TPM verklaring: wat is het, wanneer is het verplicht en hoe werkt de audit?
Wat is een TPM verklaring?
Een TPM verklaring (Third Party Mededeling) is een onafhankelijk assurance rapport dat wordt opgesteld door een Register EDP-auditor (RE). De verklaring geeft zekerheid aan derden over de kwaliteit, beveiliging en betrouwbaarheid van de IT-dienstverlening van een organisatie.
De afkorting TPM staat voor Third Party Memorandum, in het Nederlands ook wel "derdenverklaring" of "Third Party Mededeling" genoemd. De naam verwijst naar de drie partijen die betrokken zijn bij het proces:
- •De eerste partij is de IT-dienstverlener of leverancier die de verklaring laat opstellen.
- •De tweede partij is de klant of afnemer die gebruikmaakt van de IT-diensten.
- •De derde partij is de onafhankelijke IT-auditor die het onderzoek uitvoert en de verklaring afgeeft.
Het doel van een TPM is eenvoudig: als IT-dienstverlener toont u met één onafhankelijke verklaring aan al uw klanten aan dat uw systemen en processen voldoen aan de afgesproken normen. Zonder TPM zou elke klant afzonderlijk een audit bij u moeten laten uitvoeren, wat voor beide partijen tijdrovend en kostbaar is.
Wanneer is een TPM verklaring verplicht?
Een TPM verklaring is in de volgende situaties verplicht of sterk aanbevolen:
DigiD-koppeling
Organisaties die een DigiD-koppeling aanbieden, moeten jaarlijks een beveiligingsassessment laten uitvoeren conform de richtlijn van Logius. Als u als IT-leverancier de hosting of software levert voor een DigiD-koppeling van een overheidsorganisatie, dan kan een TPM verklaring ervoor zorgen dat uw klanten niet elk afzonderlijk een audit bij u hoeven te laten uitvoeren.
Levering aan overheidsorganisaties
Het is voor overheidsorganisaties verplicht om voor alle ICT-diensten die zij inkopen een TPM verklaring te eisen van hun leverancier. Als u levert aan gemeenten, provincies of andere overheidsinstanties, is een TPM dus vrijwel onvermijdelijk. Overheidsorganisaties hanteren hierbij vaak de BIO (Baseline Informatiebeveiliging Overheid) als normenkader.
Levering aan zorginstellingen
Zorginstellingen die moeten voldoen aan NEN 7510 eisen steeds vaker een TPM van hun IT-leveranciers. De verklaring biedt zekerheid dat patiëntgegevens en andere gevoelige informatie veilig worden verwerkt.
Wanneer uw klanten zelf geaudit worden
Wanneer uw klanten een ISAE 3402-verklaring of ISO 27001-certificering moeten behalen, kijkt de auditor ook naar de uitbestede processen. Een TPM verklaring voorkomt dat die auditor separaat onderzoek bij u moet doen. De RE-auditor van uw klant kan "steunen" op uw TPM verklaring.
Wat wordt er getoetst bij een TPM audit?
Bij een TPM audit beoordeelt de auditor uw IT-dienstverlening op drie niveaus:
Opzet
Zijn de processen, procedures en beheersmaatregelen beschreven en gedocumenteerd? Denk aan informatiebeveiligingsbeleid, change management procedures, incident management processen en toegangsbeheer.
Bestaan
Zijn de beschreven processen en maatregelen daadwerkelijk geïmplementeerd? Het is niet voldoende om beleidsdocumenten te hebben; de auditor controleert of de maatregelen ook werkelijk bestaan in de praktijk.
Werking
Functioneren de geïmplementeerde maatregelen effectief over een bepaalde periode? Dit is het meest intensieve onderdeel van de audit. De auditor toetst of de maatregelen gedurende de gehele beoordelingsperiode (doorgaans 6 tot 12 maanden) consistent hebben gewerkt.
De specifieke normen waaraan getoetst wordt, zijn afhankelijk van de situatie en worden vooraf in overleg tussen de auditor en uw organisatie vastgesteld. Veelgebruikte normenkaders zijn:
- •Logius norm (voor DigiD-koppelingen)
- •NEN 7510 (voor zorginstellingen)
- •BIO (Baseline Informatiebeveiliging Overheid)
- •ISO 27001 / ISO 27002 (internationale normen voor informatiebeveiliging)
- •ISAE 3000 / ISAE 3402 (assurance standaarden)
Hoe verloopt een TPM audit: stap voor stap
Stap 1: Intake en scopebepaling
De auditor bespreekt met u welke diensten, systemen en processen onderdeel zijn van de TPM. Samen stelt u het normenkader vast waaraan getoetst wordt. Dit is een belangrijk moment, want de scope bepaalt de omvang en daarmee de doorlooptijd en kosten van de audit.
Stap 2: Vragenlijst en documentatie
U ontvangt een vragenlijst waarmee de auditor uw situatie in kaart brengt. Hierbij levert u relevante documenten aan, zoals uw informatiebeveiligingsbeleid, procedures voor change management, incident registraties en toegangsbeheer. Veel auditkantoren hebben hiervoor een gestandaardiseerde werkwijze ontwikkeld.
Stap 3: Pre-audit (optioneel maar aanbevolen)
Bij een pre-audit of quick scan beoordeelt de auditor op hoofdlijnen of uw organisatie klaar is voor de daadwerkelijke audit. Dit is geen verplichting, maar het voorkomt verrassingen. Eventuele tekortkomingen kunt u dan nog oplossen voordat de formele audit plaatsvindt.
Stap 4: Penetratietest
Voor TPM-verklaringen die betrekking hebben op webapplicaties of DigiD-koppelingen is een penetratietest onderdeel van het traject. Een gecertificeerde pentester (vaak CEH-gecertificeerd) voert een blackbox en/of greybox test uit op uw systemen om kwetsbaarheden bloot te leggen. Eventuele kritieke bevindingen moeten worden opgelost voordat de audit kan worden afgerond.
Stap 5: Formele audit
De RE-auditor voert de daadwerkelijke audit uit. Dit omvat interviews met betrokken medewerkers, inspectie van systemen en configuraties, beoordeling van logbestanden en registraties, en toetsing van de werking van beheersmaatregelen over de beoordelingsperiode.
Stap 6: Rapportage
De auditor stelt het assurance rapport op. Dit rapport bevat een beschrijving van de getoetste dienstverlening, het gehanteerde normenkader, de bevindingen per onderdeel en het oordeel van de auditor. Het rapport wordt ondertekend door de RE-auditor.
Stap 7: Publicatie en verstrekking
Na afronding kunt u het TPM rapport verstrekken aan uw klanten. Veel organisaties publiceren het bestaan van de TPM verklaring ook op hun website als kwaliteitskenmerk. Het rapport is doorgaans één jaar geldig, waarna een nieuwe audit nodig is.
TPM vs ISAE 3402 vs SOC 2: wat is het verschil?
Een veelgestelde vraag is wat het verschil is tussen een TPM verklaring en andere assurance verklaringen zoals ISAE 3402 en SOC 2. Hieronder een vergelijking.
| TPM verklaring | ISAE 3402 | SOC 2 | |
|---|---|---|---|
| Oorsprong | Nederlands | Internationaal (IFAC) | Amerikaans (AICPA) |
| Focus | Flexibel: IT-beveiliging, dienstverlening | Uitbestede processen met financieel aspect | Trust Service Criteria (security, availability, etc.) |
| Normenkader | ISAE 3000, 3402, Logius, NEN 7510, BIO | ISAE 3402 standaard | SOC 2 framework (SSAE 18) |
| Doelgroep | Overheid, zorg, Nederlandse markt | Financiële sector, accountants | Tech, SaaS, internationale markt |
| Type I / II | Ja (opzet + bestaan / werking) | Ja (Type I en Type II) | Ja (Type I en Type II) |
| Internationale erkenning | Beperkt (vooral NL) | Breed erkend | Wereldwijd erkend |
| Kosten (indicatie) | €5.000 – €40.000 | €10.000 – €50.000 | €15.000 – €60.000 |
Een TPM is een Nederlands begrip en verwijst naar een assurance rapport dat op basis van verschillende standaarden kan worden opgesteld (ISAE 3000, ISAE 3402, SOC 2 of eigen normenkaders). Het is een flexibele verklaring die specifiek kan worden afgestemd op de situatie. Lees meer over ISAE 3402 op onze dienstenpagina of bekijk onze artikelen over SOC 2 Type 2 en de voordelen van SOC 2 rapportage.
Wanneer kiest u welke verklaring?
- •U levert aan Nederlandse overheidsorganisaties of zorginstellingen: een TPM verklaring (vaak op basis van ISAE 3000 of het relevante normenkader zoals Logius of NEN 7510) is de standaard.
- •U levert financiële diensten of processen met financieel aspect: ISAE 3402 is het meest passend.
- •U bent een SaaS-leverancier met internationale klanten: SOC 2 wordt steeds vaker gevraagd en biedt de breedste internationale erkenning.
- •U heeft meerdere typen klanten: bespreek met uw auditor welke combinatie het meest efficiënt is. Het is mogelijk om een TPM en ISAE 3402 of SOC 2 in één audittraject te combineren.
Wat kost een TPM verklaring?
De kosten van een TPM verklaring variëren sterk, afhankelijk van de scope, de omvang van uw organisatie en het normenkader. Een indicatie:
- •Kleinschalige TPM (enkele applicatie, beperkt normenkader): €5.000 tot €10.000
- •Gemiddelde TPM (meerdere diensten, inclusief pentest): €10.000 tot €20.000
- •Uitgebreide TPM (breed normenkader, meerdere omgevingen): €20.000 tot €40.000
Deze bedragen zijn inclusief de penetratietest, die doorgaans €2.000 tot €5.000 kost afhankelijk van de complexiteit van de omgeving.
Houd er rekening mee dat de initiële TPM audit doorgaans duurder is dan de jaarlijkse herhalingsaudit, omdat bij de eerste keer meer documentatie en processen moeten worden beoordeeld.
Hoe bereidt u zich voor op een TPM audit?
Een goede voorbereiding verkort de doorlooptijd en verlaagt de kosten van uw TPM audit. De volgende stappen helpen u om audit-ready te zijn.
Documentatie op orde
Zorg dat uw informatiebeveiligingsbeleid, procedures en werkinstructies actueel en volledig zijn. De auditor beoordeelt niet alleen of processen werken, maar ook of ze gedocumenteerd zijn.
Logbestanden en registraties
De auditor heeft bewijs nodig dat uw maatregelen daadwerkelijk werken. Zorg dat u logbestanden van toegangsbeheer, change management registraties, incident rapporten en back-up logs kunt overleggen over de gehele beoordelingsperiode.
Toegangsbeheer
Een van de meest getoetste onderdelen is toegangsbeheer. Controleer of user accounts actueel zijn, of er geen ongeautoriseerde toegang bestaat, of rechten zijn toegekend op basis van het need-to-know principe en of het onboarding- en offboardingproces goed is ingericht.
Pre-audit inplannen
Overweeg om een pre-audit te laten uitvoeren. Dit geeft u de kans om tekortkomingen te identificeren en op te lossen voordat de formele audit plaatsvindt. De meeste auditkantoren bieden dit aan als optionele dienst.
Hoe lang is een TPM verklaring geldig?
Een TPM verklaring is doorgaans één jaar geldig. Na afloop moet een nieuwe audit worden uitgevoerd om de verklaring te vernieuwen. De jaarlijkse herhalingsaudit is over het algemeen minder omvangrijk dan de initiële audit, mits er geen grote wijzigingen hebben plaatsgevonden in uw IT-omgeving of dienstverlening.
Voor DigiD-gerelateerde TPM-verklaringen geldt een specifieke deadline: het rapport moet jaarlijks vóór 1 mei bij Logius worden ingediend.
TPM verklaring laten uitvoeren
Een TPM audit wordt uitgevoerd door een Register EDP-auditor (RE) die is aangesloten bij NOREA, de beroepsorganisatie van IT-auditors in Nederland. Bij het kiezen van een auditkantoor is het belangrijk dat de auditor ervaring heeft met uw specifieke situatie, of dat nu DigiD, NEN 7510, BIO of een ander normenkader betreft.
Op IT-Audit Directory vindt u een overzicht van auditkantoren die TPM verklaringen afgeven. U kunt filteren op specialisatie, locatie en normenkader om het kantoor te vinden dat het beste bij uw situatie past.
Op zoek naar een TPM auditor?
Vergelijk TPM auditors in Nederland en vraag vrijblijvend een offerte aan.
Vergelijk TPM auditorsVeelgestelde vragen
Is een TPM hetzelfde als een ISAE 3402-verklaring?▾
Kan ik een TPM combineren met een ISO 27001-certificering?▾
Is een TPM verplicht voor alle IT-leveranciers?▾
Hoe lang duurt een TPM audit?▾
Wat als mijn organisatie nog niet voldoet aan alle normen?▾
Offerte aanvragen voor een TPM audit
Ontvang vrijblijvend offertes van ervaren TPM auditors. Vergelijk prijzen, doorlooptijden en specialisaties.
Vraag een offerte aanGerelateerde artikelen
Uitgelichte auditors voor TPM (Third Party Mededeling)
Op zoek naar een IT-auditor?
Vergelijk auditors en vraag direct een vrijblijvende offerte aan via IT-Audit Directory.
Bekijk auditors