- Door
- Rashid Niamat
- geplaatst op
- 12 juli 2012 08:01 uur
Wekelijks krijg ik tientallen persberichten en aankondigingen onder ogen. In die stroom viel recent een bericht op van een bekende zakelijke internet dienstverlener; het bedrijf had ISAE3402 Type 2 verkregen. ISAE3402 kom ik niet veel tegen in de internet sector, dus de hoogste tijd me hier weer eens in te verdiepen.
ISAE3402 vs SAS70
ISAE3402 Type 2 is een audit, uitgevoerd door daartoe bevoegde externe auditors, waarbij vooral wordt gelet op de werking van interne processen en op welke wijze de kwaliteit van de dienstverlening is geborgd. In Nederland zie ik deze ISAE3402 nog niet vaak genoemd worden. Dat komt omdat de meeste ondernemers die met dit type audits te maken hebben gewend zijn aan SAS70. SAS70 is echter recent uitgefaseerd en per juni 2011 is ISAE3402 een van de opvolgers. Het aantal contracten (of aanbestedingen) waarbij expliciet om ISAE3402 wordt gevraagd is vooralsnog niet bijzonder groot. Ik kwam zelfs recent nog tenders tegen waarbij om SAS70 werd gevraagd.
Certificeren, trend en noodzaak
Als je antwoord wil hebben op de meest voor de hand liggende vragen over ISEA3402 kun je de Wiki raadplegen, maar je kunt ook een deskundige je vragen voorleggen. En dat heb ik gedaan. Wederom ben ik om raad gaan vragen bij Louis van Garderen van Mazars. De eerste vraag die ik hem stelde had betrekking op mijn verbazing. Ik zie bijvoorbeeld veel meer ISO2700x persberichten voorbij komen dan ISEA3402. Volgens van Garderen zullen we echter in de toekomst meer ISEA3402 meldingen tegenkomen. Logisch, want er is een globale trend naar meer certificeringen. Iedereen die de beursschandalen van begin deze eeuw in de USA heeft meegemaakt, begrijpt ook waarom de roep om betere en objectieve audits is toegenomen.
Marketingtool
ISEA3402 is eigenlijk bedoeld als kader zodat de auditor van een klant met de auditor van de leverancier kan communiceren over – bijvoorbeeld in dit geval – de kwaliteit van de serviceverwerking van de datacenter activiteiten. Wat van Garderen daarbij scherp opmerkt, en dat is mij ook bij enkele klanten opgevallen, is dat het voor aanbieders van o.a. datacenterdiensten heel nuttig kan zijn ISEA3402 actief in te zetten. Toevoegen aan de lijst certificaten die op de website vermeld staan dus. Je onderscheiden van de concurrentie op meer dan de bekende ISO’s en groene stroom is altijd een interessante optie.
Bekendheid
Maar ISAE3402 op korte termijn als vast onderdeel van de propositie van elk datacenter, dat gaat om twee redenen niet gebeuren. Van Garderen bevestigt allereerst dat ISEA3402 nog niet echt bekend is in de markt. Een ander punt dat volgens hem een rol speelt is dat niet iedereen deze audit norm goed begrijpt. Ik kom wel eens bedrijven tegen die serverracks huren bij een ISO2700x partij en er dan in hun naïviteit van uitgaan dat ze zelf ook “zo goed als” ISO2700x gecertificeerd zijn. Dus dat er in die complexe markt van datacenter -en hostingdiensten onduidelijkheid is over ISEA3402 kan ik me goed voorstellen.
Noodzaak of onvermijdelijk
Dat het een nuttige audit is, daarvan ben ik al langer overtuigd. Als jouw prospect of klant zelf al geaudit wordt is het wel zo fijn als zijn auditor van jou een ISEA3402 kan inzien. En bij aanbestedingen en dergelijke is het in toenemende mate een eis, net zoals SAS70 dat vele jaren was.
Ik zie ISAE3402 echter ook als noodzakelijk onderdeel van een proces waarbij partijen – via onafhankelijke derden – steeds meer van elkaar willen weten dan alleen de financiële processen (wat de basis is van ISEA3402). Anders gezegd certificering en audits worden steeds meer een need to have in plaats van nice to have. Van Garderen lijkt die mening te onderschrijven en signaleert daarbij vanuit zijn vakgebied de behoefte in de markt aan meer focus op betrouwbaarheid en veiligheid van gegevensverwerkingen. De toekomst zal leren of ISAE3402 daarvoor een bruikbare TPA is.