• Home
• Nieuws

Audittrail: Toetsen informatiebeveiliging outsourcingspartner houdt de relatie vitaal

Geplaatst door CorporatieMedia op Tuesday 1 August 2017

Door de opkomst van de cloud maken woningcorporaties steeds vaker gebruik van outsourcingspartijen voor het hosten van hun gegevens. Gegevens die vervolgens door de externe partij goed moeten worden beschermd. Hoe houd je als corporatie grip op informatiebeveiliging als dit door derden wordt beheerd, en waarom is dit zo belangrijk? CorporatieGids.nl ging hierover in  gesprek met Jorrit van de Walle, eigenaar van audit- en adviesbureau Audittrail.

De trend dat corporaties steeds meer willen toetsen hoe hun outsourcingspartij de gegevens beschermt, is iets wat de laatste twee jaar is komen opzetten. Jorrit: "Voor die periode stonden er wel eisen in een SLA of contract, maar dat was het dan ook. Er werd veel gehandeld op goed vertrouwen en blauwe ogen. Het toetsen of de gemaakte afspraken werden nagekomen gebeurde nauwelijks."

Preventie
Het mes van het testen van de informatiebeveiliging bij externe partijen snijdt echter aan twee kanten, legt Jorrit uit. "Aan de ene kant is dit simpelweg een taak van de corporatie. Zij zijn eindverantwoordelijk voor de gegevens, en moeten zorgen dat het goed wordt beschermd. Tegelijkertijd zorgt het uitvoeren van audits ook voor preventie. Het is normaal dat je met je medewerkers van tijd tot tijd functioneringsgesprekken houdt zodat alles goed blijft lopen. Dat mag je dan ook van je outsourcingspartij verwachten. Als je tijdens de audits tegen problemen aanloopt kun je eventuele problemen sneller signaleren en verhelpen."

Corporaties en outsourcingspartijen die onlangs met elkaar in zee zijn gegaan hebben vaak samen de informatiebeveiliging goed geregeld. "De eerste scheurtjes komen vaak pas later in de relatie opzetten. Veelal gebeurt dit wanneer de corporatie verder is qua informatiebeveiliging en privacy dan de partner, en eisen stelt die de outsourcingspartij niet kan waarmaken."

Right to audit
Corporaties zijn volgens Jorrit steeds meer bewust van de noodzaak voor een goede beveiliging van data. Om daar grip op te houden bij outsourcingspartijen, adviseert Audittrail het handhaven van 'right to audit'. "Dit is in de theorie een geaccepteerd begrip, en hoort integraal verwerkt te zijn in contracten met outsourcingspartijen. Wij zien gelukkig dat steeds meer corporaties dit logisch vinden. Ze staan steeds volwassener in het thema informatiebeveiliging."

Kennis en vaardigheid
Om een audit goed uit te voeren heeft de corporatie kennis van zaken nodig en de vaardigheid om dit op een juiste manier uit te voeren. Corporaties hebben echter vaak geen eigen auditor. "En als ze die wel hebben, focust diegene zich doorgaans vooral op financiële of operationele vraagstukken. Er komt veel op hen af, waardoor IT-vraagstukken ondergesneeuwd raken."

Audittrail kan corporaties ondersteunen door kennis en gespecialiseerde auditers te leveren. "Wij kunnen corporaties helpen wanneer ze zelf hun eigen audits willen uitvoeren door dit op een juiste manier in te richten. Audittrail kan hen ook ondersteunen door de hele audit uit te voeren. Wij voeren dit uit, voeren overleg met de outsourcingspartij en rapporteren naar de corporatie. Op deze manier nemen wij onze jarenlange ervaring met audits binnen en buiten de corporatiesector mee."

Vitale relatie
Jorrit sluit af door te zeggen dat corporaties zich goed moeten beseffen dat ze audits mogen uitvoeren. "Op deze manier houd je de relatie met je outsourcingspartij vitaal. Het is een mooi toetsmoment om afspraken te ijken en te kijken of alles goed gaat. Je raakt betrokken met elkaar en kunt op een vroeg moment problemen signaleren, en hier indien nodig op acteren. Belangrijk om te beseffen is dat het uitvoeren van een audit geen afrekening of 'politieagentje spelen' is, maar puur wordt gedaan om de kwaliteit van de organisatie te verbeteren. Daar worden uiteindelijk de corporatie én de outsourcingspartij beter van."

Bron: Johan van den Beld | CorporatieMedia - 24 juli 2017