Wat is een TPM-verklaring?
Een TPM (Third Party Mededeling) is een apart onderzoek ten opzichte van het DigiD assessment, uitgevoerd door een onafhankelijke auditor. Het belangrijkste doel hiervan is dat andere IT-auditors op dit rapport kunnen vertrouwen, waardoor zij niet alles opnieuw zelf hoeven te onderzoeken. Dit vermindert de totale auditinspanning voor organisaties aanzienlijk. Voor overheidsorganisaties is dit document belangrijk voor compliance met de Baseline Informatiebeveiliging Overheid (BIO) en andere regelgeving.
Wat is een TPM precies?
Een TPM (Third Party Mededeling) is een formeel auditrapport dat door een onafhankelijke IT-auditor wordt opgesteld over de beheersmaatregelen van een leverancier. Het is belangrijk om het doel van een TPM goed te begrijpen: het stelt andere auditors in staat om op het rapport te vertrouwen, zodat zij bij hun eigen onderzoek niet alles opnieuw hoeven te controleren. Dit is een wezenlijk voordeel, omdat het de totale auditinspanning voor alle betrokken organisaties vermindert.
Bij het gebruik van een SaaS-oplossing (Software as a Service) is een TPM van de leverancier nodig. Op basis van deze TPM hoeven auditors bij de gebruikersorganisatie alleen een beperkte controle uit te voeren op een specifiek aantal relevante normen. De TPM geeft daarmee richting aan de audit: het laat zien welke onderdelen al bij de leverancier zijn onderzocht en op welke punten de auditor zich nog moet richten bij de organisatie zelf.
Binnen overheidsomgevingen speelt de TPM een belangrijke rol bij het aantonen van compliance. Organisaties die werken met gevoelige overheidsinformatie moeten kunnen bewijzen dat hun processen en systemen voldoen aan de vereiste beveiligingsstandaarden. De TPM dient als bewijs tijdens audits en assessments dat de juiste beheersmaatregelen bij de leverancier zijn geïmplementeerd.
Waarom is een TPM belangrijk voor overheidsorganisaties?
Voor overheidsorganisaties is een TPM essentieel omdat de Baseline Informatiebeveiliging Overheid (BIO) aantoonbare beveiliging voorschrijft voor systemen die gevoelige informatie verwerken. De TPM toont aan dat de leverancier voldoet aan deze normen en helpt organisaties om hun verantwoordingsplicht richting toezichthouders en bestuur te vervullen.
Een TPM mitigeert verschillende compliance-risico’s. Doordat andere IT-auditors op de TPM kunnen vertrouwen, hoeven zij niet alles opnieuw zelf te onderzoeken. Dit bespaart tijd en middelen, zowel voor de gebruikersorganisatie als voor de auditpraktijk als geheel.
Organisaties die werken met DigiD-koppelingen moeten kunnen aantonen dat authenticatieprocessen adequaat zijn beveiligd. Een DigiD assessment controleert onder andere of de beheersmaatregelen rondom DigiD correct zijn ingericht. Wanneer een organisatie gebruikmaakt van een SaaS-oplossing, is de TPM van de leverancier een onmisbaar onderdeel van dit proces. Ook voor Suwinet-toegang en andere gevoelige overheidsverbindingen gelden vergelijkbare vereisten, waarbij Suwinet los van de ENSIA wordt gepositioneerd.
De TPM werkt samen met andere auditinstrumenten zoals het DigiD assessment en de ENSIA-audit voor gemeenten. Deze gelaagde aanpak biedt een robuust compliance-kader dat aansluit op de specifieke eisen van verschillende toezichthouders.
Welke informatie staat er in een TPM?
Een complete TPM bevat gedetailleerde informatie over de beheersmaatregelen en beveiligingsmogelijkheden van de leverancier. De verklaring geeft compliance officers en IT-auditors inzicht in de technische en organisatorische maatregelen die de leverancier heeft getroffen. Dit stelt organisaties in staat te beoordelen of de leverancier voldoet aan de vereisten.
De standaard componenten van een TPM omvatten:
- Scope en doelstelling: Een omschrijving van de onderzochte diensten, systemen en processen bij de leverancier
- Uitgevoerde werkzaamheden: Een beschrijving van de door de auditor verrichte controlewerkzaamheden en de gehanteerde normen
- Bevindingen en oordeel: De conclusies van de auditor over de opzet, het bestaan en de werking van de beheersmaatregelen
- Relevante normen: De specifieke normen waarop de TPM betrekking heeft, zodat duidelijk is welke onderdelen al zijn onderzocht
- Reikwijdte voor gebruikersorganisaties: Een aanduiding van de normen waarop de gebruikersorganisatie nog aanvullend gecontroleerd dient te worden
De TPM maakt expliciet welke onderdelen al bij de leverancier zijn onderzocht. Auditors bij de gebruikersorganisatie kunnen op basis hiervan bepalen op welke punten zij zich nog moeten richten. Dit voorkomt dubbel werk en maakt de audit efficiënter.
Door deze gedetailleerde informatie kunnen organisaties aantonen dat hun leverancier voldoet aan beveiligingsstandaarden. Auditors gebruiken de TPM om te verifiëren welke beheersmaatregelen reeds zijn gecontroleerd, wat essentieel is voor compliance met overheidsregelgeving.
Hoe verkrijg je een TPM voor je organisatie?
Het verkrijgen van een TPM volgt een gestructureerd proces waarbij zowel de gebruikersorganisatie als de SaaS-leverancier betrokken zijn. Het is belangrijk om systematisch te werk te gaan om ervoor te zorgen dat alle benodigde documentatie compleet en actueel is.
Het proces bestaat uit de volgende stappen:
- Inventarisatie van SaaS-leveranciers: Breng in kaart welke leveranciers SaaS-oplossingen leveren die relevant zijn voor uw DigiD-koppeling of andere compliance-verplichtingen
- TPM opvragen bij de leverancier: Neem contact op met uw SaaS-leverancier en vraag een actuele TPM op die betrekking heeft op de relevante normen
- Beoordeling van de TPM: Controleer of de TPM is opgesteld door een onafhankelijke IT-auditor en of de scope aansluit op uw compliance-vereisten
- Bepalen van resterende auditverplichtingen: Stel op basis van de TPM vast welke normen nog aanvullend gecontroleerd moeten worden bij uw eigen organisatie
- Verificatie tijdens de audit: Laat de TPM en de resterende controlepunten beoordelen tijdens een DigiD assessment of, voor gemeenten, een ENSIA assessment, om te bevestigen dat alles voldoet aan de compliance-eisen
SaaS-leveranciers spelen een belangrijke rol bij het beschikbaar stellen van een TPM. Zij laten een onafhankelijke IT-auditor hun beheersmaatregelen onderzoeken en leggen de bevindingen vast in de TPM. Bij het afsluiten van een nieuw SaaS-contract is het verstandig om direct te vragen naar de beschikbaarheid van een actuele TPM en deze bij de contractdocumentatie te bewaren.
Bij implementatie in bestaande infrastructuur zijn er aandachtspunten. Controleer of de TPM van uw leverancier nog actueel is en of de scope overeenkomt met de diensten die u afneemt. Zorg ook voor adequate kennis bij uw compliance- en IT-team over het gebruik van een TPM binnen het auditproces. Documenteer alle stappen zodat ook bij personeelswisselingen de kennis behouden blijft.
Wat zijn veelvoorkomende valkuilen bij het gebruik van een TPM?
Organisaties lopen regelmatig tegen praktische uitdagingen aan bij het verkrijgen en toepassen van een TPM binnen hun auditproces. Het herkennen van deze valkuilen helpt om problemen te voorkomen en zorgt voor een soepel verloop dat voldoet aan compliance-vereisten.
De meest voorkomende problemen zijn:
Geen actuele TPM beschikbaar bij de leverancier: Niet alle SaaS-leveranciers beschikken over een actuele TPM. Vraag hier tijdig naar en leg contractueel vast dat de leverancier verplicht is een geldige TPM te verstrekken. Een verouderde TPM biedt onvoldoende zekerheid voor uw auditor.
Scope van de TPM sluit niet aan op uw situatie: Een TPM kan betrekking hebben op slechts een deel van de diensten of normen die voor uw organisatie relevant zijn. Controleer zorgvuldig of de scope van de TPM overeenkomt met de diensten die u afneemt en de normen waaraan u moet voldoen.
Onduidelijkheid over resterende auditverplichtingen: Organisaties gaan er soms ten onrechte van uit dat een TPM alle auditverplichtingen afdekt. De TPM geeft richting aan de audit, maar bij de gebruikersorganisatie blijft een beperkte controle op specifieke relevante normen noodzakelijk. Stem dit tijdig af met uw auditor.
Onvolledige documentatie van de leverancier: Niet alle leveranciers verstrekken automatisch een volledige TPM met alle benodigde informatie. Vraag deze expliciet aan en controleer of de TPM is opgesteld door een onafhankelijke, gekwalificeerde IT-auditor voordat u de dienst in gebruik neemt.
Gebrek aan kennis bij compliance-medewerkers: Het correct interpreteren en toepassen van een TPM vereist specifieke kennis. Investeer in training zodat uw team begrijpt hoe een TPM het auditproces beïnvloedt en welke aanvullende stappen nog nodig zijn bij de eigen organisatie.
Een goede afstemming met uw auditor is cruciaal voor het waarborgen van continuïteit. Bespreek tijdig welke TPM’s beschikbaar zijn, wat de scope daarvan is en welke aanvullende controlewerkzaamheden nog uitgevoerd moeten worden. Documenteer alle stappen zodat het auditproces transparant en herhaalbaar is.
Hoe BKBO helpt met TPM en compliance
Wij ondersteunen overheidsorganisaties bij het beoordelen en toepassen van TPM’s tijdens verschillende compliance-audits. Met meer dan 2.500 afgeronde audits bij overheids- en zorginstellingen beschikken wij over ruime ervaring met DigiD assessments, ENSIA assessments voor gemeenten en andere beveiligingsbeoordelingen. Deze expertise stelt ons in staat om grondige verificaties uit te voeren van zowel de aangeleverde TPM’s als de aanvullende controlepunten bij de gebruikersorganisatie.
Onze auditaanpak omvat een systematische controle van alle relevante aspecten. We beoordelen of de TPM van uw leverancier compleet en actueel is en of de scope aansluit op uw situatie. Vervolgens stellen we vast welke normen nog aanvullend gecontroleerd moeten worden bij uw organisatie. We beoordelen ook de procedures rondom toegangsbeheer en beveiliging, en valideren of de totale implementatie voldoet aan de specifieke eisen van BIO, ENSIA en andere relevante frameworks.
Wat u van ons kunt verwachten:
- Bewezen expertise: Ervaring met meer dan 2.500 afgeronde audits bij overheids- en zorginstellingen
- Specialistische kennis: Diepgaand inzicht in overheidscompliance en de specifieke rol van TPM’s binnen het auditproces
- Transparante prijzen: Vaste tarieven zonder verborgen kosten, inclusief eventuele heraudits
- Praktische aanbevelingen: Concrete, implementeerbare adviezen voor het verbeteren van uw compliance-positie
- Objectieve beoordeling: Onafhankelijke verificatie zonder belangenconflicten
Heeft u vragen over TPM’s of wilt u weten of uw organisatie voldoet aan de compliance-eisen? Het is altijd mogelijk om contact met ons op te nemen voor een vrijblijvende offerte.
Een TPM (Third Party Mededeling) is een apart onderzoek ten opzichte van het DigiD assessment, uitgevoerd door een onafhankelijke auditor. Het belangrijkste doel hiervan is dat andere IT-auditors op dit rapport kunnen vertrouwen, waardoor zij niet alles opnieuw zelf hoeven te onderzoeken. Dit vermindert de totale auditinspanning voor organisaties aanzienlijk. Voor overheidsorganisaties is dit document belangrijk voor compliance met de Baseline Informatiebeveiliging Overheid (BIO) en andere regelgeving.
Wat is een TPM precies?
Een TPM (Third Party Mededeling) is een formeel auditrapport dat door een onafhankelijke IT-auditor wordt opgesteld over de beheersmaatregelen van een leverancier. Het is belangrijk om het doel van een TPM goed te begrijpen: het stelt andere auditors in staat om op het rapport te vertrouwen, zodat zij bij hun eigen onderzoek niet alles opnieuw hoeven te controleren. Dit is een wezenlijk voordeel, omdat het de totale auditinspanning voor alle betrokken organisaties vermindert.
Bij het gebruik van een SaaS-oplossing (Software as a Service) is een TPM van de leverancier nodig. Op basis van deze TPM hoeven auditors bij de gebruikersorganisatie alleen een beperkte controle uit te voeren op een specifiek aantal relevante normen. De TPM geeft daarmee richting aan de audit: het laat zien welke onderdelen al bij de leverancier zijn onderzocht en op welke punten de auditor zich nog moet richten bij de organisatie zelf.
Binnen overheidsomgevingen speelt de TPM een belangrijke rol bij het aantonen van compliance. Organisaties die werken met gevoelige overheidsinformatie moeten kunnen bewijzen dat hun processen en systemen voldoen aan de vereiste beveiligingsstandaarden. De TPM dient als bewijs tijdens audits en assessments dat de juiste beheersmaatregelen bij de leverancier zijn geïmplementeerd.
Waarom is een TPM belangrijk voor overheidsorganisaties?
Voor overheidsorganisaties is een TPM essentieel omdat de Baseline Informatiebeveiliging Overheid (BIO) aantoonbare beveiliging voorschrijft voor systemen die gevoelige informatie verwerken. De TPM toont aan dat de leverancier voldoet aan deze normen en helpt organisaties om hun verantwoordingsplicht richting toezichthouders en bestuur te vervullen.
Een TPM mitigeert verschillende compliance-risico’s. Doordat andere IT-auditors op de TPM kunnen vertrouwen, hoeven zij niet alles opnieuw zelf te onderzoeken. Dit bespaart tijd en middelen, zowel voor de gebruikersorganisatie als voor de auditpraktijk als geheel.
Organisaties die werken met DigiD-koppelingen moeten kunnen aantonen dat authenticatieprocessen adequaat zijn beveiligd. Een DigiD assessment controleert onder andere of de beheersmaatregelen rondom DigiD correct zijn ingericht. Wanneer een organisatie gebruikmaakt van een SaaS-oplossing, is de TPM van de leverancier een onmisbaar onderdeel van dit proces. Ook voor Suwinet-toegang en andere gevoelige overheidsverbindingen gelden vergelijkbare vereisten, waarbij Suwinet los van de ENSIA wordt gepositioneerd.
De TPM werkt samen met andere auditinstrumenten zoals het DigiD assessment en de ENSIA-audit voor gemeenten. Deze gelaagde aanpak biedt een robuust compliance-kader dat aansluit op de specifieke eisen van verschillende toezichthouders.
Welke informatie staat er in een TPM?
Een complete TPM bevat gedetailleerde informatie over de beheersmaatregelen en beveiligingsmogelijkheden van de leverancier. De verklaring geeft compliance officers en IT-auditors inzicht in de technische en organisatorische maatregelen die de leverancier heeft getroffen. Dit stelt organisaties in staat te beoordelen of de leverancier voldoet aan de vereisten.
De standaard componenten van een TPM omvatten:
- Scope en doelstelling: Een omschrijving van de onderzochte diensten, systemen en processen bij de leverancier
- Uitgevoerde werkzaamheden: Een beschrijving van de door de auditor verrichte controlewerkzaamheden en de gehanteerde normen
- Bevindingen en oordeel: De conclusies van de auditor over de opzet, het bestaan en de werking van de beheersmaatregelen
- Relevante normen: De specifieke normen waarop de TPM betrekking heeft, zodat duidelijk is welke onderdelen al zijn onderzocht
- Reikwijdte voor gebruikersorganisaties: Een aanduiding van de normen waarop de gebruikersorganisatie nog aanvullend gecontroleerd dient te worden
De TPM maakt expliciet welke onderdelen al bij de leverancier zijn onderzocht. Auditors bij de gebruikersorganisatie kunnen op basis hiervan bepalen op welke punten zij zich nog moeten richten. Dit voorkomt dubbel werk en maakt de audit efficiënter.
Door deze gedetailleerde informatie kunnen organisaties aantonen dat hun leverancier voldoet aan beveiligingsstandaarden. Auditors gebruiken de TPM om te verifiëren welke beheersmaatregelen reeds zijn gecontroleerd, wat essentieel is voor compliance met overheidsregelgeving.
Hoe verkrijg je een TPM voor je organisatie?
Het verkrijgen van een TPM volgt een gestructureerd proces waarbij zowel de gebruikersorganisatie als de SaaS-leverancier betrokken zijn. Het is belangrijk om systematisch te werk te gaan om ervoor te zorgen dat alle benodigde documentatie compleet en actueel is.
Het proces bestaat uit de volgende stappen:
- Inventarisatie van SaaS-leveranciers: Breng in kaart welke leveranciers SaaS-oplossingen leveren die relevant zijn voor uw DigiD-koppeling of andere compliance-verplichtingen
- TPM opvragen bij de leverancier: Neem contact op met uw SaaS-leverancier en vraag een actuele TPM op die betrekking heeft op de relevante normen
- Beoordeling van de TPM: Controleer of de TPM is opgesteld door een onafhankelijke IT-auditor en of de scope aansluit op uw compliance-vereisten
- Bepalen van resterende auditverplichtingen: Stel op basis van de TPM vast welke normen nog aanvullend gecontroleerd moeten worden bij uw eigen organisatie
- Verificatie tijdens de audit: Laat de TPM en de resterende controlepunten beoordelen tijdens een DigiD assessment of, voor gemeenten, een ENSIA assessment, om te bevestigen dat alles voldoet aan de compliance-eisen
SaaS-leveranciers spelen een belangrijke rol bij het beschikbaar stellen van een TPM. Zij laten een onafhankelijke IT-auditor hun beheersmaatregelen onderzoeken en leggen de bevindingen vast in de TPM. Bij het afsluiten van een nieuw SaaS-contract is het verstandig om direct te vragen naar de beschikbaarheid van een actuele TPM en deze bij de contractdocumentatie te bewaren.
Bij implementatie in bestaande infrastructuur zijn er aandachtspunten. Controleer of de TPM van uw leverancier nog actueel is en of de scope overeenkomt met de diensten die u afneemt. Zorg ook voor adequate kennis bij uw compliance- en IT-team over het gebruik van een TPM binnen het auditproces. Documenteer alle stappen zodat ook bij personeelswisselingen de kennis behouden blijft.
Wat zijn veelvoorkomende valkuilen bij het gebruik van een TPM?
Organisaties lopen regelmatig tegen praktische uitdagingen aan bij het verkrijgen en toepassen van een TPM binnen hun auditproces. Het herkennen van deze valkuilen helpt om problemen te voorkomen en zorgt voor een soepel verloop dat voldoet aan compliance-vereisten.
De meest voorkomende problemen zijn:
Geen actuele TPM beschikbaar bij de leverancier: Niet alle SaaS-leveranciers beschikken over een actuele TPM. Vraag hier tijdig naar en leg contractueel vast dat de leverancier verplicht is een geldige TPM te verstrekken. Een verouderde TPM biedt onvoldoende zekerheid voor uw auditor.
Scope van de TPM sluit niet aan op uw situatie: Een TPM kan betrekking hebben op slechts een deel van de diensten of normen die voor uw organisatie relevant zijn. Controleer zorgvuldig of de scope van de TPM overeenkomt met de diensten die u afneemt en de normen waaraan u moet voldoen.
Onduidelijkheid over resterende auditverplichtingen: Organisaties gaan er soms ten onrechte van uit dat een TPM alle auditverplichtingen afdekt. De TPM geeft richting aan de audit, maar bij de gebruikersorganisatie blijft een beperkte controle op specifieke relevante normen noodzakelijk. Stem dit tijdig af met uw auditor.
Onvolledige documentatie van de leverancier: Niet alle leveranciers verstrekken automatisch een volledige TPM met alle benodigde informatie. Vraag deze expliciet aan en controleer of de TPM is opgesteld door een onafhankelijke, gekwalificeerde IT-auditor voordat u de dienst in gebruik neemt.
Gebrek aan kennis bij compliance-medewerkers: Het correct interpreteren en toepassen van een TPM vereist specifieke kennis. Investeer in training zodat uw team begrijpt hoe een TPM het auditproces beïnvloedt en welke aanvullende stappen nog nodig zijn bij de eigen organisatie.
Een goede afstemming met uw auditor is cruciaal voor het waarborgen van continuïteit. Bespreek tijdig welke TPM’s beschikbaar zijn, wat de scope daarvan is en welke aanvullende controlewerkzaamheden nog uitgevoerd moeten worden. Documenteer alle stappen zodat het auditproces transparant en herhaalbaar is.
Hoe BKBO helpt met TPM en compliance
Wij ondersteunen overheidsorganisaties bij het beoordelen en toepassen van TPM’s tijdens verschillende compliance-audits. Met meer dan 2.500 afgeronde audits bij overheids- en zorginstellingen beschikken wij over ruime ervaring met DigiD assessments, ENSIA assessments voor gemeenten en andere beveiligingsbeoordelingen. Deze expertise stelt ons in staat om grondige verificaties uit te voeren van zowel de aangeleverde TPM’s als de aanvullende controlepunten bij de gebruikersorganisatie.
Onze auditaanpak omvat een systematische controle van alle relevante aspecten. We beoordelen of de TPM van uw leverancier compleet en actueel is en of de scope aansluit op uw situatie. Vervolgens stellen we vast welke normen nog aanvullend gecontroleerd moeten worden bij uw organisatie. We beoordelen ook de procedures rondom toegangsbeheer en beveiliging, en valideren of de totale implementatie voldoet aan de specifieke eisen van BIO, ENSIA en andere relevante frameworks.
Wat u van ons kunt verwachten:
- Bewezen expertise: Ervaring met meer dan 2.500 afgeronde audits bij overheids- en zorginstellingen
- Specialistische kennis: Diepgaand inzicht in overheidscompliance en de specifieke rol van TPM’s binnen het auditproces
- Transparante prijzen: Vaste tarieven zonder verborgen kosten, inclusief eventuele heraudits
- Praktische aanbevelingen: Concrete, implementeerbare adviezen voor het verbeteren van uw compliance-positie
- Objectieve beoordeling: Onafhankelijke verificatie zonder belangenconflicten
Heeft u vragen over TPM’s of wilt u weten of uw organisatie voldoet aan de compliance-eisen? Het is altijd mogelijk om contact met ons op te nemen voor een vrijblijvende offerte.