Nsecure legt de lat hoog met SOC 2 Type II

Update juli 2023: Na het behalen van de SOC 2 Type II verklaring in februari 2022, is Nsecure opnieuw beoordeeld en is de audit succesvol afgerond. Over de termijn van zes maanden zijn onze informatiebeveiligingsmaatregelen wederom uitvoerig getoetst door een onafhankelijk externe auditor. Wij geven met deze verklaring een onafhankelijke garantie dat alles volgens de hoogste maatstaven is geregeld. Het volledige verslag kan op verzoek worden verstrekt.

Nsecure heeft sinds kort de SOC 2 Type II Assuranceverklaring, een zeldzaamheid binnen de access & security branche. Daarmee zijn de gegevens die Nsecure verwerkt als IT security dienstverlener veiliger dan ooit. Alex Smaling, Manager business Identity & Cloud services bij Nsecure: “Dit is momenteel de heilige graal op het gebied van IT-security en wat ons betreft het nieuwe minimum. Wij zijn het aan onze klanten verplicht om altijd voorop te lopen.”

‘De kunst van controle’, is het credo van Nsecure. Daarmee draagt Nsecure uit dat zij niet alleen standaard diensten aanbiedt, maar net als een gepassioneerd kunstenaar altijd de grenzen verlegt. Of het nu een kantooromgeving, een industriecomplex, een ziekenhuis of een buitenlocatie betreft, de geïntegreerde platforms van Nsecure zorgen ervoor dat mensen niet alleen op efficiënte wijze ‘binnenkomen’, maar ook dat er voldaan wordt aan de geldende wet- en regelgeving. Daardoor is het direct duidelijk of iemand ergens mag zijn, of diegene bepaald werk mag doen en of de risico’s zijn afgedekt. Onze klanten zijn, kortom, volledig ‘in control’. En nu nog veiliger dan ooit.

Met ingang van 4 februari 2022 is Nsecure namelijk in het bezit van de SOC 2 Type II assurance verklaring voor al haar IT diensten. Maar wat is het precies en wat betekent het voor opdrachtgevers?

Op basis van 5 ‘trustserviceprincipes’

Hugo Gerritse, Information Security & Privacy consultant bij Nsecure: “SOC 2 is ontwikkeld om veel meer inzicht te geven in de kwaliteit van IT diensten, deze meer aantoonbaar te hebben en ook de effectieve werking van de processen en bijbehorende maatregelen periodiek te toetsen. SOC 2 is een echte accountantsverklaring die gaat over de veiligheid van IT diensten en de verwerking van gegevens.”

SOC 2 definieert criteria voor het beheren van klantgegevens op basis van vijf ’trustserviceprincipes’: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Gerritse: “SOC 2 Type II ziet erop toe of er op de juiste manier wordt omgegaan met informatiebeveiliging en privacy met betrekking tot de data die verwerkt wordt door Nsecure. Met deze verklaring verzeker je je klanten dat je als organisatie alle stappen hebt ondernomen om hun data veilig te stellen en te beschermen. Je gaat hiermee een stuk verder dan de ISO 27001-certificering.”

“De ISO 27001-certificering is voor Nsecure niet meer voldoende als het gaat om IT security”

Het verschil tussen SOC 2 Type II en de ISO 27001-certificering is dat de ISO-certificering een snapshot is: het toetst de dataverwerking op één bepaald moment. SOC 2 Type II toetst de werking van alle security controls over een langere termijn en die periodieke toetsing wordt gedaan door een onafhankelijke, speciaal daarvoor opgeleide accountant.

Hoogst haalbare zekerheidsniveau

Alex Smaling zag dat er een groeiende behoefte was bij grote organisaties voor meer zekerheid rondom IT diensten en gegevensverwerking. Smaling: “Nsecure werkt voor de top-500 bedrijven van Nederland. Daar zitten organisaties bij die duizelingwekkende hoeveelheden data moeten verwerken. Toen wij merkten dat klanten een groot belang hebben bij een hoge graad van IT-security en een SOC 2 Type II verklaring, zijn we aan de slag gegaan. Nog geen jaar later zijn we zover en kunnen we klanten dit hoogst haalbare zekerheidsniveau bieden. Daarmee zijn we een van de eersten in Nederland binnen onze branche.”

“We zijn hiermee één van de eersten in Nederland”

De controles die de accountant voor SOC 2 Type II uitvoert zijn grondig. Gerritse: “Alle processen rondom onze gegevensverwerking moeten bijvoorbeeld na te gaan zijn en effectief werken. Je creëert daarmee een zogenoemde audit trail. Die audit trail zorgt ervoor dat alles ‘naspeurbaar’ is. Als er in mijn agenda staat dat ik een vergadering heb gehad met een belangrijke partner, dan moet ik dat van de accountant kunnen aantonen, bijvoorbeeld door notulen aan te leveren, een actielijst van die vergadering en de opvolging inzichtelijk te maken. SOC 2 Type II vereist dat je op alle disciplines ontzettend nauwkeurig bent en dat je vastlegt hoe alles werkt. Daarmee ontstaat een betrouwbaar beeld van de controle die je over alle IT processen hebt.”

Onafhankelijke garantie voor de toekomst

Smaling legt uit dat de kans groot is dat deze verklaring in de toekomst net als de ISO-certificeringen voor veel organisaties onmisbaar wordt. “Grote organisaties moeten steeds vaker vanwege hun eigen interne controles over de gehele keten van partijen waarmee ze samenwerken kunnen aantonen dat alles op orde is qua gegevensverwerking. Onze SOC 2 Type II-verklaring zorgt ervoor dat zo’n organisatie meteen weet dat het bij ons goed zit, wat hun weer tijd en moeite scheelt. Wij geven met deze verklaring een onafhankelijke garantie dat alles volgens de hoogste maatstaven is geregeld.”

The art of control

Dat de verklaring nu binnen is, betekent niet dat het werk ‘af’ is. Smaling: “We zijn hier dagelijks mee bezig. De accountants zullen periodiek weer alles controleren, dus je moet scherp blijven, maar dat zit ook in ons DNA: the art of control is niet voor niets onze credo. We staan hier dagelijks bij stil en iedereen binnen onze organisatie snapt de nut en de noodzaak. We zijn echt intrinsiek gemotiveerd; wij kijken continu hoe je de mate van controle over alle processen weer een niveau hoger kunt tillen. Daardoor zijn onze diensten altijd toekomstbestendig, en zijn onze klanten altijd aantoonbaar ‘in control’.”