Normenkader

Het stelsel gaat uit van verantwoordelijkheden.

De verschillende keurmerk toepassingen

Onder het normenkader of normatiek verstaat Zeker-OnLine de normen die beschrijven welke eisen aan de onlinedienst worden gesteld. De kern van het normenkader is dat ‘de omgeving’ centraal staat. Immers een betrouwbare en veilige infrastructuur staat voorop. Binnen die infrastructuur zijn verschillende onlinediensten te bouwen en kunnen gegevens doelmatig worden uitgewisseld. De onlinediensten die gecertificeerd kunnen worden zijn te herkennen aan de verschillende balken “boekhouden” en “portaal” onder het Zeker-OnLine logo.

Het stelsel wil innovatie aanmoedigen, maar is tegelijkertijd robuust en sluit waar mogelijk aan op bestaande en breed geaccepteerde standaarden zoals ICT-Beveiligingsrichtlijnen voor Webapplicaties van het National Cyber Security Center. Het normenkader is qua samenstelling uniek, omdat er nog geen vergelijkbare concepten bestaan en omdat het de verschillende deelgebieden verbindt. Op de pagina documenten zijn de verschillende normenkaders opgenomen.

keurmerk zeker-online boekhouden
keurmerk zeker-online portaal
lagen-model-normenkader

Een schematische weergave van het stelsel, het zogenaamde ‘lagenmodel’ met de deelgebieden in hun onderlinge samenhang.

Schematische weergave van het stelsel

Het keurmerk staat voor betrouwbaarheid, veiligheid, continuïteit, kwaliteit in functionaliteit en juridische zekerheid. Op basis van deze uitgangspunten is een stelsel van kwaliteitseisen en normen ontwikkeld.

Hierbinnen zijn 3 kwaliteitsgebieden te onderscheiden:

  • Technische infrastructuur (IT Beheer en Beveiliging);
  • Applicatie structuur (generieke en specifieke maatregelen in de applicatie);
  • Juridische infrastructuur.

Voor elk van deze deelgebieden zijn normen vastgesteld.

Juridische infrastructuur

De juridische infrastructuur omvat het juridische deel van de kwaliteitseisen. Behalve ‘good practices’ uit accountancy, IT-audit en informatiebeveiliging zijn immers ook de aspecten van belang die de dienstaanbieder en zijn klanten een duidelijke rechtspositie verschaffen. Daarom is de juridische infrastructuur de basis van het stelsel. De juridische normen schragen immers de andere deelgebieden die we voor de online administratieve dienstverlening onderkennen.

Het onderscheid tussen de technische infrastructuur en de applicatiestructuur is gebaseerd op het onderscheid binnen de onlinedienstverlening tussen de Dienst en de Applicatie (de functionele toepassing). Met het aanbieden van de applicatie binnen een totaalpakket onderscheidt die onlinedienstverlening zich van een installeerbaar softwarepakket door de gebruiker. De onlineoplossing omvat immers, naast de applicatie, ook het hele scala van IT-beheer door specialisten en de technische infrastructuur.

privacy verordening
zeker-online-infrastructuur-verkleind

Technische infrastructuur

Binnen de infrastructuur zijn twee deelgebieden te onderscheiden, namelijk het IT-beheer en de technische beveiligingsmaatregelen.

Bij IT-beheer ligt de focus op het IT-beleid en de organisatorische aspecten. Met behulp van technische maatregelen in hardware en infrastructuur en door veilige internetverbindingen wordt het IT-beheer – zo veel als technisch en economisch verantwoord is – afgedwongen. In de IT-terminologie wordt dat ‘hardening’ genoemd. Opzet en werking van het IT-beheer moeten goed zijn. Het samenstel van organisatorische en technische maatregelen zorgt voor een betrouwbare, veilige en continu beschikbare dienst. Vanuit dit perspectief krijgen IT-beheer en technische beveiligingsmaatregelen hun plek in (de schematische weergave van) het raamwerk. Zij vormen immers weer het fundament waarop de applicatie goed genoeg kan werken.

Uitgangspunt is dat de dienstaanbieder de IT steeds afstemt op de dienstverlening aan de klant. Die dienstverlening richt zich op het helpen van de klant bij zijn bedrijfsprocessen en de administratieve vastleggingen die daarmee te maken hebben. Hiervoor moet de dienstaanbieder goed weten welke wensen en eventuele problemen de klant heeft. Het goed inrichten van het IT-beheerproces is de expliciete verantwoordelijkheid van het management van de dienstaanbieder. Ook in dit opzicht mogen we van het management voorbeeldgedrag verwachten. Het inrichten en beheersen van de organisatie en de processen hoort daarbij. De dienstverlening moet ertoe leiden dat hetgeen met de klant werd afgesproken ook daadwerkelijk voortdurend wordt geleverd.

Bij het opstellen van de normen voor IT-beheer heeft de werkgroep ‘COBIT’ als basis genomen. Voor Zeker- Online is dit breed geaccepteerde normenkader toegespitst op het specifieke karakter van een administratieve cloudoplossing.

the four interrelated domain of CobiT

De dienstaanbieder moet gebruik maken van up-to-date en veilige IT-oplossingen, die in lijn zijn met het IT-beheer. Omdat de techniek zich voortdurend ontwikkelt, heeft de Normcommisie gezocht naar een dynamisch normenkader. De normcommissie heeft dit gevonden bij de ICT-beveiligingsrichtlijnen van het National Cyber Security Center. Daarmee sluit het normenkader van de Stichting goed aan bij een gezaghebbend en praktisch haalbaar normenkader en is ook het toekomstig onderhoud goed geborgd. Het normenkader Zeker- Online en de ICT-beveiligingsrichtlijnen versterken elkaar.

De applicatie

Bij ‘de applicatie’ staat de softwaretoepassing centraal. De wijze waarop de klant die ervaart is essentieel. De applicatie omvat de programmatuur en de functionele helpdesk. Hier worden eveneens twee deelgebieden onderkend die aandacht vragen, namelijk de generieke functionaliteit en de specifieke functionaliteit.  Alle algemene maatregelen die betrekking hebben op de softwaretoepassing worden gerangschikt onder de generieke functionaliteit.

Bij de specifieke maatregelen is de focus gericht op de mogelijkheden die de softwaretoepassing zelf biedt of, met andere woorden, op wat de klant met de toepassing kan doen.

Alle algemene maatregelen die betrekking hebben op de softwaretoepassing zijn gerangschikt onder de generieke functionaliteit. Dit wordt daarmee een breed aandachtsgebied. Onderwerpen die aan de orde komen zijn onder andere logische toegangsbeveiliging, isolatie van data, verwerken en bewaren van aangeboden transacties, zorgen voor data-integriteit, bewerkstellingen van een adequate audit trail, logging door de gebruiker, het creëren van mogelijkheden om het verwerkingsproces te monitoren, change-management en documentatie. Daarnaast zijn de maatregelen die toezien op de wijze waarop koppelingen met externe systemen, zoals andere cloudoplossingen, worden gerealiseerd en over de documenten en de rapporten die kunnen worden gemaakt onderdeel van de audit.

De specifieke functionaliteit betreft de mogelijkheid die de softwaretoepassing zelf biedt of, met andere woorden, over datgene wat de klant met de toepassing kan doen. Voorbeelden van specifieke functionaliteit zijn boekhouden of het elektronisch aanmaken, inlezen en verwerken van facturen of het automatisch inlezen en verwerken van bankafschriften. Om te komen tot een betrouwbare administratie is software nodig waarmee de gebruiker transacties juist, volledig en tijdig kan vastleggen. Specifieke applicatieve maatregelen zorgen ervoor dat dit ook feitelijk gebeurt. De kwaliteit van de data en compliance aan wet-en regelgeving staan daarbij centraal.

samenstelopdracht-zekeronline

Het stelsel gaat uit van verantwoordelijkheden.

Het stelsel gaat uit van verantwoordelijkheden. Voor de beheermaatregelen met betrekking tot ‘de dienst’ (IT-beheer en technische beveiligingsmaatregelen) is de dienstaanbieder verantwoordelijk. De klant blijft echter verantwoordelijk voor zijn eigen omgeving. Daarom is de delegatie van bevoegdheden binnen zo’n administratie dan ook belegd bij de klant zelf.

Waar werkzaamheden door de dienstaanbieder worden uitbesteed aan derden blijft de dienstaanbieder wel verantwoordelijk voor de totale onlinedienstverlening (cloudoplossing). Uitbesteden mag er bijvoorbeeld niet toe leiden dat de auditor de oplossing niet als geheel zou kunnen beoordelen. Bij de selectie van zijn leveranciers moet de dienstaanbieder hier dus rekening mee houden.

Asperion - Module inBalance
Twinfield - Online Boekhouden
Reeleezee - Reeleezee Administratie
Ficsus.nl - FicsBook
Informer Software - InformerOnline
Yuki