Certificeringsaudits

Toon de buitenwereld dat u aan relevante standaarden voldoet

Certificeringsaudits

Audits combineren

Zekerheid bieden aan uw klant is belangrijk, of dat nou gaat over informatiebeveiliging, kwaliteitswaarborging of privacy. Door uw bedrijf te laten certificeren kunt u aantonen dat er wordt voldaan aan de eisen en behoeften van uw klant en hun stakeholders. Er zijn verschillende normen die elk toespitsen op een ander onderdeel in het managementsysteem.

Hieronder vindt u een overzicht van de meest gevraagde normen. Indien u meer informatie wilt over een of meerdere normen kunt u contact met ons opnemen via onderstaande knop.

Het combineren van audits biedt voordelen. U bespaart hiermee niet alleen op kosten en doorlooptijd, maar verlaagt ook de auditdruk binnen uw organisatie: uw medewerkers hoeven het verhaal maar één keer uit te leggen en kunnen sneller weer aan het werk. Het is bijvoorbeeld mogelijk om ISO audits te combineren met Assurance verklaringen.

Download voor meer informatie onze whitepaper.

Kwaliteit

Uw klanten zien graag dat uw organisatie aan de juiste eisen voldoet. Met een ISO 9001 certificaat kunt u aantonen dat er aan de behoeften en wensen van een klant wordt voldaan en wordt de betrouwbaarheid van uw producten of diensten verhoogd. De ISO 9001 norm helpt uw organisatie met het beheersen en verbeteren van de kwaliteitsmanagement.

De eisen van deze internationaal erkende norm gaan onder andere over de volgende onderwerpen:

  • Het functioneren van de organisatie met betrekking tot hun stakeholders en hun verwachtingen;
  • De betrokkenheid van de directie bij het kwaliteitsmanagementsysteem;
  • Het opstellen van kwaliteitsdoelstellingen;
  • Het beheren van het kwaliteitsmanagementsysteem;
  • De beheersing van de processen;
  • Het evalueren van de prestaties;
  • Het continue verbeteren van de organisatie.

Business continuity

De ISO 22301 betreft Business Continuity Management (BCM). Bij het BCM wordt gekeken naar de voorbereiding van de organisatie op het onverwachte en het vermogen om op een vooraf vastgesteld, aanvaardbaar niveau de producten of diensten te leveren na een incident.

Bij de ISO 22301 wordt onder andere gekeken naar:

  • De bedrijfsprocessen en risicobeoordeling;
  • De bepaling van een continuïteitsstrategie;
  • De procedures voor het omgaan met incidenten;
  • De beoordeling van de effictiviteit van de plannen;
  • De reïntegratie naar de normale bedrijfsvoering na een incident.

Daarbij wordt gekeken naar het functioneren van de organisatie, de betrokkenheid van de directie en het continue verbeteren van de organisatie.

Informatiebeveiliging

Als organisatie wilt u kunnen aantonen dat u zorgvuldig omgaat met de informatie van uw klanten. Met het ISO 27001 certificaat laat u zien dat uw organisatie voldoet aan de wetgeving en regelgeving met betrekking tot informatiebeveiliging. De ISO 27001 norm bevat eisen voor het vaststellen, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van het gedocumenteerd managementsysteem: het ISMS (Information Security Management System).

De eisen van deze internationaal erkende norm gaan onder andere over de volgende onderwerpen:

  • Het functioneren van de organisatie met betrekking tot hun stakeholders en hun verwachtingen;
  • De betrokkenheid van de directie bij het ISMS;
  • Het bewustzijn van de informatiebeveiliging in de hele organisatie;
  • Het beheren van risico’s;
  • Het beheersen van het ontwikkelproces;
  • Het evalueren van de prestaties;
  • Het continue verbeteren van de organisatie.

Privacy

De certificering volgens de ISO 27701 is een uitbreiding op de ISO 27001 norm, waarbij er spedifiek wordt gekeken naar het inrichten, implementeren, onderhouden en het verbeteren van een PIMS (Privacy Informatie Management Systeem) als aanvulling op het bestaande ISMS. Deze certificering is van toegevoegde waarde wanneer er van een organisatie wordt verlangd dat er op een verantwoorde manier wordt omgegaan met privacygevoelige informatie, zeker wanneer deze informatie terug te leiden is naar een individu, ofwel Persoonlijk Identificeerbare Informatie (PII).

Bij de ISO 27701 wordt gekeken naar de beveiligingstechnieken toegespitst op privacy- en cyberrisico’s, de uitbreiding op de in de ISO 27001 opgenomen maatregelen voor privacy-informatiebeheer en het managementsysteem voor het beschermen van persoonlijke gegevens (PIMS). De ISO 27701 maakt het mogelijk om een koppeling te maken tussen ISMS en de AVG.

Informatiebeveiliging in de zorg

De NEN 7510 is ontwikkeld voor instellingen in de gezondheidszorg en organisaties die werken met persoonlijke gezondheidsgegevens. De norm is een aanvulling op de ISO 27001 norm, toegespitst op het verwerken, beheren en beveiligen van gezondheidsinformatie. De NEN 7510 certificering toont aan dat de organisatie haar informatiebeveiliging op orde heeft, zowel op technisch, organisatorisch als procedureel niveau. 

Een NEN 7510 certificering biedt verschillende voordelen, zoals:

  • Het bieden van onafhankelijke zekerheid over de informatiebeveiliging van persoonlijke gezondheidsgegevens;
  • Het vormen van onafhankelijk bewijs over het kritisch beoordelen van de risico’s omtrent gegevensbeveiliging in de zorg;
  • het tegemoetkomen aan de eisen van het Ministerie van VWS.

Gegevensuitwisseling in de zorg

Bent u betrokken bij de uitwisseling van gegevens in de zorg, dan wordt van u misschien geëist dat u voldoet aan de NEN 7512. De NEN 7512 heeft betrekking op de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten en cliënten, met zorgverzekeraars en andere partijen die bij de zorg zijn betrokken. 

De NEN 7512 is een verdere uitwerking van de eisen uit de NEN 7510 norm. Er worden onder andere minimale eisen gesteld aan de authenticatie, verificatie en beveiliging van:

  • de verzender van de gegevens;
  • het transport van de gegevens;
  • de ontvanger van gegevens.

Logging van gegevens in de zorg

Levert u een Elektronisch Patiëntendossier (EPD) of een Persoonlijke Gezondheidsomgeving (PGO), dan is de NEN7513 voor u van toepassing. Deze norm bepaalt wat en wanneer er moet worden gelogd in een patiëntdossier. Deze logging geeft inzicht in wie toegang heeft gehad tot dat patiëntendossier.

De NEN7513 is een verdere uitwerking van de eisen uit de NEN7510-norm.  Er worden onder andere minimale eisen gesteld aan:

  • Wat er gelogd moet worden;
  • Wie er toegang heeft tot (log)gegevens;
  • Hoe lang deze (log)gegevens worden bewaard.

Ad-hoc gegevensuitwisseling in de zorg

Bent u betrokken bij de ad-hoc uitwisseling van zeer gevoelige informatie (spreekkamerinformatie) in de zorg, dan moet u wellicht voldoen aan de NTA7516. De NTA7516 heeft betrekking op ad-hoc gegevensuitwisseling bijvoorbeeld door middel van e-mail- of chatapplicaties. Onder ad-hoc communicatie valt bijvoorbeeld e-mail, maar ook chatprogramma’s en applicaties die berichten versturen met gevoelige informatie.

De NTA7516 stelt onder andere eisen aan:

  • Beschikbaarheid van de gegevens;
  • Integriteit van de gegevens;
  • Vertrouwelijkheid van de gegevens;
  • Gebruiksvriendelijkheid van de ad-hoc communicatie;
  • Interoperabiliteit van de ad-hoc communicatiemiddelen;
  • Technische implementatie van de ad-hoc communicatie.

Meer informatie over certificeringsaudits?

Audits combineren

Het combineren van audits is over het algemeen een goed idee. U bespaart  hiermee niet alleen op kosten en doorlooptijd, maar verlaagt ook de  auditdruk binnen uw organisatie: uw medewerkers hoeven het verhaal maar één keer uit te leggen en kunnen sneller weer aan het werk.

Assurance audits kunnen over het algemeen onderling goed worden gecombineerd,  maar ook door het combineren van ISO audits en assurance audits is in  veel gevallen winst te behalen. 

Welke verklaring?

Een assurance verklaring is een effectieve en efficiënte manier om zekerheid te bieden aan uw klanten over de door hen bij u uitbestede processen. Er zijn echter verschillende soorten verklaringen. 

De vraag is: “Welke assurance verklaring geeft afdoende zekerheid voor de door mijn klant bij mij uitbestede processen?”

Het antwoord vindt u onze whitepaper.

Valk

Als Valk Solutions automatiseren wij bedrijfskritische point of sale processen voor retail organisaties. Onze klanten vertrouwen ons hun concurrentie- en privacygevoelige data toe. De ISAE 3402 verklaring is voor retailers een onafhankelijke bevestiging dat ze bij ons in goede handen zijn. Het auditteam van Auvaro ziet er elk jaar weer nauw op toe dat we volgens de norm werken. Daarmee onderscheiden we ons van de concurrentie.

Karin Valk
Algemeen directeur - Valk Solutions

Itris

Sinds 2016 voert Auvaro de ISAE3402 audit uit bij Itris. De dienstverlening van Itris aan haar klanten wordt geaudit tegen het normenkader van NOREA. Sinds 2018 wordt ook de ViewPoint functionaliteit, het ERP-pakket van Itris, geaudit tegen een door Itris en haar klanten opgesteld normenkader. Voor beide audits geeft Auvaro jaarlijks een ISAE3402 type II verklaring af. De audits worden in goed overleg met elkaar gepland en door de auditors van Auvaro op een prettige wijze uitgevoerd. Wij zijn dan ook zeer tevreden met deze dienstverlening.

Marianne van Leeuwen
Manager Customer Support & Quality - Itris

CACI

Onze ISAE 3402-audit is efficiënt en in een plezierige sfeer verlopen. De auditoren hebben ons professioneel begeleid.

Peter Van Den Plas
Information Security Officer - CACI B.V.

Peopleware

Het auditproces is op een professionele manier uitgevoerd. Onze ICT architecten waren onder de indruk van de aanwezig ICT kennis van de auditors. Gesprekken zijn op een plezierige en constructieve wijze gevoerd. Erg efficiënt dat ISO 27001 en ISAE 3402 audits gecombineerd konden worden.

Theo van den Hoek
Programmamanager - Peopleware ICT Solutions

PeopleINC

Wij wilden onderzoeken of we een ISAE3402 certificering voor onze salarisservice zouden kunnen krijgen. Na een zoektocht op internet kwamen we bij Auvaro terecht. Na een 1e kennismakingsgesprek zijn we vrij snel begonnen met het beschrijven van de processen en controls. Op advies van Erik hebben we daarna wat controles toegevoegd en gewijzigd en zijn wat aanpassingen gedaan in onze werkwijze, waarna we begin 2019 al een 1e Audit gekregen hebben. Daaruit kwamen wat punten naar voren die aangepast zijn en eind 2019 hebben we de definitieve Audit over 2019 gekregen en waren we ISAE 3402 gecertificeerd! De samenwerking is erg prettig verlopen en de certificering geeft onze klanten ook de zekerheid dat ze bij ons de salarisadministratie met een gerust hart kunnen uitbesteden.

Pier de Vries
Manager salaris service - PeopleInc

Conclusion

Wij zijn een organisatie waar veel informatie en persoonsgegevens verwerkt wordt van onze klanten. Om een waarborg af te geven over onze informatiebeveiliging zijn we ongeveer 3 jaar geleden bij Auvaro terecht gekomen om ons hierbij te begeleiden en om een ISAE 3402 Assurance verklaring te halen. Ook dit jaar zijn wij weer door Erik en zijn team ge-audit. Het waren intensieve ‘remote audit’ dagen maar Erik en zijn team hebben ons op een hele prettige en flexibele manier begeleid. Ze waren erg grondig en secuur en hebben ons met de juiste opbouwende feedback geholpen om informatiebeveiliging nog beter ‘in control’ te hebben.

Lisa Houwer
Security & Information Officer - Conclusion Learning Centers

previous arrow
next arrow