In juni heeft Praclox wederom de audit voor de jaarlijkse ISO 27001-audit met goed gevolg doorlopen. In deze audit zijn ook de ontwikkel- en ondersteuningsprocessen van Praclox onder de loep genomen. Hiervoor wederom een ISAE 3402 type II-verklaring afgegeven. Uiteraard zijn we trots op dit mooie resultaat.
ISO 27001
De ISO 27001-certificering ziet toe op informatiebeveiliging. In 2019 heeft Praclox deze audit voor het eerst met goed gevolg doorlopen. Ieder jaar wordt deze vervolgens herhaald. Iedere twee jaar laten we in voorbereiding op de audit een penetratietest (door 'ethische hackers') plaatsgevonden, waarbij de technische beveiliging van het systeem van Praclox bekeken is. In deze penetratietest wordt eveneens de beveiliging van ons online-platform OthoOnline meegenomen, zodat u zekerheid heeft dat uw data niet voor onbevoegde partijen toegankelijk is. Uiteraard waren de bevindingen hiervan positief. Voor OthoOnline hebben we ditmaal een separaat rapport op laten stellen, zodat u daarmee eventueel uw klanten ook kunt geruststellen of potentiële nieuwe klanten kunt overtuigen. Het ISO 27001-certificaat of de resultaten van de penetratietest over OthoOnline kunt u opvragen bij Erik Gimbergh.
Het rapport over OthoOnline zijn helaas niet bruikbaar voor de oudere Dossier Online-omgevingen die bij sommige klanten nog actief zijn. Indien u behoefte heeft aan een dergelijk zekerheid over uw online omgeving, dan adviseren wij u over te stappen op OthoOnline.
ISAE 3402
Waarom deze verklaring?
De ISAE 3402-verklaring geeft inzicht in de kwaliteit van de dienstverlening van organisaties. Zijn de processen binnen een organisatie vastgelegd, en voert de organisatie deze processen uit als vastgelegd? Dit is van belang voor processen die uitbesteed worden aan service-organisaties. De noodzaak van een dergelijke verklaring voor Praclox staat open voor discussie, aangezien het ontwikkelen van software niet een 'core-process' is wat door onze klanten aan ons is uitbesteed. We hebben echter gemerkt dat steeds meer opdrachtgevers van onze klanten belang stellen in een additionele zekerheid op het vlak van de automatisering. Daarnaast vragen accountants steeds vaker naar deze verklaring. We zijn daarom verheugd dit aan onze klanten aan te kunnen bieden.
De reikwijdte van de verklaring
Een organisatie die een ISAE 3402-verklaring wenst te verkrijgen kan zelf de reikwijdte (scope) daarvan bepalen. Het is dus altijd zaak om deze scope goed te bekijken. Vallen de zaken die u belangrijk vindt wel onder de scope van de verklaring? Bij een aanbieder van clouddiensten of SaaS-software - wat Praclox allebei niet doet - zijn dat bijvoorbeeld de processen rond het technisch beheer. Bij Praclox is de reikwijdte 'de dienstverlening via OthoMatic-onderhoud en maatwerk-onderhoud'. U kunt er dus van op aan dat wij deze processen zorgvuldig uitvoeren.
Type I versus type II
Een type I-verklaring ziet toe op het borgen van processen. Zijn de processen goed beschreven, zijn de systemen beschikbaar om voor registratie te zorgen en zijn rapportages daarop mogelijk? Het is daarmee een moment-opname. Een type II-verklaring kijkt een stap verder, deze waarborgt dat de beschreven processen uitgevoerd worden zoals deze zijn vastgelegd. Hiervoor wordt een geheel tijdsvak (meestal een jaar) bekeken door de auditoren en over die periode wordt de verklaring afgegeven. De auditor heeft wederom een type II-verklaring afgegeven voor de periode van 1 juni 2021 t/m 31 mei 2022.
De rapportage
Indien u ten behoeve van uw klanten, een tender of de accountant een kopie van het rapport vereist, kunt u contact opnemen met Erik Gimbergh.