Om de controle en kwaliteit van dienstverlening op het hoogste niveau te kunnen borgen, passen wij diverse QA methodieken en certificeringen toe
Certificeringen – het belang van kwaliteit
DocCare laat zich jaarlijks toetsen door verschillende externe auditors. Door deze onafhankelijke toetsing waarborgt DocCare de kwaliteit van haar dienstverlening middels verschillende certificeringen.
Wij doen daarmee geen enkele concessie aan de doeltreffendheid en betrouwbaarheid van onze processen, informatiebeveiliging en interne controles. En omdat wij van mening zijn dat transparantie een belangrijke graadmeter is voor een optimale klantrelatie, ontvangen onze klanten een rapportage met daarin de onderzoeksresultaten.
Certificeringen van DocCare
Om de kwaliteit van onze dienstverlening op het hoogste niveau te waarborgen, kiezen wij bewust voor het voeren van verschillende certificeringen.
ISAE 3402 type II
DocCare heeft eind januari 2022 de ISAE3402 Type II rapportage over 2021 mogen ontvangen. Er zijn geen relevante afwijkingen geconstateerd. Een resultaat waar we enorm trots op zijn! De audit heeft plaatsgevonden door een externe auditor. Ook onze strategische partners zijn meegenomen in deze rapportage.
Dit is een mooie prestatie en een bevestiging naar de klanten én de markt dat de dienstverlening in vertrouwde handen is bij DocCare.
ISO 27001 – De standaard voor informatiebeveiliging
DocCare beschikt over het certificaat ISO 27001:2017+A11:2020. Dit certificaat is geldig tot maart 2025.
NEN7510 – Informatiebeveiliging in de zorg
DocCare beschikt over het certificaat NEN7510-1:2017+A1:2020. Dit certificaat is geldig tot januari 2025.
ISAE3000 (COBIT 4.1) – Toetsingskader informatiebeveiliging
DocCare is in 2019 door middel van een assessment geaudit door BDO op het door Zorgverzekeraars Nederland (ZN) gehanteerde normenkader van Cobit beheersmaatregelen (Control Objectives for Information and related Technology). Van de 59 controls zijn er door BDO 58 op het volwassenheidsniveau van 3 of hoger ingedeeld.
ISAE 3402 type II
DocCare is in het in bezit van een ISAE 3402 type II verklaring/ certificering. Hiervoor wordt DocCare twee keer per jaar onaangekondigd geaudit door een accountant van BDO. Het ISAE 3402 rapport dat jaarlijks wordt opgesteld door BDO kan indien gewenst worden aangeleverd.
ISAE 3402 gaat verder dan alleen een Service Level Agreement. Het is de laatste stap in de volledige transparantie van de dienstverlening. ISAE 3402 is een relatief nieuw instrument in Europa. Steeds meer dienstverleners kiezen voor deze methode, omdat zowel de dienstverlener zelf, als zijn relaties baat hebben bij een objectieve en onafhankelijke beoordeling van de dienstverlening. Op deze wijze bevordert de ISAE 3402 methode de continuïteit van de vertrouwensrelatie. Het staat garant voor een goede samenwerking met een excellente dienstverlener.
De ISAE 3402 kent twee typen controles. Type 1 omvat het bestaan en controleren van de procedures die relevant zijn voor de uitvoering van de overeengekomen dienstverlening. Nadat dit is vastgesteld wordt de werking van deze procedures (inclusief changes) continu getoetst op juistheid. Het resultaat hiervan wordt jaarlijks middels een type 2 rapportage gepresenteerd. ISAE 3402 is een acroniem voor Verklaring bij de Controle van Norm 70; het werd ontwikkeld en wordt gehandhaafd door AICPA (Amerikaans Instituut van Verklaarde Openbare Accountants). Een dienstorganisatie kan als zaken of een entiteit worden gedefinieerd die de delocaliserende diensten verleend. Deze delocaliserende diensten kunnen in de meeste gevallen het controlemilieu van klanten beïnvloeden. Voorbeelden van deze dienstorganisaties kunnen de bewerkers van de verzekeringsgegevens, gegevenscentra, creditorganisaties, documentverwerkers en clearinginstituten zijn.
De ISAE 3402 methode is een uiterst grondige controle die voornamelijk als gebiedende begeleiding wordt gebruikt. In de markt van vandaag, is het een zeer nuttige en wezenlijke controle die transparantie van een onderneming toont richting haar opdrachtgevers. Bovendien toont deze certificering de opdrachtgevende organisaties aan dat de dienstorganisatie grondig gecontroleerd is en hierdoor voldoende waarborgen biedt om dienst of activiteit uit te besteden. In het kader van ISAE 3402 certificering worden er periodiek audits uitgevoerd.
ISO 27001 – De standaard voor informatiebeveiliging
ISO 27001 is een standaard voor informatiebeveiliging. De standaard bestaat feitelijk uit deel 2 van de BS 7799, de standaard waarin wordt beschreven hoe informatiebeveiliging procesmatig ingericht zou kunnen worden, om de beveiligingsmaatregelen uit ISO/IEC 17799 te effectueren. In Nederland is het vastgesteld als NEN norm NEN-ISO/IEC 27001:2017+A11:2020 en vertaald naar het Nederlands en verplicht gesteld voor Nederlandse overheden door het College standaardisatie.
Deze internationale norm (certificering) is van toepassing op alle typen organisaties (bijvoorbeeld commerciële ondernemingen, overheidsinstanties, non-profitorganisaties). De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor de organisatie. De norm specificeert eisen voor de implementatie van beveiligingsmaatregelen die zijn aangepast aan de behoeften van afzonderlijke organisaties of delen daarvan. Het ISMS is ontworpen om de keuze van adequate en proportionele beveiligingsmaatregelen die de informatie beschermen en vertrouwen bieden aan belanghebbenden te waarborgen.
NEN7510 – Informatiebeveiliging in de zorg
NEN7510 is een standaard voor informatiebeveiliging in de zorg. Informatiebeveiliging in de zorgsector is zeer belangrijk, omdat er medische en patiëntgegevens worden beheerd en uitgewisseld.
Naast het borgen van kwaliteitscriteria, vereist de norm NEN7510 dat informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht voordat kan worden gesproken over adequate informatiebeveiliging. NEN7510 geeft een kader waarbinnen iedere organisatie de voor zijn/haar proces relevant geachte informatiebeveiliging kan specificeren, inclusief de daarbij horende maatregelen.
COBIT 4.1 – Toetsingskader informatiebeveiliging
DocCare is door KPMG (vanaf 2019 BDO) geaudit op het door Zorgverzekeraars Nederland (ZN) gehanteerde normenkader van Cobit beheersmaatregelen (Control Objectives for Information and related Technology).
Dit normenkader is gebaseerd op het door De Nederlandsche Bank opgestelde Toetsingskader Informatiebeveiliging. Het betreft 54 Cobit controls met daaraan toegevoegd 5 specifieke beheersmaatregelen door ZN.
Door DNB is gesteld dat deze controls in het kader van beheerste bedrijfsvoering allen een volwassenheidsniveau van minimaal “3” dienen te hebben (de 54 controls dienen aantoonbaar werkend te zijn). Daarnaast stelt DNB dat drie controls in de categorie “Assess and manage (IT) risks” een hoger minimaal volwassenheidsniveau (“4”) moeten hebben door de continu veranderende cybercrimedreigingen.