De SOC 2-route van Stichting ECH

Het afgelopen jaar heeft Stichting ECH zich sterk ingespannen om SOC 2-compliant te worden. In een steeds beveiligingsbewustere financiële wereld hechten we met z’n allen steeds meer waarde aan uitgewerkte maatregelen rondom risicomanagement, informatiebeveiliging en privacy. Het gehele traject heeft veel van zowel het ECH-team als de business partners gevraagd, maar is het meer dan waard geweest. In dit artikel vertellen we je graag wat SOC 2 voor Stichting ECH en haar deelnemers betekent.

Aanleiding tot SOC 2
De laatste jaren kwamen steeds meer deelnemers van ECH met vragen op het gebied van informatiebeveiliging en cybersecurity. Toezichthouders, zoals de DNB en AFM, zijn alert op naleving van maatregelen ten aanzien van IT-beheersing. Met name in de financiële dienstverlening. Begin 2019 is daarom door het bestuur van Stichting ECH besloten tot het aangaan van het SOC 2-traject. SOC 2 is een auditprocedure die ervoor zorgt dat serviceproviders gegevens veilig beheren om belangen en privacy te beschermen. SOC 2 laat de vrijheid om maatregelen toe te spitsen op de specifieke organisatie, terwijl bijvoorbeeld het meer bekende ISO een tamelijk strikt raamwerk hanteert.

Betrokkenen
Namens ECH zijn collega’s Leon Roseleur, Casper van Ginneken, Floris Beerens en Lisa Huisman hier het afgelopen jaar volop mee in de weer geweest. Zij kregen daarbij hulp van een externe specialist op dit gebied, te weten Peter de Raadt. Daarnaast zijn de businesspartners KNB, Avisi en Davinci intensief betrokken geweest bij het project en spelen zij een actieve rol in de implementatie van beheersmaatregelen. Ook heeft de werkgroep Security, waarin alle deelnemende maatschappijen zijn vertegenwoordigd, meerdere malen de risico-inschatting van ECH beoordeeld en het projectteam van feedback voorzien.

Auditproces
Een SOC 2-verklaring is allesbehalve een eenmalig stempel. Het is een continu proces dat onderhavig is aan nieuwe risico’s, veranderingen in de markt en wet- & regelgeving en interne wijzigingen. Naast de formele doelstelling, heeft ECH dit traject gebruikt om de gehele organisatie onder de loep te nemen en de werkprocessen tegen het licht te houden. Hieruit bleek dat al erg veel op orde en in place was. Sommige processen, communicatie en procedures (vooral op het vlak van documentatie en rapportage) konden aangescherpt worden.

Resultaten en vervolg
Na medio maart de pre-audit met Risklane te hebben doorlopen, heeft ECH begin april de formele type I audit met auditor BDO gehad. Medio mei verwachten wij het officiële rapport te ontvangen. De SOC 2-audit zal jaarlijks terugkomen, waarbij een Assurance verklaring afgeven zal worden over de IT-beheersing middels een SOC 2-rapport type II. Deze verwachten wij begin 2021 te behalen.

Risk Manager Casper van Ginneken kijkt met plezier terug op het project; “Het SOC2 traject heeft zeker bijgedragen aan de professionalisering van Stichting ECH. Het heeft veel van het team en de business partners gevraagd, de samenwerking was complimentwaardig en de input van de werkgroep Security is als zeer waardevol ervaren!”

 

Mocht u vragen hebben naar aanleiding van dit bericht, neem dan contact op met Stichting ECH via info@ech.nl.