Wat houdt ISAE 3000 Type II in?

De ISAE 3000-verklaring bouwt verder op onze bestaande ISO 27001-certificering. Waar ISO 27001 een kwaliteitsmanagementsysteem is voor informatiebeveiliging, gaat ISAE 3000 specifiek in op privacymaatregelen in het kader van de Algemene Verordening Gegevensbescherming (AVG).

Er zijn twee varianten:

• Type I: Toetsing op een bepaald moment: zijn de maatregelen goed opgezet?
• Type II: Toetsing over langere tijd ( bijv.12 maanden): werken de maatregelen ook daadwerkelijk in de praktijk?

Met Type II tonen we dus aan dat onze beveiliging niet alleen op papier staat, maar ook dagelijks wordt nageleefd. Ik vergelijk de ISAE (International Standard for Assurance Engagements) vaak met de financiële boekhouding. De accountant controleert deze en wil van elke transactie een bewijs zien zoals een bonnetje of een factuur. De ‘IT-accountants’ doen tijdens de audits van ISAE 3000 hetzelfde. Van 95 privacy-maatregelen die volgens het Privacy Control Framework van Norea zijn opgesteld, moeten wij bewijsstukken aanleveren.

De ISAE 3000-audit, ook vergelijkbaar met SOC 2, richt zich nadrukkelijk op informatiebeveiliging en privacy, en niet op financiële processen zoals bij ISAE 3402 het geval is. De toetsing is gebaseerd op de zogeheten Trust Service Criteria, opgesteld door het American Institute of Certified Public Accountants (AICPA). Deze criteria omvatten vijf gebieden: Security, Availability (Beschikbaarheid), Processing Integrity (Integriteit), Confidentiality (Geheimhouding) en Privacy. Samen vormen zij het toetsingskader voor een veilige en betrouwbare verwerking van data.

Uniek in de Moodle wereld

Avetica is de enige Moodle Partner in Nederland en België met deze onafhankelijke verklaring. Voor onze klanten, van onderwijsinstellingen tot bedrijven en overheden, betekent dit iets heel concreets: zekerheid op het gebied van privacy. Zij weten dat hun gegevens bij ons in veilige handen zijn en dat we voldoen aan alle eisen die de AVG stelt aan gegevensverwerkers.

Blijvend investeren in veiligheid

Onze klanten zijn de Verwerkingsverantwoordelijken. Zij moeten aantonen dat hun leveranciers zorgvuldig omgaan met persoonsgegevens. Met onze ISAE 3000 Type II verklaring leveren wij dat bewijs proactief. Dat scheelt tijd, vermindert risico’s en geeft rust voor onze klanten. Je weet dat je werkt met een partner die zijn zaken op orde heeft.

Databeveiliging is geen eenmalige inspanning, maar een doorlopend proces. We investeren voortdurend in onze systemen, processen en mensen. Deze hernieuwde certificering is daar een tastbaar bewijs van.

“Onze klanten vertrouwen ons hun data toe. Het is onze verantwoordelijkheid om dat vertrouwen elke dag waar te maken. De ISAE 3000 Type II verklaring laat zien dat we dat ook daadwerkelijk doen.” – Arnout Vree, directeur en oprichting Avetica

Vragen of interesse?

Wil je meer weten over onze aanpak rondom privacy en informatiebeveiliging? Of wil je meer weten over ons update- en upgradebeleid, Neem dan gerust contact met ons op. We vertellen je er graag meer over.

Het bericht Wederom ISAE 3000 Type II rapportage voor Avetica: bewijs van AVG-compliance verscheen eerst op Avetica.

In een Moodle omgeving worden (privacy) gegevens verwerkt. Moodle heeft minimaal een gebruikersnaam, email adres en voor- en achternaam nodig. In sommige omgevingen wordt nog meer data opgenomen. Wie is er nu eigenlijk verantwoordelijk voor deze gegevens? Deze vraag wordt helaas niet door elke klant gesteld.

De ‘eigenaar’ van de Moodle omgeving is zelf verantwoordelijk voor de gegevens die worden verwerkt. Ook al wordt de hosting van Moodle uitbesteed aan Avetica, u bent en blijft zelf verantwoordelijk voor de data! Ook dient u er op toe te zien dat wij als Avetica ons werk veilig en binnen de regels van de AVG uitvoeren. Elke organisatie moet kunnen aantonen dat zij de privacy van persoonsgegevens waarborgt. Dat geldt dus ook als een deel van die verwerking is uitbesteed aan Avetica. De Algemene Verordening Gegevensbescherming (AVG) stelt dat de organisatie verantwoordelijk is voor de privacy van persoonsgegevens.

Privacy aantoonbaar op orde? Wat betekent dit concreet?

Avetica verwerkt ondertussen de persoonsgegevens van meer dan 1 miljoen gebruikers in alle Moodle sites. Wij hebben dus een grote verantwoordelijkheid om onze privacy-processen en certificeringen voor informatiebeveiliging op orde te hebben. Het ISO 27001 certificaat is vorig jaar al verlengd. Voor de privacy heeft Avetica wederom een onafhankelijke audit laten uitvoeren. Het resultaat is een ISAE-3000 type II rapportage, waarmee Avetica inzicht geeft in haar privacy-processen. Deze rapportage is altijd opvraagbaar door het management of de Functionaris Gegevensbescherming van uw organisatie.

De hele keten op orde?

Als organisatie bent u verantwoordelijk dat in de gehele keten alle afspraken over de verwerking van persoonsgegevens worden nageleefd. Voor onze klanten ziet deze keten er meestal als volgt uit:

Klant >> Moodle leverancier >> Hosting leverancier >> Datacentrum

Als je de hosting van Moodle onderbrengt bij een partij die dit niet op orde heeft, blijf je nog steeds verantwoordelijk maar heb je totaal geen controle over de verwerking van persoonsgegevens.

Moodle Premium Partner

Avetica wil continue goede Moodle dienstverlening leveren. Met deze nieuwe ISAE 3000 rapportage laten we zien dat we ook echt een premium partner zijn voor onze klanten, ook op het gebied van informatiebeveiliging en privacy. Als klant mag u deze ISAE 3000 rapportage bij ons opvragen.

Wilt u meer weten over privacy in Moodle? Lees dan onze blogs over dit onderwerp.

Het bericht Wie is er verantwoordelijk voor (privacy) gegevens in Moodle? verscheen eerst op Avetica.

Iedere organisatie verwerkt persoonsgegevens en daarom moet zij verantwoording kunnen afleggen over de wijze waarop de data wordt verwerkt en beschermt. Of je nu Gegevensverantwoordelijke bent of Verwerker zoals in ons geval. Onze klanten vertrouwen de Moodle hosting toe aan Avetica en momenteel gaat dat om zo’n 700.000 gebruikers in alle leeromgevingen. Dan moet je je certificeringen en processen goed op orde hebben.

De Autoriteit Persoonsgegevens (AP) kan elke organisatie verplichten om verantwoording af te leggen over de gegevensverwerkingen. De AP zegt het volgende over de verantwoordingsplicht:

De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

Inzicht in privacy processen

In 2019 heeft Avetica een privacy raamwerk met 92 interne beheersingsmaatregelen opgezet en geïmplementeerd. Door een onafhankelijke Register EDP-auditor is daar een ISAE-3000 type II rapportage van opgesteld. De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. ISAE 3000 is een internationale standaard voor het uitvoeren van assurance opdrachten. Nu is over de controleperiode 2021 vastgesteld dat dit privacy raamwerk bij Avetica nog steeds goed geïmplementeerd is en werkt. 

Met de ISAE-3000 rapportage geeft Avetica het management en de Functionaris Gegevensbescherming van onze klanten inzicht in onze processen. Daarmee heeft een klant een middel in handen om de privacy processen op elkaar te laten aansluiten. Bedenk dat als wij de Moodle hosting verzorgen, onze klanten nog steeds de eindverantwoordelijkheid hebben. Je kunt als organisatie niet alleen vermelden dat je datacenter ISO 27001 gecertificeerd is. De hele keten moet aantoonbaar voldoen aan de AVG, dus ook de Moodle dienstverlener die je inhuurt.

Onafhankelijke audits

Jouw organisatie moet ‘accountable’ zijn en als Gegegevensverantwoordelijke moet je bij elke Verwerker een onafhankelijke audit laten uitvoeren om dit aan te tonen. Dit kan een hele dure grap worden voor organisaties. Onze ISAE-3000 type II rapportage voorkomt dat elke klant een onafhankelijke audit moet laten uitvoeren bij Avetica en bespaart dus kosten. Al onze (potentiële) klanten mogen deze rapportage bij ons opvragen.

Premium Moodle Partner

Premium partner zijn van Moodle betekent voor Avetica ook kwaliteit leveren op de domeinen van veiligheid en privacy. Ook daarom vertrouwen onze klanten de hosting van Moodle aan ons toe.

Het bericht Avetica voldoet weer aantoonbaar aan AVG met de ISAE 3000 verklaring verscheen eerst op Avetica.

Ruim twee jaar nadat de AVG van kracht is geworden blikken we terug en kijken we naar welke privacy incidenten hebben plaatsgevonden. Avetica registreert elke privacy- en informatiebeveiligingsincident van onszelf en van onze klanten, want dit is een onderdeel van onze ‘privacy-boekhouding’.

Wat zijn de meest opmerkelijke privacy incidenten die klanten van Avetica hebben gemeld bij ons?

Wat opvalt in onderstaande lijst is dat veel gemelde privacy incidenten niet over de code van Moodle zelf gaat, maar over de wijze waarop Moodle is ingericht of wordt gebruikt. Een aantal meldingen gaan over algemene privacyzaken.

Overzicht

• Een opleidingsinstituut gebruikte in Moodle 3.5 het berichtensysteem in cursussen, maar alle 8.000 gebruikers waren in het berichtensysteem vindbaar;
• Global Search was niet goed geconfigureerd. Eén recht van gebruikers stond te ver open waardoor profielen doorzoekbaar waren voor diverse klanten van deze uitgeverij;
• Een opleidingsinstituut wees een gebruiker met rol ‘docent’ toe in cursus i.p.v. rol ‘student’;
• Een school stuurde een lijst met gebruikers om te uploaden met veel te veel gegevens (o.a. BSN nummers);
• Avetica verwijderde een Moodle site een maand te vroeg (i.v.m. opzegging);
• Discussie met een klant over het wel/niet melden van een datalek na serverstoring.

Deze laatste melding heeft mij persoonlijk meer inzicht gegeven in de breedte van het begrip ‘datalek‘. Als een site langdurig niet beschikbaar is door een storing of ransomware, ziet de wetgever dit als een datalek. Ook als is er in de letterlijke betekenis geen data kwijtgeraakt of gekopieerd is.

Bewustwording en training

Eén van de sterke punten uit de AVG is de focus op bewustwording. Een aantal incidenten had voorkomen kunnen worden als er meer bewustwording en training was gegeven. Het opleidingsbeleid met betrekking tot de privacy moet trouwens ook een onderdeel zijn van uw privacy boekhouding.

Passende beveiliging

Een ander belangrijk punt is het principe van passende beveiliging. Wat passend is vertelt de wetgever niet. Maar een Moodle site die niet meer ondersteund wordt met updates en bugfixes valt in ieder geval niet onder passende beveiliging. Elke Gegevensverantwoordelijke moet daarom zorgen dat zijn Moodle site tijdig worden geüpgraded. Zie onze vele berichten over de releases van Moodle.

ISAE 3000 rapportage

Wil je accountable zijn met je privacy boekhouding tegenover jouw klanten? Overweeg dan als organisatie een privacy raamwerk op te stellen. Avetica heeft als basis het NOREA Privacy Controle Framework gebruikt. Hiervan laten wij jaarlijks een audit doen door een onafhankelijke Register EDP-auditor. Het resultaat is een ISAE 3000 rapportage. Deze rapportage geeft het management en de Functionaris Gegevensbescherming (of Data Protection Officer) van onze klanten inzicht in de processen van Avetica. Ook voorkomt deze ISAE-3000 rapportage dat elke klant een onafhankelijke privacy audit moet laten uitvoeren bij Avetica. En dat scheelt weer kosten bij onze klanten.

Het bericht Een greep uit de lijst met privacy incidenten verscheen eerst op Avetica.

Werken aan privacy en informatiebeveiliging is geen momentopname. Dit vergt continue de aandacht van alle werkzaamheden die Avetica uitvoert.

Als Verwerker van vele honderden Moodle (Workplace) sites moeten wij de privacy en informatiebeveiliging goed op orde hebben. Maar waaruit blijkt dat? Hoe toont Avetica aan dat zij accountable is volgens de AVG?

Privacy raamwerk ISAE-3000

Vorig jaar heeft Avetica een privacy raamwerk met 92 interne beheersingsmaatregelen opgezet en geïmplementeerd. Door een onafhankelijke Register EDP-auditor is daar een ISAE-3000 rapportage van opgesteld. De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. ISAE 3000 is een internationale standaard voor het uitvoeren van assurance opdrachten. Nu is over een controleperiode van minimaal 6 maanden de werking vastgesteld van dit privacy raamwerk. 

Inzicht in privacy processen

De persoonsgegevens in elke Moodle (Workplace) site valt onder de verantwoordelijkheid van de eigenaar van de site. Ook als deze op de servers van Avetica staan. Uiteraard is Avetica ook verantwoordelijk voor het goed beheren van de sites, maar de eindverantwoordelijkheid ligt bij onze klanten. Met de ISAE-3000 rapportage geeft Avetica het management en de Functionaris Gegevensbescherming (of Data Protection Officer) van onze klanten inzicht in onze processen. Daarmee hebben de klanten van Avetica een middel in handen om de privacy processen op elkaar te laten aansluiten. Ook voorkomt deze ISAE-3000 rapportage dat elke klant een onafhankelijke audit moet laten uitvoeren bij Avetica. En dat scheelt weer kosten bij onze klanten.

Ook ISO 27001 en 9001

In dezelfde periode heeft Avetica ook de vernieuwde ISO 27001 en 9001 certificaten ontvangen. Met deze internationaal erkende kwaliteitsnormen tonen wij aan dat Avetica staat voor continue verbetering, duurzame bedrijfsvoering en optimale informatiebeveiliging.

Het bericht Privacy en informatiebeveiliging op orde met nieuwe ISAE 3000 & ISO 27001 verscheen eerst op Avetica.

Avetica heeft een privacy raamwerk met 92 (!) interne beheersingsmaatregelen opgezet en geïmplementeerd. Er is een Service Organisatie Control rapport opgesteld die door onze onafhankelijke auditor wordt gecontroleerd, gebruikmakend van Richtlijn 3000. Deze ISAE-3000 rapportage verschaft het management en de Functionaris Gegevensbescherming (of Data Protection Officer) van onze klanten inzicht in de processen van Avetica om daarmee de eigen privacy processen te laten voldoen aan de eisen zoals opgenomen in de Algemene Verordening Gegevensbescherming.

De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. ISAE 3000 is een internationale standaard voor het uitvoeren van assurance opdrachten. De privacyprocessen binnen Avetica zijn gebaseerd op het NOREA Privacy Control Framework.
Op aanvraag wordt de ISAE-3000 type I rapportage van Avetica beschikbaar gesteld. 

Avetica is tevens ISO 9001:2015 én ISO 27001:2013 gecertificeerd. Met deze internationaal erkende kwaliteitsnormen tonen wij aan dat Avetica staat voor continue verbetering, duurzame bedrijfsvoering en optimale informatiebeveiliging.

Avetica is gecertificeerd Moodle Partner in Nederland en België en met deze nieuwe ISAE rapportage en onze bestaande ISO certificaten hebben wij een mooie set aan certificaten en rapportages om kwalitatief goede en veilige Moodle hosting aan te bieden aan onze klanten.

Het bericht Privacyrapportage ISAE 3000 voor Avetica verscheen eerst op Avetica.