International Standard on Assurance Engagements (ISAE)

ISAE staat voor International Standard on Assurance Engagements. Het is een internationale standaard die wordt gebruikt om zekerheid te geven over de beheersing van processen binnen een organisatie. Met een ISAE-opdracht beoordeelt een onafhankelijke auditor of processen en interne beheersmaatregelen (controls) goed zijn ingericht en werken zoals bedoeld.

Er zijn twee varianten die je het meest ziet:

ISAE 3402 – gericht op serviceorganisaties die processen uitvoeren voor klanten, zoals IT-dienstverleners, salarisverwerkers en cloudproviders. Met een ISAE 3402-rapport laat je zien dat jouw interne controles rondom dienstverlening en dataverwerking effectief zijn.
ISAE 3000 – breder toepasbaar, voor assurance over niet-financiële onderwerpen zoals informatiebeveiliging, privacy en duurzaamheid. Denk aan rapporten over AVG/GDPR-compliance, security controls of duurzaamheidsinformatie.

Belangrijk om te weten: ISAE is geen managementsysteem zoals ISO 9001 of ISO 27001. ISAE gaat niet over “hoe je kwaliteit organiseert”, maar over het toetsen en aantonen dat processen en controles betrouwbaar zijn. Het is dus vooral bedoeld als externe verantwoording.

ISAE binnen kwaliteitsmanagement

ISAE 3000 en ISAE 3402 worden gebruikt om assurance-rapporten op te stellen waarmee je aantoont dat processen beheerst worden. In de praktijk gaat dit vaak over onderwerpen zoals:

Beveiliging van klantdata.
Betrouwbaarheid en continuïteit van IT-systemen.
Interne controlemaatregelen, bijvoorbeeld rondom financiële processen en dataverwerking.

Relatie tussen ISAE en ISO (kwaliteit en security)

ISAE helpt bij het borgen van proceskwaliteit door onafhankelijk bewijs te leveren dat controls effectief zijn. Dat vergroot het vertrouwen van klanten en stakeholders, zeker als je als leverancier een kritieke rol hebt in hun keten.

Er zijn raakvlakken met ISO-normen zoals ISO 9001 en ISO 27001. ISO is vooral gericht op interne inrichting en continue verbetering. ISAE is juist bedoeld om extern aan te tonen dat je beheersing en controles in de praktijk ook echt werken.

Voorbeeld uit de praktijk

Een cloudprovider kan een ISAE 3402 Type II-verklaring laten opstellen. Daarmee laat de organisatie zien dat processen rond bijvoorbeeld toegangsbeheer, incidentafhandeling en databeveiliging over een periode zijn getest en betrouwbaar zijn bevonden. Hierdoor krijgen klanten extra zekerheid dat de dienstverlening en beveiliging aantoonbaar op orde zijn.

Informatie ISAE aanvragen

Gerelateerde normen

Ons aanbod in informatie- beveiliging

Certificeringsadvies

Audits (intern en extern)

Nulmeting

Pentesten

Vulnerabilitytest

IT en privacy audits

RI&E informatiebeveiliging

GDPR en AVG

DPIA (Data Protection Impact Assessment)

Security As A Service

Move Agency en QVOX

"Naast kwaliteit, is ook de mate van betrouwbaarheid essentieel in de samenwerkingen die we hebben. We willen die koploper zijn die aan klanten laat zien: onze producten en processen zijn dusdanig ingericht dat jij je nergens zorgen om hoeft te maken. Zo werken we bijvoorbeeld voor veel banken en verzekeraars die veel met privacygevoelige informatie werken. Dan moet je bepaalde processen ingericht hebben waarmee je laat zien dat je werk maakt van informatiebeveiliging. QVOX heeft ons geholpen aan de hand van de ISO 27001 en NEN 7510.’’

De voordelen van ISAE

Steeds meer organisaties eisen van hun dienstverleners een ISAE-verklaring. Dit komt doordat deze verklaring aantoont dat processen goed beheerst worden en risico’s worden geminimaliseerd. De voordelen van ISAE zijn onder andere:

Meer vertrouwen – Klanten en stakeholders krijgen inzicht in de betrouwbaarheid van processen.
Regelgeving en compliance – ISAE helpt bij het voldoen aan eisen uit wet- en regelgeving zoals de AVG.
Risicobeheersing – Organisaties krijgen grip op interne processen en mogelijke risico’s.
Concurrentievoordeel – Met een ISAE-verklaring onderscheidt een organisatie zich in de markt.

Waarom is ISAE een veelbesproken topic?

in 2025 is duidelijk meer aandacht voor ISAE en dat komt door een combinatie van marktontwikkelingen, strengere eisen van klanten en toezichthouders én een groeiende behoefte aan transparantie en vertrouwen in uitbestede processen. Een aantal redenen uitgelicht:

Toename van uitbesteding en cloud-diensten

Organisaties besteden steeds meer kritieke processen uit aan derden (denk aan IT, salarisadministratie, dataverwerking).
Klanten willen zekerheid dat hun gegevens en processen veilig en betrouwbaar worden behandeld.
Een ISAE-verklaring wordt dan een soort keurmerk om aan te tonen dat een leverancier zijn zaken op orde heeft.

Zonder ISAE kom je bij sommige klanten simpelweg niet meer binnen.

Strengere eisen rond privacy en informatiebeveiliging

Wetgeving zoals de AVG (GDPR) is al een paar jaar van kracht, maar in 2025 zijn er ook meer sector-specifieke eisen bijgekomen. Bijvoorbeeld in de zorg, financiële sector en overheid. ISAE-rapporten geven externe assurance, wat klanten en toezichthouders steeds vaker eisen.

Veranderend klantgedrag: meer focus op due diligence

Grote opdrachtgevers, vooral in de financiële, zorg- en publieke sector, stellen strengere eisen in aanbestedingen en audits. Geen ISAE? Geen business bij grotere klanten.

Koppeling met andere normen wordt gangbaarder

Organisaties met een ISO 27001 of NEN 7510-certificaat, realiseren zich dat ze met een ISAE 3000 écht laten zien de normen na te leven. Dat versterkt de waarde van bestaande certificeringen en maakt compliance tastbaar en meetbaar.

Kun je ISAE koppelen met andere (bestaande) normen?

Je kunt ISAE koppelen aan andere kwaliteitsnormen en dat gebeurt in de praktijk ook vaak. Hoewel ISAE een assurance-standaard is (dus gericht op controle/verklaring) en ISO-normen meestal managementsystemen beschrijven, vullen ze elkaar goed aan.

Je kunt ISAE koppelen aan andere normen, zoals ISO 9001, ISO 27001, COBIT of NEN 7510.

ISO 9001 - ISAE toetst of processen worden gevolgd.
ISO 27001 - ISAE toetst uitvoering van beveiligingsmaatregelen.
NEN 7510 - ISAE 3000 biedt (extra) assurance.
COBIT / ITIL - ISAE 3402 toetst beheersmaatregelen.

Alles over informatiebeveiliging

In deze aflevering hebben we het over informatiebeveiliging. Een verzamelterm voor het veilig verzamelen, verwerken, beheren en delen van informatie. Wat houdt informatiebeveiliging in en wat zijn dé tips voor goed beveiligde online en offline processen rondom informatie? Handige handvatten voor ondernemers die niet alleen goed gebruik willen maken van informatie, bijvoorbeeld in hun business model, maar ook informatie op een juiste manier willen beheren. Luister snel naar QTALK!

Luister de podcast

Alles over informatiebeveiliging

Podcast - informatiebeveiliging de basics

QVOX biedt hulp op maat

Academy:

Opleiding

Training en opleiding die jou verder helpen

Neem met vertrouwen verantwoordelijkheid en word een waardevolle compliance en certificeringsdeskundige in jouw organisatie. Ontwikkel vaardigheden en verdiep je kennis van risicomanagement, audits en verandermanagement op een manier die perfect bij jou past. Zo kun je opdrachtgevers en auditoren sterk te woord staan.

Normen:

Projecten

Certificeren én verbeteren zonder gedoe

Wil je gecertificeerd worden én blijven zonder stress? Streef je naar blijvende verbeteringen? Kies dan voor onze projectspecialisten en start samen met hen een implementatieproject. In een team van in- en externe medewerkers zetten we samen het spoor uit en banen we de weg naar het gewenste resultaat. Onder leiding van een ervaren projectmanager. Met vastberadenheid en kracht, zonder onaangename verrassingen.

Expertise:

Services

Grip op je bedrijfsvoering blijven houden

Leidt het onderhouden van de certificering je af van de purpose van je organisatie? Vertrouw dan op onze services om je certificering te behouden én compliant te blijven. De ervaren QVOX-professionals zorgen praktisch en op tijd voor het uitvoeren van certificeringstaken, terwijl wij je op de hoogte houden en meenemen in veranderingen die jouw organisatie verder helpen. Daardoor houd je niet alleen grip op je certificering, maar ook op de bedrijfsvoering! Laat ons jou ontzorgen en kansen signaleren voor een pad naar meer zekerheid en minder zorgen.

Onze kennis en ervaring versterken jouw positie

één partner voor kwaliteit & veiligheid, arbeidsomstandigheden, duurzaamheid, informatiebeveiliging & privacy

Hier kun je ons vinden

FAQ

ISAE (International Standard on Assurance Engagements)

Is een ISAE verplicht?

ISAE is niet wettelijk verplicht, maar kan wel een vereiste zijn vanuit contracten, regelgeving of klantverwachtingen. Veel organisaties vragen een ISAE-verklaring van hun dienstverleners om aan te tonen dat processen goed beheerst worden en risico’s geminimaliseerd zijn. Dit geldt vooral voor sectoren zoals IT, financiële dienstverlening en cloudproviders.

Wat moet je doen voor een ISAE-verklaring?

Voor een ISAE-verklaring moet een organisatie een aantal stappen doorlopen om aan te tonen dat interne processen en beheersmaatregelen effectief zijn. Dit proces verschilt per organisatie. Het proces loopt van het bepalen van de scope en een gap-analyse uitvoeren, tot het geven van trainingen en het laten uitvoeren van een externe audit. QVOX heeft de juiste middelen en tools om te ondersteunen bij het proces.

Hoe begin je met ISAE? Is er een checklist?

Deze zeven heldere stappen helpen je inzicht te krijgen in hoe je begint met ISAE.

Bepaal je doel en type ISAE-verklaring

Kies tussen:

ISAE 3402 – gericht op uitbestede processen en interne beheersmaatregelen (vaak financieel of IT).
ISAE 3000 – breder toepasbaar (denk aan privacy, security, ESG, zorgdata).

Breng processen en risico’s in kaart

Welke processen wil je laten toetsen?
Wat zijn de risico’s binnen die processen?
Denk aan: dataverlies, foutieve verwerking, ongeautoriseerde toegang, etc.

Stel beheersmaatregelen (controls) op

Richt maatregelen in die risico’s beperken. Voorbeelden:

Logging en monitoring.
Toegangsbeheer.
Vier-ogenprincipe.
Periodieke reviews.
Zorg dat ze gedocumenteerd én herhaalbaar zijn.

Bewustwording en training

Zorg dat je team snapt wat ISAE is en waarom dit belangrijk is.
Train key-users over hun rol in het proces.

Leg alles vast (bewijsvoering)

Documenteer procedures, screenshots, logbestanden, rapportages.
Richt een centrale plek in waar je auditbewijzen verzamelt.

Kies een consultant/auditor

Selecteer een onafhankelijke partij met ervaring in ISAE-rapportages.
Betrek hen bij het proces (vooral bij de eerste keer!) voor feedback en voorbereiding.
Zorg dat je samenwerkt met een partij die jouw sector begrijpt.

Wat zijn veelgemaakte fouten bij ISAE?

Te laat starten

Een ISAE 3402/3000 vereist bewijs over een continue periode (vaak 6–12 maanden). Zonder tijdige voorbereiding heb je geen betrouwbare controles of bewijsvoering.

Geen duidelijke scope

Organisaties willen alles meenemen in de verklaring of hebben onduidelijke processen gedefinieerd. Hierdoor wordt het onduidelijk wat precies wordt getoetst en waar verantwoordelijkheid ligt. Dat leidt tot chaos in voorbereiding, onduidelijke bewijslast en een onoverzichtelijk auditrapport.

Geen vaste eigenaar van het traject

ISAE wordt er vaak maar bij gedaan door iemand van IT. Er is dan geen duidelijke projectverantwoordelijke of aanspreekpunt voor de auditor. Zonder regie worden deadlines gemist, versnippert bewijslast en raakt de betrokkenheid beperkt.

Geen concrete bewijsvoering

Teams voeren processen uit, maar leggen niets structureel vast. Denk aan: logboeken, rapportages, goedkeuringsflows. ISAE draait om assurance, maar dat kan alleen als je kunt bewijzen wat je doet. Mondelinge toelichtingen of ongedocumenteerde controles tellen dan niet mee.

Verwachten dat de auditor het wel oplost.

Organisaties denken alles bij de auditor neer te kunnen leggen. Ze doen weinig voorbereiding en verwachten verregaande inhoudelijke begeleiding van de auditpartij. Maar, een auditor is onafhankelijk en mag geen advies geven over je controls. Ook mogen ze geen systemen verbeteren en dan zelf beoordelen. Dat is belangenverstrengeling. Laat je vooraf begeleiden door een externe adviseur (consultant) die ervaring heeft met ISAE, vóór je de audit start.

Vraag onze consultants

Wat is het verschil tussen ISAE 3000 en ISAE 3402?

ISAE 3402: Gericht op uitbestede diensten, vooral financieel en IT (bijv. salarisadministratie, hosting, dataverwerking).
ISAE 3000: Breder toepasbaar, o.a. voor informatiebeveiliging, privacy (AVG), duurzaamheid (ESG) of zorgdata.

Wat is het verschil tussen Type I en Type II?

Type I: Beoordeelt opzet en bestaan van controls op één moment (snapshot).
Type II: Beoordeelt opzet, bestaan én werking van controls over een periode (vaak 6–12 maanden).

Type II is dus zwaarder, maar levert veel meer vertrouwen op bij klanten.

Is ISAE hetzelfde als een ISO-certificering?

In het kort: nee. ISO is een norm gericht op het managementsysteem. Het gaat dan meer om continu interne verbetering. ISAE is een auditrapport door onafhankelijke accountant en meer gericht op externe verantwoording. Een ISAE is eigenlijk het bewijs dat je ISO-beleid ook echt in de praktijk werkt.

Moet ik alles opnieuw inrichten voor ISAE?

Niet per se. Vaak kun je bestaande beheersmaatregelen (bijv. vanuit ISO 27001 of NEN 7510) gebruiken. Je moet wel aantonen dat je die maatregelen ook consequent uitvoert. ISAE kijkt naar bewijslast, niet alleen naar beleid.

Wat kost een ISAE-traject?

De kosten voor een ISAE-traject zijn afhankelijk van de complexiteit van de organisatie en de scope. Over het algemeen geldt dat de kosten voor een kleine scope (enkele processen) tussen de €10.000 en €25.000 per jaar zijn. Voor grotere en/of complexere organisaties liggen de kosten hoger.

Kosten bestaan uit: