Skip to main content

Governance & Assurance

IT Governance staat volop in de aandacht. De digitale kennis in de boardrooms is nu nog beperkt. Te vaak komt het voor dat bestuurders en toezichthouders zich neerleggen bij de gedachte dat technologie noodzakelijk, maar niet in de grip te houden is. Beloftes uit de businesscase worden lang niet altijd waargemaakt.

Technologie wordt daarbij als complex, ondoorzichtig en te onvoorspelbaar ervaren. Vaak is dit terecht, echter het is geen optie in een tijd waarin nagenoeg elk business model wordt ‘gehackt’ door technologische ontwikkelingen. De toekomst van organisaties staat of valt met de wijze waarop ze hun digitale strategie ingevoerd krijgen. Cruciaal daarbij is de inrichting van een passende IT Governance waarbij je als bestuurder zelf in control bent.

Steeds vaker wordt zekerheid gevraagd van een onafhankelijke partij, wij zien daarbij ook de behoefte aan Assurance toenemen. Wij spelen hierop in door met zeer ervaren teams, niet alleen als ‘auditor aan het einde’ maar ook als bijdrage aan de kwaliteit van het eindresultaat.

Wij hebben bij een groot aantal klanten governance en assurance trajecten uitgevoerd. Wij doen dit bij IT projecten, het herinrichten IT-organisaties, maar ook bij verplichte onderzoeken in het kader van bijvoorbeeld VIPP, DigiD Assessments, ISO 27001, NEN7510, Privacy Control Framework en de NVZ Routekaart.

De Nederlandse norm NEN 7510 voor informatiebeveiliging in de zorg bestaat uit twee delen. NEN7510-1 is opgesteld om te voorzien in eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging (ook wel bekend als Information Security Management Systeem – ISMS). NEN 7510-2 voorziet in nadere richtlijnen voor de invulling van de beheersmaatregelen over hoe men het beste de beschikbaarheid, integriteit en vertrouwelijkheid van dergelijke informatie kan beschermen. In het kader van de ‘Regeling gebruik burgerservicenummer in de zorg’ moeten zorgorganisaties sinds 2008 voldoen aan NEN 7510. Dat maakt NEN 7510 wettelijk verplicht.

Als gespecialiseerd bureau hebben wij veel ervaring met informatiebeveiliging en NEN 7510 en begeleiden wij onder meer de brancheorganisaties NVZ en ActiZ met hun activiteiten op dit gebied.

Wij zien onze rol als een belangrijke bijdrage aan het succes van uw organisatie op het gebied van informatiebeveiliging.

Onafhankelijke beoordeling NEN 7510
WeDoTrust kan u helpen bij het uitvoeren van een onafhankelijke externe audit (assurance) als alternatief voor NEN 7510 certificering. Met onze rapportage kunt u aantonen richting bijvoorbeeld de toezichthouder dat uw organisatie aan NEN 7510 voldoet. Indien er tekortkomingen worden geconstateerd, helpen wij de organisatie deze te vertalen naar een concreet actieplan.

Wij houden niet van een onvoorspelbaar oordeel aan het eind van het traject. Onze ervaring leert dat zorgorganisaties duidelijkheid willen over hoe een onafhankelijke beoordeling verloopt en wat van hen wordt verwacht. Daarom dragen wij zorg voor een kick-off en eventueel een tussentijdse meting. De tussentijdse meting resulteert in een rapport inclusief een uitvoerbaar actieplan, waarmee uw organisatie aan de slag kan om NEN-7510 verder te implementeren. Gedurende uw implementatie beoordelen wij desgevraagd tussenversies van documenten en lichten waar nodig de norm verder toe. Ten slotte voeren we een definitieve onafhankelijke beoordeling uit.

Onze NEN 7510 onafhankelijke beoordelingen worden uitgevoerd voor een vaste prijs, er zijn dus geen onverwachte uitgaven. Onze expertise als senior team, gebaseerd op branche ervaring, assurance ervaring en aantoonbare ervaring met NEN 7510 audits werkt. Op uw verzoek kunnen wij u in contact brengen met referenties.

Certificering NEN 7510
NEN 7510 certificering kan een volgende stap zijn. Indien u kiest voor certificering, kunnen wij deze niet zelf uitvoeren, maar werken wel goed samen met een partij die de certificeringsaudit kan uitvoeren. Wij kunnen zorgdragen voor een ‘warme’ overdracht naar een certificerende partij wiens werkzaamheden goed aansluiten op onze bevindingen en rapportages.

Wilt u  hierover met ons van gedachten wisselen of een offerte ontvangen neem dan contact op met:

jasper de vries

Jasper de Vries

Jasper de Vries is een onafhankelijk adviseur en IT-auditor (RE). Dit doet hij met een achtergrond in bedrijfseconomie en de praktijkervaring van een carrière van meer dan 20 jaar. Hij werkte hiervan ruim 11 jaar bij EY en 4 jaar bij Qbit Cyber Security.
Jasper voert onderzoeken uit en adviseert organisaties op het gebied van IT-governance en risicomanagement. Zijn advieservaring, gecombineerd met zijn kritische en pragmatische analyses, maken hem tot een gesprekpartner van directies, bestuurders en toezichthouders. Jasper geeft regelmatig (gast)colleges, trainingen en presentaties op het gebied van Technology Governance, Cyber Security, risicomanagement en security bewustwording.
Jasper heeft, naast inhoudelijke kennis, ook oog heeft voor de ‘zachte aspecten’ van verandering. Hij houdt in zijn adviezen nadrukkelijk rekening met cultuur- en gedragsaspecten binnen organisaties. In de afgelopen vijftien jaar adviseerde hij een groot aantal zorgaanbieders, zorgverzekeraars en overheden in Nederland en in het buitenland bij hun inspanningen om strategische IT-toepassingen in de zorg te realiseren. Zijn advieservaring gecombineerd met zijn kritische en pragmatische analyses, maken hem een specialist op het gebied van het vormgeven van innovatieve IT-strategieën in de zorgsector. Jan is medeauteur van het boek ‘IT in de Zorg’ alsook diverse nationale en internationale artikelen. Tevens spreekt hij veelvuldig in Nederland en in het buitenland over de vraag hoe IT praktisch en vernieuwend toe te passen in de zorg.

Jasper de Vries
+31682590299
jasperdevries@wedotrust.nl

Reinder Attema

Reinder Attema is een onafhankelijk IT-adviseur en auditor (RE). Hij heeft ruime ervaring met het adviseren over en beoordelen van IT-projecten/programma’s, IT beheerprocessen, Informatiebeveiliging en datamigraties in de Zorg- en Energiesector. Reinder beschikt over een bedrijfskundige en IT-technische achtergrond, waardoor hij goed in staat is de verbinding te leggen tussen Business en IT.
Reinder is open en werkt graag samen, is pragmatisch en heeft een hands-on mentaliteit. Hij beschikt over ruime Internal Audit ervaring. Met deze ervaring kan hij organisaties ondersteunen zelf in control te komen. Bijvoorbeeld door het uitvoeren van risico-analyses, het inrichten van (IT-) beheersmaatregelen en het opleiden en coachen van medewerkers hierin.

WeDoTrust kan u van advies voorzien en u helpen bij de implementatie van NEN 7510.  Op basis van uw wensen en vragen stellen we een projectplan op om NEN 7510 binnen uw organisatie te implementeren. Onze aanpak bestaat uit verschillende onderdelen:

  1. Het uitvoeren van een stevige 0-meting op NEN7510-1 en NEN7510-2, als ware het een NEN7510 assurance opdracht, resulterend in een uitvoerbaar actieplan.
  2. Het leveren van ondersteuning bij de implementatie van een ISMS conform NEN7510. Onder de implementatie wordt verstaan de opzet en inrichting van het ISMS passend binnen uw organisatie en voldoend aan de eisen van NEN7510-1.
  3. Het uitvoeren van een onafhankelijke beoordeling om, net als bij een certificeringsaudit, vast te stellen of het ISMS aan alle voorwaarden voldoet.
  4. Indien een organsiatie kiest voor certificering, werken wij goed samen met een partij die de certificeringsaudit kan uitvoeren en kunnen wij u ondersteunen in dit traject.
  5. Het begeleiden van het management bij het voor de eerste keer uitvoeren van een directiebeoordeling. De directie/ het management dient namelijk met geplande tussenpozen het managementsysteem voor informatie- beveiliging van de organisatie te beoordelen, om de continue geschiktheid, adequaatheid en doeltreffendheid te bewerkstelligen.

WeDoTrust begeleid u bij het inrichten van de verschillende elementen van NEN7510. Dit doen we in de vorm van co-productie. Wij proberen zoveel mogelijk aan te sluiten bij uw bestaande documenten en structuren maar we hebben ook templates en voorbeelden die we als basis kunnen hanteren mocht dat nodig zijn. Uitgangspunt is een duurzaam en pragmatisch ISMS dat aansluit bij uw organisatie en in lijn is met de NEN7510-1. Zodat uw organisatie dit zelf in stand kan houden zonder onnodige inspanning en structurele externe ondersteuning.

Wilt u  hierover met ons van gedachten wisselen of een offerte ontvangen neem dan contact op met:

edward veen

Edward Veen

Edward Veen is een ervaren en onafhankelijk organisatieadviseur en IT-auditor (RE). Hij heeft ruim 20 jaar ervaring met het ontwerpen, invoeren, beheersen en beoordelen van onder meer complexe IT-omgevingen, informatiesystemen en managementsystemen voor informatiebeveiliging.
Edward ondersteunt binnen (en buiten) de zorg bij de implementatie NEN7510 en ISO27001. Edward voert daarnaast bij verschillende zorginstellingen beoordelingen uit. Denk aan DIGID, VIPP en NEN7510. De werkwijze van Edward kenmerkt zich door de persoonlijke benadering en betrokkenheid. De oplossingen die hij voorstelt passen bij de context van de organisatie. Edward geeft regelmatig (gast)colleges en trainingen op het gebied van risicomanagement, Cyber Security en Privacy.

Edward Veen
+31621393036
edwardveen@wedotrust.nl

Hiska Roskam

Hiska Roskam is een ervaren organisatie adviseur, trainer en veranderaar. Ze heeft ruim 15 jaar ervaring op het gebied van kwaliteit, interne beheersing en assurance & certificering. Bij diverse organisaties en opdrachtgevers in zowel profit, non-profit, IT als zorg heeft zij zowel leiding gegeven als praktische ondersteuning geleverd bij compliance trajecten en de implementaties van frameworks in zowel de beleidsmatige als operationele processen.
Door haar achtergrond op zowel bedrijfskundig vlak als auditing zorgen ervoor dat ze de brug weet te slaan tussen complexe compliance vraagstukken en de operationele processen die op de werkvloer plaatsvinden. Als persoon is Hiska gedreven, enthousiast, neemt graag het initiatief en altijd op zoek naar de samenwerking. De organisatiedoelstellingen en de beoogde resultaten staan bij haar centraal, maar de zogenoemde ‘zachte kant’ van verandering krijgt hierbij veel aandacht. Ze steekt graag de handen uit de mouwen om samen tot het juiste resultaat te komen.
Hiska Roskam
+31614648512
hiskaroskam@wedotrust.nl

Met gezond verstand verlagen van de IT compliance druk

De verschillende toezichthoudende organen hanteren bij hun werkzaamheden verschillende raamwerken, waaronder NEN 7510, NEN 7512, NEN 7513, NTA 7516, DigiD (norm ICT-beveiligingsassessments DigiD, gebaseerd op NCSC-richtlijn), IGJ e-health, Zorgkwaliteit (Qualicor of JCI), Jaarrekeningcontrole door de accountant (General IT controls), Horizontaal Toezicht (Control Framework 3.0), NVZ Gedragslijn 1.0 en 2.0 (Privacy) en in sommige gevallen CobIT.

Er zit een grote overlap in de IT raamwerken en richtlijnen waar goed gebruik kan worden gemaakt bij het verlagen van de IT compliance druk!

Wij hebben met een aantal klanten in de zorg deze raamwerken in detail naast elkaar gelegd. Wat blijkt, omdat deze vereisten vanuit diverse achtergronden worden opgelegd en deze vaak breder zijn dan alleen technologie, sluiten de getroffen beheersmaatregelen vaak (nog) niet op elkaar aan en vindt in de praktijk veel onnodig dubbel uitvoerings- en auditwerk plaats of worden juist bepaalde controls niet (aantoonbaar) uitgevoerd.

Stap 1 lag dan ook erg voor de hand: ontdubbelen en stroomlijnen.

Het zal dan ook niet verrassend zijn dat het uitvoeren van stap 1, het stroomlijnen van al deze raamwerken tot een voor de zorgorganisatie eigen ‘Integrated IT Control Framework’, een enorme positieve impact heeft op focus en effectiviteit van maatregelen.

Stap 2 die wij hebben gezet is het op een praktische manier opzetten van een meer geïntegreerde aanpak waarbij vereisten en beheersmaatregelen met elkaar in samenhang worden beschouwd, worden geïmplementeerd en door de eigen organisatie op effectiviteit worden getoetst.

Wat blijkt? In onze praktijk leidt deze integrale aanpak direct tot zowel een administratieve lastenverlichting als een kwaliteitsverbetering.

Integrated IT Control Framework (IITCFW)

Stap 3 is geweest om samen met een aantal ziekenhuizen een Integrated IT Control Framework uit te werken en in de praktijk toe te passen. Het IITCFW is gebaseerd op NEN 7510 en biedt de betreffende ziekenhuizen concreet inzicht in de samenhang tussen de NEN7510 en de vereisten vanuit de diverse raamwerken en de beheersmaatregelen rondom IT die het ziekenhuis heeft getroffen en/of zou moeten treffen.

 Dit leidt ertoe dat ziekenhuizen succesvol in staat zijn de set aan beheersmaatregelen te ‘rationaliseren’ wat in de praktijk betekent dat het aantal te treffen maatregelen afneemt en daardoor ook de beheer- en auditlast afneemt.

De eerste ervaringen laten een afname van zo’n 40% zien. Daar worden wij niet alleen blij van maar veel belangrijker onze klanten!

Gezien het geïntegreerde karakter en de complexiteit is specifieke ‘tooling’ eigenlijk onmisbaar. Als onderdeel van het uitwerken van het Integrated IT Control Framework zijn wij op dit moment met een aantal tools aan de slag zodat we u daarin nog beter kunnen adviseren.

Wilt u  hierover met ons van gedachten wisselen of een offerte ontvangen neem dan contact op met:

Jaap van Beek

Jaap van Beek is een onafhankelijke auditor en adviseur. Dit doet hij met de praktijkervaring van een ruim 30 jarige carrière bij KPMG. Hij adviseert en coacht bedrijven en instellingen bij het verbeteren van de (aantoonbare) interne beheersing van hun processen en informatietechnologie. Als auditor voert hij onafhankelijke onderzoeken uit gericht op het verstrekken van assurance.
Jaap heeft veel ervaring opgedaan inzake ‘trust’ vraagstukken rond IT transformaties, interne beheersing en outsourcing in de keten inclusief het optreden als sparring partner voor besturen en toezichthouders op dit gebied.
Jaap heeft diverse publicaties op zijn naam staan en is binnen NOREA, de beroepsgroep van IT auditors, actief als voorzitter van het College Kwaliteitsonderzoeken.

Jaap van Beek
+31682590299
jaapvanbeek@wedotrust.nl

Reinder Attema

Reinder Attema is een onafhankelijk IT-adviseur en auditor (RE). Hij heeft ruime ervaring met het adviseren over en beoordelen van IT-projecten/programma’s, IT beheerprocessen, Informatiebeveiliging en datamigraties in de Zorg- en Energiesector. Reinder beschikt over een bedrijfskundige en IT-technische achtergrond, waardoor hij goed in staat is de verbinding te leggen tussen Business en IT.
Reinder is open en werkt graag samen, is pragmatisch en heeft een hands-on mentaliteit. Hij beschikt over ruime Internal Audit ervaring. Met deze ervaring kan hij organisaties ondersteunen zelf in control te komen. Bijvoorbeeld door het uitvoeren van risico-analyses, het inrichten van (IT-) beheersmaatregelen en het opleiden en coachen van medewerkers hierin.

Wilt u als organisatie voldoen aan de eisen van horizontaal toezicht en tegelijkertijd efficiëntie en kwaliteit verbeteren? Onze adviesdienstverlening op het gebied van horizontaal toezicht in de zorg biedt de oplossing die u nodig hebt.

Met onze diepgaande kennis van de zorgsector en ons bewezen trackrecord, helpen we u om een solide basis voor horizontaal toezicht te leggen. We analyseren processen, identificeren risico’s en bieden praktische oplossingen om het controleframework te versterken.

Onze experts begeleiden u bij het implementeren van transparante en effectieve interne controlesystemen. We bieden training en ondersteuning om ervoor te zorgen dat uw team volledig op de hoogte is van de vereisten van horizontaal toezicht en klaar is om deze toe te passen.

Wilt u  hierover met ons van gedachten wisselen of een offerte ontvangen neem dan contact op met:

Jaap van Beek

Jaap van Beek is een onafhankelijke auditor en adviseur. Dit doet hij met de praktijkervaring van een ruim 30 jarige carrière bij KPMG. Hij adviseert en coacht bedrijven en instellingen bij het verbeteren van de (aantoonbare) interne beheersing van hun processen en informatietechnologie. Als auditor voert hij onafhankelijke onderzoeken uit gericht op het verstrekken van assurance.
Jaap heeft veel ervaring opgedaan inzake ‘trust’ vraagstukken rond IT transformaties, interne beheersing en outsourcing in de keten inclusief het optreden als sparring partner voor besturen en toezichthouders op dit gebied.
Jaap heeft diverse publicaties op zijn naam staan en is binnen NOREA, de beroepsgroep van IT auditors, actief als voorzitter van het College Kwaliteitsonderzoeken.

Jaap van Beek
+31682590299
jaapvanbeek@wedotrust.nl

jasper de vries

Jasper de Vries

Jasper de Vries is een onafhankelijk adviseur en IT-auditor (RE). Dit doet hij met een achtergrond in bedrijfseconomie en de praktijkervaring van een carrière van meer dan 20 jaar. Hij werkte hiervan ruim 11 jaar bij EY en 4 jaar bij Qbit Cyber Security.
Jasper voert onderzoeken uit en adviseert organisaties op het gebied van IT-governance en risicomanagement. Zijn advieservaring, gecombineerd met zijn kritische en pragmatische analyses, maken hem tot een gesprekpartner van directies, bestuurders en toezichthouders. Jasper geeft regelmatig (gast)colleges, trainingen en presentaties op het gebied van Technology Governance, Cyber Security, risicomanagement en security bewustwording.
Jasper heeft, naast inhoudelijke kennis, ook oog heeft voor de ‘zachte aspecten’ van verandering. Hij houdt in zijn adviezen nadrukkelijk rekening met cultuur- en gedragsaspecten binnen organisaties. In de afgelopen vijftien jaar adviseerde hij een groot aantal zorgaanbieders, zorgverzekeraars en overheden in Nederland en in het buitenland bij hun inspanningen om strategische IT-toepassingen in de zorg te realiseren. Zijn advieservaring gecombineerd met zijn kritische en pragmatische analyses, maken hem een specialist op het gebied van het vormgeven van innovatieve IT-strategieën in de zorgsector. Jan is medeauteur van het boek ‘IT in de Zorg’ alsook diverse nationale en internationale artikelen. Tevens spreekt hij veelvuldig in Nederland en in het buitenland over de vraag hoe IT praktisch en vernieuwend toe te passen in de zorg.
Jasper de Vries
+31682590299
jasperdevries@wedotrust.nl

Zorginstellingen die gebruik maken van DigiD moet op hun patiëntenportaal (jaarlijks) een DigiD-assessment laten uitvoeren door een gekwalificeerde IT-auditor (RE), om aan te tonen dat dat de IT-beveiliging op orde is.

Sinds het controlejaar 2017 is door het Nationaal Cyber Security Centrum (NCSC) het van toepassing zijnde normenkader aangepast en zijn samen met NOREA ook de toetsingskaders voor deze onderzoeken aangepast en vastgelegd in de ‘Handreiking bij DigiD-assessments v2.0, update 2018’. In 2019 is een addendum Handreiking bij DigiD-assessments 2.0 (update 2019) uitgebracht. Zorgorganisaties hebben in veel gevallen (een deel van) hun IT-omgeving, inclusief de webapplicatie die gebruik maakt van de DigiD-koppeling en de hierbij horende infrastructuur bij een derde partij gehost. Belangrijk is om te weten dat deze partij dient te beschikken over een TPM. Vanaf 2023 geldt DigiD 3.0. Daarin is naast opzet en bestaan volop aandacht voor de werking van maatregelen.

Wij kunnen het DigiD-assessment voor u uitvoeren, indien gewenst ook in combinatie met een DiGiD Security Assessment (pentest)

 

Als gespecialiseerd bureau brengen wij veel kennis en ervaring mee van zowel zorginstellingen, security, IT-audits als van de gevraagde DigiD-assessments.

Voor veel zorgorganisaties is het patiëntenportaal met DigiD of uitwisseling via een PGO een nieuwe omgeving. Het zal dan ook de eerste keer zijn dat er een DigiD-assessment moet worden uitgevoerd. Zorgorgansaties en wij als WeDoTrust houden niet van onvoorspelbare assessment aan het einde van een traject. Onze ervaring is dat zorgorganisaties zekerheid willen hebben over hoe de assessment gaat verlopen en wat er van hen wordt verwacht. Een assessment levert een belangrijke bijdrage aan het realiseren van een veilig patiëntenportaal. Daarom voeren we naast de definitieve eindtoets vooraf ook een kick-off en proeftoets uit. Wij maken vooraf heldere afspraken en doen er alles aan om te voorkomen dat onze cliënten voor verrassingen komt te staan tijdens ons onderzoek en in onze rapportage.

De door ons uitgevoerde DigiD-assessments worden uitgevoerd voor een vaste prijs inclusief kosten, dus nergens onverwachte uitgaven. Onze expert aanpak, gebaseerd op branche ervaring, assurance ervaring en aantoonbare DigiD-assessments ervaring werkt.

Wilt u  hierover met ons van gedachten wisselen of een offerte ontvangen neem dan contact op met:

edward veen

Edward Veen

Edward Veen is een ervaren en onafhankelijk organisatieadviseur en IT-auditor (RE). Hij heeft ruim 20 jaar ervaring met het ontwerpen, invoeren, beheersen en beoordelen van onder meer complexe IT-omgevingen, informatiesystemen en managementsystemen voor informatiebeveiliging.
Edward ondersteunt binnen (en buiten) de zorg bij de implementatie NEN7510 en ISO27001. Edward voert daarnaast bij verschillende zorginstellingen beoordelingen uit. Denk aan DIGID, VIPP en NEN7510. De werkwijze van Edward kenmerkt zich door de persoonlijke benadering en betrokkenheid. De oplossingen die hij voorstelt passen bij de context van de organisatie. Edward geeft regelmatig (gast)colleges en trainingen op het gebied van risicomanagement, Cyber Security en Privacy.

Edward Veen
+31621393036
edwardveen@wedotrust.nl

jasper de vries

Jasper de Vries

Jasper de Vries is een onafhankelijk adviseur en IT-auditor (RE). Dit doet hij met een achtergrond in bedrijfseconomie en de praktijkervaring van een carrière van meer dan 20 jaar. Hij werkte hiervan ruim 11 jaar bij EY en 4 jaar bij Qbit Cyber Security.
Jasper voert onderzoeken uit en adviseert organisaties op het gebied van IT-governance en risicomanagement. Zijn advieservaring, gecombineerd met zijn kritische en pragmatische analyses, maken hem tot een gesprekpartner van directies, bestuurders en toezichthouders. Jasper geeft regelmatig (gast)colleges, trainingen en presentaties op het gebied van Technology Governance, Cyber Security, risicomanagement en security bewustwording.
Jasper heeft, naast inhoudelijke kennis, ook oog heeft voor de ‘zachte aspecten’ van verandering. Hij houdt in zijn adviezen nadrukkelijk rekening met cultuur- en gedragsaspecten binnen organisaties. In de afgelopen vijftien jaar adviseerde hij een groot aantal zorgaanbieders, zorgverzekeraars en overheden in Nederland en in het buitenland bij hun inspanningen om strategische IT-toepassingen in de zorg te realiseren. Zijn advieservaring gecombineerd met zijn kritische en pragmatische analyses, maken hem een specialist op het gebied van het vormgeven van innovatieve IT-strategieën in de zorgsector. Jan is medeauteur van het boek ‘IT in de Zorg’ alsook diverse nationale en internationale artikelen. Tevens spreekt hij veelvuldig in Nederland en in het buitenland over de vraag hoe IT praktisch en vernieuwend toe te passen in de zorg.

Jasper de Vries
+31682590299
jasperdevries@wedotrust.nl

Het Versnellingsprogramma Informatie-uitwisseling Patiënt en Professional: geeft de patiënt meer inzicht in zijn eigen zorg. Onderdeel van het VIPP-programma is de zogenaamde VIPP Eindtoets. De toets stelt vast of aan de voorwaarden van de subsidieregeling is voldaan. De VIPP Eindtoets wordt uitgevoerd volgens de ‘Handreiking VIPP-assessments’ en de NOREA Richtlijn 3000D Directe-Opdrachten.
Naast de ziekenhuizen (VIPP1 en VIPP 5) hebben ook de klinieken (VIPP2), de GGZ (VIPP3), huisartsen (Open) en de VVT (Inzicht), Geboortezorg (BabyConnect) dergelijke trajecten uitgevoerd. VIPP Farmacie zal ook volgen.
Al sinds wij in januari 2018 als eerste een VIPP Eindtoets hebben gerapporteerd zijn wij marktleider in Nederland.
Van begin af aan zijn we gegaan voor een belangrijke bijdrage aan het succes van het VIPP-project en dus zeker geen onvoorspelbare audit aan het einde. Wij maken vooraf heldere afspraken en doen er alles aan om te voorkomen dat onze cliënten voor verrassingen komt te staan tijdens ons onderzoek en in onze rapportage.
Al meer dan 150 VIPP Eindtoets afgerond, met een 100% score, voor de overeengekomen vaste prijs, dus zonder onverwachte uitgaven.

De VIPP-programma’s naderen hun einde. Toch is er nog het nodige te doen. De WegiZ wordt de komende jaren ingevoerd en het IZA vraagt om een steeds betere gegevensuitwisseling. De vele audits die wij hebben uitgevoerd hebben een schat aan ervaring en diepgaande kennis opgeleverd die naar de toekomst kan worden ingezet. Niet alleen voor het werkend maken van de gegevensuitwisseling met de patiënt maar eveneens tussen zorgorganisaties onderling en in de regio.

Wilt u  hierover met ons van gedachten wisselen of een offerte ontvangen neem dan contact op met:

hans Donkers

Hans Donkers

Hans Donkers is een onafhankelijk adviseur en auditor. Dit doet hij met de praktijk ervaring van een ruim 25-jarige internationale carrière bij KPMG. Hij is actief met het ondersteunen van directies, bestuurders en toezichthouders bij complexe verandertrajecten en bijbehorende technologievraagstukken. Dit altijd in een ”trusted” rol.
Hans heeft in zijn carrière diverse kwaliteits-, management- en bestuurs-rollen vervuld. Hij was onder meer voorzitter van NOREA de beroepsorganisatie van IT Auditors en hoofredacteur van Compact, het kwartaalblad over IT Governance. Hij treedt regelmatig op als spreker, gastdocent of dagvoorzitter en publiceert over Technology Governance.

Hans Donkers
+31653754323
hansdonkers@wedotrust.nl

Jan Hoogstra

Jan Hoogstra is een onafhankelijk adviseur en auditor. Jan heeft ruim 18 jaar bij KPMG gewerkt. Jan is met name actief in de gezondheidszorg waar hij management van zorgorganisaties en toezichthouders adviseert over complexe technologische verandertrajecten. Daarnaast is Jan zelf actief als programma- en projectmanager, waarbij hij de advieskant combineert met een uitvoerende kant.
In de afgelopen jaren adviseerde hij een groot aantal zorgaanbieders, zorgverzekeraars en overheden in Nederland bij hun inspanningen om (strategische) IT-toepassingen in de zorg daadwerkelijk te realiseren. Jan combineert zijn advieservaring met een pragmatische houding. Jan is (mede)auteur diverse nationale en internationale artikelen.

Jan Hoogstra
+31651578330
janhoogstra@wedotrust.nl

Heeft u vragen als het gaat om de bescherming van persoonsgegevens en naleving van de Algemene Verordening Gegevensbescherming (AVG)? Onze dienstverlening op het gebied van AVG en privacy biedt de zekerheid die u zoekt.

We voeren grondige audits uit, identificeren risico’s en bieden praktische oplossingen om je organisatie in lijn te brengen met de AVG. Wij helpen u bij het opstellen van privacybeleid, het uitvoeren van gegevensbeschermingseffectbeoordelingen en het implementeren van passende technische en organisatorische maatregelen.

Wilt u  hierover met ons van gedachten wisselen of een offerte ontvangen neem dan contact op met:

Reinder Attema

Reinder Attema is een onafhankelijk IT-adviseur en auditor (RE). Hij heeft ruime ervaring met het adviseren over en beoordelen van IT-projecten/programma’s, IT beheerprocessen, Informatiebeveiliging en datamigraties in de Zorg- en Energiesector. Reinder beschikt over een bedrijfskundige en IT-technische achtergrond, waardoor hij goed in staat is de verbinding te leggen tussen Business en IT.
Reinder is open en werkt graag samen, is pragmatisch en heeft een hands-on mentaliteit. Hij beschikt over ruime Internal Audit ervaring. Met deze ervaring kan hij organisaties ondersteunen zelf in control te komen. Bijvoorbeeld door het uitvoeren van risico-analyses, het inrichten van (IT-) beheersmaatregelen en het opleiden en coachen van medewerkers hierin.
Jasper voert onderzoeken uit en adviseert organisaties op het gebied van IT-governance en risicomanagement. Zijn advieservaring, gecombineerd met zijn kritische en pragmatische analyses, maken hem tot een gesprekpartner van directies, bestuurders en toezichthouders.

Jaap van Beek

Jaap van Beek is een onafhankelijke auditor en adviseur. Dit doet hij met de praktijkervaring van een ruim 30 jarige carrière bij KPMG. Hij adviseert en coacht bedrijven en instellingen bij het verbeteren van de (aantoonbare) interne beheersing van hun processen en informatietechnologie. Als auditor voert hij onafhankelijke onderzoeken uit gericht op het verstrekken van assurance.
Jaap heeft veel ervaring opgedaan inzake ‘trust’ vraagstukken rond IT transformaties, interne beheersing en outsourcing in de keten inclusief het optreden als sparring partner voor besturen en toezichthouders op dit gebied.
Jaap heeft diverse publicaties op zijn naam staan en is binnen NOREA, de beroepsgroep van IT auditors, actief als voorzitter van het College Kwaliteitsonderzoeken.

Jaap van Beek
+31682590299
jaapvanbeek@wedotrust.nl

ISAE 3000, ISAE 3402 en SOC-2

In toenemende mate worden door opdrachtgevers belangrijke processen uitbesteed aan onderaannemers. Als WeDoTrust begrijpen wij hoe cruciaal het is om in deze situatie het vertrouwen van verschillende stakeholders blijvend te waarborgen. Daarom bieden wij uitgebreide diensten aan voor ISAE 3000, 3402 en SOC-2. Immers, assurance rapportages geven inzicht en vergroten het vertrouwen in de gang van zaken in de keten. Onze auditors begeleiden u door het hele proces, van voorbereiding tot eindrapport, zodat u zich kunt concentreren op wat echt belangrijk is: uw organisatie laten groeien.

Waarom kiezen voor WeDoTrust

  • Ervaring en expertise: Met jarenlange ervaring in leidinggevende en vaktechnische posities bij de Big4 en binnen NOREA, hebben onze auditors diepgaande kennis van de vereisten en best practices voor ISAE 3000, 3402/ SOC 1 en SOC-2.
  • Efficiënt en betrouwbaar: Ons gestroomlijnde audit proces zorgt voor een efficiënte en betrouwbare audit, waardoor u tijd en middelen bespaart. De door ons uitgevoerde werkzaamheden worden uitgevoerd voor een vaste prijs inclusief kosten, dus nergens onverwachte uitgaven.
  • Continue en pragmatische ondersteuning: Van de eerste beoordeling tot de jaarlijkse audits, staan wij altijd klaar om u te ondersteunen. Daarbij stellen wij ons niet op als de formele auditor die enkel en alleen controleert. Wij denken met u mee en komen in co-creatie tot pragmatische oplossingen. Uiteraard rekening houdend met onze onafhankelijke positie.

Onze Diensten

De ISAE 3000-, ISAE 3402- en SOC 2-verklaringen zijn allemaal assurance-standaarden, maar ze hebben verschillende doelen en toepassingsgebieden.

ISAE 3000

  • Doel: Biedt zekerheid over niet-financiële informatie en interne beheersingsprocessen die niet direct verband houden met financiële rapportages.
  • Toepassing: Wordt vooral gebruikt voor assurance-opdrachten met betrekking tot informatiebeveiliging, naleving van wet- en regelgeving, en andere operationele processen.
  • Rapporttypes:
    • Type I: Evalueert de opzet en het bestaan van controles op een specifiek moment.
    • Type II: Evalueert de effectiviteit van deze controles over een bepaalde periode.

ISAE 3402

  • Doel: Biedt zekerheid over de interne controles van serviceorganisaties die relevant zijn voor de financiële rapportage van hun klanten.
  • Toepassing: Vooral relevant voor organisaties die diensten verlenen die invloed hebben op de financiële rapportage van hun klanten, zoals payroll, accounting, en financiële databeheer.
  • Rapporttypes:
    • Type I: Evalueert de opzet en het bestaan van controles op een specifiek moment.
    • Type II: Evalueert de effectiviteit van deze controles over een bepaalde periode.

SOC 2

  • Doel: Biedt zekerheid over de interne controles van een serviceorganisatie met betrekking tot de beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy van gegevens.
  • Toepassing: Vooral relevant voor technologiebedrijven en serviceproviders die gegevens beheren of verwerken, zoals cloud service providers, datacenters, en SaaS-aanbieders.
  • Rapporttypes:
    • Type I: Evalueert de opzet en het bestaan van controles op een specifiek moment.
    • Type II: Evalueert de effectiviteit van deze controles over een bepaalde periode.

Wilt u  hierover met ons van gedachten wisselen of een offerte ontvangen neem dan contact op met:

hans Donkers

Hans Donkers

Hans Donkers is een onafhankelijk adviseur en auditor. Dit doet hij met de praktijk ervaring van een ruim 25-jarige internationale carrière bij KPMG. Hij is actief met het ondersteunen van directies, bestuurders en toezichthouders bij complexe verandertrajecten en bijbehorende technologievraagstukken. Dit altijd in een ”trusted” rol.
Hans heeft in zijn carrière diverse kwaliteits-, management- en bestuurs-rollen vervuld. Hij was onder meer voorzitter van NOREA de beroepsorganisatie van IT Auditors en hoofredacteur van Compact, het kwartaalblad over IT Governance. Hij treedt regelmatig op als spreker, gastdocent of dagvoorzitter en publiceert over Technology Governance.

Hans Donkers
+31653754323
hansdonkers@wedotrust.nl

Jaap van Beek

Jaap van Beek is een onafhankelijke auditor en adviseur. Dit doet hij met de praktijkervaring van een ruim 30 jarige carrière bij KPMG. Hij adviseert en coacht bedrijven en instellingen bij het verbeteren van de (aantoonbare) interne beheersing van hun processen en informatietechnologie. Als auditor voert hij onafhankelijke onderzoeken uit gericht op het verstrekken van assurance.
Jaap heeft veel ervaring opgedaan inzake ‘trust’ vraagstukken rond IT transformaties, interne beheersing en outsourcing in de keten inclusief het optreden als sparring partner voor besturen en toezichthouders op dit gebied.
Jaap heeft diverse publicaties op zijn naam staan en is binnen NOREA, de beroepsgroep van IT auditors, actief als voorzitter van het College Kwaliteitsonderzoeken.

Jaap van Beek
+31682590299
jaapvanbeek@wedotrust.nl