Nu de markt steeds meer bedrijfskritische processen uitbesteed aan cloudleveranciers of andere dienstverleners, is er steeds meer behoefte aan rechtszekerheid ten aanzien van de veiligheid van deze dienstverlening. Er zijn in de loop der jaren een groot aantal digitale keurmerken ontstaan, die deze zekerheid moeten geven. Hieronder gaan we in op de waarde van dergelijke digitale keurmerken.
Er zijn verschillende digitale keurmerken, die elk hun eigen insteek hebben, dan wel voor een specifieke branche zijn bedoeld. Een aantal bekende keurmerken zijn:
1. Zeker-OnLine: keurmerk voor online administratieve diensten;
2. Keurmerk Thuiswinkel Waarborg: keurmerk voor het kopen en verkopen van producten en diensten via internet;
3. ICT Waarborg: algemeen keurmerk voor verschillende ICT-activiteiten.
Achter de meeste digitale keurmerken, zitten organisaties waarbij IT-producenten zich kunnen aanmelden. Het is nog van belang om op te merken, dat sommige van deze “keurende” organisaties een commercieel belang hebben om zoveel mogelijk van hun keurmerken in de markt te zetten.
De keurmerken hebben verschillende voorwaarden om het digitale keurmerk te mogen voeren. Als voorbeeld behandelen we hieronder het keurmerk Zeker-OnLine.
Zeker-OnLine
Zeker-OnLine is een digitaal keurmerk voor online administratieve diensten. Volgens Stichting Zeker-OnLine staat het keurmerk voor betrouwbaarheid, veiligheid en continuïteit. Deze Stichting geeft vervolgens aan, dat dit niet alleen voor de applicatie geldt, die de administratieve gegevens verwerkt en waaruit financiële informatie voortkomt, maar ook voor het totaalpakket van de dienstverlening door de aanbieder die het keurmerk voor zijn oplossing heeft verworven. Het keurmerk is ontstaan uit een initiatief van de Belastingdienst, het Electronic Commerce Platform Nederland (ECP) en verschillende aanbieders van online administratieve diensten.
Om dit keurmerk te mogen voeren, dienen organisaties aan een set van kwaliteitseisen te voldoen, welke zijn vastgelegd in een normenkader. Door een IT-auditor wordt gecontroleerd of de betreffende organisatie voldoet aan de kwaliteitseisen, vervolgens wordt er twee keer per jaar een quickscan uitgevoerd. Daarna volgt in het derde jaar weer een audit. De audit wordt volgens Stichting Zeker-OnLine uitgevoerd op basis van ISAE 3402.
Wat is nu de waarde van een dergelijk keurmerk? Volgens De IT-jurist heeft een dergelijk keurmerk uiteraard wel waarde: de kwaliteitseisen zijn transparant en elke klant van de betreffende IT-producent kan dus inzien aan welke eisen zijn of haar leverancier voldoet. De organisaties die voldoen aan het keurmerk hebben in ieder geval een behoorlijke set aan maatregelen getroffen, die periodiek worden gecontroleerd door een onafhankelijke derde. Biedt een dergelijk keurmerk nu absolute rechtszekerheid? Volgens De IT-jurist kan een dergelijk keurmerk geen absolute rechtszekerheid bieden. De ervaring heeft ons geleerd, mede sinds de DigiNotar-affaire, dat ook in deze gevallen er incidenten kunnen plaatsvinden. Technische maatregelen kunnen zijn getroffen, die door technologische ontwikkelingen bijvoorbeeld in de week er op weer achterhaald zijn, bijvoorbeeld door een nieuw lek in bepaalde software. Ditzelfde geldt voor juridische maatregelen, die door nieuwe wet- en regelgeving of actuele jurisprudentie niet meer relevant kunnen zijn.
Conclusie
Klanten van organisaties, die een digitaal keurmerk voeren, moeten niet het idee hebben, dat er niks meer fout kan gaan bij hun IT-project. Het is nog steeds verstandig om kritisch te blijven, zeker wanneer de klant zelf ook moet voldoen aan verschillende wet- en regelgeving. Er zijn ook sommige IT-producten, die bewust afzien van het behalen van keurmerken om in hun opinie te voorkomen, dat ze hun klanten schijnzekerheid bieden.
(Bron: De IT-Jurist)
