Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Assurance

Concepten

Zekerheid dat je kunt vertrouwen op de kwaliteit van een bepaalde dienst of een bepaald proces.

Assurance in cybersecurity verwijst naar het niveau van zekerheid en vertrouwen dat je kunt hebben in de kwaliteit, betrouwbaarheid en effectiviteit van beveiligingsmaatregelen, processen of diensten. Het gaat niet om de maatregelen zelf, maar om het aantoonbaar maken dat die maatregelen werken zoals bedoeld. Assurance beantwoordt de vraag: hoe weet je zeker dat je beveiliging daadwerkelijk doet wat het belooft?

In de Nederlandse cybersecuritypraktijk wordt assurance vaak vormgegeven via audits, certificeringen en verklaringen. Bekende vormen zijn de ISAE 3402-verklaring (internationaal SOC 1), de SOC 2-rapportage, het Third Party Memorandum (TPM), ISO 27001-certificering en de DigiD-audit. Al deze instrumenten bieden in verschillende mate zekerheid over de betrouwbaarheid van informatiebeveiliging bij een organisatie of dienstverlener.

Waarom belangrijk

In een wereld waarin organisaties steeds meer afhankelijk zijn van externe dienstverleners en cloudoplossingen, is assurance onmisbaar. Wanneer je bedrijfskritieke data toevertrouwt aan een derde partij, wil je meer dan alleen hun belofte dat de beveiliging op orde is. Je wilt onafhankelijk bewijs, geleverd door een gekwalificeerde auditor, dat de beveiligingsmaatregelen daadwerkelijk zijn geimplementeerd en effectief functioneren.

Assurance speelt ook een cruciale rol bij het voldoen aan wet- en regelgeving. De AVG vereist dat je kunt aantonen dat persoonsgegevens adequaat worden beschermd. De NIS2-richtlijn stelt eisen aan de beveiliging van essentieel en belangrijke entiteiten. En branchespecifieke normen zoals de NEN 7510 voor de zorg of PCI DSS voor betalingsverwerkers vereisen periodieke assurance-activiteiten om compliance aan te tonen.

Daarnaast is assurance een commercieel onderscheidend vermogen. Organisaties die kunnen aantonen dat hun beveiliging onafhankelijk is getoetst, winnen het vertrouwen van klanten, partners en investeerders. Een ISO 27001-certificering of een SOC 2 Type II-rapport kan het verschil maken bij een aanbesteding of partnerselectie.

Hoe toepassen

Bepaal eerst welk assurance-niveau past bij jouw organisatie en de verwachtingen van je stakeholders. Niet elke organisatie heeft dezelfde mate van assurance nodig. Een startend softwarebedrijf kan beginnen met een zelfevaluatie op basis van het NIST Cybersecurity Framework, terwijl een financiele dienstverlener een SOC 2 Type II-rapport of een ISAE 3402-verklaring nodig heeft.

Kies het juiste assurance-instrument voor je situatie. De belangrijkste opties zijn ISO 27001-certificering, die een breed Information Security Management System (ISMS) toetst en internationaal wordt erkend. SOC 2 rapporten, die specifiek de beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en privacy van een dienstverlener toetsen. Een TPM (Third Party Memorandum), dat in de Nederlandse markt veel wordt gebruikt als assurance-instrument bij outsourcing. En de DigiD-audit, die verplicht is voor organisaties die DigiD-authenticatie gebruiken.

Bereid je organisatie voor op een assurance-traject door eerst intern te toetsen of je beveiligingsmaatregelen aan de gestelde normen voldoen. Voer een gap-analyse uit om te identificeren waar je tekortschiet en stel een verbeterplan op. Dit voorkomt verrassingen tijdens de formele audit en bespaart tijd en kosten.

Selecteer een gekwalificeerde auditor of certificerende instelling. Voor ISO 27001 heb je een geaccrediteerde certificeringsinstantie nodig. Voor een SOC 2-rapport of ISAE 3402-verklaring schakel je een Register EDP-auditor (RE-auditor) in. Controleer de referenties en ervaring van de auditor in jouw branche, want domeinkennis vergroot de waarde van het assurance-rapport.

Plan assurance als doorlopend proces, niet als eenmalige activiteit. Certificeringen moeten periodiek worden hernieuwd, meestal jaarlijks. Gebruik de tussenliggende periode om je control framework continu te verbeteren en je beveiligingsmaatregelen te actualiseren op basis van nieuwe dreigingen en veranderingen in je organisatie.

In de praktijk

Een Nederlandse cloudprovider wil zijn diensten aanbieden aan overheidsorganisaties. Om in aanmerking te komen, heeft het bedrijf een ISO 27001-certificering en een SOC 2 Type II-rapport nodig. Het assurance-traject duurt zes maanden, waarbij het bedrijf zijn beveiligingsprocessen documenteert, technische maatregelen implementeert en een externe auditor alle controles toetst. Na certificering kan het bedrijf deelnemen aan overheidsaanbestedingen en onderscheidt het zich van concurrenten zonder vergelijkbare assurance.

Een accountantskantoor wil zijn klanten zekerheid bieden over de beveiliging van hun financiele gegevens. Het kantoor laat een ISAE 3402 Type II-verklaring opstellen door een RE-auditor. Deze verklaring bevestigt niet alleen dat de beveiligingsmaatregelen zijn beschreven (Type I), maar ook dat ze gedurende een periode van zes tot twaalf maanden effectief hebben gefunctioneerd (Type II). Klanten ontvangen deze verklaring als bewijs dat hun data veilig wordt verwerkt.

Een gemeente gebruikt DigiD voor de digitale identificatie van burgers. Om DigiD te mogen gebruiken, is een jaarlijkse audit verplicht. De auditor controleert of de gemeente voldoet aan de ICT-beveiligingsrichtlijnen voor DigiD, inclusief netwerksegmentatie, versleuteling, security awareness en logging. Bij onvoldoende resultaat kan de DigiD-aansluiting worden opgeschort.

Een SaaS-leverancier voor de zorgsector combineert NEN 7510-certificering met een TPM-verklaring. De NEN 7510-certificering toont aan dat het informatiebeveiligingsmanagementsysteem voldoet aan de zorgsectorspecifieke eisen. De TPM biedt aanvullende zekerheid aan individuele klanten over de specifieke maatregelen die voor hun data gelden.

De kosten en baten van assurance-trajecten worden steeds transparanter. Waar assurance voorheen vaak werd gezien als een noodzakelijk kwaad en pure kostenpost, erkennen steeds meer organisaties de commerciele waarde ervan. Een ISO 27001-certificering kan de doorlooptijd van salesprocessen verkorten omdat prospects minder vragen hebben over beveiliging. Een SOC 2 Type II-rapport kan het verschil maken bij een aanbesteding. En een NEN 7510-certificering is in de zorgsector vaak een harde eis om in aanmerking te komen voor contracten.

De trend naar continue assurance wint terrein. In plaats van jaarlijkse puntmetingen verschuiven organisaties naar doorlopende monitoring van hun beveiligingscontroles. Geautomatiseerde compliance-platformen verzamelen continu bewijs dat controls effectief functioneren en signaleren afwijkingen in realtime. Dit biedt een actueler beeld dan traditionele audits en vermindert de auditlast doordat het bewijsmateriaal al beschikbaar is wanneer de auditor langskomt. Deze verschuiving naar continue assurance sluit aan bij de bredere trend van automatisering in cybersecurity.

Veelgestelde vragen

Wat is het verschil tussen assurance en certificering?

Certificering is een specifieke vorm van assurance waarbij een geaccrediteerde instelling bevestigt dat je voldoet aan een bepaalde norm. Assurance is breder en omvat ook verklaringen, rapporten en audits die zekerheid bieden zonder formele certificering. Een SOC 2-rapport is bijvoorbeeld assurance maar geen certificering.

Welke assurance-vorm past bij welke organisatie?

ISO 27001 is geschikt voor vrijwel elke organisatie die informatiebeveiliging serieus neemt. SOC 2 is vooral relevant voor dienstverleners die data van klanten verwerken. NEN 7510 is specifiek voor de zorgsector. Een TPM is geschikt wanneer je maatwerk-assurance nodig hebt die aansluit bij de specifieke eisen van je klanten.

Hoe lang duurt een assurance-traject?

Dit varieert sterk. Een ISO 27001-certificeringstraject duurt gemiddeld zes tot twaalf maanden voor de eerste certificering. Een SOC 2 Type I-rapport kan in drie tot vier maanden worden opgesteld, terwijl een Type II-rapport minimaal zes maanden observatieperiode vereist.

Wat kost assurance?

De kosten hangen af van de omvang van je organisatie, de gekozen assurance-vorm en de complexiteit van je IT-omgeving. Reken voor een ISO 27001-certificering op tienduizenden euros voor het initieel traject, exclusief de interne kosten voor het implementeren van verbeteringen. Jaarlijkse hercertificering is doorgaans goedkoper.

Wil je weten welke assurance-vorm past bij jouw organisatie? Vergelijk cybersecurityaanbieders voor audit en compliance op IBgidsNL.