Trust Service Criteria2025-09-30T14:38:39+00:00

Trust Services Criteria: fundament onder SOC 2

De vijf principes van betrouwbaarheid in SOC 2

De Trust Services Criteria vormen het normenkader waarop SOC 2-verklaringen zijn gebaseerd. Deze criteria zijn opgesteld door de American Institute of Certified Public Accountants (AICPA) en richten zich op vijf aspecten die essentieel zijn voor betrouwbare IT-dienstverlening:

Beveiliging (Security)

Bescherming van systemen tegen ongeautoriseerde toegang en wijzigingen.

Beschikbaarheid (Availability)

De beschikbaarheid van systemen en diensten zoals overeengekomen met klanten.

Verwerkingsintegriteit (Processing Integrity)

Juistheid, volledigheid en tijdigheid van gegevensverwerking.

Vertrouwelijkheid (Confidentiality)

Bescherming van gevoelige informatie tegen onbevoegde inzage.

Privacy

Verzameling, opslag, gebruik en bescherming van persoonsgegevens volgens geldende wetgeving.

Toepassing op maat: criteria kiezen per dienst en risico

Niet alle vijf de criteria hoeven altijd van toepassing te zijn. Het criterium ‘beveiliging’ is altijd in scope. Afhankelijk van de aard van jouw dienstverlening en de risicoanalyse kies je samen met de auditor welke andere criteria relevant zijn. Bij SaaS-leveranciers zijn beveiliging en beschikbaarheid vrijwel altijd van toepassing; bij gegevensverwerkers komen vaak ook vertrouwelijkheid en privacy aan bod.

beoordeling

Rol van de criteria in de beoordeling

De auditor gebruikt de Trust Services Criteria om te toetsen:

  • Of jouw beheersingsmaatregelen logisch en volledig zijn ingericht.
  • Of de risico’s per criterium voldoende zijn afgedekt.
  • Of de maatregelen daadwerkelijk functioneren (bij Type 2).


De criteria zijn onderverdeeld in subprincipes zoals risicobeoordeling, monitoring, beleidsvorming en toegangsbeheer. Deze bieden handvatten voor inrichting en toetsing.

Koppeling met COSO en risicomanagement

De Trust Services Criteria zijn afgestemd op het COSO-framework en sluiten aan bij internationale risicomanagementprincipes. Dit maakt het mogelijk om SOC 2 te integreren met bredere compliance- en governanceprogramma’s binnen jouw organisatie.

SOC 2

Waarom het kennen van de criteria essentieel is

Voor een geslaagde SOC 2-verklaring is het essentieel dat jij als organisatie begrijpt:

  • Welke criteria van toepassing zijn.
  • Welke maatregelen per criterium noodzakelijk zijn.
  • Hoe je continu toezicht houdt op naleving.

Een goede voorbereiding begint bij kennis van deze vijf criteria.

Veelgestelde vragen over de Trust Services Criteria

Wat is het verschil tussen beveiliging en vertrouwelijkheid?2025-07-28T10:09:46+00:00

Beveiliging gaat over bescherming tegen ongeautoriseerde toegang. Vertrouwelijkheid richt zich op het beschermen van specifieke gevoelige informatie binnen die beveiligde omgeving.

Wie stelt de criteria op?2025-07-28T10:09:35+00:00

De criteria zijn opgesteld door de AICPA. Ze zijn afgestemd op het COSO-framework voor interne beheersing.

Moet ik alle vijf de criteria toepassen?2025-07-28T10:09:23+00:00

Nee. Je kiest alleen de criteria die relevant zijn voor jouw dienstverlening en risicoprofiel, in overleg met je auditor.

Wat zijn de Trust Service Criteria?2025-07-28T10:09:12+00:00

Dit zijn vijf principes waarop een SOC 2-verklaring is gebaseerd: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.

Wat is SOC 2?
Implementatie
Audits
Register
Go to Top