Compliance

SOC 2: wat is het en voor wie geldt het?

SOC 2 is het assurance-rapport over de beveiliging en het databeheer bij een serviceorganisatie, gebaseerd op de Trust Services Criteria van de AICPA. Het is niet wettelijk verplicht, maar wel vaak contractueel geëist door Amerikaanse klanten. Het is geen certificering: een gelicentieerd CPA-kantoor onderzoekt de controls en legt de bevindingen vast in een rapport.

Het rapport wordt opgesteld onder SSAE 18, het attestation-raamwerk van de AICPA (American Institute of Certified Public Accountants), van kracht sinds 2017 (AICPA, 2017). SOC 2 toetst tegen vijf Trust Services Criteria, waarvan er één verplicht is en vier optioneel per opdracht.

SOC 2 is vooral relevant voor SaaS-aanbieders, cloud- en hostingproviders en andere serviceorganisaties die klantdata verwerken voor Amerikaanse of internationale opdrachtgevers. De norm zelf is niet wettelijk verplicht, maar wordt in de praktijk vaak contractueel geëist door die klanten.

Een SOC 2-rapport bestaat in twee vormen, Type I en Type II, die verschillen in wat ze toetsen en over welke periode. Begin daarom met een nulmeting tegen de Trust Services Criteria, zodat je weet welke controls al staan en welke nog ontbreken voordat een auditor langskomt.

Wat is SOC 2?

SOC 2 staat voor System and Organization Controls 2. Het is een assurance-rapport, geen certificering: een gelicentieerd CPA-kantoor onderzoekt en beoordeelt de controls van een organisatie en spreekt daar een oordeel over uit.

Het rapport wordt opgesteld onder SSAE 18 (Statement on Standards for Attestation Engagements No. 18), het attestation-raamwerk van de AICPA, van kracht sinds 2017 (AICPA, 2017). SSAE 18 beschrijft hoe een CPA-kantoor een assurance-onderzoek mag uitvoeren en rapporteren.

SOC 2 toetst tegen vijf Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality en Privacy. Alleen Security is verplicht in elke SOC 2-opdracht; de overige vier zijn optioneel en worden per opdracht gekozen op basis van wat relevant is voor de dienst (AICPA, 2018).

Omdat een organisatie zelf kiest welke criteria naast Security worden getoetst, verschilt de scope van het ene SOC 2-rapport van het andere. Twee organisaties met een SOC 2-rapport zijn dus niet automatisch tegen dezelfde criteria getoetst.

Voor wie is SOC 2?

SOC 2 is relevant voor serviceorganisaties die klantdata verwerken, opslaan of beheren namens hun klanten. De grootste groep bestaat uit SaaS-aanbieders, van wie klanten willen weten hoe hun data wordt beveiligd.

Ook cloud- en hostingproviders vallen in deze groep: partijen die infrastructuur of data-opslag leveren aan andere bedrijven. Zij krijgen in de praktijk vaak dezelfde vraag van hun klanten als de SaaS-aanbieders zelf.

Breder gezegd is SOC 2 relevant voor elke serviceorganisatie waarvan Amerikaanse of internationale klanten aantoonbare assurance willen over de omgang met hun data. Dat maakt de norm vooral zichtbaar in IT-dienstverlening, maar niet daartoe beperkt.

Is SOC 2 verplicht?

Nee, SOC 2 is niet wettelijk verplicht. Er is geen wet of toezichthouder die een SOC 2-rapport voorschrijft; de norm is volledig vrijwillig en contractueel van aard.

In de praktijk werkt SOC 2 wel als harde contractuele eis. Amerikaanse enterprise-klanten en grotere opdrachtgevers vragen in inkoopvoorwaarden vaak om een SOC 2-rapport voordat ze een leverancier accepteren.

Voor organisaties die de Amerikaanse markt op willen, is SOC 2 daardoor vaak een voorwaarde om een deal te kunnen sluiten, ook zonder wettelijke verplichting. Zonder rapport val je in veel Amerikaanse aanbestedingen en enterprise-trajecten in een vroeg stadium af.

SOC 2 Type I vs Type II

Een SOC 2-rapport bestaat in twee vormen: Type I en Type II. Beide toetsen tegen dezelfde Trust Services Criteria, maar op een ander moment en met een andere diepgang.

Type I beoordeelt het ontwerp van de controls op één specifiek moment: staan de juiste maatregelen op papier en zijn ze ingericht. Type I zegt niets over hoe de controls in de praktijk functioneren over een langere tijd.

Type II beoordeelt de werking van diezelfde controls over een observatieperiode, doorgaans 6 tot 12 maanden (AICPA, 2018). Dat maakt Type II het zwaardere en in de praktijk meest gevraagde rapport, omdat het aantoont dat de controls niet alleen bestaan maar ook aantoonbaar blijven werken.

Veel organisaties starten met een Type I-rapport om op korte termijn een eerste bewijs te hebben, en bouwen dat vervolgens uit naar een Type II-rapport voor de langere observatieperiode.

SOC 2 vs andere normen

SOC 2 staat niet op zichzelf: de norm wordt vaak naast ISO 27001 gelegd en heeft met ISAE 3402 een internationaal equivalent.

SOC 2 vs ISO 27001

Het verschil tussen SOC 2 en ISO 27001 is dat ISO 27001 een certificeerbare, internationale norm is en SOC 2 een Amerikaans assurance-rapport. Bij ISO 27001 krijgt een organisatie na een audit door een geaccrediteerde certificerende instantie een certificaat; bij SOC 2 krijgt de organisatie een rapport van een CPA-kantoor, geen certificaat.

ISO 27001 werkt met een vast normenkader dat elke organisatie doorloopt. SOC 2 laat de scope grotendeels open: alleen Security is verplicht, de overige criteria kiest de organisatie zelf per opdracht.

Voor organisaties die zowel de Amerikaanse markt als andere internationale markten bedienen, is de combinatie gangbaar. Een managementsysteem ingericht op ISO 27001 levert een groot deel van het bewijs dat ook voor een SOC 2-rapport nodig is.

SOC 2 vs ISAE 3402

Het verschil tussen SOC 2 en ISAE 3402 is klein: beide zijn assurance-rapporten van een accountant, geen certificeringen. ISAE 3402 is uitgegeven onder de standaard van de IAASB (International Auditing and Assurance Standards Board) in plaats van de AICPA.

ISAE 3402 kent net als SOC 2 een Type I- en Type II-variant, met dezelfde opzet: ontwerp op een moment versus werking over een periode. Waar SOC 2 in de VS de gangbare keuze is, is ISAE 3402 in Europa vaak de eerste vraag van internationale klanten.

Zo helpt ClickOn met SOC 2

Het grootste deel van de Trust Services Criteria komt neer op IT-beheer: toegangsbeheer, monitoring, back-up en recovery, encryptie, logging en incidentrespons. Precies het werk dat een managed service provider dagelijks doet, inclusief de bewijsvoering die een auditor bij een SOC 2-onderzoek wil zien.

ClickOn, gevestigd aan de Pelmolenlaan 17A in Woerden, is zelf ISO 27001-gecertificeerd sinds 2021 en heeft 100 procent van de 25 audits sindsdien doorstaan. De Compliance Sprint brengt de technische maatregelen en de bewijsvoering binnen 30 dagen audit-klaar, tegen een vaste prijs per werkplek.

Met compliant werkplekbeheer (PremiumOn) blijft het daarna werken: Microsoft 365-werkplekken ingericht op de ISO 27001-norm, inclusief 24/7 bewaking en support, voor €148 per werkplek per maand. Een nieuwe werkplek staat binnen 24 uur compliant ingericht.

De formele SOC 2-opdracht, de keuze van de Trust Services Criteria en het contact met het CPA-kantoor blijven bij de organisatie zelf. ClickOn levert de technische uitvoering en het bewijs waarmee die opdracht slaagt.

Wil je klaar zijn voor een SOC 2-vraag van een Amerikaanse klant? Start de Compliance Sprint Bekijk compliant werkplekbeheer

Veelgestelde vragen over SOC 2

Is SOC 2 verplicht?

Nee, SOC 2 is niet wettelijk verplicht. Het is een vrijwillig, contractueel rapport, maar Amerikaanse enterprise-klanten vragen er in de praktijk vaak wel hard om voordat ze een leverancier accepteren.

Voor wie geldt SOC 2?

SOC 2 is relevant voor SaaS-aanbieders, cloud- en hostingproviders en andere serviceorganisaties die klantdata verwerken voor Amerikaanse of internationale opdrachtgevers. De norm richt zich op elke partij die aantoonbare assurance over databeveiliging moet leveren.

Wat is het verschil tussen SOC 2 Type I en Type II?

Type I beoordeelt het ontwerp van de controls op één moment; Type II beoordeelt de werking van diezelfde controls over een observatieperiode van doorgaans 6 tot 12 maanden (AICPA, 2018). Type II geldt in de praktijk als het zwaardere en meest gevraagde rapport.

Wat is het verschil tussen SOC 2 en ISO 27001?

SOC 2 is een Amerikaans assurance-rapport van een CPA-kantoor; ISO 27001 is een certificeerbare, internationale norm met een vast normenkader. Een managementsysteem ingericht op ISO 27001 levert een groot deel van het bewijs dat ook voor een SOC 2-rapport nodig is.

Wat is het verschil tussen SOC 2 en ISAE 3402?

SOC 2 en ISAE 3402 zijn beide assurance-rapporten met een Type I- en Type II-variant, maar uitgegeven onder een ander raamwerk. SOC 2 valt onder de AICPA en is gericht op de Amerikaanse markt; ISAE 3402 valt onder de IAASB en is het internationale en Europese equivalent.

Ardo Hoogeveen

Ardo Hoogeveen · Security Officer

Oprichter, algemeen directeur en security officer van ClickOn. Gespecialiseerd in NIS2 en ISO 27001 ICT-compliance voor het MKB. 25+ audits doorstaan met 100% slagingspercentage.

Bekijk profiel