Wir wenden verschiedene QA-Methoden und Zertifizierungen an, um ein Höchstmaß an Kontrolle und Qualität der Dienstleistungen zu gewährleisten.
Zertifizierungen – die Bedeutsamkeit der Qualität
DocCare wird jährlich von mehreren externen Prüfern auditiert. Durch diese unabhängige Bewertung gewährleistet DocCare die Qualität seiner Dienstleistungen durch verschiedene Zertifizierungen.
Dabei schließen wir keinerlei Kompromisse bezüglich der Effektivität und Zuverlässigkeit unserer Prozesse, bezüglich der Informationssicherheit und bezüglich der internen Kontrollen. Unserer Meinung nach ist Transparenz ein wichtiger Gradmesser für optimale Kundenbeziehungen. Deshalb erhalten unsere Kunden einen Bericht über die Prüfergebnisse.
Zertifizierungen von DocCare
Zur Gewährleistung der Qualität unserer Dienstleistungen auf höchstem Niveau haben wir uns gezielt für die Durchführung verschiedener Zertifizierungen entschieden.
ISAE 3402 type II
DocCare erhielt Ende Januar 2022 den ISAE3402 Typ II-Bericht für das Jahr 2021. Es wurden keine relevanten Abweichungen festgestellt. Ein Ergebnis, auf das wir immens stolz sind! Die Prüfung wurde von einem externen Auditor durchgeführt. Unsere strategischen Partner wurden ebenfalls in diesen Bericht einbezogen.
Das bedeutet eine hervorragende Leistung und es bestätigt sowohl den Kunden und als auch dem Markt, dass sich die Dienstleistungen bei DocCare in vertrauensvollen Händen befinden.
ISO 27001 – der Standard für Informationssicherheit
DocCare verfügt über das Zertifikat ISO 27001:2017+A11:2020. Dieses Zertifikat ist bis März 2025 gültig.
NEN7510 – Informationssicherheit im Gesundheitswesen
DocCare verfügt über das Zertifikat NEN7510-1:2017+A1:2020. Dieses Zertifikat ist bis Januar 2025 gültig.
ISAE3000 (COBIT 4.1) – Rahmen für Beurteilungen der Informationssicherheit
Im Jahr 2019 wurde DocCare von BDO anhand einer Bewertung des von der niederländischen Branchenorganisation „Zorgverzekeraars Nederland“ („Krankenversicherer Niederlande“, ZN) verwendeten Standardrahmens für Cobit-Kontrollen (Control Objectives for Information and related Technology) geprüft. Von den 59 Kontrollen stufte BDO 58 mit dem Reifegrad 3 oder höher ein.
ISAE 3402 type II
DocCare verfügt über eine ISAE 3402 Typ II Erklärung/Zertifizierung. Zu diesem Zweck wird DocCare zweimal im Jahr unangekündigt von einem Rechnungsprüfer von BDO geprüft. Der jährlich von BDO erstellte ISAE 3402-Bericht kann auf Wunsch zur Verfügung gestellt werden.
DocCare verfügt über eine ISAE 3402 Typ II Erklärung/Zertifizierung. Zu diesem Zweck wird DocCare zweimal im Jahr unangekündigt von einem Rechnungsprüfer von BDO geprüft. Der jährlich von BDO erstellte ISAE 3402-Bericht kann auf Wunsch zur Verfügung gestellt werden.
Die ISAE 3402 ist umfassender als lediglich ein Service Level Agreement. Es handelt sich um den letzten Schritt zu einer vollständigen Dienstleistungstransparenz. ISAE 3402 ist in Europa ein neues Instrument. Eine zunehmende Anzahl von Dienstleistern entscheidet sich für diese Methode, weil sowohl der Dienstleister selbst als auch seine Geschäftspartner von einer objektiven und unabhängigen Bewertung der erbrachten Dienstleistung profitieren. Auf diese Weise wird durch die Methode ISAE 3402 die Kontinuität des Vertrauensverhältnisses gefördert. Sie garantiert eine gute Zusammenarbeit mit einem exzellenten Dienstleistungsanbieter.
ISAE 3402 unterscheidet zwei Kontrolltypen. Typ 1 umfasst das Vorhandensein und die Kontrolle der Verfahren, die für die Erbringung der vereinbarten Dienstleistungen relevant sind. Nachdem dies festgestellt wird, wird die Funktionsweise dieser Verfahren (einschließlich Änderungen) kontinuierlich auf ihre Korrektheit getestet. Ein jährlicher Typ-2-Bericht präsentiert das entsprechende Ergebnis. ISAE 3402 ist ein Akronym für Statement on Auditing Standard 70; es wurde vom AICPA (American Institute of Certified Public Accountants) entwickelt und aufrechterhalten. Eine Dienstleistungsorganisation kann als ein Geschäft oder eine Entität definiert werden, das die Outsourcing-Dienstleistungen anbietet. Diese Outsourcing-Dienstleistungen können sich in den meisten Fällen auf das Kontroll-Umfeld der Kunden auswirken. Beispiele für solche Dienstleistungsorganisationen sind Versicherungsdatenverarbeiter, Datenzentren, Kreditorganisationen, Dokumentenverarbeiter und Clearingstellen.
Die ISAE 3402-Methode ist eine äußerst gründliche Prüfung, die vor allem als maßgeblicher Leitfaden verwendet wird. Auf dem heutigen Markt ist es ein sehr nützliches und wichtiges Audit, das die Transparenz eines Unternehmens gegenüber seinen Kunden zeigt. Darüber hinaus zeigt diese Zertifizierung den auftraggebenden Organisationen, dass die Dienstleistungsorganisation einer gründlichen Prüfung unterzogen wurde und bietet somit ausreichende Garantien für die Auslagerung von Dienstleistungen oder Tätigkeiten. Im Rahmen der ISAE 3402-Zertifizierung werden die Audits in periodischen Abständen durchgeführt.
ISO 27001 – der Standard für Informationssicherheit
Die ISO 27001 ist ein Standard für die Informationssicherheit. Die Norm besteht faktisch aus Teil 2 von BS 7799, dem Standard, der beschreibt, wie die Informationssicherheit prozessual strukturiert werden kann, um die Sicherheitsmaßnahmen von ISO/IEC 17799 zu verwirklichen. In den Niederlanden wurde sie als NEN-Norm NEN-ISO/IEC 27001:2017+A11:2020 angenommen, ins Niederländische übersetzt und vom Normungsausschuss („College Standaardisatie“) für die niederländischen Behörden verbindlich gemacht.
Diese internationale Norm (Zertifizierung) gilt für alle Arten von Organisationen (z. B. kommerzielle Unternehmen, staatliche Stellen, gemeinnützige Organisationen). Die Norm spezifiziert die Anforderungen für Ermittlung, Implementierung, Ausführung, Überwachung, Bewertung, Aufrechterhaltung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (ISMS) im Zusammenhang mit den allgemeinen Geschäftsrisiken der Organisation. Der Standard spezifiziert Anforderungen für die Umsetzung von Sicherheitsmaßnahmen, die auf die Bedürfnisse einzelner Organisationen oder Teile der Organisation zugeschnitten sind. Das ISMS soll die Auswahl angemessener und verhältnismäßiger Sicherheitsmaßnahmen gewährleisten, die die Informationen schützen und den Interessengruppen Vertrauen vermitteln.
NEN7510 – Informationssicherheit im Gesundheitswesen
NEN7510 ist ein Standard für Informationssicherheit im Gesundheitswesen. Die Informationssicherheit im Gesundheitswesen ist äußerst wichtig, da medizinische Daten und Patientendaten verwaltet und ausgetauscht werden.
Der Norm NEN7510 zufolge müssen nicht nur die Qualitätskriterien erfüllt werden, sondern es müssen auch nachprüfbare Maßnahmen zur Informationssicherheit getroffen werden, bevor man von angemessener Informationssicherheit sprechen kann. NEN7510 bietet einen Rahmen, innerhalb dessen jede Organisation die für ihren Prozess als relevant erachtete Informationssicherheit, einschließlich der entsprechenden Maßnahmen, spezifizieren kann.
COBIT 4.1 – Rahmen für Beurteilungen der Informationssicherheit
DocCare wurde von KPMG (ab dem Jahr 2019 BDO) anhand des Standardrahmens für Cobit-Kontrollmaßnahmen (Control Objectives for Information and related Technology) der niederländischen Branchenorganisation „Zorgverzekeraars Nederland“ („Krankenversicher Niederlande“, ZN), auditiert.
Dieser Standardrahmen basiert auf dem Rahmen für Beurteilungen der Informationssicherheit, der von der niederländischen Aufsichtsbehörde „De Nederlandsche Bank“ („niederländische Zentralbank“, DNB)“ erstellt wurde. Es handelt sich um 54 Cobit-Kontrollen mit 5 spezifischen Kontrollmaßnahmen, die von ZN hinzugefügt wurden.
Die DNB schreibt vor, dass diese Kontrollen alle einen Reifegrad von mindestens “3” im Rahmen ordnungsgemäßer Geschäftsführung haben müssen (die 54 Kontrollen sollten nachweislich wirksam sein). Darüber hinaus definiert die DNB, dass drei Kontrollen in der Kategorie “Bewertung und Management von (IT-)Risiken” aufgrund der sich ständig ändernden Bedrohungen durch Cyberkriminalität einen höheren Mindestreifegrad (minimal “4”) haben sollten.