Privacy


Certificeringen

De Nationale Hypotheekbond voldoet aan ISAE 3402 assurance criteria

De ISAE 3402 betreft een internationaal erkende standaard voor onderzoek. Dit vindt plaats door financiële instellingen bij organisaties die voor hen niet-kernactiviteiten uitvoeren. Bij outsourcing zijn deze instellingen vanuit de wet (Art. 4.16 Wft) verplicht aan te tonen dat de processen beheerst worden. Hiertoe eist de financiële instelling van zijn leverancier een Service Organisation Control (SOC) rapport. De Nationale Hypotheekbond is uitgebreid geaudit en voldoet aan de gestelde ISAE 3402 assurance criteria.

De vragen van grootbanken, geldverstrekkers en andere financials betreffen onder andere: 'Op welke wijze wordt data opgeslagen?', 'Hoe wordt omgegaan met change management?', 'Voldoet mijn leverancier aan de wet- en regelgeving op het gebied van privacy (AVG)?' Het gaat dus om risicomanagement, informatiebeveiliging en anti-fraude. En om andere wettelijke verplichtingen voor bedrijven en instellingen bij het beheersen van uitbestede processen.

De organisaties die processen uitbesteden blijven eindverantwoordelijk voor de interne beheersing. Maar als een serviceorganisatie een ISAE 3402 rapportage heeft dan is het niet noodzakelijk dat de accountant van de gebruikersorganisatie (user auditor) de processen controleert, aangezien deze zijn gecontroleerd door een andere externe accountant, de service auditor. Dat geeft vertrouwen en scheelt tijd en moeite.

De Nationale Hypotheekbond is ISO 27001 gecertificeerd

Met het ISO 27001 certificaat bewijst een organisatie dat haar systeem gecertificeerd is op het gebied van informatiebeveiliging. Met dit certificaat toont de Nationale Hypotheekbond aan dat zij de nodige voorzorgsmaatregelen heeft genomen om vertrouwelijke informatie te beschermen tegen ongeautoriseerde toegang en bewerking.

ISO 27001 is een ISO standaard voor informatiebeveiliging. In Nederland is deze vastgesteld als NEN norm NEN-ISO/IEC 27001:2013 en vertaald naar het Nederlands. De norm is verplicht gesteld voor Nederlandse overheden door het College standaardisatie. In 2013 is een nieuwe versie uitgekomen die eveneens in het Nederlands is vertaald.

De internationale norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie. De norm is van toepassing op alle typen organisaties, zoals commerciële ondernemingen, overheidsinstanties en non-profitorganisaties.

Specifieke beveiligingsmaatregelen worden aangepast aan de behoeften van afzonderlijke organisaties of delen daarvan. Het ISMS waarborgt daarbij dat de maatregelen voor het beschermen van informatie adequaat en proportioneel zijn en dat belanghebbenden hierop kunnen vertrouwen.