Home Normen ✦ AI Offerte →
HomeNormen → SOC 2

SOC 2 Type I & II — Serviceorganisatiecontroles

SOC 2 is het toonaangevende assurance-raamwerk voor serviceorganisaties, ontwikkeld door de AICPA. Een SOC 2-rapport toont aan dat uw organisatie effectieve interne beheersmaatregelen heeft voor beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en/of privacy — essentieel voor B2B-vertrouwen, met name in de VS-markt.

SOC 2 Type I & II AICPA Trust Services Criteria B2B-assurance

Wat is SOC 2?

SOC 2 (Service Organization Control 2) is een assurance-raamwerk ontwikkeld door de American Institute of Certified Public Accountants (AICPA). Het evalueert de interne beheersmaatregelen van een serviceorganisatie op basis van de Trust Services Criteria (TSC): Beveiliging, Beschikbaarheid, Verwerkingsintegriteit, Vertrouwelijkheid en Privacy.

In tegenstelling tot ISO 27001 resulteert SOC 2 niet in een certificaat maar in een onafhankelijk auditorrapport (attestation report), uitgegeven door een CPA-kantoor. Dit rapport is de facto standaard voor due diligence in de Noord-Amerikaanse markt.

Type I versus Type II

  • SOC 2 Type I: Beoordelt het ontwerp van beheersmaatregelen op een specifiek moment (point-in-time). Geschikt als eerste stap of wanneer snel een rapport nodig is.
  • SOC 2 Type II: Beoordelt zowel het ontwerp als de operationele effectiviteit van beheersmaatregelen over een periode (doorgaans 6–12 maanden). Heeft meer waarde voor klanten en is de marktstandaard.

Wie heeft SOC 2 nodig?

  • SaaS-bedrijven en cloudproviders met zakelijke klanten
  • Managed service providers en IT-outsourcingbedrijven
  • FinTech-bedrijven en betalingsverwerkers
  • Datacenters en hostingproviders
  • HR-technologie en payrollverwerkers
  • Elke serviceorganisatie die klantgegevens verwerkt en een rapport nodig heeft voor vendor due diligence

Trust Services Criteria

  • Beveiliging (verplicht): Bescherming tegen ongeautoriseerde toegang
  • Beschikbaarheid: Systemen zijn operationeel en beschikbaar conform afspraken
  • Verwerkingsintegriteit: Systeemverwerking is volledig, nauwkeurig en tijdig
  • Vertrouwelijkheid: Bescherming van als vertrouwelijk aangemerkte informatie
  • Privacy: Persoonsgegevens worden verzameld en verwerkt conform het privacybeleid

Het BALTUM-proces: stap voor stap

  • Stap 1 — Readiness assessment: Beoordeling van bestaande beheersmaatregelen, selectie van Trust Services Criteria en gap-identificatie.
  • Stap 2 — Ontwerp en documentatie: Beleidsdocumenten, beheersmaatregel-beschrijvingen, risicobeoordeling en bewijsverzameling.
  • Stap 3 — Implementatie en monitoring: Invoering van ontbrekende maatregelen, continue bewijsverzameling gedurende de auditperiode.
  • Stap 4 — CPA-audit: Formele beoordeling door een onafhankelijk CPA-kantoor met uitgifte van het SOC 2-rapport.
  • Stap 5 — Doorlopende compliance: Jaarlijkse hernieuwde Type II-audit en continue monitoring.

Typische doorlooptijd

SOC 2 Type I: 2–4 maanden. SOC 2 Type II: 6–12 maanden observatieperiode na Type I-gereedheid. Organisaties met een bestaand ISO 27001-certificaat kunnen de voorbereidingstijd aanzienlijk verkorten dankzij overlappende beheersmaatregelen.

Integratie met andere normen

  • SOC 2 + ISO 27001 (Uniform bewijskader)
  • SOC 2 + ISO 27701 (Privacy-criterium)
  • SOC 2 + PCI DSS (Financiële dienstverleners)
  • SOC 2 + HITRUST (Gezondheidszorg)