Wat is de relatie tussen ISAE 3402 en GDPR?

ISAE 3402 en GDPR zijn twee verschillende standaarden die elkaar aanvullen. ISAE 3402 is een internationale auditstandaard die zich richt op procesbeheersing en interne controles bij serviceproviders, terwijl GDPR een Europese privacywet is die beschermt hoe organisaties met persoonsgegevens omgaan. Serviceproviders hebben beide nodig: GDPR is een wettelijke verplichting, terwijl een ISAE 3402-verklaring klanten geruststelt over de betrouwbaarheid van je dienstverlening. In dit artikel beantwoorden we de meest gestelde vragen over hoe beide standaarden zich tot elkaar verhouden.

Wat is het verschil tussen ISAE 3402 en GDPR?

ISAE 3402 is een auditstandaard voor serviceproviders die aantonen dat hun processen en controles goed zijn ingericht. GDPR is een Europese privacywet die regelt hoe organisaties persoonsgegevens mogen verzamelen, gebruiken en beschermen. Het grote verschil zit in het doel: ISAE 3402 gaat over algemene procesbeheersing en interne controles, terwijl GDPR zich specifiek richt op de bescherming van privacy en persoonsgegevens.

ISAE 3402 is een vrijwillige verklaring die je als serviceprovider kunt laten opstellen door een onafhankelijke auditor. De standaard helpt je om klanten te overtuigen dat je processen betrouwbaar zijn. Je laat zien dat je in control bent over de diensten die je levert. De verklaring richt zich vaak op financiële processen en IT-beheersing, omdat deze effect hebben op de jaarrekening van je klanten.

GDPR daarentegen is geen vrijwillige keuze, maar een wettelijke verplichting voor alle organisaties die persoonsgegevens van EU-burgers verwerken. De wet stelt strikte eisen aan hoe je omgaat met privacygevoelige informatie. Denk aan toestemming vragen, datalekken melden en mensen het recht geven om hun gegevens in te zien of te laten verwijderen.

De wettelijke basis is ook anders. ISAE 3402 is gebaseerd op een internationale auditstandaard ontwikkeld door accountants. GDPR is Europese wetgeving die direct doorwerkt in alle lidstaten. Bij overtreding van GDPR riskeer je boetes tot 20 miljoen euro of 4% van je wereldwijde omzet. Bij ISAE 3402 gaat het meer om commerciële consequenties: klanten kiezen mogelijk voor een concurrent die wel een verklaring heeft.

Waarom hebben serviceproviders zowel ISAE 3402 als GDPR nodig?

Beide standaarden vullen elkaar aan en zijn niet uitwisselbaar. GDPR is verplicht voor elke organisatie die persoonsgegevens verwerkt, terwijl ISAE 3402 vaak een commerciële noodzaak is om nieuwe klanten binnen te halen. Klanten stellen steeds vaker strengere eisen bij leveranciersselectie en willen bewijs dat je processen op orde zijn. Een ISAE 3402-verklaring geeft dat bewijs voor algemene procesbeheersing, terwijl GDPR-compliance aantoont dat je privacygevoelig omgaat met gegevens.

De praktijk laat zien dat grote zakelijke klanten beide willen zien. Ze vragen om een ISAE 3402-verklaring omdat hun eigen accountant wil weten of jouw processen betrouwbaar zijn. Tegelijkertijd eisen ze GDPR-compliance omdat ze zelf verantwoordelijk blijven voor de persoonsgegevens die ze aan jou toevertrouwen. Als verwerker ben je verplicht om een verwerkersovereenkomst te hebben waarin staat hoe je met die gegevens omgaat.

Een concreet voorbeeld: je bent een cloudprovider die HR-software aanbiedt. Je klanten verwerken personeelsgegevens via jouw platform. Voor GDPR moet je kunnen aantonen dat je adequate beveiligingsmaatregelen hebt getroffen om die gegevens te beschermen. Voor ISAE 3402 moet je laten zien dat je IT-processen, back-ups en toegangscontroles structureel goed werken. Beide zijn nodig, maar vanuit een andere invalshoek.

Een ander voorbeeld is een payrollserviceprovider. Je verwerkt salarisgegevens voor bedrijven, wat gevoelige persoonsgegevens zijn. GDPR schrijft voor hoe je met die gegevens moet omgaan. Maar je klanten willen ook zekerheid dat hun salarisadministratie correct wordt verwerkt en dat de financiële controles kloppen. Daar komt ISAE 3402 om de hoek kijken. Het gaat dan niet alleen om privacy, maar om de betrouwbaarheid van het hele proces.

Waar overlappen ISAE 3402 en GDPR elkaar?

De belangrijkste overlappingen zitten in beveiliging, toegangscontrole, incidentmanagement en documentatieverplichtingen. Beide standaarden vragen om technische en organisatorische maatregelen die data beschermen. Je kunt deze overlappingen slim benutten door één keer goede processen in te richten die aan beide standaarden voldoen. Dat voorkomt dubbel werk en maakt audits efficiënter.

Beveiliging staat centraal in beide frameworks. GDPR artikel 32 verplicht je om passende technische en organisatorische maatregelen te treffen. ISAE 3402 vraagt hetzelfde, maar dan vanuit het perspectief van procesbeheersing. Denk aan firewalls, encryptie, beveiligde verbindingen en regelmatige updates. Als je deze maatregelen goed documenteert en implementeert, sla je twee vliegen in één klap.

Toegangscontrole is een ander overlappingsgebied. GDPR vereist dat alleen geautoriseerde personen toegang hebben tot persoonsgegevens. ISAE 3402 controleert of je toegangsrechten goed hebt ingericht en of je wijzigingen bijhoudt. Je kunt één systeem opzetten voor gebruikersbeheer dat aan beide eisen voldoet. Documenteer wie wanneer toegang heeft gekregen en waarom, en je bent op beide fronten gedekt.

Incidentmanagement werkt ook voor beide standaarden. GDPR verplicht je om datalekken binnen 72 uur te melden. ISAE 3402 kijkt naar je incidentprocedures en of je adequaat reageert op beveiligingsincidenten. Als je een goed incident response plan hebt met duidelijke stappen en verantwoordelijkheden, voldoe je aan beide. Het scheelt tijd en geld om dit geïntegreerd aan te pakken.

Documentatie is bij beide belangrijk. GDPR vraagt om een verwerkingsregister, privacyverklaringen en documentatie van je beveiligingsmaatregelen. ISAE 3402 vereist een uitgebreide beschrijving van je processen, een control framework en een risico-analyse. Je kunt deze documenten op elkaar afstemmen, zodat je niet twee keer hetzelfde werk doet. Een goede proceshandleiding dekt vaak beide behoeften af.

Hoe gebruik je een ISAE 3402-rapport voor GDPR-compliance?

Een ISAE 3402 Type II-rapport kan dienen als bewijs van adequate technische en organisatorische maatregelen voor GDPR artikel 32. Het rapport laat zien dat je beveiligingscontroles niet alleen zijn ingericht, maar ook structureel werken over een langere periode. Dit geeft je klanten vertrouwen dat je hun persoonsgegevens goed beschermt. Maar let op: een ISAE 3402-verklaring dekt niet alle GDPR-verplichtingen af.

Het rapport helpt vooral bij het aantonen van beveiligingsmaatregelen. Als je ISAE 3402-verklaring controles bevat voor toegangsbeheer, encryptie, back-ups en monitoring, kun je dit gebruiken in gesprekken met klanten over GDPR. Je laat zien dat een onafhankelijke auditor heeft gecontroleerd dat deze maatregelen werken. Dat is sterker bewijs dan alleen een eigen verklaring.

In verwerkersovereenkomsten vragen klanten vaak om bewijs dat je aan GDPR voldoet. Je kunt dan verwijzen naar je ISAE 3402-rapport voor de technische beveiligingsmaatregelen. Voeg daar specifieke GDPR-documenten aan toe, zoals je privacyverklaring, verwerkingsregister en procedures voor datalekken. Samen geven ze een compleet beeld van je compliance.

Wat kun je niet aantonen met een ISAE 3402-rapport? Het dekt geen specifieke GDPR-verplichtingen zoals het recht op inzage, verwijdering of dataportabiliteit. Ook de wettelijke grondslagen voor gegevensverwerking en toestemming vallen erbuiten. Je hebt dus aanvullende documentatie nodig om volledige GDPR-compliance aan te tonen.

De scope van je ISAE 3402-verklaring bepaalt wat je ermee kunt. Als je rapport zich alleen richt op financiële processen, helpt het minder bij GDPR. Maar als je bewust controles voor gegevensbescherming opneemt in je scope, wordt het rapport veel waardevoller. Bespreek dit vooraf met je auditor om beide doelen te combineren.

Welke vragen stellen klanten over ISAE 3402 en GDPR?

Klanten vragen vaak naar bewijslast, certificaten, auditfrequentie en hoe beide standaarden zich verhouden tot ISO 27001 en SOC 2. Deze vragen komen terug in offertetrajecten en leveranciersevaluaties. Het helpt om standaard antwoorden klaar te hebben die je snel kunt delen.

Hebben jullie een ISAE 3402-certificaat? Dit is een veelgemaakte denkfout. ISAE 3402 is geen certificaat, maar een assurance-verklaring van een onafhankelijke auditor. Je krijgt een rapport dat beschrijft welke controles je hebt en of ze werken. Het is geen keurmerk met een vaste geldigheidsduur, maar een momentopname of een beoordeling over een bepaalde periode.

Hoe vaak wordt de audit uitgevoerd? De meeste organisaties laten jaarlijks een ISAE 3402 Type II-audit uitvoeren. Het rapport beslaat dan een periode van 6 tot 12 maanden. Voor GDPR is er geen vaste auditfrequentie, maar je moet wel continu compliant zijn. Veel organisaties voeren jaarlijks een interne GDPR-audit uit om dit te borgen.

Wat is het verschil met ISO 27001? ISO 27001 is een certificeerbare norm voor informatiebeveiliging die je hele organisatie kan dekken. ISAE 3402 richt zich specifiek op de processen die je voor klanten uitvoert. ISO 27001 is breder en kijkt naar alle informatiebeveiligingsrisico’s. GDPR is een wet, geen standaard. Je kunt ISO 27001 gebruiken om GDPR-compliance te ondersteunen, net als ISAE 3402.

Hoe verhoudt ISAE 3402 zich tot SOC 2? SOC 2 is de Amerikaanse variant die vooral kijkt naar security, availability, processing integrity, confidentiality en privacy. ISAE 3402 richt zich meer op financiële procesbeheersing. Voor internationale klanten kan het handig zijn om beide te hebben. De controles overlappen vaak, dus je kunt één implementatie voor beide gebruiken.

Dekt jullie ISAE 3402-verklaring ook GDPR? Gedeeltelijk. De beveiligingsmaatregelen in het rapport helpen bij GDPR-compliance, maar je hebt aanvullende documentatie nodig voor de volledige wet. Denk aan verwerkersovereenkomsten, privacyverklaringen en procedures voor het omgaan met verzoeken van betrokkenen.

Wat moet je eerst aanpakken: ISAE 3402 of GDPR-compliance?

GDPR heeft prioriteit omdat het een wettelijke verplichting is. Je moet compliant zijn zodra je persoonsgegevens verwerkt, ongeacht of klanten erom vragen. ISAE 3402 is vaak commercieel noodzakelijk om klanten binnen te halen, maar niet wettelijk verplicht. De slimste aanpak is om beide geïntegreerd aan te pakken, zodat je efficiënt werkt en dubbel werk voorkomt.

Begin met een goede basis voor GDPR. Zorg dat je weet welke persoonsgegevens je verwerkt, waarom je dat doet en hoe je ze beschermt. Stel een verwerkingsregister op, maak verwerkersovereenkomsten met je klanten en richt procedures in voor datalekken. Dit zijn de fundamenten die je hoe dan ook nodig hebt.

Parallel daaraan kun je nadenken over ISAE 3402 als je klanten erom vragen of als je je wilt onderscheiden in de markt. De voorbereiding helpt ook je GDPR-compliance. Je brengt processen in kaart, identificeert risico’s en richt controles in. Deze stappen versterken beide doelen tegelijk.

Een geïntegreerde aanpak werkt het beste. Bepaal welke processen belangrijk zijn voor zowel GDPR als ISAE 3402. Denk aan toegangsbeheer, back-ups, incidentmanagement en wijzigingsbeheer. Richt deze processen eenmalig goed in met duidelijke documentatie. Zorg dat controles aantoonbaar worden uitgevoerd en vastgelegd.

Plan je audits slim. Als je een ISAE 3402-traject start, kun je direct de GDPR-aspecten meenemen in je scope. Bespreek met je auditor welke controles relevant zijn voor beide standaarden. Dat scheelt tijd en kosten. Je krijgt één rapport dat je voor meerdere doelen kunt gebruiken.

Let op je bedrijfssituatie. Als je snel moet groeien en klanten eisen een ISAE 3402-verklaring, kan het verstandig zijn om daar prioriteit aan te geven. Maar vergeet GDPR niet, want de boetes zijn hoog en de reputatieschade bij een datalek is groot. Zoek een balans die bij jouw situatie past.

Conclusie

ISAE 3402 en GDPR zijn verschillende instrumenten die elkaar versterken. GDPR is de wettelijke basis voor gegevensbescherming, terwijl ISAE 3402 klanten zekerheid geeft over je procesbeheersing. Door beide slim te combineren, werk je efficiënter en bouw je vertrouwen op bij klanten. De overlappingen in beveiliging, toegangscontrole en documentatie maken het mogelijk om met één goede implementatie aan beide te voldoen.

Wij helpen serviceproviders bij het inrichten van processen die zowel GDPR-compliant zijn als geschikt voor ISAE 3402-audits. Onze pragmatische aanpak zorgt ervoor dat je niet onnodig veel tijd en geld kwijt bent, maar wel aantoonbaar in control bent. Wil je weten hoe Hoek en Blok je kan helpen? Neem contact met ons op voor een vrijblijvend gesprek.