SOC 2

Assurance (zekerheid) voor de Amerikaanse markt (en daarbuiten)

SOC 2 (System and Organization Controls 2) is een assurance-standaard die in de Verenigde Staten is ontstaan en inmiddels wereldwijd wordt gevraagd. Wie SOC 2-gerapporteerd is, laat aan klanten zien dat hij de juiste beheersmaatregelen heeft rond security, beschikbaarheid, vertrouwelijkheid, integriteit van verwerking en privacy. Voor SaaS-bedrijven en cloudleveranciers is SOC 2 vaak een harde voorwaarde om met Amerikaanse zakelijke klanten te kunnen werken. 

SOC 2 is geen certificering maar een assurance-rapport, opgesteld door een onafhankelijke registeraccountant of EDP-auditor (RE). In de VS is dat een CPA (Certified Public Accountant); in Nederland wordt de audit doorgaans uitgevoerd door een bij NOREA geregistreerde EDP-auditor. Het rapport is vertrouwelijk en wordt onder NDA met klanten gedeeld, niet publiek gepubliceerd. 

Plan een kennismaking
Man in een blauw pak met bril zit aan een houten tafel, werkt op een zilveren MacBook, op de achtergrond een witte muur met lichte schaduwen.

Voor wie is SOC 2 relevant?

  • SaaS- en cloudbedrijven met (potentiële) klanten in de VS. 

  • IT-dienstverleners waarbij Amerikaanse enterprise-klanten een SOC 2-rapport eisen voor onboarding. 

  • Tech-scale-ups die hun internationale propositie willen versterken met een erkend assurance-rapport. 

  • Bedrijven die werken met gevoelige klantdata en aantoonbaar willen maken dat security en confidentiality op orde zijn. 

Hoe kom je tot een SOC 2-rapport?  

SOC 2 is opgebouwd rond de Trust Service Criteria (TSC): vijf categorieën waarin de beheersmaatregelen worden beoordeeld.

  • Security (verplicht voor elk SOC 2-rapport). 

  • Availability (beschikbaarheid van je dienst). 

  • Confidentiality (vertrouwelijkheid van klantdata). 

  • Processing Integrity (juistheid en volledigheid van verwerking). 

  • Privacy (omgang met persoonsgegevens). 


Security is altijd verplicht. Welke andere criteria je opneemt, hangt af van je dienstverlening en wat klanten verlangen. Een SaaS-bedrijf dat klantdata opslaat, voegt doorgaans Confidentiality toe. Een betaalplatform dat transacties verwerkt, zal ook Processing Integrity meenemen. Begin klein: uitbreiden naar meer criteria is altijd mogelijk. 

Er zijn twee typen rapporten, vergelijkbaar met ISAE 3402: 

  • Een beschrijving van het beheersingssysteem op een bepaald moment, plus een oordeel van de accountant of de opzet van de beheersmaatregelen geschikt is. Een momentopname. 

  • Hetzelfde als Type I, maar dan met een oordeel over de effectieve werking van de beheersmaatregelen over een periode van meestal zes tot twaalf maanden. Dit is wat de meeste klanten uiteindelijk willen zien. 

    Het traject naar een Type II-rapport vraagt om een gestructureerd intern beheersingssysteem: beheersmaatregelen identificeren en beschrijven, ze implementeren en in werking laten zijn over een observatieperiode, bewijs verzamelen, en uiteindelijk een onafhankelijke auditor laten toetsen. In Nederland is dat een Registeraccountant (RA) of een Register EDP-auditor (RE). 

Hoe helpt Rethink bij SOC 2?

We begeleiden organisaties bij de voorbereiding van een SOC 2-traject volgens ons vijf-fasenmodel: van strategie en assessment via inrichting en implementatie tot het assurance-rapport en doorlopend beheer. Concreet betekent dat: scope bepalen, het control framework inrichten, samenwerking met een compliance-platform opzetten, bewijsverzameling stroomlijnen en de externe accountantscontrole begeleiden. Pragmatisch en lean, passend bij de schaal van je organisatie. Reken op een doorlooptijd van 6 tot 9 maanden voor een Type I, langer voor Type II vanwege de observatieperiode. 

Na het eerste rapport blijft SOC 2 een doorlopende cyclus. Onze CISO- of Security Officer-rol kan je daarbij structureel ondersteunen. 

Meer over Advies & Begeleiding
Meer over CISO as a Service
Twee mannen hebben een gesprek op een kantoor. Ze zitten aan een tafel met laptops voor zich. Een van hen gebruikt een laptop met een scherm dat een zakelijke presentatie toont.

Veelgestelde vragen

  • ISO 27001 is een internationale norm voor het managementsysteem rond informatiebeveiliging, met een certificaat als resultaat. SOC 2 is een Amerikaans assurance-rapport gericht op de werking van specifieke beheersmaatregelen. Veel organisaties die zaken doen in zowel Europa als de VS hebben beide. Ze versterken elkaar. 

  • Begin meestal met Type I om aan te tonen dat de opzet klopt. Klanten verwachten vaak doorgroei naar Type II, omdat dat ook de werking aantoont over een observatieperiode. Wij adviseren een traject dat naar Type II toewerkt, met Type I als optionele tussenstap. 

  • Voor Type I reken op drie tot zes maanden voorbereiding. Type II vraagt daarna minimaal een observatieperiode van drie maanden, vaker zes tot twaalf. De externe audit zelf duurt een paar dagen. 

  • Niet strikt verplicht, maar in de praktijk maakt het een groot verschil. Deze platforms automatiseren bewijsverzameling, monitoring van controls en evidence collection. Voor de meeste SaaS-bedrijven is het een verstandige investering. Het scheelt enorm veel tijd, vooral bij Type II. 

Drie mensen in een gesprek in een kantoorruimte, twee mannen en een vrouw, met laptops en kopjes koffie op de tafel.

10+ Jaar
ervaring

Expertise

Menselijk &
pragmatisch

Geperfectioneerde aanpak

Bij 100+
organisaties

Bewezen succes

Klaar om te beginnen?

In een eerste gesprek bepalen we samen welke Trust Service Criteria je nodig hebt en hoe het traject eruitziet. 

Man met bril, glimlach, is aan het bellen op een telefoon, zit op gele bank, binnen, moderne kantooromgeving. Neem contact op met Rethink.