eigen interne controleraamwerk op. De auditor controleert de opzet van het controleraamwerk en of de leverancier de beheersingsmaatregelen heeft geïmplementeerd. Bij een opzet-controle beoordeelt de auditor of de door de leverancier geformuleerde beheersingsdoelstellingen kunnen worden bereikt met de door de leverancier geformuleerde beheersingsmaatregelen.

Omdat de leverancier zelf het normenkader opstelt, dient de gebruikende partij altijd te beoordelen of alle afgenomen dienstverlening onderdeel is geweest van de scope van het onderzoek van de auditor.

Type 1-rapport vs type 2-rapport

Een ‘Type 1’ rapport rapporteert over de opzet en het bestaan van de beheersingsmaatregelen. Bij een bestaanscontrole wordt gecontroleerd of de beheersingsmaatregel op een bepaald moment is uitgevoerd. De controle betreft een momentopname en in het rapport wordt de peildatum vermeld.

Een ‘Type 2’ rapport wil zeggen dat ook de werking is getest en de auditor controleert daarbij of de beheersingsmaatregel gedurende een periode is uitgevoerd. In het rapport wordt vermeld over welke periode wordt gerapporteerd. Idealiter dekt de onderzoeksperiode een geheel (kalender)jaar en sluit de periode aan op de voorgaande onderzoeksperiode. Dit is echter niet altijd het geval en dient daarom door de gebruikende partijen in ogenschouw te worden genomen.   

Onderleveranciers

In het geval van een carve-out zijn de diensten van de onderleverancier niet meegenomen in de assurance-rapportage en dien je een afweging te maken of deze uitbesteding relevant is voor de afgenomen diensten. Als de diensten van de onderleverancier dermate relevant zijn voor de interne beheersing, moet een assurance-rapport en/of de relevante certificeringen worden opgevraagd van de betreffende onderleverancier bij de leverancier en mede beoordeeld worden.

Geconstateerde afwijkingen

Indien de auditor bevindingen heeft geconstateerd, dan zal dat gerapporteerd worden bij de betreffende beheersingsmaatregel in het normenkader. Het kan zijn dat de afwijkingen zijn gemitigeerd door compenserende maatregelen, maar dit hoeft niet altijd het geval te zijn. Daarom is het goed om met de leverancier in gesprek te gaan over de geconstateerde afwijkingen en de impact ervan op jouw eigen organisatie.

Periodieke rapportages 

Onderdeel van de overeenkomst met de leverancier is vaak dat de leverancier periodiek rapporteert over de geleverde dienstverlening, een zogenaamde Service Level Rapportage (SLR). We adviseren daarin om tevens rapportages te vragen over informatiebeveiliging- en privacyaspecten die mogelijk invloed hebben op de gebruikersorganisatie. Alleen wanneer je als organisatie goed op de hoogte bent van de status van de beveiligingsmaatregelen bij de leverancier, kan goed invulling worden gegeven aan de verantwoordelijkheden en eventuele omissies. De inhoud van de periodieke rapportage is afhankelijk van de uitbestede dienstverlening.

Hieronder een overzicht van een aantal gebruikelijke rapportage-onderwerpen; 

  • Ontwikkelingen op het gebied van informatiebeveiliging bij de leverancier (projecten, etc.). 
  • Overzicht changes (m.b.t. Informatiebeveiliging); 
  • Overzicht geregistreerde (security)incidenten, inclusief opvolging; 
  • Overzicht geregistreerde (security)problemen, inclusief opvolging; 
  • Overzicht patch levels betrokken systemen; 
  • Uitgevoerde vulnerability scans, inclusief opvolging; 
  • Uitgevoerde pentests, incl. opvolging; 
  • Uitgevoerde autorisatiecontroles, inclusief opvolging; 
  • Overzicht van datalekken;
  • Wijzigingen in subverwerkers/onderleveranciers 

De frequentie van de periodieke rapportage is afhankelijk van het belang van de uitbestede processen en/of dataclassificatie. Als richtlijn hanteren wij bij BBN1 optionele rapportages, BBN2 en BBN2+ drie keer per jaar, en BBN3 maandelijks.  

Periodieke overleggen  

Middels periodieke overleggen met de leverancier kunnen de SLR’s besproken worden en opheldering worden gevraagd over eventuele onduidelijkheden. We adviseren om informatiebeveiliging vast op de agenda te zetten van het regulier overleg waar de Information Security Officer en Privacy Officer voor een deel van het overleg aanschuift. Ook kan ervoor gekozen worden om een apart informatiebeveiliging en privacy overleg in te richten. De frequentie van het overleg is afhankelijk van het belang van de uitbestede dienstverlening. Hoe hoger het belang, des te frequenter het overleg. 

Lees ook:
5 manieren waarop het LIAS ISMS is beveiligd

Periodieke controles 

Naast de reguliere periodieke rapportages en overleggen met de leverancier adviseren we ook om jaarlijks een formele periodieke controle uit te voeren en vast te leggen. In deze periodieke controle wordt getoetst of de leverancier nog steeds aan de overeengekomen beveiligings- en privacyeisen voldoet. Denk daarbij aan de volgende controles: 

  • Vereiste beveiligings- en privacymaatregelen bij leverancier
    Een controle of de lijst met de vereiste beveiligings- en privacymaatregelen bij leveranciers moet worden herzien. Indien de lijst is herzien, wordt de nieuwe herziene lijst gecommuniceerd met alle relevante leveranciers en gebruikt bij verdere periodieke controles.  
  • Jaarlijkse IT-assurance-rapport van de leverancier
    Een controle op het jaarlijkse IT-assurance-rapport van de leverancier en bepaal of omissies zorgen voor noodzakelijke mitigerende maatregelen bij de interne organisatie. Let bij het lezen van de rapportage op de volgende elementen:
    • Bepaal het type rapport (type 1 of type 2)
    • Bepaal de rapporterende auditor
       Kan worden vastgesteld dat de auditor voldoende professionele kennis, reputatie, objectiviteit en onafhankelijkheid bezit ten opzichte van de leverancier?  
    • Bepaal de periode van rapportage
    • Bepaal of er sprake is van onderleveranciers (subserviceorganisaties)
      In dat geval is er ofwel sprake van een zogenaamde ‘carve-out’ methode of een ‘inclusive’-methode.
    • Bepaal of alle uitbestede diensten onderdeel zijn van de assurance-rapportage
    • User control considerations
      Bepaal of zogenaamde ‘user control considerations’ zijn opgenomen en of deze relevant zijn voor de organisatie.
  • ISO27001 certificaat
    Een controle of alle relevante leveranciers én onderleveranciers ISO27001 gecertificeerd zijn, het ISO 27001 certificaat is aangeleverd en of deze geldig zijn. Tevens een controle of de bijbehorende Verklaring van Toepasselijkheid de dienstverlening volledig afdekt en de vereiste beveiligingsmaatregelen afdoende zijn geïmplementeerd; 
  • BC5701 certificaat
    Een controle of alle relevante leveranciers én onderleveranciers BC5701 AVG gecertificeerd zijn, het certificaat hebben aangeleverd en of de aangeleverde BC5701 certificaten geldig zijn; 
  • Verwerkersovereenkomst
    Een controle of de verwerkersovereenkomst nog volledig van toepassing is in de huidige vorm. Indien dit niet het geval is, wordt de overeenkomst herzien, opgenomen in het register en gecommuniceerd met de betreffende leverancier.  

Indien omissies zijn geconstateerd bij deze controles, moet de Information Security Officer en/of de Privacy Officer op de hoogte te worden gesteld en moet de impact van de omissie(s) geëvalueerd worden om eventueel passende mitigerende maatregelen te treffen. 

Meer informatie of contact? 

Neem gerust contact op met onze GRC-consultants voor hulp bij informatiebeveiliging, risicomanagement en het implementeren van interne processen voor de borging van informatiebeveiliging en privacy.  

Blijf op de hoogte

De auteur

Yvette van Rooij
Yvette van Rooij

GRC Consultant

Yvette is GRC Consultant en heeft met haar achtergrond in IT audit en IT assurance alles in huis om de klant te helpen met het in control komen van IT risico’s en het verbeteren van de interne beheersing.

Meer berichten

Alle berichten

Zomerse terug- en vooruitblik

Zomerse terug- en vooruitblik

We zitten midden in de zomer en na maanden van hard werken kunnen we eindelijk even stil staan bij wat er allemaal is gebeurd én wat ons nog te wachten staat. We hebben een nieuw kabinet en de gevolgen hiervan beginnen langzaam duidelijk te worden. De komende jaren zullen uitwijzen welke impact dit daadwerkelijk heeft.

Lees verder

Praktische toepassingen voor schrijvers: optimaliseer je publicatie met de LIAS Tekstassistent

Praktische toepassingen voor schrijvers: optimaliseer je publicatie met de LIAS Tekstassistent

Heb je ooit gewenst dat je publicaties consistenter en professioneler waren, zonder urenlang te moeten sleutelen aan elke zin? Met de LIAS Tekstassistent wordt dit realiteit. Laten we je meenemen in de praktische toepassingen die jouw werk als schrijver aanzienlijk eenvoudiger maken.

Lees verder

Veelgestelde vragen tijdens webinar Meicirculaire 2024

Veelgestelde vragen tijdens webinar Meicirculaire 2024

Tijdens het webinar over de Meicirculaire zagen we een aantal vragen vaker terugkomen. Hieronder tonen we een overzicht van de belangrijkste vragen en thema's die naar voren kwamen. In het webinar dat je on demand terug kan kijken vind je de antwoorden.

Lees verder