Auditdocument met certificeringsstempels, vergrootglas en checklist op modern bureau van bovenaf gezien Note: This alt text is 113 characters and captures the essential elements while remaining accessible and SEO-friendly in Dutch.

Wat is ISAE 3402?

in

ISAE 3402 is een internationale standaard voor assurance-rapportages waarmee serviceproviders aantonen dat hun processen en beheersmaatregelen betrouwbaar zijn. De verklaring geeft klanten zekerheid over de kwaliteit van uitbestede diensten en is steeds vaker een randvoorwaarde bij leveranciersselectie. Je kunt kiezen tussen type 1 (beoordeling op één moment) of type 2 (effectiviteit over een periode), afhankelijk van wat jouw klanten vragen.

Waarom hebben serviceproviders een ISAE 3402 rapportage nodig?

Serviceproviders hebben een ISAE 3402 rapportage nodig omdat klanten steeds vaker willen weten of hun leverancier aantoonbaar in control is. Bij leveranciersselectie is dit vaak een harde eis geworden. Zonder deze verklaring val je simpelweg af in het selectieproces, hoe goed je dienstverlening ook is. De rapportage toont aan dat je processen en beheersmaatregelen op orde zijn en structureel worden uitgevoerd.

Zakelijke klanten willen risico’s afdekken wanneer ze processen uitbesteden. Ze zijn zelf verantwoordelijk voor hun bedrijfsvoering, maar vertrouwen een deel daarvan toe aan jou als serviceprovider. Die verantwoordelijkheid verdwijnt niet, dus hebben ze zekerheid nodig dat jij je werk goed doet. Een ISAE 3402 verklaring geeft die zekerheid op een gestandaardiseerde manier die hun eigen accountants en auditors begrijpen en accepteren.

Voor jou als serviceprovider is de rapportage ook een manier om je te onderscheiden. Waar concurrenten misschien alleen mooie verhalen vertellen over hun betrouwbaarheid, laat jij het aantoonbaar zien met een onafhankelijke verklaring. Dat helpt bij het winnen van nieuwe klanten en het behouden van bestaande relaties. Klanten hoeven niet zelf uitgebreid onderzoek te doen naar jouw processen, omdat een gecertificeerde auditor dat al heeft gedaan.

De rapportage voorkomt ook dat elke klant apart bij jou komt auditen. Zonder ISAE 3402 moet je mogelijk meerdere keren per jaar klantaudits ondergaan, wat veel tijd en resources kost. Met een rapportage kun je volstaan met het delen van één document dat alle relevante informatie bevat. Dat scheelt jou werk en geeft klanten toch de zekerheid die ze nodig hebben.

Wat is het verschil tussen ISAE 3402 type 1 en type 2?

ISAE 3402 type 1 beoordeelt of je beheersmaatregelen goed zijn ontworpen en of ze op een specifiek moment bestaan. Type 2 gaat een stap verder en test ook of die maatregelen gedurende een bepaalde periode effectief hebben gewerkt. Type 1 is een momentopname, type 2 toont aan dat je processen structureel goed functioneren over langere tijd.

Bij een type 1 audit kijkt de auditor naar de opzet van je processen en maatregelen. Zijn ze logisch ingericht? Dekken ze de risico’s af? Bestaan de beschreven procedures echt? De auditor controleert of wat je op papier hebt staan ook daadwerkelijk zo is ingericht. Dit geeft klanten vertrouwen dat je hebt nagedacht over beheersing en dat je systeem in principe zou moeten werken.

Een type 2 audit test daarnaast of de maatregelen ook echt werken zoals bedoeld. De auditor bekijkt een periode van meestal zes tot twaalf maanden en controleert of procedures consequent zijn gevolgd. Zijn back-ups daadwerkelijk gemaakt? Zijn toegangsrechten tijdig aangepast? Zijn incidenten correct afgehandeld? Dit vereist dat je gedurende de auditperiode bewijs verzamelt van uitgevoerde maatregelen.

Voor de meeste zakelijke klanten is type 2 de voorkeur, omdat het meer zekerheid biedt. Type 1 kan nuttig zijn als opstap of wanneer je net begint met formele procesbeheersing. Je kunt eerst type 1 doen om te laten zien dat je processen goed zijn ontworpen, en een jaar later type 2 om te bewijzen dat ze ook effectief werken. Sommige organisaties gebruiken type 1 ook als tussentijdse update wanneer er grote veranderingen zijn geweest.

Het praktische verschil zit ook in de voorbereiding. Voor type 1 moet je vooral zorgen dat je processen goed zijn gedocumenteerd en ingericht. Voor type 2 moet je maanden van bewijs verzamelen dat procedures daadwerkelijk zijn uitgevoerd. Dat betekent meer voorbereidingstijd, maar levert ook een waardevoller document op voor je klanten.

Hoe lang duurt het om een ISAE 3402 rapportage te krijgen?

Het volledige ISAE 3402 traject duurt meestal tussen de drie en zes maanden voor type 1, en zes tot twaalf maanden voor type 2. De exacte doorlooptijd hangt af van je voorbereiding, de complexiteit van je processen en de grootte van je organisatie. Goed voorbereide organisaties kunnen sneller door het proces, terwijl bedrijven die nog veel moeten inrichten langer nodig hebben.

Het traject begint met scope-bepaling en voorbereiding. Je bepaalt voor welke dienstverlening je een verklaring wilt en welke processen daarbij horen. Vervolgens voer je een gap-analyse uit om te zien waar je processen en documentatie nog tekort schieten. Deze fase kan twee weken tot twee maanden duren, afhankelijk van hoe goed je al hebt nagedacht over procesbeheersing.

Daarna volgt de implementatiefase, waarin je processen inricht, procedures documenteert en beheersmaatregelen implementeert. Voor organisaties die al redelijk op orde zijn, kan dit een maand of twee duren. Bedrijven die veel moeten opzetten hebben soms drie tot vier maanden nodig. Bij type 2 moet je na implementatie ook nog een periode van zes tot twaalf maanden wachten om bewijs te verzamelen dat maatregelen effectief werken.

De eigenlijke audit duurt meestal twee tot vier weken. De auditor beoordeelt documentatie, voert interviews en test beheersmaatregelen. Na de audit volgt nog rapportage, waarbij eventuele bevindingen worden verwerkt. Reken op twee tot drie weken voor het finaliseren van het rapport.

Organisaties die al werken met gestructureerde processen, goede documentatie en duidelijke verantwoordelijkheden kunnen het traject aanzienlijk verkorten. Bedrijven waar veel ad hoc wordt gewerkt en weinig is vastgelegd, hebben meer tijd nodig. De complexiteit van je IT-architectuur speelt ook mee: een eenvoudige SaaS-applicatie is sneller door te lichten dan een complex landschap met veel integraties.

Wat kost een ISAE 3402 audit voor serviceproviders?

De kosten van een ISAE 3402 audit variëren sterk per situatie en worden bepaald door verschillende factoren. De grootte van je organisatie, de complexiteit van je processen, de keuze tussen type 1 of type 2, en je mate van voorbereiding hebben allemaal invloed op de investering. Ook moet je rekening houden met terugkerende kosten voor jaarlijkse heraudits.

De omvang van je organisatie bepaalt hoeveel werk de auditor moet verzetten. Meer medewerkers betekent meer interviews, meer systemen betekent meer te testen beheersmaatregelen, meer locaties betekent meer complexiteit. Een klein SaaS-bedrijf met tien medewerkers en één applicatie heeft een minder omvangrijke audit dan een managed service provider met vijftig medewerkers en tientallen klantomgevingen.

De complexiteit van je IT-processen speelt een grote rol. Eenvoudige, goed gedocumenteerde processen zijn sneller te auditen dan complexe omgevingen met veel handmatige stappen en uitzonderingen. Als je al werkt met gestandaardiseerde frameworks en heldere procedures, kost de audit minder tijd. Organisaties waar veel ad hoc gebeurt en weinig is vastgelegd, vragen meer auditinspanning.

Type 2 is duurder dan type 1 omdat de auditor meer moet testen. Bij type 1 beoordeelt de auditor vooral documentatie en opzet. Bij type 2 moet de auditor ook gedurende een periode steekproeven nemen en testen of maatregelen daadwerkelijk zijn uitgevoerd. Dat vraagt meer tijd en dus meer investering.

Je mate van voorbereiding heeft direct impact op de kosten. Als je zelf al een gap-analyse hebt gedaan, processen hebt gedocumenteerd en bewijs hebt verzameld, kan de auditor efficiënter werken. Organisaties die onvoorbereid starten hebben meer begeleiding nodig, wat de kosten verhoogt. Sommige bedrijven kiezen ervoor om eerst met een adviseur de voorbereiding te doen voordat de formele audit start.

Reken ook met terugkerende kosten voor jaarlijkse heraudits. De meeste klanten verwachten een actuele verklaring, dus moet je jaarlijks opnieuw auditen. Heraudits zijn meestal goedkoper dan de initiële audit omdat processen al zijn ingericht en gedocumenteerd. Je rechtvaardigt de investering door te kijken naar de waarde: hoeveel nieuwe klanten win je ermee, hoeveel bestaande klanten behoud je, en hoeveel tijd bespaar je op individuele klantaudits.

Hoe bereid je je organisatie voor op een ISAE 3402 audit?

Goede voorbereiding op een ISAE 3402 audit begint met het in kaart brengen van je processen en het documenteren van beheersmaatregelen. Voer een gap-analyse uit om te zien waar je nog tekortschiet, en zorg dat je gedurende de auditperiode bewijs verzamelt van effectieve procesbeheersing. Betrek de juiste mensen en organiseer je documentatie zo dat auditors snel kunnen vinden wat ze nodig hebben.

Breng je processen in kaart door te beschrijven hoe je dienstverlening werkt. Welke stappen doorloop je van klantacceptatie tot dienstverlening? Wie is waarvoor verantwoordelijk? Welke systemen gebruik je? Maak processchema’s die duidelijk maken hoe informatie stroomt en waar beheersmaatregelen zitten. Dit geeft je zelf ook beter inzicht in hoe je organisatie werkt en waar kwetsbaarheden zitten.

Documenteer vervolgens je beheersmaatregelen in een controls framework. Beschrijf welke maatregelen je hebt getroffen om risico’s af te dekken: hoe beveilig je toegang tot systemen, hoe maak je back-ups, hoe behandel je incidenten, hoe beheer je wijzigingen? Zorg dat procedures helder beschrijven wat er moet gebeuren, wie het moet doen en hoe vaak. Goede documentatie helpt niet alleen bij de audit, maar ook bij het inwerken van nieuwe medewerkers.

Voer een gap-analyse uit om te zien waar je documentatie of uitvoering nog tekortschiet. Vergelijk je huidige situatie met wat de ISAE 3402 standaard verwacht. Waar ontbreken procedures? Waar worden maatregelen niet consequent uitgevoerd? Waar ontbreekt bewijs? Deze analyse laat zien wat je nog moet doen voordat je de formele audit ingaat. Het voorkomt verrassingen tijdens de audit.

Verzamel bewijs van uitgevoerde maatregelen, vooral voor type 2. Bewaar logs van toegangsbeheer, rapporten van uitgevoerde back-ups, notulen van beveiligingsreviews, tickets van afgehandelde incidenten. Maak screenshots of exports van relevante systemen. Zorg dat je voor elke beschreven maatregel kunt aantonen dat deze daadwerkelijk is uitgevoerd. Organiseer dit bewijs per proces of per maatregel, zodat je het snel kunt vinden.

Betrek de juiste mensen in de voorbereiding. De audit raakt verschillende afdelingen: IT, operations, security, compliance. Zorg dat iedereen begrijpt waarom je de audit doet en wat er van hen verwacht wordt. Wijs proceseigenaren aan die verantwoordelijk zijn voor hun deel van de documentatie en bewijslast. Organiseer kennissessies zodat medewerkers weten hoe ze moeten omgaan met procedures en bewijsverzameling.

Wat gebeurt er tijdens een ISAE 3402 audit?

Tijdens een ISAE 3402 audit doorloopt de auditor verschillende stappen: intake en scope-bepaling, documentatiereview, interviews met medewerkers, testen van beheersmaatregelen en uiteindelijk rapportage. De auditor onderzoekt of je beschreven processen kloppen, of beheersmaatregelen bestaan en werken, en of je aantoonbaar in control bent. Van jouw organisatie wordt verwacht dat je documentatie, bewijs en medewerkers beschikbaar stelt.

Het begint met intake en scope-bepaling. De auditor bespreekt met je welke dienstverlening in de verklaring komt en welke processen daarbij horen. Je bepaalt samen de grenzen: welke systemen, welke periode, welke locaties. De auditor legt uit wat hij nodig heeft en stelt een planning op. Deze fase zorgt ervoor dat iedereen dezelfde verwachtingen heeft over wat er onderzocht wordt.

Tijdens de documentatiereview bestudeert de auditor je procesbeschrijvingen, procedures en het controls framework. Hij beoordeelt of de beschreven beheersmaatregelen logisch zijn en of ze de relevante risico’s afdekken. De auditor controleert of documentatie compleet en actueel is. Als er onduidelijkheden of hiaten zijn, vraagt hij om aanvullingen of verduidelijkingen.

Bij interviews met medewerkers controleert de auditor of mensen weten wat er van hen verwacht wordt en of ze procedures daadwerkelijk volgen. Hij spreekt met verschillende rollen: systeembeheerders, security officers, operations medewerkers, management. De auditor vraagt hoe ze hun werk doen, welke tools ze gebruiken en hoe ze omgaan met uitzonderingen. Deze gesprekken geven inzicht in hoe processen in de praktijk werken.

Het testen van beheersmaatregelen is het hart van de audit. Voor type 1 controleert de auditor of maatregelen bestaan en zijn ingericht zoals beschreven. Voor type 2 neemt hij steekproeven over de auditperiode om te zien of maatregelen consequent zijn uitgevoerd. Hij bekijkt logs, rapporten, tickets en andere bewijsstukken. Als een maatregel niet goed werkt of bewijs ontbreekt, noteert hij dat als bevinding.

De rapportage vat samen wat de auditor heeft onderzocht en wat zijn conclusies zijn. Het rapport beschrijft je dienstverlening, de onderzochte processen en beheersmaatregelen, en bevat het oordeel van de auditor. Eventuele bevindingen worden toegelicht: waar werken maatregelen niet zoals bedoeld, of waar ontbreekt bewijs. Je krijgt de kans om op bevindingen te reageren voordat het rapport definitief wordt. Het eindrapport deel je vervolgens met klanten die zekerheid willen over jouw procesbeheersing.

Conclusie

Een ISAE 3402 verklaring is voor serviceproviders een belangrijk middel om vertrouwen te winnen en zakelijke contracten af te sluiten. De rapportage toont aan dat je processen betrouwbaar zijn en dat je aantoonbaar in control bent. Of je nu kiest voor type 1 of type 2, goede voorbereiding maakt het verschil tussen een soepel verloop en een moeizaam traject.

Het vraagt investering in tijd en geld, maar levert ook veel op. Je onderscheidt je van concurrenten, voorkomt herhaalde klantaudits en geeft klanten de zekerheid die ze nodig hebben. De doorlooptijd en kosten hangen af van je uitgangspositie, maar met gestructureerde voorbereiding houd je beide beheersbaar.

Bij Hoekenblok.IT begeleiden we serviceproviders door het hele ISAE 3402 traject. Van scope-bepaling en gap-analyse tot implementatie en de uiteindelijke audit. Onze aanpak is pragmatisch en betaalbaar, met focus op maatregelen die echt werken in plaats van onnodige administratie. We zorgen dat je niet alleen de verklaring krijgt, maar ook daadwerkelijk beter in control bent van je processen. Neem gerust contact met ons op voor een vrijblijvend gesprek over jouw situatie.

Veelgestelde vragen

Hoe vaak moet je een ISAE 3402 rapportage vernieuwen?

Een ISAE 3402 rapportage moet jaarlijks worden vernieuwd om actueel te blijven. De meeste zakelijke klanten accepteren alleen verklaringen die niet ouder zijn dan 12-15 maanden, omdat ze zekerheid willen over de huidige situatie. Plan daarom tijdig je heraudit in, idealiter zo dat er geen periode zit tussen het aflopen van je oude verklaring en de nieuwe, zodat je continue een geldige rapportage kunt tonen aan prospects en klanten.

Kan ik met een ISAE 3402 verklaring ook voldoen aan andere compliance-eisen?

Ja, een ISAE 3402 rapportage overlapt vaak met andere compliance-frameworks zoals ISO 27001, SOC 2, of NEN 7510. Veel beheersmaatregelen die je implementeert voor ISAE 3402 (zoals toegangsbeheer, back-ups en incidentmanagement) zijn ook vereist voor deze standaarden. Je kunt de documentatie en processen dus hergebruiken, wat de investering voor aanvullende certificeringen aanzienlijk verlaagt en je compliance-inspanningen efficiënter maakt.

Wat gebeurt er als de auditor bevindingen rapporteert in mijn ISAE 3402 audit?

Bevindingen betekenen niet automatisch dat je geen verklaring krijgt, maar ze worden wel opgenomen in het rapport dat klanten zien. De auditor onderscheidt tussen ontwerp-bevindingen (maatregelen zijn niet goed opgezet) en effectiviteits-bevindingen (maatregelen werken niet zoals bedoeld). Je krijgt de kans om bevindingen te verhelpen of te onderbouwen waarom ze acceptabel zijn. Ernstige bevindingen kunnen leiden tot een qualified opinion, wat de waarde van je rapportage vermindert bij klanten.

Welke processen moet ik minimaal opnemen in mijn ISAE 3402 scope?

De scope hangt af van je dienstverlening, maar typisch neem je op: toegangsbeheer, change management, incident management, back-up en recovery, beveiliging en monitoring. Denk vanuit het perspectief van je klant: welke processen zijn kritiek voor de betrouwbaarheid van jouw dienst? Als je bijvoorbeeld financiële data verwerkt, zijn ook processen rond data-integriteit en verwerkingsnauwkeurigheid relevant. Begin niet te breed, maar zorg dat je scope alle risico's dekt waar klanten zich zorgen over maken.

Kan ik zelf kiezen welke auditor mijn ISAE 3402 audit uitvoert?

Ja, je kunt zelf een accountantskantoor kiezen dat bevoegd is om ISAE 3402 audits uit te voeren. Kies een auditor met ervaring in jouw branche (SaaS, hosting, managed services) omdat zij beter begrijpen welke beheersmaatregelen relevant zijn. Vraag referenties, vergelijk offertes en let op hun pragmatische aanpak versus pure compliance-focus. Een goede auditor denkt mee over efficiënte inrichting en helpt je processen te verbeteren, niet alleen te beoordelen.

Moet ik mijn subcontractors ook laten auditen voor ISAE 3402?

Als je gebruikmaakt van subcontractors die kritieke diensten leveren (zoals hosting, datacenters of cloud-infrastructuur), moet je dit adresseren in je rapportage. Je hebt twee opties: de carve-out methode (je beschrijft de dienst van de subcontractor maar neemt deze niet mee in je scope) of de inclusive methode (je neemt de controls van de subcontractor mee). De meeste serviceproviders kiezen voor carve-out en verwijzen naar de ISAE 3402 of SOC rapportage van hun subcontractor, mits deze beschikbaar is.

Hoe communiceer ik mijn ISAE 3402 verklaring naar prospects en bestaande klanten?

Vermeld je ISAE 3402 verklaring prominent op je website, in offertes en in security questionnaires van klanten. Deel het volledige rapport alleen onder NDA met serieuze prospects en contractuele klanten, omdat het gedetailleerde informatie bevat over je interne processen. Maak een samenvatting of factsheet voor marketing-doeleinden die de kernboodschap communiceert zonder gevoelige details prijs te geven. Update je communicatie zodra je een nieuwe verklaring hebt, zodat je altijd de meest actuele rapportageperiode kunt tonen.