Waarom een ISAE 3402-verklaring steeds vaker naast het AVG-beleid opduikt

Organisaties die persoonsgegevens verwerken, weten inmiddels dat AVG-naleving meer vraagt dan een privacyverklaring op de website. De Autoriteit Persoonsgegevens heeft de afgelopen jaren steeds hogere boetes uitgedeeld, met sancties die bij grote overtredingen in de miljoenen lopen. Die ontwikkeling maakt duidelijk dat toezichthouders niet langer genoegen nemen met papieren beloftes over gegevensbeveiliging.

Tegelijkertijd groeit de behoefte aan objectieve bewijslast. Verwerkersovereenkomsten bevatten standaard de eis dat een verwerker passende technische en organisatorische maatregelen treft, maar hoe toon je dat concreet aan? Steeds meer opdrachtgevers en auditcomités vragen om een onafhankelijke verklaring die verder gaat dan een zelfbeoordeling of een checklist.

Precies daar komt de ISAE 3402-certificering in beeld. Deze internationale standaard, ontwikkeld door de International Auditing and Assurance Standards Board, biedt serviceorganisaties een raamwerk om de effectiviteit van hun interne beheersingsmaatregelen te laten toetsen door een onafhankelijke auditor. Het resultaat is een assuranceverklaring die klanten en stakeholders direct inzicht geeft in de betrouwbaarheid van uitbestede processen.

De feitelijke bewijskracht van een ISAE 3402-verklaring

Een ISAE 3402-rapport beschrijft de controledoelstellingen van een serviceorganisatie en de maatregelen die zijn ingericht om die doelstellingen te halen. Er bestaan twee typen. Een Type I-rapport beoordeelt het ontwerp van maatregelen op een specifiek moment, terwijl een Type II-rapport de werking over een periode van minimaal zes maanden toetst.

Dat onderscheid is bijzonder relevant voor AVG-doeleinden. Artikel 32 van de verordening vereist namelijk niet alleen dat beveiligingsmaatregelen bestaan, maar ook dat ze effectief functioneren. Een Type II-rapport sluit daar naadloos op aan doordat het aantoont dat controls gedurende langere tijd daadwerkelijk hebben gewerkt.

In de praktijk betekent dit dat een organisatie met een ISAE 3402 Type II-verklaring bij een datalek of een onderzoek door de toezichthouder direct kan laten zien welke maatregelen actief waren op het moment van het incident. Dat is een aanzienlijk sterkere positie dan achteraf een beleidsdocument moeten overleggen waarvan de werking niet onafhankelijk is geverifieerd.

De wisselwerking tussen privacyaudits en IT-audits

Veel organisaties laten een privacyaudit uitvoeren om hun AVG-gereedheid te beoordelen. Zo'n audit richt zich doorgaans op verwerkingsregisters, DPIA's, verwerkersovereenkomsten en de rechten van betrokkenen. Wat daarbij soms onderbelicht blijft, is de technische onderbouwing van de getroffen maatregelen.

Een IT-audit vult dat gat op. Waar een privacyaudit vaststelt dat er een toegangsbeheerbeleid is, controleert een IT-audit of de autorisaties in het ERP-systeem daadwerkelijk correct zijn ingericht. Het Bredase auditbureau 2-Control, opgericht in 2006 en aangesloten bij NOREA, combineert beide disciplines en merkt dat organisaties die beide trajecten parallel doorlopen sneller tot een sluitend beheerskader komen.

Die gecombineerde aanpak wint terrein bij middelgrote ondernemingen die werken met systemen als Microsoft Dynamics 365 Business Central. Juist in die omgevingen raken financiele processen en persoonsgegevensverwerking verweven, waardoor een geïsoleerde privacyaudit onvoldoende grip biedt op de feitelijke risico's.

Wanneer een ISAE 3402-traject zinvol is

Niet elke organisatie heeft een ISAE 3402-certificering nodig. De standaard is specifiek bedoeld voor serviceorganisaties die diensten leveren waarbij zij invloed uitoefenen op de interne beheersing van hun klanten. Denk aan salarisverwerkers, hostingpartijen, cloudleveranciers en administratiekantoren.

Toch kan het certificeringstraject ook indirect relevant zijn voor organisaties die zelf geen serviceorganisatie zijn. Wanneer zij diensten uitbesteden aan partijen die wel onder deze standaard vallen, biedt het rapport van de leverancier een objectief toetsingskader. Dat bespaart tijd bij het opstellen van verwerkersovereenkomsten en het uitvoeren van due diligence op leveranciers.

NOREA, de Nederlandse Orde van Register EDP-Auditors, publiceerde in 2025 een herziene handreiking voor het uitvoeren van ISAE 3402-opdrachten. Daarin benadrukt de beroepsorganisatie dat auditors steeds explicieter moeten rapporteren over privacy-gerelateerde controls. Dat is een direct gevolg van de toenemende overlap tussen IT-assurance en gegevensbescherming.

Voor organisaties die twijfelen over de juiste aanpak, loont het om een pre-audit te laten uitvoeren. Gecertificeerde IT-auditors met titels als RE of CISA brengen daarbij in kaart welke controls al aanwezig zijn en waar de belangrijkste hiaten zitten, zodat het vervolgtraject gericht en efficiënt verloopt.

Van papieren beleid naar toetsbare praktijk

De AVG dwingt organisaties al sinds mei 2018 om privacy serieus te nemen, maar de nadruk verschuift merkbaar van documentatie naar aantoonbaarheid. Volgens het GDPR Enforcement Tracker hebben Europese toezichthouders inmiddels gezamenlijk voor ruim 5 miljard euro aan boetes opgelegd sinds de verordening van kracht werd. Die cijfers onderstrepen dat alleen een privacybeleid op papier niet langer volstaat.

Een ISAE 3402-certificering biedt een concreet mechanisme om die aantoonbaarheid te leveren. Het traject dwingt organisaties om hun processen te documenteren, periodiek te testen en te laten valideren door een onafhankelijke partij. Zo ontstaat een cyclisch verbeterproces dat zich niet beperkt tot een eenmalige compliance-exercitie maar doorlopend inzicht geeft in de kwaliteit van de beheersing.

Organisaties die nu investeren in een combinatie van privacyaudits en IT-assurance bouwen aan een beheerskader dat bestand is tegen toekomstige regelgeving. De voorgestelde ePrivacy-verordening, waarover de Europese instellingen al sinds 2017 onderhandelen, zal aanvullende eisen stellen aan elektronische communicatie en cookieverwerking. Wie nu al een robuust auditframework heeft ingericht, hoeft straks niet vanaf nul te beginnen.