International Standard on Assurance Engagements (ISAE)

ISAE staat voor International Standard on Assurance Engagements en is een internationale standaard voor assurance-opdrachten. Deze standaard wordt gebruikt om zekerheid te verschaffen over de beheersing van processen binnen een organisatie. Er zijn twee veelgebruikte varianten:

·       ISAE 3402 – Specifiek gericht op serviceorganisaties die processen voor klanten uitvoeren, zoals IT dienstverleners, salarisadministratiebedrijven en cloudproviders. Hiermee tonen zij aan dat zij hun processen en interne controles effectief beheren.

·       ISAE 3000 – Breder toepasbaar en gericht op niet-financiële rapportages, zoals informatiebeveiliging, duurzaamheid en privacy. Denk hierbij aan verklaringen over GDPR-compliance of duurzaamheidsverslaglegging.

ISAE gaat niet over het managen van kwaliteit zelf, maar over het toetsen en waarborgen van de kwaliteit van processen. Vaak met betrekking tot informatiebeveiliging, dataverwerking of interne controles.

ISAE in het kader van kwaliteitsmanagement

  • ISAE 3000 en ISAE 3402 zijn standaarden die worden gebruikt om assurance-rapporten op te stellen.
  • Deze rapporten worden vaak gebruikt om aan te tonen dat een organisatie processen beheerst, zoals:
    • Beveiliging van klantdata
    • Betrouwbaarheid van IT-systemen
    • Interne controlemaatregelen (denk aan financiële processen)

Relatie tussen ISAE en kwaliteitsmanagement

  • ISAE draagt bij aan het borgen van de kwaliteit van processen, door onafhankelijk bewijs te leveren dat systemen en controles effectief zijn.
  • Het ondersteunt het vertrouwen van klanten en stakeholders.
  • Het heeft raakvlakken met ISO-normen (zoals ISO 9001, 27001), maar waar ISO meer gericht is op interne kwaliteitsborging, is ISAE vooral bedoeld voor externe verantwoording.

Voorbeeld:

Een bedrijf dat clouddiensten levert aan klanten kan een ISAE 3402 type II-verklaring hebben. Daarmee toont het aan dat de interne processen rondom databeveiliging en servicelevering betrouwbaar zijn bevonden. 

Informatie ISAE aanvragen

International Standard on Assurance Engagements (ISAE)

Data Protection Impact Assessment (DPIA) Pentesten Security As A Service Trainingen en opleidingen informatiebeveiliging Nulmeting Phishing Campagne Aim2Secure: de tool voor verbeterde security awareness International Standard on Assurance Engagements (ISAE) Network and Information Security (NIS2) directive
Gerelateerde normen
Ons aanbod in informatie- beveiliging

Certificeringsadvies

Audits (intern en extern)

Nulmeting

Pentesten

Vulnerabilitytest

IT en privacy audits

RI&E informatiebeveiliging

GDPR en AVG

DPIA (Data Protection Impact Assessment)

Security As A Service

Move Agency en QVOX

"Naast kwaliteit, is ook de mate van betrouwbaarheid essentieel in de samenwerkingen die we hebben. We willen die koploper zijn die aan klanten laat zien: onze producten en processen zijn dusdanig ingericht dat jij je nergens zorgen om hoeft te maken. Zo werken we bijvoorbeeld voor veel banken en verzekeraars die veel met privacygevoelige informatie werken. Dan moet je bepaalde processen ingericht hebben waarmee je laat zien dat je werk maakt van informatiebeveiliging. QVOX heeft ons geholpen aan de hand van de ISO 27001 en NEN 7510.’’ 

De voordelen van ISAE

Steeds meer organisaties eisen van hun dienstverleners een ISAE-verklaring. Dit komt doordat deze verklaring aantoont dat processen goed beheerst worden en risico’s worden geminimaliseerd. De voordelen van ISAE zijn onder andere:

  • Meer vertrouwen – Klanten en stakeholders krijgen inzicht in de betrouwbaarheid van processen.
  • Regelgeving en compliance – ISAE helpt bij het voldoen aan eisen uit wet- en regelgeving zoals de AVG.
  • Risicobeheersing – Organisaties krijgen grip op interne processen en mogelijke risico’s.
  • Concurrentievoordeel – Met een ISAE-verklaring onderscheidt een organisatie zich in de markt.
Waarom is ISAE een veelbesproken topic?

in 2025 is duidelijk meer aandacht voor ISAE en dat komt door een combinatie van marktontwikkelingen, strengere eisen van klanten en toezichthouders én een groeiende behoefte aan transparantie en vertrouwen in uitbestede processen. Een aantal redenen uitgelicht: 

Toename van uitbesteding en cloud-diensten

  • Organisaties besteden steeds meer kritieke processen uit aan derden (denk aan IT, salarisadministratie, dataverwerking).
  • Klanten willen zekerheid dat hun gegevens en processen veilig en betrouwbaar worden behandeld.
  • Een ISAE-verklaring wordt dan een soort keurmerk om aan te tonen dat een leverancier zijn zaken op orde heeft.

Zonder ISAE kom je bij sommige klanten simpelweg niet meer binnen.

Strengere eisen rond privacy en informatiebeveiliging

  • Wetgeving zoals de AVG (GDPR) is al een paar jaar van kracht, maar in 2025 zijn er ook meer sector-specifieke eisen bijgekomen. Bijvoorbeeld in de zorg, financiële sector en overheid. ISAE-rapporten geven externe assurance, wat klanten en toezichthouders steeds vaker eisen.

Veranderend klantgedrag: meer focus op due diligence

  • Grote opdrachtgevers, vooral in de financiële, zorg- en publieke sector, stellen strengere eisen in aanbestedingen en audits. Geen ISAE? Geen business bij grotere klanten.

Koppeling met andere normen wordt gangbaarder

  • Organisaties met een ISO 27001 of NEN 7510-certificaat, realiseren zich dat ze met een ISAE 3000 écht laten zien de normen na te leven. Dat versterkt de waarde van bestaande certificeringen en maakt compliance tastbaar en meetbaar.
Kun je ISAE koppelen met andere (bestaande) normen?

Je kunt ISAE koppelen aan andere kwaliteitsnormen en dat gebeurt in de praktijk ook vaak. Hoewel ISAE een assurance-standaard is (dus gericht op controle/verklaring) en ISO-normen meestal managementsystemen beschrijven, vullen ze elkaar goed aan.

Je kunt ISAE koppelen aan andere normen, zoals ISO 9001, ISO 27001, COBIT of NEN 7510. 

  • ISO 9001 - ISAE toetst of processen worden gevolgd.
  • ISO 27001 - ISAE toetst uitvoering van beveiligingsmaatregelen.
  • NEN 7510 - ISAE 3000 biedt (extra) assurance.
  • COBIT / ITIL - ISAE 3402 toetst beheersmaatregelen.
Alles over informatiebeveiliging

In deze aflevering hebben we het over informatiebeveiliging. Een verzamelterm voor het veilig verzamelen, verwerken, beheren en delen van informatie. Wat houdt informatiebeveiliging in en wat zijn dé tips voor goed beveiligde online en offline processen rondom informatie? Handige handvatten voor ondernemers die niet alleen goed gebruik willen maken van informatie, bijvoorbeeld in hun business model, maar ook informatie op een juiste manier willen beheren. Luister snel naar QTALK!

Luister de podcast

Alles over informatiebeveiliging

Podcast - informatiebeveiliging de basics
QVOX biedt hulp op maat
Academy
Academy:

Opleiding

Training en opleiding die jou verder helpen  

Neem met vertrouwen verantwoordelijkheid en word een waardevolle compliance en certificeringsdeskundige in jouw organisatie. Ontwikkel vaardigheden en verdiep je kennis van risicomanagement, audits en verandermanagement op een manier die perfect bij jou past. Zo kun je opdrachtgevers en auditoren sterk te woord staan.

Naar QVOX Academy
Normen
Normen:

Projecten

Certificeren én verbeteren zonder gedoe

Wil je gecertificeerd worden én blijven zonder stress? Streef je naar blijvende verbeteringen? Kies dan voor onze projectspecialisten en start samen met hen een implementatieproject. In een team van in- en externe medewerkers zetten we samen het spoor uit en banen we de weg naar het gewenste resultaat. Onder leiding van een ervaren projectmanager. Met vastberadenheid en kracht, zonder onaangename verrassingen.

Expertise
Expertise:

Services

Grip op je bedrijfsvoering blijven houden

Leidt het onderhouden van de certificering je af van de purpose van je organisatie? Vertrouw dan op onze services om je certificering te behouden én compliant te blijven. De ervaren QVOX-professionals zorgen praktisch en op tijd voor het uitvoeren van certificeringstaken, terwijl wij je op de hoogte houden en meenemen in veranderingen die jouw organisatie verder helpen. Daardoor houd je niet alleen grip op je certificering, maar ook op de bedrijfsvoering! Laat ons jou ontzorgen en kansen signaleren voor een pad naar meer zekerheid en minder zorgen.

Onze kennis en ervaring versterken jouw positie

één partner voor kwaliteit & veiligheid, arbeidsomstandigheden, duurzaamheid, informatiebeveiliging & privacy

QVOX biedt hulp op maat
Hier kun je ons vinden
FAQ
FAQ

ISAE (International Standard on Assurance Engagements)

Is een ISAE verplicht?

ISAE is niet wettelijk verplicht, maar kan wel een vereiste zijn vanuit contracten, regelgeving of klantverwachtingen. Veel organisaties vragen een ISAE-verklaring van hun dienstverleners om aan te tonen dat processen goed beheerst worden en risico’s geminimaliseerd zijn. Dit geldt vooral voor sectoren zoals IT, financiële dienstverlening en cloudproviders.

Wat moet je doen voor een ISAE-verklaring?

Voor een ISAE-verklaring moet een organisatie een aantal stappen doorlopen om aan te tonen dat interne processen en beheersmaatregelen effectief zijn. Dit proces verschilt per organisatie. Het proces loopt van het bepalen van de scope en een gap-analyse uitvoeren, tot het geven van trainingen en het laten uitvoeren van een externe audit. QVOX heeft de juiste middelen en tools om te ondersteunen bij het proces.

Hoe begin je met ISAE? Is er een checklist?

Deze zeven heldere stappen helpen je inzicht te krijgen in hoe je begint met ISAE. 

Bepaal je doel en type ISAE-verklaring

Kies tussen:

  • ISAE 3402 – gericht op uitbestede processen en interne beheersmaatregelen (vaak financieel of IT).
  • ISAE 3000 – breder toepasbaar (denk aan privacy, security, ESG, zorgdata).

Breng processen en risico’s in kaart

  • Welke processen wil je laten toetsen?
  • Wat zijn de risico’s binnen die processen?
  • Denk aan: dataverlies, foutieve verwerking, ongeautoriseerde toegang, etc.

Stel beheersmaatregelen (controls) op

Richt maatregelen in die risico’s beperken. Voorbeelden:

  • Logging en monitoring.
  • Toegangsbeheer.
  • Vier-ogenprincipe.
  • Periodieke reviews.
  • Zorg dat ze gedocumenteerd én herhaalbaar zijn.

Bewustwording en training

  • Zorg dat je team snapt wat ISAE is en waarom dit belangrijk is.
  • Train key-users over hun rol in het proces.

Leg alles vast (bewijsvoering)

  • Documenteer procedures, screenshots, logbestanden, rapportages.
  • Richt een centrale plek in waar je auditbewijzen verzamelt.

Kies een consultant/auditor 

  • Selecteer een onafhankelijke partij met ervaring in ISAE-rapportages.
  • Betrek hen bij het proces (vooral bij de eerste keer!) voor feedback en voorbereiding.
  • Zorg dat je samenwerkt met een partij die jouw sector begrijpt.
Wat zijn veelgemaakte fouten bij ISAE?
  • Te laat starten

Een ISAE 3402/3000 vereist bewijs over een continue periode (vaak 6–12 maanden). Zonder tijdige voorbereiding heb je geen betrouwbare controles of bewijsvoering.

  • Geen duidelijke scope

Organisaties willen alles meenemen in de verklaring of hebben onduidelijke processen gedefinieerd. Hierdoor wordt het onduidelijk wat precies wordt getoetst en waar verantwoordelijkheid ligt. Dat leidt tot chaos in voorbereiding, onduidelijke bewijslast en een onoverzichtelijk auditrapport.

  • Geen vaste eigenaar van het traject

ISAE wordt er vaak maar bij gedaan door iemand van IT. Er is dan geen duidelijke projectverantwoordelijke of aanspreekpunt voor de auditor. Zonder regie worden deadlines gemist, versnippert bewijslast en raakt de betrokkenheid beperkt.

  • Geen concrete bewijsvoering

Teams voeren processen uit, maar leggen niets structureel vast. Denk aan: logboeken, rapportages, goedkeuringsflows. ISAE draait om assurance, maar dat kan alleen als je kunt bewijzen wat je doet. Mondelinge toelichtingen of ongedocumenteerde controles tellen dan niet mee.

  • Verwachten dat de auditor het wel oplost. 

Organisaties denken alles bij de auditor neer te kunnen leggen. Ze doen weinig voorbereiding en verwachten verregaande inhoudelijke begeleiding van de auditpartij. Maar, een auditor is onafhankelijk en mag geen advies geven over je controls. Ook mogen ze geen systemen verbeteren en dan zelf beoordelen. Dat is belangenverstrengeling. Laat je vooraf begeleiden door een externe adviseur (consultant) die ervaring heeft met ISAE, vóór je de audit start.

 

Vraag onze consultants

 

Wat is het verschil tussen ISAE 3000 en ISAE 3402?
  • ISAE 3402: Gericht op uitbestede diensten, vooral financieel en IT (bijv. salarisadministratie, hosting, dataverwerking).
  • ISAE 3000: Breder toepasbaar, o.a. voor informatiebeveiliging, privacy (AVG), duurzaamheid (ESG) of zorgdata.
Wat is het verschil tussen Type I en Type II?
  • Type I: Beoordeelt opzet en bestaan van controls op één moment (snapshot).
  • Type II: Beoordeelt opzet, bestaan én werking van controls over een periode (vaak 6–12 maanden).

Type II is dus zwaarder, maar levert veel meer vertrouwen op bij klanten.

Is ISAE hetzelfde als een ISO-certificering?

In het kort: nee. ISO is een norm gericht op het managementsysteem. Het gaat dan meer om continu interne verbetering. ISAE is een auditrapport door onafhankelijke accountant en meer gericht op externe verantwoording. Een ISAE is eigenlijk het bewijs dat je ISO-beleid ook echt in de praktijk werkt. 

Moet ik alles opnieuw inrichten voor ISAE?

Niet per se. Vaak kun je bestaande beheersmaatregelen (bijv. vanuit ISO 27001 of NEN 7510) gebruiken. Je moet wel aantonen dat je die maatregelen ook consequent uitvoert. ISAE kijkt naar bewijslast, niet alleen naar beleid.

Wat kost een ISAE-traject?

De kosten voor een ISAE-traject zijn afhankelijk van de complexiteit van de organisatie en de scope. Over het algemeen geldt dat de kosten voor een kleine scope (enkele processen) tussen de €10.000 en €25.000 per jaar zijn. Voor grotere en/of complexere organisaties liggen de kosten hoger. 

Kosten bestaan uit:

  • Auditkosten (accountant)
  • Voorbereiding (intern of met consultants)
  • Tijdsinvestering van je team

Zie een ISAE-traject als een investering in vertrouwen en commerciële slagkracht.

Klantcases
alle klantcases
Deze organisaties hebben gekozen voor QVOX