Wat is het belangrijkste verschil tussen SOC 1 en SOC 2?

SOC 1 beoordeelt interne beheersmaatregelen met betrekking tot financiële verslaggeving (ICFR) — relevant als uw diensten de financiële overzichten van uw klanten direct beïnvloeden, zoals salarisverwerking of financieel data-hosting. SOC 2 beoordeelt beheersmaatregelen op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy (de Trust Services Criteria) — de standaard beveiligingsattest voor SaaS-bedrijven en cloudaanbieders.

Heb ik SOC 1 of SOC 2 nodig?

U heeft SOC 1 nodig als uw diensten de financiële verslaggeving van uw klanten beïnvloeden (salarisverwerking, transactieverwerking, financieel data-hosting). U heeft SOC 2 nodig als zakelijke klanten een beveiligingsattest voor uw SaaS-platform of cloudoplossing vereisen. Veel organisaties hebben beide nodig.

Kan ik zowel SOC 1 als SOC 2 hebben?

Ja. SOC 1 en SOC 2 dienen verschillende doeleinden voor verschillende doelgroepen. Een salarisverwerking-SaaS-bedrijf kan SOC 1 nodig hebben voor de externe accountants van zijn klanten én SOC 2 voor de beveiligingsteams bij inkoop.

Wat is het verschil tussen SOC 2 Type 1 en Type 2?

SOC 2 Type 1 beoordeelt of uw beveiligingsmaatregelen op een bepaald moment adequaat zijn ontworpen. SOC 2 Type 2 beoordeelt of uw maatregelen adequaat zijn ontworpen én gedurende een observatieperiode van 6-12 maanden effectief hebben gefunctioneerd. Zakelijke klanten eisen vrijwel altijd Type 2.

Hoeveel kost een SOC 2-audit in 2026?

Auditkosten voor SOC 2 Type 2 liggen doorgaans tussen 15.000 en 60.000 USD. De totale kosten in het eerste jaar — inclusief voorbereiding, tooling en audit — bedragen voor de meeste mkb-bedrijven 30.000 tot 150.000 USD.

Is SOC 2 hetzelfde als ISO 27001?

Nee. SOC 2 is een attestatierapport uitgegeven door een gecertificeerd accountantskantoor op basis van de AICPA Trust Services Criteria — primair voor de Amerikaanse markt. ISO 27001 is een internationale certificering afgegeven door een geaccrediteerde instelling zoals RvA in Nederland. Voor Europese kopers en voor naleving van NIS2 en DORA is ISO 27001 de voorkeurskeuze.

SOC 1 vs SOC 2: Belangrijkste Verschillen, Wie Wat Nodig Heeft en Hoe te Kiezen

2026-03-25

By Orbiq Team

SOC 1 vs SOC 2: Belangrijkste Verschillen, Wie Wat Nodig Heeft en Hoe te Kiezen

SOC 1 dekt controles voor financiële verslaggeving; SOC 2 dekt beveiliging en privacy. Leer de verschillen, kosten en welk rapport uw organisatie nodig heeft.

soc-2

soc-1

compliance

audit

trust-services-criteria

ssae-18

SOC 1 vs SOC 2: Belangrijkste Verschillen, Wie Wat Nodig Heeft en Hoe te Kiezen

SOC 1 en SOC 2 zijn beide attestatierapporten die worden opgesteld conform de SSAE 18-standaard en afgegeven door onafhankelijke accountantskantoren — maar ze dienen fundamenteel verschillende doelen. De twee door elkaar halen is een van de meest voorkomende fouten in het inkoopproces van groeiende B2B-bedrijven.

SOC 1 gaat over beheersmaatregelen voor financiële verslaggeving. SOC 2 gaat over informatiebeveiliging. Beide bestaan in een Type 1- en Type 2-variant. Veel organisaties hebben beide nodig. De juiste aanpak hangt af van wie uw klanten zijn, wat uw diensten omvatten en wat de accountants en beveiligingsteams van uw zakelijke klanten verlangen.

Deze gids behandelt alles: wat elk rapport dekt, wie het nodig heeft, hoe de kosten zich verhouden en hoe u de meest voorkomende auditfouten vermijdt.

Kernpunten

SOC 1 (geregeld door SSAE 18 AT-C 320) beoordeelt interne beheersmaatregelen voor financiële verslaggeving. Het is vereist wanneer uw diensten de financiële overzichten van uw klanten direct beïnvloeden — salarisverwerking, transactieverwerking, boekhoudplatforms.
SOC 2 (geregeld door SSAE 18 AT-C 105 en AT-C 205) beoordeelt maatregelen op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Het is het standaard beveiligingsattest voor SaaS, cloudinfrastructuur en managed service providers.
Beide rapporten bestaan in twee varianten: Type 1 beoordeelt de opzet van maatregelen op een bepaald moment; Type 2 beoordeelt zowel opzet als werking gedurende 6 tot 12 maanden. Zakelijke klanten eisen routinematig Type 2.
Auditkosten voor SOC 2 Type 2 liggen doorgaans tussen 15.000 en 60.000 USD. De totale kosten in het eerste jaar (voorbereiding, tooling, audit) bedragen 30.000 tot 150.000 USD voor de meeste mkb-bedrijven [1].
SOC 2 en ISO 27001 kennen een aanzienlijke overlap in maatregelen — gerapporteerde overlaps variëren van 43% tot meer dan 90% afhankelijk van de scope, waardoor dubbele certificering aanzienlijk efficiënter is dan beide van scratch opbouwen [2].
De meest voorkomende oorzaak van SOC 2-auditafwijkingen is ontbrekend of onvolledig bewijsmateriaal voor specifieke maanden in de auditperiode — een probleem dat automatiseringsplatformen structureel oplossen [3].

Wat is SOC 1?

SOC 1 (System and Organization Controls 1) is een attestatierapport gericht op interne beheersmaatregelen met betrekking tot financiële verslaggeving (ICFR). Het is de opvolger van de SSAE 16-standaard (zelf opvolger van SAS 70) en wordt momenteel geregeld door SSAE 18 AT-C 320.

Een SOC 1-rapport is relevant wanneer een dienstverlener services aanbiedt die de financiële overzichten van zijn klantorganisaties wezenlijk kunnen beïnvloeden — en wanneer de externe accountants van die klanten bewijs nodig hebben dat de maatregelen van de dienstverlener correct functioneren.

Wat SOC 1 beoordeelt

SOC 1 schrijft geen specifieke maatregelen voor. De dienstverlener definieert zelf de beheersdoelstellingen — de doelen die zijn maatregelen moeten bereiken — en de auditor toetst of de maatregelen die doelstellingen halen.

Typische beheersdoelstellingen in een SOC 1-opdracht omvatten:

Nauwkeurigheid van transactieverwerking — Worden financiële transacties volledig en correct verwerkt?
Gegevensintegriteit — Zijn gegevens beschermd tegen ongeautoriseerde wijzigingen?
Toegangscontroles — Kunnen alleen bevoegde gebruikers transacties initiëren, goedkeuren of vastleggen?
Wijzigingsbeheer — Worden wijzigingen aan systemen die financiële gegevens verwerken gecontroleerd en goedgekeurd?
Back-up en herstel — Kan de organisatie financiële gegevens herstellen bij een verstoring?

Wie heeft SOC 1 nodig?

SOC 1-rapporten zijn vereist voor organisaties waarvan de diensten de ICFR van hun klanten direct beïnvloeden:

Salarisverwerkingsbedrijven — Berekening, inhouding en uitbetaling van salarissen raakt de loonadministratie van klanten
Financiële dataverwerkingsplatformen — Systemen die financiële transacties verwerken, vastleggen of doorsturen
Fondsadministrateurs — Beleggingsadministratie, NIW-berekening en transactieafwikkeling
Managed IT-providers — Wanneer IT-diensten het hosten of beheren van financiële applicaties omvatten

De vraag naar SOC 1-rapporten komt vaak van de externe accountants van klanten (Big Four of middelgrote accountantskantoren), die in het kader van hun eigen controle van de jaarrekening van de klant bewijs nodig hebben over de maatregelen bij de dienstverlener.

Wat is SOC 2?

SOC 2 (System and Organization Controls 2) is een attestatierapport dat de maatregelen van een dienstverlener beoordeelt aan de hand van de AICPA Trust Services Criteria. Het wordt geregeld door SSAE 18 AT-C 105 en AT-C 205.

In tegenstelling tot SOC 1 richt SOC 2 zich niet op financiële verslaggeving, maar op hoe uw organisatie klantgegevens beschermt en betrouwbare dienstverlening waarborgt.

De vijf Trust Services Criteria

SOC 2-rapporten zijn opgebouwd rond vijf criteria. Beveiliging is verplicht; de andere zijn optioneel en worden geselecteerd op basis van uw serviceverbintenissen.

Criterium	Wat het beoordeelt	Typische toepassing
Beveiliging (Gemeenschappelijke criteria)	Logische en fysieke toegangscontrole, wijzigingsbeheer, risicobeoordeling, monitoring	Verplicht voor elk SOC 2-rapport
Beschikbaarheid	Systeembeschikbaarheid, performance, herstel na rampen	SaaS-platformen met SLA-verplichtingen
Verwerkingsintegriteit	Volledigheid, nauwkeurigheid, geldigheid en tijdigheid van verwerking	Transactie- en dataverwerkingsplatformen
Vertrouwelijkheid	Bescherming van vertrouwelijke informatie	Platformen met vertrouwelijke bedrijfsgegevens
Privacy	Verzameling, gebruik, bewaring en verwijdering van persoonsgegevens	Platformen die persoonsgegevens verwerken

De meeste SaaS-bedrijven nemen minimaal Beveiliging en Beschikbaarheid op. Organisaties die persoonsgegevens verwerken voegen vaak het Privacy-criterium toe.

Wie heeft SOC 2 nodig?

SOC 2 is het standaard beveiligingsattest geworden voor B2B-softwarebedrijven, met name:

SaaS-bedrijven die verkopen aan Amerikaanse enterprises of beveiligingsbewuste Europese zakelijke klanten
Cloudinfrastructuuraanbieders en managed service providers
Gegevensverwerkende bedrijven die klantgegevens verwerken
Elk B2B-softwarebedrijf waarbij zakelijke kopers formele beveiligingsbeoordelingen van leveranciers uitvoeren

De commerciële driver is het inkoopproces: zakelijke kopers — doorgaans organisaties met 500+ medewerkers en een eigen beveiligingsteam — stellen SOC 2 als eis in hun leveranciersselectieprocessen. Zonder SOC 2-rapport kan een deal stagneren of intensieve handmatige beveiligingsreviews vereisen bij elke nieuwe verkoop.

SOC 1 vs SOC 2: Volledige Vergelijking

Aspect	SOC 1	SOC 2
Doel	Interne maatregelen voor financiële verslaggeving (ICFR)	Beveiligings- en gegevensbeschermingsmaatregelen
Toepasselijke standaard	SSAE 18 AT-C 320	SSAE 18 AT-C 105 en AT-C 205
Criteriumkader	Geen voorgeschreven criteria — organisatie definieert beheersdoelstellingen	AICPA Trust Services Criteria (Beveiliging verplicht)
Uitgegeven door	Onafhankelijk gecertificeerd accountantskantoor	Onafhankelijk gecertificeerd accountantskantoor
Primaire doelgroep	Externe accountants van klanten	Beveiligings-, inkoop- en complianceteams van klanten
Rapporttypen	Type 1 (opzet) en Type 2 (opzet + werking)	Type 1 (opzet) en Type 2 (opzet + werking)
Typische sectoren	Salarisverwerking, financiële data, fondsbeheer	SaaS, cloud, managed IT, dataverwerking
Observatieperiode (Type 2)	Doorgaans 6 tot 12 maanden	Doorgaans 6 tot 12 maanden; eerste opdrachten kunnen een kortere periode omvatten
Kosten (Type 2-audit)	15.000 tot 50.000 USD [4]	15.000 tot 60.000 USD [1]
Relevantie in Europa	Laag — voornamelijk een vereiste voor de VS en het VK	Matig — Amerikaanse kopers eisen het; Europese kopers geven vaak de voorkeur aan ISO 27001
Overlap met ISO 27001	Beperkt	Aanzienlijke overlap (43%–90%+ gerapporteerd, afhankelijk van scope)

Type 1 vs Type 2: Wat is het Verschil?

Zowel SOC 1 als SOC 2 bestaan in twee typen. Dezelfde logica geldt voor beide:

Type 1 — Puntbeoordering van de opzet

Beoordeelt of maatregelen op een specifieke datum adequaat zijn opgezet
Beantwoordt de vraag: "Zijn de juiste maatregelen aanwezig?"
De auditor toetst niet of maatregelen in de loop van de tijd hebben gefunctioneerd
Sneller te verkrijgen — 2 tot 6 weken auditwerkzaamheden zodra u klaar bent
Lagere kosten — doorgaans 5.000 tot 25.000 USD voor SOC 2
Minder waardevol voor kopers — toont intentie, geen duurzame uitvoering
Goed als startpunt op weg naar Type 2

Type 2 — Werking over een periode

Beoordeelt of maatregelen adequaat zijn opgezet én gedurende een beoordelingsperiode (doorgaans 6-12 maanden) effectief hebben gefunctioneerd
Beantwoordt de vraag: "Werken de maatregelen daadwerkelijk en consistent?"
Auditwerkzaamheden: 2 tot 6 weken na de observatieperiode
Hogere kosten — auditkosten van 15.000 tot 60.000 USD; totale kosten eerste jaar van 30.000 tot 150.000 USD voor SOC 2
De standaard die zakelijke klanten verwachten — de meeste inkoopchecklists vereisen Type 2

De praktische implicatie: begin de observatieperiode pas als uw maatregelen daadwerkelijk operationeel zijn. Elke afwijking die tijdens de observatieperiode wordt vastgesteld kan in het eindrapport verschijnen.

SOC 2 vs ISO 27001: Wat Europese Bedrijven Moeten Weten

Voor een Europees bedrijf is de vraag SOC 2 vs ISO 27001 even relevant als SOC 1 vs SOC 2.

Aspect	SOC 2	ISO 27001
Primaire markt	Verenigde Staten	Internationaal, met name Europa
Uitkomst	Attestatierapport (accountantskantoor)	Certificering (geaccrediteerde instelling: RvA in NL)
Geldigheid	Rapport dekt een periode van 12 maanden	Certificaat geldig 3 jaar met jaarlijkse surveillance-audits
EU-regelgevingsafstemming	Beperkt — voldoet niet aan NIS2- of DORA-eisen	Sterk — NIS2 en DORA verwijzen direct naar ISO 27001-maatregelen
Maatregeloverlap	—	Ca. 70 tot 80 procent van de SOC 2-maatregelen sluit aan op ISO 27001

Voor Europese B2B-bedrijven: begin met de ISO 27001-certificering om Europese kopers en NIS2/DORA-eisen te adresseren. Voeg SOC 2 toe wanneer u de Amerikaanse enterprise-markt wilt bedienen.

De overlap tussen beide frameworks betekent dat de marginale kosten van de tweede certificering aanzienlijk lager zijn dan een volledige herbouw.

Waarom SOC 2-Audits Mislukken — en Hoe U Het Vermijdt

SOC 2-afwijkingen kunnen een deal blokkeren of, erger nog, verschijnen in een rapport dat kopers aandachtig lezen. De meest voorkomende auditfouten [3][5]:

1. Ontbrekend bewijsmateriaal voor specifieke maanden

De meest voorkomende oorzaak van SOC 2 Type 2-afwijkingen. Bewijsverzameling is vaak inconsistent — maatregelen functioneren correct, maar het bewijs (screenshots, logs, bevestigingen van beleidsacceptatie) wordt niet op het juiste moment vastgelegd.

Oplossing: Gebruik een compliance-automatiseringsplatform dat continu bewijs verzamelt en koppelt aan maatregelen. Ontbrekende toegangsreviews voor een bepaalde maand kunnen niet achteraf worden gereconstrueerd.

2. Toegangsbeheer drift

Voormalige medewerkers hebben nog actieve accounts. MFA is niet ingeschakeld op alle productiesystemen. Kwartaalse toegangsreviews worden overgeslagen. Dit zijn de afwijkingen die het vaakst voorkomen in gekwalificeerde accountantsoordelen.

Oplossing: Automatiseer toegangsreviews en koppel uw compliance-platform aan uw identiteitsprovider.

3. Leveranciersrisico niet gedocumenteerd

De meeste SaaS-platformen vertrouwen op tientallen subverwerkers. Auditors controleren of u deze leveranciers op beveiliging heeft beoordeeld en of adequate contractuele bescherming aanwezig is.

Oplossing: Houd een leveranciersoverzicht bij met actuele beveiligingsbeoordelingen. Uw processen voor leveranciersrisicobeheer moeten gedocumenteerd en regelmatig bijgewerkt zijn.

4. Incident response-plan nooit getest

Een incident response-plan hebben is verplicht. Bewijs dat u het test (tabletop exercises, simulaties) is wat het onderscheid maakt tussen een schoon oordeel en een afwijking.

Oplossing: Plan en documenteer minimaal één incident response-oefening per jaar.

5. Scopewijzigingen tijdens de audit

Wijzigingen in welke systemen in scope vallen nadat de observatieperiode is begonnen, creëren documentatielacunes die moeilijk te dichten zijn.

Oplossing: Definieer en vergrendel de scope voordat de observatieperiode begint.

Hoe Orbiq SOC 1- en SOC 2-Compliance Ondersteunt

Orbiq's compliance-automatiseringsplatform vermindert de voorbereidingslast voor zowel SOC 1- als SOC 2-audits:

Continue bewijsverzameling: Geautomatiseerde bewijsverzameling uit cloudinfrastructuur, identiteitsproviders en beveiligingstools — gekoppeld aan SOC 2 Trust Services Criteria en SOC 1-beheersdoelstellingen
Maatregelmonitoring: Real-time zichtbaarheid in de status van maatregelen — afwijkingen worden opgespoord voordat auditors ze zien
Trust Center: Publiceer de beschikbaarheid van uw SOC 2-rapport en uw beveiligingsmaatregelen voor due diligence door kopers
AI-gestuurde vragenlijsten: Beantwoord beveiligingsvragenlijsten van kopers met al verzameld bewijsmateriaal uit uw compliance-programma
Multi-framework ondersteuning: Koppel uw maatregelen tegelijkertijd aan SOC 2, ISO 27001, NIS2 en DORA

Verder Lezen

SOC 2-compliance — Volledige gids — Diepgaande behandeling van Trust Services Criteria, auditproces en veelvoorkomende maatregelen
ISO 27001-certificering — De volledige gids — Hoe ISO 27001 zich verhoudt tot SOC 2 en waarom Europese bedrijven hier beginnen
Wat is een ISMS? — Het managementsysteem dat zowel ISO 27001 als SOC 2 ondersteunt
Compliance-automatisering — Bewijsverzameling automatiseren voor voortdurende SOC 2-compliance

Bronnen en Referenties

Sprinto / Bright Defense. "SOC 2 Audit Costs in 2026." https://www.brightdefense.com/resources/soc-2-audit-costs/ — SOC 2 Type 2-auditkosten: 15.000 tot 60.000 USD; totale kosten eerste jaar: 30.000 tot 150.000 USD.
Linford & Co / Vanta. "SOC 1 vs SOC 2: Differences & Choosing the Report You Need." https://linfordco.com/blog/soc-1-vs-soc-2-audit-reports/ — Analyse van framework-overlap.
Invimatic / DEV Community. "Why Many Companies Fail SOC 2 Type II." https://dev.to/narendra_sahoo_a2aeff1193/why-many-companies-fail-soc-2-type-ii-and-how-to-avoid-the-same-mistakes-4nci — Ontbrekende bewijsverzameling als primaire oorzaak van auditfalen.
Linford & Co. "SOC 1 & SOC 2 Audit Costs: An Auditor's Price Breakdown." https://linfordco.com/blog/soc-audit-cost/ — SOC 1 Type 2-auditkosten: 15.000 tot 50.000 USD.
Drata. "The Top 9 Mistakes Companies Make With SOC 2 Compliance." https://drata.com/blog/the-top-9-mistakes-companies-make-with-soc-2-compliance — Drift in toegangsbeheer en lacunes in leveranciersbeheer.
SOC Reports. "What is SOC 1 SSAE 18?" https://socreports.com/audit-overview/what-is-soc-1-ssae-18 — SSAE 18 AT-C 320 toepassingsgebied en definitie.
Spronto. "SOC 1 vs SOC 2: Key Differences, Scope & Which You Need in 2026." https://sprinto.com/blog/soc-1-vs-soc-2/ — Gebruiksscenario's en behoefteanalyse.

Deze gids wordt onderhouden door het Orbiq-team. Laatste update: maart 2026.