Een SOC 2-traject helpt organisaties om onafhankelijk aan te tonen dat beheersmaatregelen rondom informatiebeveiliging, beschikbaarheid, vertrouwelijkheid en privacy effectief zijn ingericht. Steeds meer klanten vragen om een SOC 2-rapport voordat zij samenwerken met softwarebedrijven, cloudproviders en andere IT-dienstverleners. Veel organisaties verwachten dat het traject automatisch ingewikkeld, tijdrovend en kostbaar is. In de praktijk ontstaat die complexiteit vaak door onduidelijke verwachtingen, ontbrekende voorbereiding of een gebrek aan structuur.
Bij AudITvision houden we het traject overzichtelijk. We brengen snel in kaart wat nodig is, waar eventuele aandachtspunten zitten en hoe je efficiënt kunt toewerken naar een Type I- of Type II-rapport.
Deze assurance-opdracht wordt steeds vaker gevraagd door internationale klanten, investeerders en samenwerkingspartners. Vooral organisaties die werken met cloudoplossingen, persoonsgegevens of bedrijfskritische systemen krijgen ermee te maken. Met een onafhankelijk assurance-rapport laat je zien dat jouw organisatie zorgvuldig omgaat met informatiebeveiliging, processen, compliance en dienstverlening. Dat vergroot het vertrouwen van bestaande klanten én helpt bij het binnenhalen van nieuwe opdrachten.
Bij de audit wordt beoordeeld of jouw organisatie passende beheersmaatregelen heeft ingericht en aantoonbaar beheerst. Klaar om te starten? Plan een intake of vraag een offerte aan en ontdek wat er nodig is voor jouw organisatie.
Waarom kiezen organisaties voor AudITvision?
- Ervaren NOREA-auditors met expertise in assurance-opdrachten
- Praktische aanpak zonder onnodige complexiteit
- Duidelijke planning en korte communicatielijnen
- Ervaring met SaaS-bedrijven, cloudproviders en IT-dienstverleners
- Transparante tarieven en heldere verwachtingen vooraf

OVER SOC 2
Waarom wordt deze audit steeds vaker gevraagd?
Steeds vaker krijgen organisaties vragen van klanten over informatiebeveiliging, privacy en de manier waarop zij omgaan met gevoelige gegevens. Zeker wanneer je software, cloudoplossingen of IT-diensten levert, willen klanten zekerheid dat hun data veilig is en dat risico’s beheerst worden.
Met een onafhankelijke assurance-audit maak je aantoonbaar dat processen en beheersmaatregelen rondom beveiliging, beschikbaarheid, vertrouwelijkheid en privacy goed zijn ingericht én effectief functioneren in de praktijk. Het resultaat is een rapport waarmee je richting klanten, prospects en andere stakeholders kunt laten zien dat informatiebeveiliging serieus wordt genomen. Waar een ISAE 3402-rapport zich vooral richt op beheersmaatregelen rondom financiële processen en dienstverlening, ligt de focus hier juist op informatiebeveiliging en de bescherming van data. Voor veel SaaS-bedrijven, cloudproviders en IT-dienstverleners is dit inmiddels een belangrijk onderdeel geworden van aanbestedingen, leveranciersbeoordelingen en internationale samenwerkingen.
Klanten willen tegenwoordig niet alleen weten wat jouw organisatie doet, maar vooral hoe je omgaat met hun data. Zeker wanneer je software levert, gegevens verwerkt of toegang hebt tot bedrijfs-kritische systemen, wordt informatiebeveiliging een belangrijk onderdeel van het selectieproces. Een SOC 2 rapport helpt om die zekerheid aantoonbaar te maken. Organisaties gebruiken het rapport steeds vaker tijdens leveranciersbeoordelingen, security assessments en aanbestedingen.
Waar vroeger een ingevulde vragenlijst voldoende was, vragen grotere organisaties tegenwoordig om onafhankelijk bewijs dat processen daadwerkelijk beheerst worden.
Hoe is SOC 2 opgebouwd?
SOC 2 is ontwikkeld door het American Institute of Certified Public Accountants (AICPA), een Amerikaanse beroepsorganisatie die internationale richtlijnen opstelt voor assurance-opdrachten. Hoewel SOC 2 zijn oorsprong in de Verenigde Staten heeft, wordt het tegenwoordig wereldwijd gebruikt en vragen steeds meer internationale organisaties hier actief om.
Ook in Europa groeit de vraag naar een SOC 2 snel. Vooral SaaS-bedrijven, cloudproviders en IT-dienstverleners krijgen er steeds vaker mee te maken, omdat internationale klanten willen kunnen vertrouwen op een aantoonbaar veilige en beheerste dienstverlening.
De audit is gebaseerd op de Trust Services Criteria (TSC). Dit zijn beoordelingscriteria waarmee wordt vastgesteld of jouw organisatie risico’s beheerst en zorgvuldig omgaat met informatie, systemen en processen. Daarbij wordt gekeken naar vijf belangrijke onderdelen: beveiliging, beschikbaarheid, de juiste verwerking van gegevens, vertrouwelijkheid en privacy.
Welke onderdelen uiteindelijk worden beoordeeld, hangt af van de aard van jouw dienstverlening en de afspraken die je met klanten maakt. Op die manier sluit een SOC 2 altijd aan op de werkzaamheden en risico’s die voor jouw organisatie relevant zijn.
Het verschil tussen type 1 en type II-certificering
Een SOC 2 Type I beoordeelt de beheersmaatregelen rondom informatiebeveiliging, privacy en compliance op het moment van de audit. Het betreft een momentopname waarbij wordt gekeken of de processen en controles goed zijn ingericht. Dit type rapport is minder arbeidsintensief en vormt vaak de basis voor toekomstige audits. Voor veel organisaties is dit een logische eerste stap, omdat het traject relatief overzichtelijk is en een goede start biedt richting verdere volwassenheid.
Houd er wel rekening mee dat klanten uiteindelijk vooral willen zien dat jouw organisatie zich structureel inzet om informatiebeveiliging, privacy en compliance aantoonbaar op orde te houden. Daarvoor is een SOC 2 Type II bedoeld.
Een SOC 2 Type II beoordeelt dezelfde beheersmaatregelen als een Type I, maar gaat een stap verder. Hierbij wordt niet alleen gekeken óf de maatregelen zijn ingericht, maar ook of ze gedurende een langere periode effectief hebben gewerkt. Deze beoordelingsperiode bedraagt doorgaans zes tot twaalf maanden en beslaat bij voorkeur een volledig boekjaar.
NORMENKADER
Opbouw van het normenkader
Een auditor heeft een normenkader nodig om te onderzoeken. Dit normenkader is ingewikkeld om op te stellen voor een SOC 2. Op het eerste gezicht lijkt het echter eenvoudig. In TSC sectie 100, een lijvig rapport met controls, zijn alle normen opgenomen. Maar niet alles is nodig, een goede keuze moet gemaakt worden om te zorgen dat alleen relevante normen worden onderzocht.
Hieronder staat een overzicht op welke wijze de normen die moeten worden onderzocht tot stand komen. Samenvattend moet als eerste een of meerdere van de beginselen worden gekozen. Aan ieder gekozen beginsel hangen weer criteria om het beginsel verder te operationaliseren. En aan ieder criteria hangen vervolgens weer Points of Focus om de criteria verder uit te werken. Dat klinkt eenvoudig, maar op basis van onze ervaringen met honderden SOC 2 audits blijkt het best complex en tijdrovend te zijn. Dit moet in 1 keer goed gaan anders loopt het hele traject niet efficiënt en worden niet de juiste zaken onderzocht en sluit het rapport niet aan op de behoefte van jouw klanten.

Ontvang onze gratis whitepaper
Vraag onze gratis SOC 2 whitepaper aan en ontdek hoe je eenvoudig kunt starten, wat het traject kost, hoelang het duurt en waar je rekening mee moet houden.
De 5 Trust Service Criteria voor security en compliance
De AICPA Assurance Services Executive Committee (ASEC) heeft een set categorieën en criteria ontwikkeld voor het beoordelen van beheersingsmaatregelen op het gebied van beveiliging, Beschikbaarheid, Integriteit van processen van systemen, vertrouwelijkheid en privacy. Deze categorieën en criteria worden van tijd tot tijd herzien. De laatste herziening was in 2022.

1
Beveiliging: Het systeem is beveiligd tegen ongeautoriseerde toegang, gebruik of aanpassing. Een belangrijk onderdeel van Security is het beoordelen van autorisaties. Daarbij wordt gecontroleerd of medewerkers uitsluitend toegang hebben tot de systemen, applicaties en gegevens die noodzakelijk zijn voor hun functie. Door autorisaties periodiek te beoordelen, verklein je het risico op onbevoegde toegang en versterk je de informatiebeveiliging binnen de organisatie.
2
Beschikbaarheid: Het systeem is beschikbaar voor gebruik zoals aangegeven door de serviceorganisatie of zoals overeengekomen.
3
Integriteit van processen: De processen in het systeem zijn volledig, valide, accuraat, tijdig en geautoriseerd.
4
Vertrouwelijkheid: De informatie is vertrouwelijk zoals overeengekomen.
5
Privacy: Het verzamelen, gebruiken, opslaan en verstrekken en vernietigen van persoonlijke informatie is in overeenstemming met het privacybeleid van de gebruikende entiteit en met andere criteria zoals de AVG.
De SOC 2 Criteria
Een groot aantal van de criteria die worden gebruikt om een systeem te beoordelen zijn van toepassing op alle Trust Service beginselen. De criteria zijn georganiseerd in algemene (common) criteria die van toepassing zijn op alle beginselen en in aanvullende criteria die specifiek gelden voor één beginsel. De algemene criteria vormen een complete set voor het beginsel Beveiliging. Voor de andere beginselen is sprake van een combinatie van algemene en aanvullende criteria. Voor de categorie Beschikbaarheid gelden drie aanvullende criteria, voor de categorieën Integriteit van processen, Vertrouwelijkheid en Privacy gaat het om respectievelijk 5, 2 en 18 aanvullende criteria. Meer informatie over de algemene en aanvullende criteria is te vinden op de AICPA website. TSC sectie 100 is onderhavig aan updates en het is dan ook aanbevolen om vast te stellen dat gebruik wordt gemaakt van de actuele versie.
1
Control environment. Deze 5 criteria gaan over hoe de organisatie is gestructureerd en hoe een set aan normen, structuren en processen de basis vormen voor het uitvoeren van interne controle binnen de entiteit. De criteria gaan onder meer over verantwoordelijkheden, integriteit, ethiek, en de kwalificaties van de medewerkers en hun werkomgeving.
2
Communication and information. Deze 3 criteria gaan over hoe de organisatie communiceert over beleid, processen, procedures, afspraken en eisen aan geautoriseerde gebruikers en andere partijen en de verplichtingen die deze gebruikers en partijen hebben ten aanzien van een effectief gebruik van het systeem.
3
Risk assessment. Die 4 criteria gaan over hoe de organisatie potentiële risico’s identificeert die van invloed kunnen zijn op het bereiken van de doelstellingen en hoe zij deze risico’s analyseert.
6
Control activities. Deze 3 criteria gaan over hoe de organisatie maatregelen neemt om onvolkomenheden te adresseren en om de risico’s voor het behalen van de doelstellingen te beperken.
4
Monitoring activities. Deze 2 criteria gaan over hoe de organisatie communiceert over beleid, processen, procedures, afspraken en eisen aan geautoriseerde gebruikers en andere partijen en de verplichtingen die deze gebruikers en partijen hebben ten aanzien van een effectief gebruik van het systeem
5
Control activities. Deze 3 criteria gaan over hoe de organisatie maatregelen neemt om onvolkomenheden te adresseren en om de risico’s voor het behalen van de doelstellingen te beperken.
7
System operations. Deze 8 criteria gaan over hoe de organisatie het systeem uitvoert en daarbij detecteert waar er sprake is van bevindingen, waaronder inbreuken op logische en fysieke beveiliging, en daarmee voldoet aan de criteria in de overeenkomst.
8
Change management. Dit gaat over hoe de organisatie nagaat of er veranderingen in het systeem nodig zijn, hoe deze veranderingen volgens een beheerst change management-proces worden doorgevoerd en hoe ongeautoriseerde veranderingen in het systeem worden voorkomen om te voldoen aan de criteria waar de assuranceopdracht op gericht is.
9
Risk migration. Deze 2 criteria gaan over hoe de organisatie reageert op de geïdentificeerde risico’s, waaronder het ontwerp en de implementatie van beheersingsmaatregelen en andere maatregelen die het risico verlagen en voortdurend monitort hoe risico’s en het risicomanagement-proces zich ontwikkelen.
HOE MOET IK STARTEN?
Een SOC 2-proces starten
Als je nog nooit door een SOC 2 proces bent gegaan, kan het ingewikkeld lijken. Waar begin je? Wat zijn de stappen? Wie doet wat? Het vinden van de antwoorden is niet eenvoudig, maar hier is het proces in een notendop.
Leer de basis (maar ga niet te diep in op de details!). Het doorbladeren van deze handleiding is een eerste stap voor het verkrijgen van een basiskennis van elke stap van het auditproces, het bepalen van jouw auditscope en het formuleren van je aanvalsplan.
Tenzij je eerder ervaring hebt met SOC 2-trajecten heb je begeleiding nodig om er doorheen te komen. Wij als auditor kunnen je begeleiden, maar je kunt ook een consultant inhuren en/of investeren in SOC 2-auditworkflowsoftware die de workflow automatiseert en begeleidt. Wij hebben alles in huis en ondersteunen je van begin tot het eind, zodat de juiste stappen worden gezet en ook nog effectief en efficiënt.
Bepaal samen met ons de scope van de SOC2. Voor welke dienstverlening wil je de verklaring hebben, welke locaties zitten er in de scope en welke technologieën?
Stel vast welke beginselen onderzocht moeten worden. Beveiliging is altijd een vereiste, maar welke andere criteria eist jouw klant of past bij jouw dienstverlening? Ook hierbij ondersteunen wij om een goede keuze te maken.
Sectie 3 van het SOC 2 rapport is een beschrijving van het zogenaamde systeem. Onderdeel hiervan zijn onder andere de scope en de gekozen beginselen. Maar ook een toelichting van jouw organisatie, de dienstverlening, de IT-componenten, de uitbestede diensten, het HR-beleid, de interne beheersing, etc. zijn onderdeel van deze beschrijving. Hiervoor maken wij gebruik van templates die door jou gebruikt kunnen worden. Deze templates zijn gebaseerd op de richtlijnen van de AICPA.
Dit is een lastige stap. De criteria zijn namelijk vrij algemeen beschreven en het niet altijd duidelijk wat je precies moet doen om te voldoen aan de criteria. De Points of Focus geven hierbij richting. Maar pas op dat je niet te ver in de details gaat en alle Points of Focus van toepassing verklaart. We hebben ook de beschikking over een mapping naar de ISO27001. Hierdoor heb je snel een overzicht van de criteria die al zijn geïmplementeerd. Onze auditor zal tijdens de audit ook steunen (in opzet) op de ISO 27001. We zijn allemaal Lead-auditor ISO27001 en kennen beide werelden. Voor de uitwerking van de criteria ondersteunen wij je geven we richting wat gedaan moet worden om te voldoen aan de eisen.
Nu het normenkader is opgesteld en de scope, beginselen en de beschrijving gemaakt zijn kan een gapanalyse worden uitgevoerd. Op basis van het opgestelde normenkader loop je het normenkader eens door om vast te stellen op hoofdlijnen waar je al aan voldoet. Hou deze stap eenvoudig: Het doel is om hiaten vroegtijdig te identificeren, zodat je tijd hebt om ze vóór de audit af te ronden.
Op basis van de vorige stap kun je de gaps oplossen zodat deze voor de audit zijn opgelost. De doorlooptijd ligt aan het aantal gaps en de complexiteit en omvang van de organisatie.
Een Type 1 is een tussenstap naar een Type 2. Je kunt hiervoor kiezen om jouw klanten te laten zien dat je een eerste belangrijke stap hebt gezet naar een Type 2. Het is ook een mooie afronding van de voorgaande stappen. Daarnaast is het een goede voorbereiding naar de Type 2 doordat we je ondersteunen bij het benoemen welk bewijsmateriaal allemaal nodig is om de werking bij de Type 2 vast te stellen.
De komende periode zal met name de nadruk liggen om structureel bewijsmateriaal te verzamelen zodat je aan de auditor kan aantonen dat de controls de gehele meetperiode hebben gewerkt. Eventueel voeren we gedurende de voorbereiding nog een tussentoets uit om vast te stellen of je alles op de juiste manier uitvoert.
Nadat de meetperiode is afgerond kan de audit worden uitgevoerd. De auditor zal dan zowel de documentatie, processen en procedures (opzet) per norm controleren. Maar hij zal ook vaststellen tijdens de audit of er op de beschreven manier wordt gewerkt (bestaan) en of jullie gedurende de gehele meetperiode kunnen aantonen dat er op die manier is gewerkt (werking).
De laatste stap is het uitreiken van de rapportage en het verstrekken van de verklaring.
DE TIJDSLIJNEN
Hoe lang duurt het proces?
Het is moeilijk om een specifiek tijdsbestek te geven, omdat elke organisatie uniek is en SOC 2 een flexibel framework is dat geen vaste regels biedt om te volgen. Elke organisatie heeft daarnaast een ander vertrekpunt en iedereen zal een keuze moeten maken welke van de vijf Trust Service beginselen wordt gekozen. Ook de interpretatie van Trust Service beginselen doet iedere organisatie op zijn eigen manier. Echter, op basis van onze ervaring met het begeleiden en auditen van honderden organisaties voor SOC1 en SOC 2-compliance, kunnen we grove uitgangspunten geven. Een SOC 2 Type 1 duurt doorgaans tussen één tot drie maanden, terwijl een SOC 2 Type 2 tussen de zes en 12 maanden duurt.
Hoe snel je door het proces heen komt, hangt af van veel factoren. Door inzicht te krijgen in de tijdlijn, een harde deadline, achteruit te werken en deadlines toe te wijzen voor elke kernactiviteit kunt u ervoor zorgen dat het proces op schema blijft. Hiernaast volgt een opzet voor een planning om te komen tot een SOC 2 Type 1 rapportage.
Het implementeren en documenteren van de controls is een van de meest intimiderende en tijdrovende onderdelen van SOC 2, dus het is belangrijk om het goed te doen. Helaas biedt AICPA heel weinig houvast over de controls die een bedrijf moet invoeren om te voldoen aan de criteria of hoe die controles in het verslag moeten worden beschreven.
Organisaties die een SOC 2 doorlopen, zullen snel ontdekken dat ze er alleen voor staan als het gaat om de juiste zaken te doen, te selecteren en te definiëren. Zonder een voorbeeld te volgen, is het moeilijk om de bal aan het rollen te krijgen. Dit is waar AudITvision kan helpen.


ONZE PARTNERS:
SOC 2 VERSNELLEN
5 manieren om het traject te versnellen
Benader het niet als een doe-het-zelf-project
Een SOC 2 raakt meerdere afdelingen binnen jouw organisatie. Niet alleen IT, maar ook HR, operations, security en management spelen een rol. Wanneer teams te laat worden betrokken, ontstaan vertragingen.
Door vanaf de start de juiste mensen aan tafel te zetten, voorkom je onnodig extra werk en blijft het traject overzichtelijk.
Benader het met eerlijkheid
Wees eerlijk tegen jezelf en jouw auditor over de tekortkomingen en je bent sneller door de audit heen. Dit geldt met name voor de beoordeling van lacunes: als je bij de gapanalyse de zwakke punten verdoezelt in je systemen en processen dan zal je struikelen tijdens de audit en zal het vertraging opleveren.
Zoek zo snel mogelijk een auditor
Wacht niet met het afronden van de voorbereidingen voor het zoeken naar een auditor. Het vinden van een auditor moet het eerste zijn dat je doet. De auditor is er om je te helpen erachter te komen wat de beste manier is het proces te doorlopen. Zodra je verbinding maakt met een vertrouwde auditor zal het proces veel soepeler verlopen.
Maak een planning
Stel al een deadline op indien mogelijk. Dan kun je achteruit werken om vast te stellen wat er allemaal moet gebeuren. Het helpt deelnemers ook om te begrijpen wat hun rol is in het proces.
Zorg voor buy-in van het management
Jouw auditproces kan bestaan uit mensen buiten jouw afdeling, zoals HR, IT, legal en finance. Ondersteuning vanuit het management is noodzakelijk om de snelheid te houden in het project.
KOSTEN
Wat kost deze audit?
Vaak krijgen we van onze klanten op voorhand de vraag wat de kosten zijn van een SOC 2. Dat begrijpen we ook omdat we soms astronomische bedragen horen die echt niet realistisch zijn. De vraag over de kosten is niet eenduidig te beantwoorden, maar op basis van de honderden audits die we hebben uitgevoerd kunnen we hier uiteraard wel een aantal grove richtlijnen geven. Voor het gemak gaan we ervan uit dat de betreffende klant alleen de beginsel informatiebeveiliging heeft gekozen. Dit is een verplicht onderdeel en tevens ook het meeste omvattende. We gaan bij het overzicht uit van een uurtarief van €150,-. Veel kantoren hanteren een veel hoger tarief en brengen nog allerlei andere kosten in rekening. We geven hieronder aan wat onze grove prijzen zijn die wij in rekening brengen. Deze prijzen zijn inclusief alle stappen en dus niet alleen de audit. Voor de Type 1 zal veel tijd worden geïnvesteerd in begeleiding en bij de Type 2 is veel tijd nodig om al het bewijsmateriaal te beoordelen. Nadat een type 2 is uitgevoerd neemt de effort af in de jaren erna.
Wanneer is dit rapport interessant voor jouw organisatie?
Een SOC 2 is essentieel voor organisaties die diensten leveren waarbij data en informatiebeveiliging centraal staan. De audit beoordeelt of jouw organisatie voldoet aan de eisen van de SOC 2-standaard en of jouw beheersmaatregelen effectief zijn ingericht én werken in de praktijk.
Bij een SOC 2 Type II wordt gekeken naar de werking van je maatregelen over een langere periode. Daarmee toon je aan dat je processen niet alleen goed zijn ingericht, maar ook structureel functioneren. Dit is voor klanten vaak doorslaggevend.
Tijdens de audit kijken we niet alleen naar beleid en documentatie, maar juist naar de dagelijkse praktijk: werken je controls zoals bedoeld en kun je dit aantoonbaar maken?
Het uiteindelijke SOC 2-rapport geeft klanten vertrouwen. Het laat zien dat je data zorgvuldig beheert en dat je voldoet aan relevante beveiligings- en compliance-eisen. Daarmee versterk je niet alleen je positie richting klanten, maar ook je interne beheersing.


