De weg naar het keurmerk Zeker-OnLine
Zeker-OnLine stelt de betrouwbaarheid vast van online applicaties op basis van een assurance-rapportage van een onafhankelijke auditor. Want als ondernemer wil jij zeker weten dat je data in veilige handen is. Hoe de certificering in zijn werk gaat? Daarvoor wordt een auditor ingezet. ControlSolutions International is één van de auditpartijen die een opdracht ten behoeve van de keurmerkaanvraag heeft uitgevoerd. Partner Arjan Hassing (foto) vertelt Baaz.nl over het strenge doch rechtvaardige auditproces.
'Je moet deelnemer zijn van de stichting Zeker-OnLine, wil je in aanmerking komen voor het keurmerk', vertelt Arjan. 'Voordat we starten met de eerste audit, voeren we een nulmeting uit. We gaan dan naar de boekhoudsoftwareleverancier toe en beoordelen deze op compliance met de 270 normen. Let op, dat is dan nog niet de officiële audit maar je wilt als boekhoudsoftwareleverancier natuurlijk tijdens de echte audit aan alle normen voldoen. Verder, naar welke data en informatie ('evidence') gaat de auditor je vragen? Kortom, wat we eerst doen is het managen van de verwachtingen, zodat je weet wat er gaat gebeuren wanneer het echte werk begint.'
Penetratietest
Na de nulmeting, die ongeveer een week in beslag neemt, verschijnt er een rapport waarin aangegeven staat wat de aspirant keurmerkhouder nog moet oppakken wil hij zo goed mogelijk beslagen ten ijs komen voor de audit met de 270 normen. 'Als de softwareleverancier aangeeft dat de onvolkomenheden zijn opgelost, dan komen we langs voor the real deal.'
Streng normenkader
270 normen. Dat is niet mis. Niet vreemd, het Zeker-OnLinekeurmerk krijg je niet zo maar. Wat zijn de belangrijkste normen? Arjan: 'Dan hebben we het over groepen van normen. Logische toegangsbeveiliging is er zo een - het uitdelen van rechten aan de gebruikers - je wilt niet dat een gebruiker in andermans administratie kan kijken. Verder is change management - het beheerst doorvoeren van wijzigingen in de boekhoudsoftware - erg belangrijk. Dat is een secuur werkje, er mag niets mis gaan. En dan is er nog de penetratietest. De softwareleverancier huurt een hacker in die via internet probeert in te breken in de online boekhouding van jouw klanten. Alleen al die test dekt 30 van de 270 normen af.'
Arjan benadrukt nog maar eens het belang van de zwaarte van het normenkader. Een deel van dat kader is opgesteld door de Belastingdienst. 'Dat zegt genoeg. En wanneer we klaar zijn met de audit, wordt daarvan een rapportage opgesteld dat naar het bestuur van de stichting Zeker-OnLine gaat. Zij beslissen uiteindelijk of de softwareleverancier het keurmerk krijgt. En ook zij zijn streng. Een boekhoudprogrammaatje op een zolderkamer ontwikkeld komt echt niet door de audit heen. Gelukkig maar.'
Om het strenge normenkader nog eens aan te halen: voor een groot aantal normen moet je als deelnemer kunnen aantonen dat ze gedurende een periode van tenminste zes maanden op de juiste manier hebben gewerkt. 'Dat maakt het extra zwaar. Want wij willen kunnen terugkijken middels bewijsstukken of een kandidaat ook in het verleden alle zaken goed op orde had, zeker wanneer het gaat om bijvoorbeeld de eerder aangehaalde logische toegangsbeveiliging', legt Arjan uit. 'Dat noemen wij een audit trail. En over een jaar kom ik weer langs en moet alles nog steeds perfect geregeld zijn. Is dat niet het geval, dan kan het Zeker-OnLine-keurmerk weer worden ingetrokken door de stichting.'
Info Zeker-OnLine
Voor het allerlaatste nieuws, opkomende events en congressen en uitleg over de het keurmerk, kun je terecht op de site van Zeker-OnLine. Momenteel zijn Twinfield, Reeleezee, Ficsus.nl, Asperion en Informer keurmerkhouders. Unit4, Yuki en Exact zijn de deelnemers die zich opmaken om het keurmerk aan te vragen.