Transcript Algemeen artikel . Audit [niet voor Suwipartijen ter uitvoering

Algemeen artikel . Audit [niet voor Suwipartijen ter uitvoering van Suwitaken]

Afnemer verplicht zich jaarlijks een audit uit te laten voeren door een daartoe
bevoegde onafhankelijke auditor (zie art. 1, Auditreglement UWV
Gegevensdiensten, versie 2.2). Daarnaast op basis van deze audit een Assurancerapport1 op te laten stellen over de wijze waarop de Afnemer uitvoering geeft aan
artikel 4 van de overeenkomst en artikel 16 van de Algemene voorwaarden UWV
Gegevensdiensten versie 1.1 2011.

Afnemer stelt het Assurance-rapport uiterlijk drie maanden na afloop van het
kalenderjaar ter beschikking aan UWV.

Het Assurance-rapport wordt opgesteld in overeenstemming met het model dat als
bijlage is toegevoegd.

In de audit waarvan het Assurance-rapport het resultaat is, zijn in ieder geval als
object van onderzoek betrokken:
 De applicaties waarin de door UWV aangeleverde gegevens worden verwerkt.
 Het gebruik van de van UWV verkregen gegevens conform het doel van de
overeenkomst.
 De identificatie, authenticatie en autorisatie voor het gebruik van de van UWV
verkregen gegevens.
 De toereikendheid van het informatiebeveiligingsbeleid met betrekking tot het
object van onderzoek.
 De toereikendheid van de beheerorganisatie met betrekking tot het object van
onderzoek.
 De werking van de beheersmaatregelen.

De audit vindt plaats op kosten van Afnemer.

Indien de audit leidt tot bevindingen en/of een ander dan goedkeurend oordeel
dient Afnemer een verbeterplan op te stellen. Dit verbeterplan wordt met het
Assurance-rapport aan UWV aangeboden.

Na ontvangst van het Assurance-rapport reageert UWV binnen 6 weken indien UWV
van mening is dat niet aan de contractuele auditverplichting is voldaan en/of de
bevindingen daaruit leiden tot nader onderzoek en maatregelen.
1
Dit betreft een Assurance-rapport volgens Standaard 3000 NBA / Richtlijn 3000 NOREA.