088-2028700
info@auditvision.nl
SOC 2 is de afgelopen jaren uitgegroeid van nice-to-have naar een duidelijke verwachting vanuit klanten — met name in SaaS- en IT-dienstverlening. De vraag naar een SOC 2-rapport neemt dan ook snel toe.
ISO 27001 biedt een sterke basis voor informatiebeveiliging, maar geeft niet altijd het detailniveau dat klanten nodig hebben. Een SOC 2-audit kijkt juist naar de opzet én werking van je maatregelen in de praktijk, over een langere periode. Daarmee laat je zien dat je processen niet alleen zijn ingericht, maar ook daadwerkelijk functioneren.
Dat betekent dat je snel inzicht nodig hebt in wat SOC 2 voor jouw organisatie betekent — en hoe je dit traject efficiënt doorloopt. De beschikbare informatie is vaak versnipperd en complex.
Wij helpen je de kern te pakken:
- heldere uitleg van de belangrijkste begrippen
- inzicht in het auditproces (Type I en Type II)
- praktische handvatten om tijd te besparen
- focus op wat écht belangrijk is voor een succesvolle audit
Klaar om te starten met SOC 2? Plan een intake of vraag een offerte aan en ontdek wat er nodig is voor jouw organisatie.
Waarom kiezen voor AudITvision?
- Transparantie: Onze audits starten vanaf €5000 en we communiceren transparant over de benodigde uren.
- Bewezen track record: Meer dan 800 audits uitgevoerd voor onder andere Gemeente Apeldoorn en de Belastingdienst.
- Officiële NOREA-auditors: Dé beroepsorganisatie voor IT-auditors in Nederland.
OVER SOC 2
Wat is SOC 2 voor veilige data?
De kern van een assurance opdracht als de SOC 2 en de ISAE 3402 is dat een organisatie (gebruikersorganisatie) bepaalde diensten uitbesteedt aan een andere organisatie (de serviceorganisatie). Doordat diensten worden uitbesteed wil de gebruikersorganisatie wel zeker weten dat de dienst voldoet aan de eisen zoals informatiebeveiliging, juistheid, betrouwbaarheid, etc. Voor een rapportage over de informatiebeveiliging, integriteit, vertrouwelijkheid, beschikbaarheid of privacy is een SOC 2 het aangewezen instrument.
Systems and Organization Controls 2 (SOC 2) is een auditproces dat de prestaties van jouw organisatie evalueert. Door het ondergaan van een SOC 2-audit, toont jouw organisatie aan dat het in staat is om te voldoen aan de veiligheidscriteria die klanten eisen om vol vertrouwen hun data (en vaak ook die van hun klanten) met jou te delen.
Wie beheert SOC 2?
SOC 2 wordt ontwikkeld en beheerd door de Amerikaans Instituut van Gecertificeerde Openbare Accountants (AICPA). Opdrachten die worden uitgevoerd buiten de VS vallen niet onder de Amerikaanse wet- en regelgeving.
Om duidelijk te maken dat rapporten buiten de VS worden uitgevaardigd moet uit het assurance rapport van de auditor blijken dat de opdracht is uitgevoerd onder ISAE 3000 / System and Organization Controls. Het is toegestaan om op het rapport (bijvoorbeeld het voorblad) de aanduiding SOC 2® of SOC 3® te hanteren.
Het verschil tussen Type 1 en type II-certificering
Een Type 1 kijkt naar controles op het gebied van gegevensbeveiliging en privacy op het moment van de audit (momentopname). Dit type rapport is minder arbeidsintensief en is de basis voor toekomstige audits. Het is vaak het eerste type rapport dat een organisatie krijgt, omdat deze het minst complex is en een mooie start is voor een organisatie. Houd er echter rekening mee dat dat de meeste klanten uiteindelijk willen zien jouw bedrijf zich voortdurend inzet om de beveiliging en privacy op orde te hebben. Hiervoor is een Type 2 bedoeld.
Een Type 2 kijkt naar dezelfde set maatregelen als bij de Type 1, maar rapporteert over de effectiviteit van de maatregelen gedurende een periode van 6-12 maanden en bij voorkeur een boekjaar.
NORMENKADER
Opbouw van het normenkader
Een auditor heeft een normenkader nodig om te onderzoeken. Dit normenkader is ingewikkeld om op te stellen voor een SOC 2. Op het eerste gezicht lijkt het echter eenvoudig. In TSC sectie 100, een lijvig rapport met controls, zijn alle normen opgenomen. Maar niet alles is nodig, een goede keuze moet gemaakt worden om te zorgen dat alleen relevante normen worden onderzocht.
Hieronder staat een overzicht op welke wijze de normen die moeten worden onderzocht tot stand komen. Samenvattend moet als eerste een of meerdere van de beginselen (Trust Service Criteria) worden gekozen. Aan ieder gekozen beginsel hangen weer criteria om het beginsel verder te operationaliseren. En aan ieder criteria hangen vervolgens weer Points of Focus om de criteria verder uit te werken. Dat klinkt eenvoudig, maar op basis van onze ervaringen met honderden SOC 2 audits blijkt het best complex en tijdrovend te zijn. Dit moet in 1 keer goed gaan anders loopt het hele traject niet efficiënt en worden niet de juiste zaken onderzocht en sluit het auditrapport niet aan op de behoefte van uw klanten. We gaan de juiste aanpak in de volgende paragrafen verder toelichten.
Ontvang onze gratis whitepaper
Vraag onze gratis SOC 2 whitepaper aan en ontdek hoe je eenvoudig kunt starten, wat het traject kost, hoelang het duurt en waar je rekening mee moet houden.
De 5 Trust Service Criteria voor SOC 2 compliance
De AICPA Assurance Services Executive Committee (ASEC) heeft een set categorieën en criteria ontwikkeld (Trust Services Criteria) voor het beoordelen van beheersingsmaatregelen op het gebied van beveiliging, Beschikbaarheid, Integriteit van processen van systemen, vertrouwelijkheid en privacy. Deze categorieën en criteria worden van tijd tot tijd herzien. De laatste herziening was in 2022.
1
Beveiliging: Het systeem is beveiligd tegen ongeautoriseerde toegang, gebruik of aanpassing.
2
Beschikbaarheid: Het systeem is beschikbaar voor gebruik zoals aangegeven door de serviceorganisatie of zoals overeengekomen.
3
Integriteit van processen: De processen in het systeem zijn volledig, valide, accuraat, tijdig en geautoriseerd.
4
Vertrouwelijkheid: De informatie is vertrouwelijk zoals overeengekomen.
5
Privacy: Het verzamelen, gebruiken, opslaan en verstrekken en vernietigen van persoonlijke informatie is in overeenstemming met het privacybeleid van de gebruikende entiteit en met andere criteria zoals de AVG.
De SOC 2 Criteria
Een groot aantal van de criteria die worden gebruikt om een systeem te beoordelen zijn van toepassing op alle Trust Service beginselen. De criteria zijn georganiseerd in algemene (common) criteria die van toepassing zijn op alle beginselen en in aanvullende criteria die specifiek gelden voor één beginsel. De algemene criteria vormen een complete set voor het beginsel Beveiliging. Voor de andere beginselen is sprake van een combinatie van algemene en aanvullende criteria. Voor de categorie Beschikbaarheid gelden drie aanvullende criteria, voor de categorieën Integriteit van processen, Vertrouwelijkheid en Privacy gaat het om respectievelijk 5, 2 en 18 aanvullende criteria. Meer informatie over de algemene en aanvullende criteria is te vinden op de AICPA website. TSC sectie 100 is onderhavig aan updates en het is dan ook aanbevolen om vast te stellen dat gebruik wordt gemaakt van de actuele versie.
1
Control environment. Deze 5 criteria gaan over hoe de organisatie is gestructureerd en hoe een set aan normen, structuren en processen de basis vormen voor het uitvoeren van interne controle binnen de entiteit. De criteria gaan onder meer over verantwoordelijkheden, integriteit, ethiek, en de kwalificaties van de medewerkers en hun werkomgeving.
2
Communication and information. Deze 3 criteria gaan over hoe de organisatie communiceert over beleid, processen, procedures, afspraken en eisen aan geautoriseerde gebruikers en andere partijen en de verplichtingen die deze gebruikers en partijen hebben ten aanzien van een effectief gebruik van het systeem.
3
Risk assessment. Die 4 criteria gaan over hoe de organisatie potentiële risico’s identificeert die van invloed kunnen zijn op het bereiken van de doelstellingen en hoe zij deze risico’s analyseert.
6
Control activities. Deze 3 criteria gaan over hoe de organisatie maatregelen neemt om onvolkomenheden te adresseren en om de risico’s voor het behalen van de doelstellingen te beperken.
4
Monitoring activities. Deze 2 criteria gaan over hoe de organisatie communiceert over beleid, processen, procedures, afspraken en eisen aan geautoriseerde gebruikers en andere partijen en de verplichtingen die deze gebruikers en partijen hebben ten aanzien van een effectief gebruik van het systeem
5
Control activities. Deze 3 criteria gaan over hoe de organisatie maatregelen neemt om onvolkomenheden te adresseren en om de risico’s voor het behalen van de doelstellingen te beperken.
7
System operations. Deze 8 criteria gaan over hoe de organisatie het systeem uitvoert en daarbij detecteert waar er sprake is van bevindingen, waaronder inbreuken op logische en fysieke beveiliging, en daarmee voldoet aan de criteria in de overeenkomst.
8
Change management. Dit gaat over hoe de organisatie nagaat of er veranderingen in het systeem nodig zijn, hoe deze veranderingen volgens een beheerst change management-proces worden doorgevoerd en hoe ongeautoriseerde veranderingen in het systeem worden voorkomen om te voldoen aan de criteria waar de assuranceopdracht op gericht is.
9
Risk mitigation. Deze 2 criteria gaan over hoe de organisatie reageert op de geïdentificeerde risico’s, waaronder het ontwerp en de implementatie van beheersingsmaatregelen en andere maatregelen die het risico verlagen en voortdurend monitort hoe risico’s en het risicomanagement-proces zich ontwikkelen.
Points of focus voor SOC 2
In TSC sectie 100 zijn onder de doelstellingen (criteria) zogenaamde “Points of Focus” opgenomen. De Points of Focus geven voorbeelden van de aandachtsgebieden waar mogelijk invulling aan gegeven dient te worden middels beheersingsmaatregelen bij de service- organisatie. De Points of Focus geven details ten aanzien van de belangrijke en minimale karakteristieken van elke criteria en helpen de serviceorganisatie en de auditor om de belangrijkste elementen te adresseren bij het identificeren van beheersingsmaatregelen bij de serviceorganisatie en te zorgen voor een grotere consistentie tussen rapporten. De Point of Focus worden ook niet opgenomen in het rapport. De Points of Focus zijn echter nadrukkelijk geen checklist, dienen ook niet allen geadresseerd te worden en dienen derhalve uitsluitend als leidraad voor de serviceorganisatie en auditor.
HOE MOET IK STARTEN?
Een SOC 2-proces starten
Als je nog nooit door de SOC 2-proces bent gegaan, kan het een beetje ingewikkeld lijken. Waar begin je? Wat zijn de stappen? Wie doet wat? Het vinden van de antwoorden is niet eenvoudig, maar hier is het proces in een notendop.
Leer de basis (maar ga niet te diep in op de details!). Het doorbladeren van deze handleiding is een eerste stap voor het verkrijgen van een basiskennis van elke stap van het auditproces, het bepalen van jouw auditscope en het formuleren van je aanvalsplan.
Tenzij je eerder ervaring hebt met SOC 2-audits heb je begeleiding nodig om er doorheen te komen. Wij als auditor kunnen je begeleiden, maar je kunt ook een consultant inhuren en/of investeren in SOC 2-auditworkflowsoftware die de workflow automatiseert en begeleidt. Wij hebben alles in huis en ondersteunen je van begin tot het eind, zodat de juiste stappen worden gezet en ook nog effectief en efficiënt.
Bepaal samen met ons de scope van de SOC2. Voor welke dienstverlening wil je de verklaring hebben, welke locaties zitten er in de scope en welke technologieën?
Stel vast welke beginselen onderzocht moeten worden. Beveiliging is altijd een vereiste, maar welke andere criteria eist jouw klant of past bij jouw dienstverlening? Ook hierbij ondersteunen wij om een goede keuze te maken.
Sectie 3 van het SOC 2 rapport is een beschrijving van het zogenaamde systeem. Onderdeel hiervan zijn onder andere de scope en de gekozen beginselen. Maar ook een toelichting van jouw organisatie, de dienstverlening, de IT-componenten, de uitbestede diensten, het HR-beleid, de interne beheersing, etc. zijn onderdeel van deze beschrijving. Hiervoor maken wij gebruik van templates die door jou gebruikt kunnen worden. Deze templates zijn gebaseerd op de richtlijnen van de AICPA.
Dit is een lastige stap. De criteria zijn namelijk vrij algemeen beschreven en het niet altijd duidelijk wat je precies moet doen om te voldoen aan de criteria. De Points of Focus geven hierbij richting. Maar pas op dat je niet te ver in de details gaat en alle Points of Focus van toepassing verklaart. We hebben ook de beschikking over een mapping naar de ISO27001. Hierdoor heb je snel een overzicht van de criteria die al zijn geïmplementeerd. Onze auditor zal tijdens de audit ook steunen (in opzet) op de ISO 27001. We zijn allemaal Lead-auditor ISO27001 en kennen beide werelden. Voor de uitwerking van de criteria ondersteunen wij je geven we richting wat gedaan moet worden om te voldoen aan de eisen.
Nu het normenkader is opgesteld en de scope, beginselen en de beschrijving gemaakt zijn kan een gapanalyse worden uitgevoerd. Op basis van het opgestelde normenkader loop je het normenkader eens door om vast te stellen op hoofdlijnen waar je al aan voldoet. Hou deze stap eenvoudig: Het doel is om hiaten vroegtijdig te identificeren, zodat je tijd hebt om ze vóór de audit af te ronden.
Op basis van de vorige stap kun je de gaps oplossen zodat deze voor de audit zijn opgelost. De doorlooptijd ligt aan het aantal gaps en de complexiteit en omvang van de organisatie.
Een Type 1 is een tussenstap naar een Type 2. Je kunt hiervoor kiezen om jouw klanten te laten zien dat je een eerste belangrijke stap hebt gezet naar een Type 2. Het is ook een mooie afronding van de voorgaande stappen. Daarnaast is het een goede voorbereiding naar de Type 2 doordat we je ondersteunen bij het benoemen welk bewijsmateriaal allemaal nodig is om de werking bij de Type 2 vast te stellen.
De komende periode zal met name de nadruk liggen om structureel bewijsmateriaal te verzamelen zodat je aan de auditor kan aantonen dat de controls de gehele meetperiode hebben gewerkt. Eventueel voeren we gedurende de voorbereiding nog een tussentoets uit om vast te stellen of je alles op de juiste manier uitvoert.
Nadat de meetperiode is afgerond kan de audit worden uitgevoerd. De auditor zal dan zowel de documentatie, processen en procedures (opzet) per norm controleren. Maar hij zal ook vaststellen tijdens de audit of er op de beschreven manier wordt gewerkt (bestaan) en of jullie gedurende de gehele meetperiode kunnen aantonen dat er op die manier is gewerkt (werking).
De laatste stap is het uitreiken van de rapportage en het verstrekken van de verklaring.
DE TIJDSLIJNEN
Hoe lang duurt het proces?
Het is moeilijk om een specifiek tijdsbestek te geven, omdat elke organisatie uniek is en SOC 2 een flexibel framework is dat geen vaste regels biedt om te volgen. Elke organisatie heeft daarnaast een ander vertrekpunt en iedereen zal een keuze moeten maken welke van de vijf Trust Service beginselen wordt gekozen. Ook de interpretatie van Trust Service beginselen doet iedere organisatie op zijn eigen manier. Echter, op basis van onze ervaring met het begeleiden en auditen van honderden organisaties voor SOC1 en SOC 2-compliance, kunnen we grove uitgangspunten geven. Een SOC 2 Type 1-audit duurt doorgaans tussen één tot drie maanden, terwijl een SOC 2 Type 2-audit tussen de zes en 12 maanden duurt.
Hoe snel je door het proces heen komt, hangt af van veel factoren. Door inzicht te krijgen in de tijdlijn, een harde deadline, achteruit te werken en deadlines toe te wijzen voor elke kernactiviteit kunt u ervoor zorgen dat het proces op schema blijft. Hiernaast volgt een opzet voor een planning om te komen tot een SOC 2 Type 1 rapportage.
Het implementeren en documenteren van de controls is een van de meest intimiderende en tijdrovende onderdelen van SOC 2, dus het is belangrijk om het goed te doen. Helaas biedt AICPA heel weinig houvast over de controls die een bedrijf moet invoeren om te voldoen aan de criteria of hoe die controles in het verslag moeten worden beschreven.
Organisaties die een SOC 2-audit doorlopen, zullen snel ontdekken dat ze er alleen voor staan als het gaat om de juiste zaken te doen, te selecteren en te definiëren. Zonder een voorbeeld te volgen, is het moeilijk om de bal aan het rollen te krijgen. Dit is waar AudITvision kan helpen.
EEN AUDITORGANISATIE KIEZEN
Het kiezen van de juiste auditorganisatie
Hoe vaak krijg je de kans om de persoon te kiezen die je werk zal evalueren? In een SOC 2-audit is dat precies hoe het werkt. De keuze van de auditor is daarom ongelofelijk belangrijk, niet alleen omdat die persoon uiteindelijk beslist of hij of zij je een schoon rapport geeft, maar omdat deze een grote rol speelt om u te helpen bij het navigeren door een complex proces. Uiteindelijk zal niets een grotere impact hebben op uw auditervaring en resultaten dan de door u gekozen auditor. Deze tips kunnen u helpen bij het kiezen van de beste auditor voor uw organisatie.
Er is niet maar één juiste manier om het SOC 2-framework voor uw bedrijf te implementeren en u wilt samenwerken met een auditor die weet hoe hij de unieke punten van het bedrijf kan verwerken in een normenkader. Sommige auditors hebben een one-size-fits-all proces dat ze verwachten dat je volgt, terwijl anderen meer zullen samenwerken. Wij zijn meer van de samenwerking, maar hebben waar mogelijk ook kant en klare templates om te gebruiken.
U heeft een planning voor ogen en zeker als er afspraken zijn gemaakt met uw klanten moet die worden nagekomen. Zorg dat u deze planning afstemt met de auditor en stel vast of de auditororganisatie kan voldoen aan de planning. Ook aan uw organisatie zal de auditor eisen moeten stellen, zaken als de scope, uitwerking van de Points of Focus en het aan te leveren bewijsmateriaal moet zijn uitgewerkt door de auditor. Overtuig u ervan dat hij of zij daar een goed beeld bij heeft anders leidt dat tot frustraties tijdens het project. We noemen vaak projecten over waarbij de auditororganisatie aangeeft het proces te kennen en de planning te kunnen uitvoeren maar uiteindelijk ontbreekt toch vaak voldoende kennis bij auditororganisaties, ook bij de grote kantoren weten we dat regelmatig vaststellen.
De gemaakte afspraken zijn een goed startpunt. Belangrijker dan de contractuele verplichting is een open en collaboratieve aanpak van het auditproces. Flexibiliteit en wederzijds respect zal een veel grotere voorspeller zijn van het succes van het project dan het contract dat is afgesloten met de auditororganisatie.
Organisaties die aan hun eerste SOC 2 audit beginnen zien de auditor als ‘de baas’. Maar jij bent de baas. Stel de agenda op, daag ze uit en vraag de auditor om u halverwege te ontmoeten. Er is geen gelijk hebben. U moet het samen doen.
Als uw bedrijf heel klein is en je misschien de enige persoon bent die nodig is om te communiceren met de auditor dan maakt het niet veel uit. Maar veel bedrijven die een SOC 2-audit nodig hebben bestaan al snel uit meer dan 25 medewerkers. Dan is het interne team erg belangrijk voor de SOC 2. Als dat zo is, zorg er dan voor dat ze een kans hebben om met de auditor te praten om te zien hoe goed ze met elkaar overweg kunnen.
Val niet in de valkuil van het kiezen van uw SOC 2-auditor op basis van hoe gerespecteerd of bekend hun merk is. Een merk bestaat uit veel verschillende teams die veel verschillende functies vervullen, maar het enige team dat telt is degene die met u samenwerkt aan de audit.
Verkopers zijn er om u te vertellen wat u wilt horen, maar ze zijn niet verantwoordelijk voor het eindproduct en zij zijn niet de persoon met wie u omgaat nadat het contract is getekend. Maak er een vereiste van om rechtstreeks met het deliveryteam te praten en de teamleider.
Vraag altijd naar referenties en zorg ervoor dat ze afkomstig zijn van organisaties in een vergelijkbare grootte, branche en situatie als de jouwe.
ONZE PARTNERS:
SOC2-AUDIT VERSNELLEN
5 manieren om jouw SOC2-audit te versnellen
Benader het niet als een doe-het-zelf-project
Een SOC 2-audit is niet iets om alleen aan te pakken. Vooral als dit de eerste keer is. Krijg expertise aan jouw zijde. Van auditors tot het interne team die je de stap voor stap bijstaan.
Benader het met eerlijkheid
Wees eerlijk tegen jezelf en jouw auditor over de tekortkomingen en je bent sneller door de audit heen. Dit geldt met name voor de beoordeling van lacunes: als je bij de gapanalyse de zwakke punten verdoezelt in je systemen en processen dan zal je struikelen tijdens de audit en zal het vertraging opleveren.
Zoek zo snel mogelijk een auditor
Wacht niet met het afronden van de voorbereidingen voor het zoeken naar een auditor. Het vinden van een auditor moet het eerste zijn dat je doet. De auditor is er om je te helpen erachter te komen wat de beste manier is het proces te doorlopen. Zodra je verbinding maakt met een vertrouwde auditor zal het proces veel soepeler verlopen.
Maak een planning
Stel al een deadline op indien mogelijk. Dan kun je achteruit werken om vast te stellen wat er allemaal moet gebeuren. Het helpt deelnemers ook om te begrijpen wat hun rol is in het proces.
Zorg voor buy-in van het management
Jouw auditproces kan bestaan uit mensen buiten jouw afdeling, zoals HR, IT, legal en finance. Ondersteuning vanuit het management is noodzakelijk om de snelheid te houden in het project.
KOSTEN
Wat kost een SOC2-Audit?
Vaak krijgen we van onze klanten op voorhand de vraag wat de kosten zijn van een SOC 2-audit. Dat begrijpen we ook omdat we soms astronomische bedragen horen die echt niet realistisch zijn. De vraag over de kosten is niet eenduidig te beantwoorden, maar op basis van de honderden audits die we hebben uitgevoerd kunnen we hier uiteraard wel een aantal grove richtlijnen geven. Voor het gemak gaan we ervan uit dat de betreffende klant alleen de beginsel informatiebeveiliging heeft gekozen. Dit is een verplicht onderdeel en tevens ook het meeste omvattende. We gaan bij het overzicht uit van een uurtarief van €150,-. Veel kantoren hanteren een veel hoger tarief en brengen nog allerlei andere kosten in rekening. Voor de eenvoud geven wij hieronder aan wat onze grove prijzen zijn die wij in rekening brengen bij klanten. Deze prijzen zijn inclusief alle stappen en dus niet alleen de audit. Voor de Type 1 zal veel tijd worden geïnvesteerd in begeleiding en bij de Type 2 is veel tijd nodig om al het bewijsmateriaal te beoordelen. Nadat een type 2 is uitgevoerd neemt de effort af in de jaren erna.
Wanneer kiezen voor de SOC 2 certificering?
Een SOC 2-audit is essentieel voor organisaties die diensten leveren waarbij data en informatiebeveiliging centraal staan. De audit beoordeelt of jouw organisatie voldoet aan de eisen van de SOC 2-standaard en of jouw beheersmaatregelen effectief zijn ingericht én werken in de praktijk.
Bij een SOC 2 Type II-audit wordt gekeken naar de werking van je maatregelen over een langere periode. Daarmee toon je aan dat je processen niet alleen goed zijn ingericht, maar ook structureel functioneren. Dit is voor klanten vaak doorslaggevend.
Tijdens de audit kijken we niet alleen naar beleid en documentatie, maar juist naar de dagelijkse praktijk: werken je controls zoals bedoeld en kun je dit aantoonbaar maken?
Het uiteindelijke SOC 2-rapport geeft klanten vertrouwen. Het laat zien dat je data zorgvuldig beheert en dat je voldoet aan relevante beveiligings- en compliance-eisen. Daarmee versterk je niet alleen je positie richting klanten, maar ook je interne beheersing.