SOC 2-compliance: wat het is, wie het nodig heeft en hoe u gecertificeerd raakt
Een praktische gids over SOC 2-compliance — wat het is, hoe het verschilt van ISO 27001, wat de Trust Services Criteria vereisen, hoe het auditproces werkt en wat Europese bedrijven moeten weten over SOC 2 in een NIS2- en DORA-wereld.
SOC 2-compliance: wat het is, wie het nodig heeft en hoe u gecertificeerd raakt
SOC 2 is het beveiligingsattestatieframework dat Amerikaanse zakelijke kopers verwachten. Ontwikkeld door het AICPA (American Institute of Certified Public Accountants), evalueert het hoe serviceorganisaties klantgegevens beschermen op basis van vijf Trust Services Criteria: Beveiliging, Beschikbaarheid, Verwerkingsintegriteit, Vertrouwelijkheid en Privacy.
Voor Europese bedrijven die op de Amerikaanse markt verkopen, is SOC 2 vaak de eerste compliancevereiste waar kopers naar vragen. Voor bedrijven die al ISO 27001-gecertificeerd zijn, is de overlap aanzienlijk — maar de verschillen doen ertoe.
Deze gids behandelt wat SOC 2 vereist, hoe de audit werkt, hoe het zich verhoudt tot ISO 27001 en waar Europese bedrijven rekening mee moeten houden.
Wat is SOC 2?
SOC 2 is een attestatieframework — geen certificering in traditionele zin. Een CPA (Certified Public Accountant)-kantoor onderzoekt uw maatregelen aan de hand van de Trust Services Criteria en geeft een rapport uit dat beschrijft wat zij hebben gevonden. Het rapport is uw bewijs van compliance.
Er zijn twee typen:
SOC 2 Type I
- Evalueert het ontwerp van maatregelen op een moment in de tijd
- Beantwoordt: "Zijn de juiste maatregelen aanwezig?"
- Sneller te verkrijgen (weken, niet maanden)
- Minder waardevol voor kopers — toont intentie, niet uitvoering
SOC 2 Type II
- Evalueert het ontwerp en de operationele effectiviteit van maatregelen over een periode (doorgaans 6-12 maanden)
- Beantwoordt: "Werken de maatregelen daadwerkelijk?"
- Vereist aanhoudende compliance tijdens de observatieperiode
- De standaard die kopers verwachten en waar auditors naar verwijzen
De vijf Trust Services Criteria
Beveiliging (Common Criteria) — Verplicht
De beveiligingscriteria worden in elk SOC 2-rapport opgenomen. Ze behandelen:
- CC1: Controleklimaat — Governance, organisatiestructuur, managementbetrokkenheid
- CC2: Communicatie en informatie — Interne en externe communicatie over beveiliging
- CC3: Risicobeoordeling — Risico-identificatie, -analyse en -beheer
- CC4: Monitoringactiviteiten — Doorlopende evaluatie van maatregelen
- CC5: Controleactiviteiten — Beleid en procedures voor maatregelimplementatie
- CC6: Logische en fysieke toegangscontroles — Authenticatie, autorisatie, fysieke beveiliging
- CC7: Systeemoperaties — Monitoring, incidentdetectie, respons
- CC8: Wijzigingsbeheer — Beheerste wijzigingen aan infrastructuur en software
- CC9: Risicobeperking — Leveranciersbeheer, bedrijfscontinuïteit
Beschikbaarheid — Optioneel
Evalueert of systemen operationeel en beschikbaar zijn zoals toegezegd:
- Uptimemonitoring en prestatiebeheer
- Disaster recovery en bedrijfscontinuïteit
- Capaciteitsplanning en infrastructuurweerbaarheid
- Incidentrespons voor beschikbaarheidsgebeurtenissen
Verwerkingsintegriteit — Optioneel
Evalueert of systeemverwerking volledig, geldig, nauwkeurig en tijdig is:
- Gegevensvalidatie en foutafhandeling
- Verwerkingsmonitoring en kwaliteitsborging
- Outputafstemming en verificatie
Vertrouwelijkheid — Optioneel
Evalueert hoe vertrouwelijke informatie wordt beschermd:
- Gegevensclassificatie en -behandeling
- Encryptie en toegangscontroles voor vertrouwelijke gegevens
- Gegevensretentie en veilige verwijdering
- Vertrouwelijkheidsovereenkomsten en -verplichtingen
Privacy — Optioneel
Evalueert hoe persoonsgegevens worden verzameld, gebruikt, bewaard, gedeeld en verwijderd:
- Privacyverklaringen en toestemmingsbeheer
- Rechten van betrokkenen (inzage, correctie, verwijdering)
- Gegevensretentie en verwijderingspraktijken
- Controles voor het delen van gegevens met derden
SOC 2 vs. ISO 27001
Beide tonen beveiligingsvolwassenheid aan, maar ze bedienen verschillende markten en hanteren verschillende benaderingen:
| Aspect | SOC 2 | ISO 27001 |
|---|---|---|
| Oorsprong | AICPA (VS) | ISO/IEC (internationaal) |
| Type | Attestatierapport | Certificering |
| Markt | Voornamelijk VS | Internationaal, sterk in Europa |
| Benadering | Criteriagebaseerd (Trust Services Criteria) | Risicogebaseerd (Annex A-maatregelen) |
| Geldigheid | Rapport dekt een specifieke periode (doorgaans 12 maanden) | Certificaat 3 jaar geldig met jaarlijkse surveillance |
| Auditor | Gecertificeerd CPA-kantoor | Geaccrediteerde certificeringsinstantie |
| Output | Gedetailleerd rapport met auditorsopinie | Certificaat + verklaring van toepasselijkheid |
| Flexibiliteit | Keuze welke Trust Services Criteria op te nemen | Keuze van maatregelen op basis van risicobeoordeling |
| Kosten | Doorgaans EUR 40.000-170.000 eerste jaar | Doorgaans EUR 30.000-100.000 eerste jaar |
Wanneer u beide nodig heeft
Veel Europese SaaS-bedrijven verkrijgen beide:
- ISO 27001 voor Europese zakelijke kopers, NIS2/DORA-afstemming en internationale geloofwaardigheid
- SOC 2 voor Amerikaanse zakelijke kopers en de Amerikaanse markt
Het goede nieuws: ongeveer 70-80% van de maatregelen overlappen. Als u er één heeft, vereist het verkrijgen van de andere incrementele inspanning, niet opnieuw beginnen.
Het SOC 2-auditproces
Fase 1: Gereedheidsbeoordeling (1-3 maanden)
Vóór het inschakelen van een auditor:
- Scope definiëren — Welke systemen, diensten en Trust Services Criteria zijn opgenomen?
- Gapanalyse — Huidige maatregelen vergelijken met SOC 2-vereisten
- Gaps remediëren — Ontbrekende maatregelen implementeren, tekortkomingen verhelpen
- Beleid documenteren — Beleid en procedures schrijven of bijwerken
- Bewijs verzamelen — Beginnen met het verzamelen van bewijs dat maatregelen werken
Fase 2: Observatieperiode (alleen Type II, 6-12 maanden)
Tijdens de observatieperiode:
- Maatregelen moeten in werking zijn en consequent worden gevolgd
- Bewijs moet continu worden verzameld (niet achteraf)
- Uitzonderingen moeten worden gedocumenteerd en aangepakt
- Wijzigingen in maatregelen moeten worden beheerd en gedocumenteerd
Fase 3: Auditveldwerk (2-6 weken)
De auditor:
- Beoordeelt documentatie (beleid, procedures, bewijs)
- Test maatregelen door middel van bevraging, observatie, inspectie en heruitvoering
- Evalueert het ontwerp (Type I en II) en de operationele effectiviteit (alleen Type II)
- Identificeert eventuele tekortkomingen of uitzonderingen
- Bespreekt bevindingen met het management
Fase 4: Rapportuitgifte (2-4 weken)
De auditor geeft het SOC 2-rapport uit met:
- Sectie I: Managementverklaring — Beschrijving van het systeem door het management
- Sectie II: Auditorsrapport — De opinie van de auditor over het ontwerp en de effectiviteit van maatregelen
- Sectie III: Systeembeschrijving — Gedetailleerde beschrijving van het systeem, inclusief infrastructuur, software, mensen en gegevens
- Sectie IV: Maatregelen en testen — Beschrijving van elke maatregel, de uitgevoerde test en het testresultaat
- Sectie V (optioneel): Managementreactie — Reactie van het management op eventuele genoteerde uitzonderingen
Opinie van de auditor
De auditor geeft een van drie opinies:
- Goedkeurend — Maatregelen zijn adequaat ontworpen en werken effectief (schoon rapport)
- Met beperking — Maatregelen zijn over het algemeen effectief, maar er zijn een of meer uitzonderingen genoteerd
- Afkeurend — Significante tekortkomingen in maatregelen; het systeem voldoet niet aan de criteria
Veelvoorkomende SOC 2-maatregelen
Toegangsbeheer
- Multi-factor authenticatie voor productiesystemen
- Rolgebaseerde toegangscontrole met minimale rechten
- Driemaandelijkse toegangsbeoordelingen
- Directe intrekking van toegang voor vertrekkende medewerkers
- Geprivilegieerd toegangsbeheer met auditlogboekregistratie
Wijzigingsbeheer
- Codereviewvereisten vóór deployment
- Scheiding van ontwikkel- en productieomgevingen
- Goedkeuringsworkflows voor wijzigingen
- Rollbackprocedures voor mislukte deployments
Monitoring en incidentrespons
- Monitoring en waarschuwingen van beveiligingsgebeurtenissen
- Incidentresponsplan en -procedures
- Incidentclassificatie en -escalatie
- Post-incidentbeoordeling en remediëring
Leveranciersbeheer
- Leveranciersrisicobeoordelingsproces
- Beveiligingsvereisten in leverancierscontracten
- Periodieke beveiligingsbeoordeling van leveranciers
- Subverwerkersbeheer en -notificatie
Gegevensbescherming
- Encryptie at rest en in transit
- Gegevensclassificatieframework
- Procedures voor gegevensretentie en -verwijdering
- Back-up- en hersteltesten
SOC 2 voor Europese bedrijven
Wanneer SOC 2 zinvol is
- U verkoopt SaaS-producten aan Amerikaanse ondernemingen
- Uw Amerikaanse prospects vereisen SOC 2 tijdens inkoop
- U concurreert met in de VS gevestigde leveranciers die al SOC 2 hebben
- U wilt beveiligingsvolwassenheid aantonen op zowel de Amerikaanse als Europese markt
Wanneer ISO 27001 voldoende kan zijn
- Uw klanten zijn voornamelijk Europees
- NIS2- of DORA-compliance is uw primaire drijfveer
- Uw Europese kopers vragen om ISO 27001, niet om SOC 2
- Budgetbeperkingen vereisen dat u prioriteert op één framework
De Europese regelgevingscontext
SOC 2 voldoet niet op zichzelf aan NIS2- of DORA-vereisten:
- NIS2 vereist compliance met specifieke Artikel 21-maatregelen — SOC 2-maatregelen overlappen aanzienlijk maar dekken niet alle tien vereiste gebieden
- DORA heeft specifieke ICT-risicobeheersvereisten die verder gaan dan de scope van SOC 2
- AVG vereist specifieke gegevensbeschermingsmaatregelen die de Privacycriteria van SOC 2 gedeeltelijk afdekken
Een ISMS gebouwd op ISO 27001 biedt een sterkere basis voor Europese regelgevende compliance, met SOC 2 toegevoegd voor toegang tot de Amerikaanse markt.
Veelgemaakte fouten
-
Beginnen met Type II voordat u gereed bent. Als uw maatregelen niet volwassen zijn, zal de observatieperiode uitzonderingen aan het licht brengen die in het rapport terechtkomen. Begin met een gereedheidsbeoordeling, los gaps op en begin dan met de Type II-observatieperiode.
-
Te smal of te breed scopen. Te smal (relevante systemen uitsluiten) creëert geloofwaardigheidsproblemen bij kopers. Te breed (alles opnemen) verhoogt kosten en complexiteit. De scope moet de systemen en diensten dekken die uw klanten daadwerkelijk gebruiken.
-
SOC 2 als eenmalig project behandelen. SOC 2 Type II is een jaarlijkse verplichting. Maatregelen moeten continu werken, bewijs moet het hele jaar worden verzameld en de audit herhaalt zich elke 12 maanden. Bouw duurzame processen op, geen pre-auditsprint.
-
De verkeerde auditor kiezen. Niet alle CPA-kantoren hebben dezelfde diepgang in technologie- en beveiligingsexpertise. Kies een kantoor met ervaring in het auditen van bedrijven van uw omvang, in uw branche, met uw technologiestack.
-
De systeembeschrijving verwaarlozen. Sectie III van het SOC 2-rapport beschrijft uw systeem in detail. Kopers lezen dit zorgvuldig. Investeer tijd om het nauwkeurig, volledig en helder te maken — het vormt de perceptie van kopers over uw beveiligingsvolwassenheid.
Hoe Orbiq SOC 2-compliance ondersteunt
- Trust Center: Publiceer de beschikbaarheid van uw SOC 2-rapport, de scope van Trust Services Criteria en beveiligingsmaatregelen voor due diligence door kopers
- Continue monitoring: Volg de effectiviteit van maatregelen over SOC 2-criteria en identificeer gaps vóór uw volgende audit
- Bewijsbeheer: Geautomatiseerde bewijsverzameling gekoppeld aan Trust Services Criteria voor gestroomlijnde auditvoorbereiding
- AI-gestuurde vragenlijsten: Reageer op beveiligingsvragenlijsten van kopers met bewijs uit uw SOC 2-programma
Verder lezen
- ISMS — Het managementsysteem opbouwen dat ten grondslag ligt aan SOC 2 en ISO 27001
- Compliance-automatisering — SOC 2-bewijsverzameling en -monitoring automatiseren
- Leveranciersrisicobeoordeling — Hoe kopers uw SOC 2-rapport evalueren
- Informatiebeveiligingsbeleid — De governancebasis voor SOC 2-maatregelen
Deze gids wordt onderhouden door het Orbiq-team. Laatst bijgewerkt: maart 2026.