Wat is het verschil tussen ISO 27001 en ISAE 3402?

Aantoonbare informatiebeveiliging

Bij het uitbesteden van bedrijfs- of IT processen behoudt het uitbestedende bedrijf de verantwoordelijkheid voor privacy-naleving. Dus ook over dat deel wat wordt uitbesteed aan een externe partij. Steeds vaker zijn aantoonbare privacy en IT security beheersing dan ook belangrijke selectie criteria.

Tijdens inkooptrajecten stellen bedrijven steeds hogere eisen aan de IT beveiliging en privacy beheersing van hun leveranciers. Kan je als leverancier de beheersing aantoonbaar maken, dan sta je als snel 2-0 voor op je concurrent.

Om naleving van de privacy regelgeving AVG aan te tonen wordt certificering volgens informatiebeveiliging standaard ISO 27001 weleens genoemd. Ook worden assurance rapportages volgens internationale assurance standaard ISAE 3000 of 3402 hiervoor gehanteerd.

Waar zit het verschil?

Informatiebeveiliging is een belangrijk onderdeel van privacy en wordt gecertificeerd volgens ISO 27001. Deze standaard is echter niet toegesneden op privacy specifieke aspecten uit de AVG, daarnaast is ISO 27001 certificering onvoldoende diepgaand om de structurele toepassing (werking) van de maatregelen vast te stellen. Deze lacune wordt opgevuld door een ISAE assurance rapportage. Een assurance rapportage volgens de ISAE 3000 of 3402 standaard kan qua reikwijdte optimaal worden afgestemd op de (privacy) assurance behoefte van zijn gebruikers. Tevens is de diepgang van de audit toereikend om de werking van maatregelen aan te tonen. De assurance rapportage is hét middel om zekerheid te verschaffen over het behalen van privacy doelstellingen. Gecombineerd met het Hoek en Blok IT & privacy raamwerk wordt privacy optimaal geïntegreerd in jouw bestaande processen en verschaf je jouw klanten zekerheid.