‘Voordat ik goed kan duiden wat SOC2 assurance inhoudt, is het belangrijk om stil te staan bij assurance in het algemeen. Met assurance bedoelen we zekerheid geven. De bijbehorende rapportage is bedoeld om afnemers van een dienst, bijvoorbeeld van een IT-systeem, zekerheid te geven over de beheersing van dat systeem. Dat verslag kan verschillende vormen aannemen, afhankelijk van wat een partij wil rapporteren. ECH rapporteert zo over de beschikbaarheid van het platform, over de mate van kwaliteit waarmee het ontwikkeld wordt en over de beveiligingsmaatregelen die zijn getroffen om de gevoelige data adequaat te beschermen tegen oneigenlijke toegang.’ Aan het woord is Jeroen Francot, Manager IT Risk Assurance, BDO Audit & Assurance.
‘Wij hebben, binnen het thema privacy, onder andere getoetst of er vanuit ECH vertrouwelijk met persoonsgegevens wordt omgegaan. Ook bekijken we of de beschikbaarheid van het platform voldoet aan de afspraken die in de SLA’s zijn gemaakt tussen ECH en de betrokken partijen. Tot slot stellen we vast of de kwalitatieve manier waarop software ontwikkeld en getest wordt voldoet aan de gestelde eisen.’
SOC2? Dit is het
Jeroen vervolgt: ‘De partij kiest zelf de onderwerpen waarover men richting klanten wil rapporteren. Hierbij wordt rekening gehouden met dát wat voor de klant belangrijk is om zekerheid over te krijgen. SOC2 is een standaard op basis waarvan je een rapportage kunt uitgeven. Binnen onze beroepsgroep zijn er overigens verschillende standaarden, allemaal met een eigen doel. SOC2 is specifiek gericht op IT-dienstverlening. Er komt een aantal gestandaardiseerde onderwerpen in terug, zoals beveiliging, beschikbaarheid en vertrouwelijkheid. Dat helpt afnemers om bedrijven met dezelfde onderwerpen binnen hun SOC2-rapportage onderling gemakkelijk te kunnen vergelijken. Wij kunnen, vanuit onze rol als BDO, dus zekerheid geven aan de afnemers van ECH over de onderwerpen die beoordeeld en gecontroleerd zijn in de rapportage.’
Zekerheid voor afnemers
‘Als organisatie is het prettig om deze zekerheid te kunnen geven aan je afnemers. In het geval van ECH gaat dit over het berichtenverkeer rondom het vestigen en royeren van hypotheken. Gezien de gevoeligheid van de informatie in een hypotheekakte, onder meer door de persoonsgegevens die gebruikt worden, is het belangrijk dat dit absoluut veilig gebeurt. Maar ook het overmaken van de gelden en het hele proces daaromheen moet zorgvuldig uitgevoerd worden. ECH verleent haar diensten aan het gehele notariaat en een groot aantal hypothecair financiers. Het voordeel van een SOC2 assurance-rapportage is dat niet elke partij afzonderlijk via een audit moet gaan onderzoeken of ECH goed en betrouwbaar werk levert. Dat is, in dit geval door ons als onafhankelijke partij met ervaring in het beoordelen van IT-processen, immers al voor ze gedaan. En juist die onafhankelijkheid van een externe auditor in combinatie met ervaring en een kritische blik, levert meerwaarde, zowel voor de organisatie zelf als voor de afnemers’, aldus Jeroen.
SOC2 in de praktijk
‘Hoe een dergelijk onderzoek er in de praktijk uitziet? Het start, in eerste instantie vanuit ECH zelf, met een risicoanalyse. Daarbij wordt onder meer gekeken naar welke risico’s van toepassing zijn. In het geval van ECH kan dat bijvoorbeeld gaan om het uit de lucht zijn van het systeem waardoor er geen aktes kunnen passeren. Wij kijken dan of de getroffen maatregelen die dit moeten waarborgen en die door ECH beschreven worden, in dit geval de gemaakte afspraken met hun leveranciers ervoor zorgen dat het systeem beschikbaar is, passend zijn. In de maatregelen staat daarnaast welke actie er ondernomen wordt als er toch een storing is, welke capaciteit er beschikbaar is en met welke prioriteit een en ander wordt opgepakt. Wij toetsen of de set van maatregelen voldoende beschreven is en of deze in de praktijk ook gedurende het hele rapportagejaar gehanteerd worden.’
Over de samenwerking met ECH
‘We werken sinds 2020 met ECH samen. De samenwerking verloopt heel soepel. Dat was al vanaf het begin zo: iedereen was tevreden. Verder merk je dat deze sfeer gedurende de jaren, waarin we elkaar beter hebben leren kennen, doorgezet is. We komen over en weer onze afspraken na, weten goed wat we van elkaar kunnen verwachten, bijvoorbeeld rondom de interviews en het aanleveren van bepaalde documentatie, en er is sprake van een persoonlijke klik. Er is geen afstand tussen ons en we worden niet als ‘die vervelende externe auditor’ gezien. We werken echt op basis van gelijkwaardigheid samen en dat is altijd prettig.’
Meerdere partijen aan tafel
‘Bijzonder in deze samenwerking is ook dat we met meerdere partijen aan tafel zitten: Stichting ECH, de Koninklijke Notariële Beroepsorganisatie (KNB) en softwarebedrijf Avisi. Zij zijn immers ook allemaal betrokken bij het proces. In het eerste jaar was dat een aanvullende complexiteit voor ons, omdat we in de meeste gevallen met één partij werken. Het verliep verder prima, maar het maken van werkafspraken en het matchen van agenda’s kost dan in beginsel wat meer tijd. Maar, zoals gezegd, we waren na verloop van tijd goed op elkaar ingespeeld. KNB en Avisi weten daarnaast wat er van hen verwacht wordt en verlenen graag hun medewerking. De strakke deadlines die we stellen, worden mede daardoor over en weer gehaald.’
Meer SOC2-rapportages
‘Ik verwacht dat, los van ECH, de vraag naar SOC2-rapportages alleen maar toe gaat nemen. Dit mede als gevolg van de verregaande digitalisering en hybride werken op allerlei plekken. Dat vraagt wat van de IT-omgeving, en dus ook van de bescherming daarvan. Dat ECH hier in 2019 al proactief mee gestart is en al snel een professioneel framework heeft staan, geeft aan hoe serieus zij dit nemen’, besluit Jeroen.
Meer informatie
Wil je meer weten over de visie van Jeroen Francot of over Stichting ECH? Neem dan contact met ons op via info@ech.nl.