Norm SC.04 Interne beheersing bij derden

De status van de interne beheersmaatregelen van externe dienstverleners wordt beoordeeld. Er zijn procedures om te zorgen dat externe dienstverleners voldoen aan wet- en regelgeving en contractuele verplichtingen.

Waarom is dit nodig?

Het is voor je school belangrijk dat externe dienstverleners intern hun zaken goed op orde hebben en dat ze voldoen aan wet- en regelgeving en de afspraken die in het contract staan. Immers, als zij hun zaken niet goed geregeld hebben, levert dat risico’s op voor de beschikbaarheid, integriteit, vertrouwelijkheid van de it-diensten en -componenten die zij leveren.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Interne beheersing van externe partijen wordt niet geëvalueerd.
2 Herhaalbaar
  • Er zijn enkele procedures gedefinieerd voor adequate interne beheersing door externe partijen.
3 Bepaald (streefniveau)
  • Er is een formeel vastgelegd proces om te zorgen dat interne beheersing effectief toegepast wordt.
  • De status van de interne beheersmaatregelen van de externe dienstverleners wordt periodiek geëvalueerd.
  • Er zijn procedures om te garanderen dat externe dienstverleners zich aan de contractuele verplichtingen houden.
4 Beheerst

Aanvullend op niveau 3:

  • Er zijn procedures om te garanderen dat externe dienstverleners zich aan wet- en regelgeving houden (bijvoorbeeld dataprivacy).
  • Verdere inzicht in deze toetsing wordt ook verkregen en opgevolgd door:
    • Een extern audit rapport (bijvoorbeeld SOC2, ISAE3402/SSAE16 of TPM);
    • Te steunen op een intern audit rapport van de serviceprovider (nadat de bekwaamheid van interne audit gevalideerd is);
    • Door gebruikmaking van de ‘recht op audit’ clausule.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Geautomatiseerde tooling en/of uitgebreide servicelevel rapporten bieden de organisatie maandelijks inzicht in de ontwikkeling van interne beheersmaatregelen van externe partijen.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

  • Neem toetsing van interne beheersmaatregelen van leveranciers op in het leveranciersmanagementproces.

Gerelateerde wetten en normen

Norm SC.04 Interne beheersing bij derden is gerelateerd aan de ISO-standaard 27001/2:2022.

ISO27001/2:2022

  • 8.1
  • A5.20
  • A5.21
  • A5.22
  • A5.36
Afdrukken

Op deze pagina