Compliance van gegevens – het is een mijnenveld! Het is bijna niet te geloven hoeveel gegevens tegenwoordig in de cloud (op de servers van iemand anders) worden opgeslagen. Grote en kleine organisaties zijn online aanwezig en maken gebruik van een groot aantal cloudgebaseerde oplossingen om hun bedrijfsvoering flexibeler te maken, hun winstgevendheid te vergroten en hun concurrentievermogen te verbeteren.

Zelfs organisaties die actief zijn in sectoren waar privacy en beveiliging van gegevens van het grootste belang zijn, zoals de gezondheidszorg, zijn afgestapt van on-premises architecturen en gemigreerd naar de cloud. Elke organisatie in de gezondheidszorg die ervoor kiest persoonlijke of vertrouwelijke informatie van gebruikers op te slaan en te verwerken bij een externe dienstverlener, moet kunnen aantonen dat de dienstverlener opereert op een HIPAA-conforme manier, waarbij de SSAE 16- en SSAE 18-auditnormen voor dienstverlenende organisaties een rol spelen.

Alsof het verschil tussen SSAE 16 en SAE 18 al niet moeilijk genoeg was, zijn er nog veel meer termen die vaak worden misbruikt en verkeerd begrepen in verband met deze normen, waaronder SAS 70, SOC 1-verslag, SOC 2-verslag, SOC 3-verslag, Type 1-verslag en Type 2-verslag. Laten we een eind maken aan deze verwarring en alles vanaf het begin uitleggen.

SAS 70

Het American Institute of Certified Public Accountants (AICPA), de nationale beroepsorganisatie van erkende accountants (CPA’s) in de Verenigde Staten, was zich bewust van de noodzaak voor dienstverlenende organisaties en dienstverleners om aan te tonen dat zij over adequate controles en waarborgen beschikken wanneer zij gegevens van hun klanten hosten of verwerken, en heeft daarom in april 1992 een reeks normen uitgevaardigd voor de rapportage over de door dienstverlenende organisaties uitgevoerde controles, bekend als SAS 70.

“Bijna 18 jaar lang was SAS 70 de gezaghebbende richtlijn die serviceorganisaties in staat stelde om hun controleactiviteiten en -processen in een uniform rapportageformaat bekend te maken aan hun klanten en de auditors van hun klanten“, legt uit, de eerste en oudste internetbron die volledig is gewijd aan de SAS 70-auditstandaard.

SSAE 16

Het tijdperk van SAS 70 eindigde effectief in januari 2010 met de voltooiing van de Statement on Standards for Attestation Engagements (SSAE) No. 16, Reporting on Controls at a Service Organization, door de AICPA. SSAE 16 werd van kracht op 15 juni 2011 en was gericht op de interne controles van de financiële verslaglegging (ICFR), die weinig te maken hebben met de diensten die worden aangeboden door HIPAA-conforme webhostingproviders en datacenters in het algemeen.

Om de reikwijdte van de SSAE 16-rapportage te verbreden, heeft de AICPA de Service Organization Controls (SOC)-rapporten in het leven geroepen als nieuwe opties voor organisaties die bezorgd zijn over beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy:

  • SOC 1-verslagen: Wordt alleen gebruikt om te rapporteren over het systeem van interne controles met betrekking tot de interne controle van de financiële verslaglegging.
  • SOC 2-verslagen en SOC 3-rapporten: Richt zich op controles bij een serviceorganisatie die relevant zijn voor de beginselen van veiligheid, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Het belangrijkste verschil tussen SOC 2-verslagen en SOC 3-verslagen is dat het eerstgenoemde type wordt gedeeld onder NDA, terwijl het laatstgenoemde type voor iedereen publiekelijk beschikbaar is.

Webhostingproviders, managed service providers, Software as a Service (SaaS)-bedrijven en cloud computing-providers die in het verleden SAS 70 gebruikten, hebben nu een SOC 2-verslag nodig.

Om alles nog ingewikkelder te maken, kunnen SOC 1- en SOC 2-verslagen een type I of een type II zijn:

  • Type I: Onderzocht wordt of de beschrijving van de serviceorganisatie van haar systeem overeenkomt met het systeem van de serviceorganisatie dat op een bepaalde datum is ontworpen en geïmplementeerd. Tevens wordt onderzocht of de controles in verband met de controledoelstellingen die het management in zijn beschrijving van het systeem van de serviceorganisatie heeft vermeld, adequaat waren opgezet om die controledoelstellingen te verwezenlijken.
  • Type II: Naast alles wat in type I-verslagen is opgenomen, wordt in een type II-verslag bovendien onderzocht of de controles in verband met de controledoelstellingen die in de beschrijving door het management van het systeem van de serviceorganisatie zijn opgenomen, gedurende de gespecificeerde periode doeltreffend hebben gefunctioneerd om die controledoelstellingen te verwezenlijken”.

SSAE 18

Op 1 mei 2017 heeft de AICPA SSAE 16 vervangen door een nieuwe standaard, bekend als SSAE 18, of Statement on Standards for Attestation Engagements No. 18. Net als SAS 70 en SSAE 16 daarvoor, is SSAE 18-gegevensnaleving geen certificering. Het is een audit- en attestatienorm die wordt gebruikt om SOC-verslagen (System and Organisation Controls) op te stellen (SOC 1, SOC 2, en SOC 3).

“De SSAE 18 update brengt een paar belangrijke verschillen met zich mee ten opzichte van zijn voorganger, SSAE 16. Het belangrijkste doel is om bepaalde oude standaarden te verduidelijken en het beoordelingsproces te stroomlijnen en te vereenvoudigen,” legt Colocation America uit, een HIPAA-conforme colocatie hosting provider. “De update van deze norm zal ook van bedrijven eisen dat ze meer controle en verantwoordelijkheid nemen voor de mensen met wie ze werken, in de eerste plaats externe verkopers.”

Volgens SSAE 18 moet een serviceorganisatie, die wordt gedefinieerd als elke entiteit die diensten verleent aan andere organisaties, alle sub-serviceorganisaties identificeren die worden gebruikt bij het verlenen van de diensten, en alle controles van sub-serviceorganisaties beschrijven waarop de serviceorganisatie vertrouwt om de primaire diensten aan haar klanten te verlenen. Andere vereisten zijn onder meer een risicobeoordeling waarin de belangrijkste interne risico’s van de organisatie worden belicht, en de uitvoering van controles om de doeltreffendheid van relevante controles bij de sub-serviceorganisatie te monitoren.

Door een SSAE 18-beoordeling te laten uitvoeren, kunnen HIPAA-conforme webhostingproviders en alle andere dienstverlenende organisaties hun partners geruststellen door hen concreet bewijs te bieden dat zij hun zaken volgens hun specificaties uitvoeren.

Naleving van gegevens Conclusie

Hopelijk begrijpt u nu het verschil tussen SAS 70, SSAE 16, SSAE 18, SOC 1, SOC2, en SOC3 data compliance. In een wereld waarin iedereen gegevens in de cloud opslaat, is het belangrijk om objectief te kunnen beoordelen hoe verschillende dienstverleners omgaan met gegevens over klanten en financiële verslaglegging, hoe zij werken en hoe zij deze controleren.

Dankzij SSAE 18 en zijn voorgangers kunnen HIPAA-conforme webhostingproviders en andere dienstverlenende organisaties er met een gerust hart van uitgaan dat de omgeving die zij hebben gecreëerd, veilig en beveiligd is.