Skip to main content
Skip table of contents

ISAE-verklaring

Met een ISAE-verklaring toont de softwareleverancier aan dat het woonruimteverdeelsysteem de overheidsgegevens op een betrouwbare manier verkrijgt, controleert, combineert en waarmerkt. Dit hoofdstuk gaat in op de noodzaak daarvan en de opdrachtverstrekking aan de IT-auditor.

Waarom een ISAE-verklaring

Corporaties moeten een verplichte accountantscontrole laten uitvoeren op de toewijzing van sociale huurwoningen. De accountant moet daarbij gebruik maken van een accountantsprotocol dat jaarlijks wordt geactualiseerd en in wetgeving is opgenomen.

Bij de controle of corporaties de juiste inkomensgegevens gebruiken bij het uitvoeren van de inkomenstoets, is de reguliere werkwijze om steekproeven van dossiers te nemen en vervolgens van die dossiers de inkomensverklaring te controleren. Daarbij wordt onder meer nagegaan of de inkomensverklaringen (wanneer vereist) van de overheid afkomstig zijn. Wanneer de digitale inkomensverklaring wordt gebruikt, is dat niet (geheel) meer mogelijk.

Dat komt omdat de digitale inkomensverklaring door het systeem van de softwareleverancier wordt afgegeven door gegevens uit verschillende bronnen te combineren:

  • het BSN en het inkomen, verkregen via DigiD/MijnOverheid, voorzien van een overheidswaarmerk;

  • het BSN, de geslachtsnaam en de geboortedatum, verkregen uit het woonruimteverdeelsysteem en/of invoer van de gebruiker van woonruimteverdeelsoftware, gevalideerd via de BV BSN (een overheidsvoorziening), en eventueel naar aanleiding daarvan gecorrigeerd. De validatie van de BV BSN levert geen overheidswaarmerk op.

Door het combineren van de twee overheidsbronnen heeft het nieuwe bericht geen waarmerk meer waarmee de accountant kan verifiëren dat de gegevens van de overheid afkomstig zijn.

De accountant moet echter wel voldoende vertrouwen hebben dat de digitale inkomensverklaring die gebruikt wordt voor de inkomenstoets is afgeleid van gegevens van de overheid. Dat kan als de softwareleveranciers van woonruimteverdeelsystemen een onafhankelijke auditor laten verklaren dat het betreffende systeem de van de overheid verkregen of door de overheid gevalideerde gegevens op een betrouwbare manier verkrijgt, controleert, combineert en waarmerkt. De werking wordt vastgelegd in een ISAE3402 type II- of een ISAE3000 type II-verklaring. De ISAE-verklaring ziet toe op de authenticiteit en integriteit van de digitale inkomensverklaring. Met digitale inkomensverklaring bedoelen wij: de combinatie van geslachtsnaam, geboortedatum en inkomensgegeven, voorzien van een leverancierswaarmerk (een hash van de inhoud van de digitale inkomensverklaring, ondertekend met de private key van de softwareleverancier).

Dit betekent:

  • Als de softwareleverancier al beschikt over een ISAE3402- of ISAE3000-type II-verklaring waarbij de digitale inkomensverklaring in scope is: geen actie vereist.

  • Als de softwareleverancier niet beschikt over een ISAE3402- of ISAE3000-type II-verklaring waarbij de digitale inkomensverklaring in scope is: de softwareleverancier moet zijn auditor de opdracht geven om een verklaring op te stellen of de scope van de al bestaande verklaring uit te breiden met de functionaliteit rondom de koppelvlakken met de digitale infrastructuur van de overheid en de gegevensverwerking die plaatsvinden in het kader van de digitale procedure.

Opdrachtverlening ISAE-verklaring

De beoogde beheersingsdoelstellingen voor de beoogde type II-verklaringen zijn: het borgen van de authenticiteit en de integriteit van de gevalideerde overheidsgegevens op de digitale inkomensverklaring.

Hou er rekening mee dat in de ISAE-verklaring ten minste het volgende beschreven moet worden:

  • Procesbeschrijving en scope

  • Technische beschrijving van de werking van de koppeling, inclusief de beheersingsmaatregelen die de softwareleverancier neemt om te garanderen dat de overheidsgegevens op de digitale inkomensverklaring authentiek en integer zijn

  • Risico-analyse

  • Beschrijving van de aanvullende maatregelen die getroffen zijn naar aanleiding van de risico-analyse

De ISAE-verklaring moet toezien op de gehele periode waarin de digitale inkomensverklaring gebruikt is door de woonruimteverdeler of corporatie. Dat betekent dat vanaf de datum livegang de evidence voor de ISAE-verklaring moet worden verzameld. De softwareleverancier moet voor het gehele jaar kunnen aantonen dat het systeem werkt zoals beoogt. Voor livegang moet dus afstemming plaatsgevonden hebben met de ISAE-auditor en de opdracht zijn verstrekt.

Het is aan de softwareleverancier en zijn auditor om de opdracht voor de ISAE-verklaring verdere invulling te geven. Dit is geen onderdeel van de DIV-it-standaard. Uiteraard kunnen elementen uit de DIV-it-standaard wel gebruikt worden door de softwareleverancier en zijn auditor.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close