Wat is SOC 2?

SOC 2 (System and Organization Controls) is een rapportagevorm die jou inzicht geeft in de manier waarop een dienstverlener omgaat met informatiebeveiliging, beschikbaarheid, integriteit van processen, vertrouwelijkheid en privacy. Het rapport wordt opgesteld op basis van de Trust Services Criteria van het Amerikaanse AICPA en is bedoeld voor organisaties die IT-diensten leveren, zoals cloudproviders, softwarebedrijven en managed service providers.

Een SOC 2-verklaring is belangrijk voor klanten die zekerheid willen over de beheersingsmaatregelen van hun dienstverlener. Het rapport wordt gezamenlijk opgesteld door de organisatie die een SOC 2 rapport wilt uitbrengen en een onafhankelijke auditor. Het doel van het rapport is om uiteindelijk een objectieve beoordeling van de beheersingsmaatregelen op het gebied van informatiebeveiliging te laten zien.

SOC 2

Waarom is SOC 2 relevant?

Steeds meer organisaties besteden kritieke processen uit aan IT-dienstverleners. Daarmee groeit ook de behoefte aan aantoonbare zekerheid dat deze leveranciers op een veilige en beheerste manier met gegevens omgaan. SOC 2 voorziet in die behoefte. Tevens wordt vanuit wetgeving zoals NIS 2 en DORA de vraag naar zekerheid over uitbestede diensten in de toeleveringsketen ook steeds groter.

Voor jou als dienstverlener betekent een SOC 2-verklaring dat je je interne beheersing professioneel hebt ingericht en laat toetsen. Voor jouw klanten betekent het transparantie en vertrouwen in de dienstverlening.

Trust Services Criteria

De beoordeling binnen SOC 2 is gebaseerd op vijf criteria:

  • Beveiliging (Security): bescherming tegen ongeautoriseerde toegang.
  • Beschikbaarheid (Availability): beschikbaarheid en continuïteit van de dienstverlening.
  • Integriteit van verwerking (Processing Integrity): correcte en volledige verwerking van data.
  • Vertrouwelijkheid (Confidentiality): bescherming van gevoelige informatie.
  • Privacy: bescherming van persoonsgegevens volgens privacy-principes.

Je kunt ervoor kiezen om alleen de relevante criteria te laten beoordelen. In de praktijk zijn beveiliging en beschikbaarheid het vaakst van toepassing.

Beveiliging (Security)
Bescherming tegen ongeautoriseerde toegang
Privacy
Bescherming van persoonsgegevens volgens privacyprincipes
Vertrouwelijkheid (Confidentiality)
Bescherming van gevoelige informatie
Integriteit van verwerking (Processing Integrity)
Correcte en volledige verwerking van data
Beschikbaarheid (Availability)
Continuïteit van de dienstverlening

Type I en Type II verklaringen

Er zijn twee typen SOC 2-verklaringen:

  • Type I: een momentopname van het ontwerp en de implementatie van beheersingsmaatregelen op een specifieke datum.
  • Type II: een beoordeling van het functioneren van die maatregelen over een langere periode (meestal 6 tot 12 maanden).

Type II-verklaringen bieden meer zekerheid, omdat ze inzicht geven in de werking van processen over tijd.

Voor wie is SOC 2 bedoeld?

SOC 2 is relevant voor IT-dienstverleners die zakelijke klanten bedienen, zeker als die klanten onder toezicht staan van toezichthouders of actief zijn in sectoren met hoge eisen aan informatiebeveiliging. Denk aan Software as a Servicebedrijven, datacenters, hostingpartijen en organisaties die software of infrastructuur leveren.

Het SOC 2 Register

Wil je weten welke bedrijven een geldige SOC 2-verklaring hebben? Raadpleeg het SOC 2 Register voor een actueel overzicht.

Download tips en stappenplan

Meer uitleg over het proces? Download onze gids met praktische tips, een stappenplan en veelvoorkomende valkuilen.