Controlecriteria en doelstellingen2025-08-20T13:23:30+00:00

Controlecriteria en doelstellingen binnen SOC 2

Wat zijn controlecriteria en doelstellingen?

Controlecriteria en doelstellingen vormen de kern van een SOC 2-audit. Ze beschrijven wat jij als organisatie wilt bereiken (de doelstellingen) en welke normen worden gebruikt om te bepalen of dat ook daadwerkelijk is gelukt (de controlecriteria).

De auditor gebruikt deze criteria om vast te stellen of jouw beheersmaatregelen effectief zijn ingericht en functioneren zoals bedoeld.

Trust Services Criteria als normenkader

Voor SOC 2 worden de Trust Services Criteria (TSC) van de AICPA gebruikt. Deze criteria zijn onderverdeeld in vijf domeinen:

  • 1
    Beveiliging (verplicht voor elk SOC 2rapport)
  • 2
    Beschikbaarheid
  • 3
    Verwerkingsintegriteit
  • 4
    Vertrouwelijkheid
  • 5
    Privacy

Afhankelijk van de aard van je dienstverlening kies je één of meerdere van deze criteria. Elk criterium bevat onderliggende principes (common criteria) waaraan je moet voldoen.

SOC 2

Voorbeeld van een controlecriterium

Een voorbeeld binnen het criterium ‘Beveiliging’ is:
“Toegang tot systemen en informatie wordt beperkt tot geautoriseerde gebruikers en systemen.”

De bijbehorende doelstelling kan dan zijn:
“Alle toegang tot klantgegevens is gelogd, beoordeeld en beperkt tot bevoegde medewerkers.”

Op basis hiervan beoordeelt de auditor of je passende technische en organisatorische maatregelen hebt getroffen én deze effectief hebben gewerkt.

Doel van controlecriteria en doelstellingen

Objectieve meetbaarheid

Door criteria vast te leggen, weet de auditor waarop hij moet beoordelen

Transparantie

Belanghebbenden kunnen nagaan of je werkt volgens duidelijke normen

Structuur

Je kunt je beheersingsmaatregelen afstemmen op de gekozen criteria en doelstellingen

Hoe stel je ze vast?

  • 1
    Kies de relevante Trust Services Criteria die passen bij jouw dienstverlening. Let op: ‘Beveiliging’ is altijd in scope.
  • 2
    Stel per criterium concrete doelstellingen op, gebaseerd op risico’s, wetgeving en klantverwachtingen.
  • 3
    Koppel bestaande of nog in te richten beheersingsmaatregelen aan elk van deze doelstellingen.

Relatie met andere onderdelen

Systeembeschrijving

De gekozen criteria en doelstellingen moeten zichtbaar zijn in de beschrijving van het systeem.

Testen van controls

De auditor beoordeelt of maatregelen werken zoals beoogd op basis van de doelstellingen.

Resultaten en bevindingen

Rapportage van de uitkomsten van de toetsing tegen de criteria.

Gerelateerde onderwerpen

Direct aan de slag? Download onze gids met praktische tips, een stappenplan en veelvoorkomende valkuilen.

Veelgestelde vragen over controlecriteria en doelstellingen

Zijn de controlecriteria standaard of op maat?2025-07-28T08:49:18+00:00

De Trust Service Criteria zijn standaard, maar de toepassing en invulling stem je af op de aard van jouw dienstverlening.

Wie bepaalt de doelstellingen van de beheersmaatregelen?2025-07-28T08:49:06+00:00

Je stelt de doelstellingen zelf vast, afgestemd op risico’s en toepasselijke criteria. De auditor gebruikt deze als basis voor zijn toetsing.

Wat zijn controlecriteria in een SOC 2 audit?2025-07-28T08:48:54+00:00

Dit zijn specifieke toetsingspunten per Trust Service Criterium waarmee de auditor beoordeelt of je beheersmaatregelen adequaat hebt ingericht.

Wat is SOC 2?
Implementatie
Audits
Register
Go to Top