Governance & Assurance

Het belang van informatiebeveiliging en privacy neemt toe door verschillende ontwikkelingen, zoals de groeiende digitalisering, toenemende cyberdreigingen en strengere regelgeving. Daarnaast zorgen wetten zoals de AVG en de NIS2-richtlijn (Cyberbeveiligingswet) voor strengere eisen rondom databeveiliging en privacy.

Organisaties ervaren toenemende druk van stakeholders – zoals klanten, toezichthouders en ketenpartners – die verwachten en eisen dat zij aantoonbaar voldoen aan de geldende beveiligingsnormen. Tegelijkertijd neemt hun afhankelijkheid van de beschikbaarheid, kwaliteit en vertrouwelijkheid van digitale informatie toe.

De internationale norm ISO 27001 biedt een gestructureerde aanpak om informatiebeveiliging vast te stellen, te implementeren, te onderhouden en continu te verbeteren. Dit gebeurt in de vorm van een Information Security Management System (ISMS).

In Nederland wordt voor de zorgsector – als afgeleide van ISO 27001 – de NEN 7510-norm gehanteerd, die specifiek is afgestemd op de (wettelijke) eisen en risico’s in deze sector. Binnen de overheid wordt hiervoor gebruik gemaakt van de baseline informatiebeveiliging overheid (BIO v2.0) dat weer is afgestemd op de specifieke context en risico’s van overheidsorganisaties.

Wij helpen, onze visie daar op

WeDoTrust ondersteunt organisaties op het gebied van informatiebeveiliging en Privacy. Wij zien onze rol als een belangrijke bijdrage aan het succes van uw organisatie op deze gebieden. Wij benaderen de inrichting van informatiebeveiliging dan ook vanuit het oogpunt van de organisatie en de experts die hierbij betrokken zijn.

Cruciaal bij de inrichting en uitvoering van informatiebeveiliging zijn aspecten als betrokkenheid, bewustzijn, kennis, continue aandacht en de wil om te verbeteren. Dit gekoppeld aan een sterk fundament (kapstok) en hygiëne in verantwoordelijkheden, processen, procedures en documentatie resulteert ons inziens in een werkend managementsysteem voor informatiebeveiliging en passende beheersmaatregelen.

Door dit te beoordelen en hier verbetervoorstellen op te doen – die aantoonbaar een bijdrage leveren aan en passen binnen de gestelde kaders/richtlijnen – helpen wij organisaties om informatiebeveiliging planmatig en blijvend te realiseren. De formele toets of aantoonbaar wordt voldaan aan de norm is hierop aanvullend, en een logisch gevolg.

Recente ontwikkelingen in de normenkaders

In 2022 is de ISO 27001/2 normering volledig herzien en geactualiseerd. Dit is onder meer gedaan om beter afgestemd te zijn op moderne (cyber) risico’s.
In 2024 heeft NEN 7510-1/2 dezelfde actualisatieslag ondergaan, waarbij extra eisen zijn toegevoegd op het gebied van logging, beschikbaarheid, incidentrespons en verwerkersverantwoordelijkheid.

In 2023 is een tweede versie van de Baseline Informatiebeveiliging Overheid (BIO) gerealiseerd op basis van ISO27001:2022 met daarin specifieke maatregelen gericht op de verwerking en bescherming van publieke gegevens.

Organisaties hebben – in de regel – maximaal 3 jaar de tijd om over te stappen op de nieuwe versie van de normen. Belangrijke aandachtspunten hierbij zijn het tijdig uitvoeren van een gap-analyse tussen oud en nieuw, het bijwerken van de verklaring van toepasselijkheid (VVT), en het expliciet beoordelen, wijzigen en/of implementeren van de nieuwe of gewijzigde controls. Dit moet planmatig en aantoonbaar plaatsvinden.

Certificering ISO 27001 en NEN 7510

Certificering kan een volgende stap zijn. Indien u kiest voor certificering, zullen wij deze niet zelf uitvoeren, maar werken wij goed samen met een partij die de certificeringsaudit kan uitvoeren. Dit heeft al bij een groot aantal organisaties tot succesvolle certificering geleid. Indien u zich als organisatie wilt laten certificeren op basis van ISO 27001 of NEN 7510, zorgen wij voor een soepele overdracht naar een geschikte certificerende partij die aansluit op onze bevindingen en rapportages, zodat het certificeringstraject efficiënt en effectief verloopt.

WeDoTrust ondersteunt organisaties bij het uitvoeren van een onafhankelijke beoordeling op informatiebeveiliging betreffende onder meer ISO 27001, NEN7510 en BIO. Door middel van onze onafhankelijke beoordeling toont de organisatie aantoonbaar aan in hoeverre invulling is gegeven aan de gestelde normen.

Ons rapport is een alternatief voor certificering. Toezichthouders, zoals de IGJ, hebben reeds positief gereageerd op onze rapportage en deze als adequaat bevonden.

Indien u wel een certificaat wil of heeft, dan is het verplicht om als onderdeel van het ISMS periodiek en planmatige deze interne audits uit te voeren, los van de jaarlijkse (her)certificeringsaudits. Onze onafhankelijke beoordeling geeft ook invulling aan de verplichte (onafhankelijke) interne audit in het kader van het ISMS. Door deze te combineren, voorkomt u dubbele auditlast.

Met onze rapportage bent u in staat om zowel interne verbeteringen te adresseren op de inrichting en uitvoering van informatiebeveiliging, als richting stakeholders (bijvoorbeeld RvC, toezichthouders, etc.) aan te tonen dat uw organisatie voldoet aan de norm en compliance vereisten. Mochten er tekortkomingen worden geconstateerd, dan helpen wij u deze om te zetten in een concreet en haalbaar actieplan.

Onze aanpak

Of u nu behoefte heeft aan een onafhankelijke beoordeling, een interne audit of ondersteuning bij het implementeren van informatiebeveiliging, wij hanteren een transparant en voorspelbaar beoordelingsproces. We starten met een gezamenlijke kick-off waarin we onze aanpak met u afstemmen. Daarna voeren wij de beoordeling uit. Dit resulteert in een rapport met een concreet actieplan, waarmee uw organisatie gericht aan de slag kan.

Onze onafhankelijke beoordelingen worden aangeboden tegen een vaste prijs, zodat u niet voor onverwachte kosten komt te staan. Dankzij onze brede expertise, gebaseerd op branche-ervaring, assurance-ervaring en diepgaande kennis van ISO 27001 en NEN7510, kunnen wij een waardevolle bijdrage leveren aan uw informatiebeveiliging.

Lees ook de ervaringen van onze klanten ”Wij hebben succesvol de onafhankelijke beoordeling doorlopen op NEN 7510. De samenwerking met WeDoTrust is als zeer positief ervaren.” (zie artikel)

WeDoTrust kan u van advies voorzien en u helpen bij de implementatie van informatiebeveiliging binnen uw organisatie. Of het nu ISO 27001, NEN 7510, BIO of de Cyberbeveiligingswet (NIS2) betreft, wij beschikken over ervaren adviseurs op dit gebied.

Op basis van uw wensen en vragen stellen we een projectplan op om informatiebeveiliging binnen uw organisatie te implementeren. Onze aanpak bestaat uit verschillende onderdelen:

1. Het uitvoeren van een stevige 0-meting, resulterend in een uitvoerbaar actieplan.
2. Het leveren van ondersteuning bij de implementatie van een ISMS. Onder de implementatie wordt verstaan de opzet en inrichting van het ISMS passend binnen uw organisatie en voldoend aan de NIS2 vereisten.
3. Het uitvoeren van workshops met het verantwoordelijk management van de organisatie, om voor de belangrijkste informatiesystemen (“kroonjuwelen”) de risico’s en beheersmaatregelen te bepalen. De workshops dragen ook bij aan het risicobewustzijn van de deelnemers.
4. Het ondersteunen bij het (projectmatig) realiseren van de in te richten beveiligingsmaatregelen.

WeDoTrust begeleid u bij het inrichten van de verschillende elementen. Dit doen we in de vorm van co-productie. Wij proberen zoveel mogelijk aan te sluiten bij uw bestaande documenten en structuren maar we hebben ook templates en voorbeelden die we als basis kunnen hanteren mocht dat nodig zijn. Uitgangspunt is een duurzaam en pragmatisch ISMS dat aansluit bij uw organisatie en in lijn is met wet- en regelgeving. Zodat uw organisatie dit zelf in stand kan houden zonder onnodige inspanning en structurele externe ondersteuning.

WeDoTrust begeleid u bij het inrichten van de verschillende elementen van informatiebeveiliging en privacy. Dit doen we in de vorm van coproductie. Wij proberen zoveel mogelijk aan te sluiten bij uw bestaande documenten en structuren maar we hebben ook templates en voorbeelden die we als basis kunnen hanteren mocht dat nodig zijn. Uitgangspunt is een duurzaam en pragmatisch ISMS dat aansluit bij uw organisatie en in lijn is met wet- en regelgeving. Zodat uw organisatie dit zelf in stand kan houden zonder onnodige inspanning en structurele externe ondersteuning.

Lees ook de ervaringen van onze klanten: ‘’NEN7510, je begint pas te leren rijden nadat je een rijbewijs in handen hebt.’’ (Zie artikel)

Het draaiend en actueel houden van het ISMS en het actueel houden van de beveiligingsmaatregelen vraagt om specifieke kennis en vaardigheden. Zelf alle benodigde kennis in huis houden is niet alleen kostbaar, maar ook tijdrovend.

Daarom biedt WeDoTrust ondersteuning aan organisaties op het gebied van informatiebeveiliging en privacy. Wij bieden ondersteuning op diverse vlakken, zoals het operationaliseren van het ISMS, het uitvoeren van risicoanalyses, securitytesten, DPIA’s en het aanpassen aan de nieuwe 2024-versie van de NEN7510.

Hierdoor kunnen organisaties, zonder voor elke specifieke deskundigheid iemand aan te nemen een hoog niveau van informatiebeveiliging en privacy realiseren. Iets wat stakeholders, verantwoordelijken en medewerkers tegenwoordig verwachten.

WeDoTrust wil bijdragen aan het beter maken van informatiebeveiliging en privacy. Wij bieden een stabiel en zeer ervaren team van deskundigen hiervoor aan. Wij zien vaak dat de aandacht voor informatiebeveiliging en privacy afneemt na het behalen van certificeringen. Door aandacht te blijven geven aan borging, zorgen we er samen voor dat de organisatie zich blijft door ontwikkelen (continu leren) en ervoor wordt gezorgd dat voldaan wordt aan de hoogste standaarden op het gebied van privacy en informatiebeveiliging.

Onze aanpak

Met verschillende organisaties heeft WeDoTrust het thema van de borging uitgediept en in co-creatie een aanpak uitgewerkt voor het ondersteunen van de instelling bij het structureel borgen van informatiebeveiliging en bijbehorende privacy aspecten. De kern daarvan is dat een ‘coördinerend vliegwiel’ wordt gecreëerd om meerjarig het management voor informatiebeveiliging (ISMS) te optimaliseren en draaiend te houden.

Daaronder valt het opstellen en bijhouden van een jaarplan (operationele jaarkalender), het uitvoeren en onderhouden van risicoanalyses, het monitoren en meten van doelstellingen (KPI dashboards), het voorbereiden en begeleiden van de periodieke directiebeoordelingen (inclusief opstellen van voortgangsrapportages), en het geven van training/opleiding. Ook kunnen periodiek onafhankelijke audits worden uitgevoerd en kan de instellingen worden ondersteund bij het uitvoeren van periodieke controles in de eerste lijn (op basis van een passend auditprogramma).

Inmiddels hebben meerdere zorginstellingen gekozen om deze vorm van structurele ondersteuning bij de borging van informatiebeveiliging en privacy af te nemen. Dit met ondersteuning van een team van WeDoTrust-specialisten dat nauw met de betreffende zorginstelling samenwerkt, met vaste aanspreekpunten die rechtstreeks zijn te benaderen en die de organisatie kennen. Onze aanpak is gericht op ontzorgen van de instelling en het leveren van (hands-on) expertise, op basis van een helder zorggericht (proces-)plan.

Lees ook de ervaringen van onze klanten: ‘’Waarom zou je niet de beste van de klas willen zijn?’’ (Zie artikel)

Met gezond verstand verlagen van de IT compliance druk

De verschillende toezichthoudende organen hanteren bij hun werkzaamheden verschillende raamwerken, waaronder NEN 7510, NEN 7512, NEN 7513, NTA 7516, DigiD (norm ICT-beveiligingsassessments DigiD, gebaseerd op NCSC-richtlijn), IGJ e-health, Zorgkwaliteit (Qualicor of JCI), Jaarrekeningcontrole door de accountant (General IT controls), Horizontaal Toezicht (Control Framework 3.0), NVZ Gedragslijn 1.0 en 2.0 (Privacy) en in sommige gevallen CobIT.

Er zit een grote overlap in de IT raamwerken en richtlijnen waar goed gebruik kan worden gemaakt bij het verlagen van de IT compliance druk!

Wij hebben met een aantal klanten in de zorg deze raamwerken in detail naast elkaar gelegd. Wat blijkt, omdat deze vereisten vanuit diverse achtergronden worden opgelegd en deze vaak breder zijn dan alleen technologie, sluiten de getroffen beheersmaatregelen vaak (nog) niet op elkaar aan en vindt in de praktijk veel onnodig dubbel uitvoerings- en auditwerk plaats of worden juist bepaalde controls niet (aantoonbaar) uitgevoerd.

Stap 1 lag dan ook erg voor de hand: ontdubbelen en stroomlijnen.

Het zal dan ook niet verrassend zijn dat het uitvoeren van stap 1, het stroomlijnen van al deze raamwerken tot een voor de zorgorganisatie eigen ‘Integrated IT Control Framework’, een enorme positieve impact heeft op focus en effectiviteit van maatregelen.

Stap 2 die wij hebben gezet is het op een praktische manier opzetten van een meer geïntegreerde aanpak waarbij vereisten en beheersmaatregelen met elkaar in samenhang worden beschouwd, worden geïmplementeerd en door de eigen organisatie op effectiviteit worden getoetst.

Wat blijkt? In onze praktijk leidt deze integrale aanpak direct tot zowel een administratieve lastenverlichting als een kwaliteitsverbetering.

Integrated IT Control Framework (IITCFW)

Stap 3 is geweest om samen met een aantal ziekenhuizen een Integrated IT Control Framework uit te werken en in de praktijk toe te passen. Het IITCFW is gebaseerd op NEN 7510 en biedt de betreffende ziekenhuizen concreet inzicht in de samenhang tussen de NEN7510 en de vereisten vanuit de diverse raamwerken en de beheersmaatregelen rondom IT die het ziekenhuis heeft getroffen en/of zou moeten treffen.

 Dit leidt ertoe dat ziekenhuizen succesvol in staat zijn de set aan beheersmaatregelen te ‘rationaliseren’ wat in de praktijk betekent dat het aantal te treffen maatregelen afneemt en daardoor ook de beheer- en auditlast afneemt.

De eerste ervaringen laten een afname van zo’n 40% zien. Daar worden wij niet alleen blij van maar veel belangrijker onze klanten!

Gezien het geïntegreerde karakter en de complexiteit is specifieke ‘tooling’ eigenlijk onmisbaar. Als onderdeel van het uitwerken van het Integrated IT Control Framework zijn wij op dit moment met een aantal tools aan de slag zodat we u daarin nog beter kunnen adviseren.

Het Versnellingsprogramma Informatie-uitwisseling Patiënt en Professional: geeft de patiënt meer inzicht in zijn eigen zorg. Onderdeel van het VIPP-programma is de zogenaamde VIPP Eindtoets. De toets stelt vast of aan de voorwaarden van de subsidieregeling is voldaan. De VIPP Eindtoets wordt uitgevoerd volgens de ‘Handreiking VIPP-assessments’ en de NOREA Richtlijn 3000D Directe-Opdrachten.
Naast de ziekenhuizen (VIPP1 en VIPP 5) hebben ook de klinieken (VIPP2), de GGZ (VIPP3), huisartsen (Open) en de VVT (Inzicht), Geboortezorg (BabyConnect) dergelijke trajecten uitgevoerd. VIPP Farmacie zal ook volgen.
Al sinds wij in januari 2018 als eerste een VIPP Eindtoets hebben gerapporteerd zijn wij marktleider in Nederland.
Van begin af aan zijn we gegaan voor een belangrijke bijdrage aan het succes van het VIPP-project en dus zeker geen onvoorspelbare audit aan het einde. Wij maken vooraf heldere afspraken en doen er alles aan om te voorkomen dat onze cliënten voor verrassingen komt te staan tijdens ons onderzoek en in onze rapportage.
Al meer dan 150 VIPP Eindtoets afgerond, met een 100% score, voor de overeengekomen vaste prijs, dus zonder onverwachte uitgaven.

De VIPP-programma’s naderen hun einde. Toch is er nog het nodige te doen. De WegiZ wordt de komende jaren ingevoerd en het IZA vraagt om een steeds betere gegevensuitwisseling. De vele audits die wij hebben uitgevoerd hebben een schat aan ervaring en diepgaande kennis opgeleverd die naar de toekomst kan worden ingezet. Niet alleen voor het werkend maken van de gegevensuitwisseling met de patiënt maar eveneens tussen zorgorganisaties onderling en in de regio.

ISAE 3000, ISAE 3402 en SOC-2

In toenemende mate worden door opdrachtgevers belangrijke processen uitbesteed aan onderaannemers. Als WeDoTrust begrijpen wij hoe cruciaal het is om in deze situatie het vertrouwen van verschillende stakeholders blijvend te waarborgen. Daarom bieden wij uitgebreide diensten aan voor ISAE 3000, 3402 en SOC-2. Immers, assurance rapportages geven inzicht en vergroten het vertrouwen in de gang van zaken in de keten. Onze auditors begeleiden u door het hele proces, van voorbereiding tot eindrapport, zodat u zich kunt concentreren op wat echt belangrijk is: uw organisatie laten groeien.

Waarom kiezen voor WeDoTrust

• Ervaring en expertise: Met jarenlange ervaring in leidinggevende en vaktechnische posities bij de Big4 en binnen NOREA, hebben onze auditors diepgaande kennis van de vereisten en best practices voor ISAE 3000, 3402/ SOC 1 en SOC-2.
• Efficiënt en betrouwbaar: Ons gestroomlijnde audit proces zorgt voor een efficiënte en betrouwbare audit, waardoor u tijd en middelen bespaart. De door ons uitgevoerde werkzaamheden worden uitgevoerd voor een vaste prijs inclusief kosten, dus nergens onverwachte uitgaven.
• Continue en pragmatische ondersteuning: Van de eerste beoordeling tot de jaarlijkse audits, staan wij altijd klaar om u te ondersteunen. Daarbij stellen wij ons niet op als de formele auditor die enkel en alleen controleert. Wij denken met u mee en komen in co-creatie tot pragmatische oplossingen. Uiteraard rekening houdend met onze onafhankelijke positie.

Onze Diensten

De ISAE 3000-, ISAE 3402- en SOC 2-verklaringen zijn allemaal assurance-standaarden, maar ze hebben verschillende doelen en toepassingsgebieden.

ISAE 3000

• Doel: Biedt zekerheid over niet-financiële informatie en interne beheersingsprocessen die niet direct verband houden met financiële rapportages.
• Toepassing: Wordt vooral gebruikt voor assurance-opdrachten met betrekking tot informatiebeveiliging, naleving van wet- en regelgeving, en andere operationele processen.
• Rapporttypes:
  • Type I: Evalueert de opzet en het bestaan van controles op een specifiek moment.
  • Type II: Evalueert de effectiviteit van deze controles over een bepaalde periode.

ISAE 3402

• Doel: Biedt zekerheid over de interne controles van serviceorganisaties die relevant zijn voor de financiële rapportage van hun klanten.
• Toepassing: Vooral relevant voor organisaties die diensten verlenen die invloed hebben op de financiële rapportage van hun klanten, zoals payroll, accounting, en financiële databeheer.
• Rapporttypes:
  • Type I: Evalueert de opzet en het bestaan van controles op een specifiek moment.
  • Type II: Evalueert de effectiviteit van deze controles over een bepaalde periode.

SOC 2

• Doel: Biedt zekerheid over de interne controles van een serviceorganisatie met betrekking tot de beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy van gegevens.
• Toepassing: Vooral relevant voor technologiebedrijven en serviceproviders die gegevens beheren of verwerken, zoals cloud service providers, datacenters, en SaaS-aanbieders.
• Rapporttypes:
  • Type I: Evalueert de opzet en het bestaan van controles op een specifiek moment.
  • Type II: Evalueert de effectiviteit van deze controles over een bepaalde periode.