ISO 27001 vs. SOC 2: wat past bij jou?
Als SaaS-bedrijf, tech-startup of IT-dienstverlener krijg je vroeg of laat de vraag: “Zijn jullie SOC 2 of ISO 27001 gecertificeerd?” ISO 27001 is de internationale standaard via ISO , SOC 2 komt van het AICPA . Beide frameworks tonen aan dat je serieus omgaat met beveiliging, maar ze werken heel anders.
Het korte antwoord
ISO 27001 is een internationale certificering voor een Information Security Management System (ISMS). Je krijgt een certificaat dat 3 jaar geldig is.
SOC 2 is een Amerikaanse attestatie die aantoont dat je security controls effectief zijn. Je krijgt een rapport van een accountant, geen certificaat.
| Aspect | ISO 27001 | SOC 2 |
|---|---|---|
| Type | Certificering | Attestatierapport |
| Herkomst | Internationaal (ISO) | Amerikaans (AICPA) |
| Focus | Managementsysteem | Operationele controls |
| Resultaat | Certificaat (3 jaar) | Rapport (Type I of Type II) |
| Auditor | Certificerende instantie | CPA / accountant |
| Populariteit | Europa, Azië | Verenigde Staten |
Wat is SOC 2?
SOC 2 staat voor Service Organization Control 2. Het is ontwikkeld door het American Institute of Certified Public Accountants (AICPA) . Het framework is ontworpen voor serviceorganisaties die klantdata verwerken of opslaan.
De Trust Services Criteria
SOC 2 beoordeelt je organisatie op vijf criteria, waarvan Security verplicht is en de andere vier optioneel:
- Security (verplicht) - Bescherming tegen ongeautoriseerde toegang
- Availability - Beschikbaarheid van je dienst
- Processing Integrity - Correcte verwerking van data
- Confidentiality - Bescherming van vertrouwelijke informatie
- Privacy - Bescherming van persoonsgegevens
Je kiest zelf welke criteria je wilt laten beoordelen, afhankelijk van wat relevant is voor je dienstverlening en wat je klanten vragen.
Type I vs. Type II
SOC 2 kent twee varianten:
Type I beoordeelt of je controls goed zijn ontworpen op een specifiek moment (point-in-time). Het is een momentopname.
Type II beoordeelt of je controls ook daadwerkelijk werken over een periode, meestal 6-12 maanden. Dit is de waardevoller variant omdat het aantoont dat je niet alleen beleid hebt, maar het ook uitvoert.
De meeste klanten die SOC 2 vragen, bedoelen Type II. Type I kan een opstap zijn, maar uiteindelijk wil iedereen bewijs dat je controls werken in de praktijk.
De belangrijkste verschillen
1. Managementsysteem vs. controls
ISO 27001 vraagt om een compleet Information Security Management System (ISMS). Dit omvat niet alleen technische maatregelen, maar ook:
- Risicobeoordeling en -behandeling
- Beleid en procedures
- Directiebetrokkenheid
- Continue verbetering
- Interne audits
SOC 2 focust op de effectiviteit van je controls. Het beoordeelt of je maatregelen werken, maar schrijft niet voor hoe je security moet organiseren. Er is geen vereiste voor een managementsysteem, risicomethodiek of verbetercyclus.
2. Certificaat vs. rapport
ISO 27001 resulteert in een certificaat dat je publiekelijk kunt delen. Iedereen kan controleren of je certificaat geldig is.
SOC 2 resulteert in een gedetailleerd rapport dat je doorgaans niet publiceert. Je deelt het rapport met klanten onder NDA. Het bevat specifieke informatie over je controls en eventuele bevindingen.
3. Voorgeschreven vs. flexibel
ISO 27001 heeft een vaste structuur. De norm beschrijft wat je moet doen, Annex A bevat 93 beheersmaatregelen waar je je aan moet verhouden.
SOC 2 is flexibeler. De Trust Services Criteria zijn high-level; je bepaalt zelf welke controls je implementeert om aan de criteria te voldoen.
4. Geografische voorkeur
ISO 27001 is de standaard in Europa, Azië en veel andere regio’s. Europese klanten vragen vrijwel altijd ISO 27001.
SOC 2 is dominant in de Verenigde Staten. Amerikaanse klanten verwachten vaak SOC 2, en kennen ISO 27001 soms niet.
Kosten en doorlooptijd
ISO 27001
| Bedrijfsgrootte | Eerste jaar | Jaarlijks daarna |
|---|---|---|
| Startup (10-25 fte) | €15.000 - €30.000 | €5.000 - €10.000 |
| Scale-up (25-100 fte) | €30.000 - €60.000 | €10.000 - €20.000 |
| Enterprise (100+ fte) | €60.000 - €150.000 | €20.000 - €50.000 |
Doorlooptijd: 4-12 maanden
SOC 2
| Variant | Kosten | Doorlooptijd |
|---|---|---|
| Type I | €15.000 - €40.000 | 2-4 maanden |
| Type II | €25.000 - €70.000 | 6-12 maanden (inclusief observatieperiode) |
SOC 2 is vaak goedkoper in het eerste jaar, maar de kosten zijn vergelijkbaar als je Type II wilt en het jaarlijks herhaalt.
Let op: SOC 2 auditrapporten zijn meestal 12 maanden geldig. Je hebt elk jaar een nieuwe audit nodig. ISO 27001 certificaten zijn 3 jaar geldig met jaarlijkse surveillance-audits die korter (en goedkoper) zijn.
Wanneer kies je wat?
Kies ISO 27001 als:
- Je Europese klanten hebt of wilt
- Je al andere ISO-certificeringen hebt (ISO 9001, etc.)
- Je een managementsysteem wilt dat je security structureel verbetert
- Je organisatie groeit en je een schaalbaar framework nodig hebt
- Je valt onder EU-wetgeving zoals NIS2 of AVG
Kies SOC 2 als:
- Je primair Amerikaanse klanten hebt
- Je een SaaS-product levert en klanten specifiek SOC 2 vragen
- Je snel een security-bewijs nodig hebt (Type I kan sneller)
- Je klanten gedetailleerde rapportages willen over je controls
Kies beide als:
- Je internationale klanten hebt (Europa én VS)
- Je een enterprise SaaS bent met grote klanten wereldwijd
- Klanten allebei vragen en je geen deals wilt mislopen
- Je de beste dekking wilt voor due diligence en aanbestedingen
Beide frameworks combineren
Het goede nieuws: ISO 27001 en SOC 2 overlappen voor zo’n 70-80%. Als je één hebt, heb je een enorme voorsprong voor de ander.
Van ISO 27001 naar SOC 2
Als je ISO 27001 hebt:
- Je hebt al de meeste controls die SOC 2 vraagt
- Je moet wellicht extra controls toevoegen voor specifieke Trust Services Criteria
- De SOC 2 audit focust op operationele effectiviteit, niet op het systeem erachter
Van SOC 2 naar ISO 27001
Als je SOC 2 hebt:
- Je hebt al veel technische maatregelen op orde
- Je moet een ISMS opzetten met risicobeoordeling, beleid, en verbetercyclus
- De ISO 27001 audit kijkt breder naar je managementsysteem
Gecombineerde audit
Sommige partijen bieden gecombineerde audits aan. Dit bespaart tijd en geld:
- Eén voorbereidingstraject
- Eén auditbezoek (of kort na elkaar)
- Gedeelde documentatie
Vraag bij je certificerende instantie of ze beide kunnen doen, of werk met een partij die beide frameworks kent.
Praktische tips
Voor startups
Begin met waar je klanten om vragen. Heb je vooral Amerikaanse klanten? Start met SOC 2 Type I, en upgrade naar Type II. Heb je Europese klanten? Begin met ISO 27001.
Voor scale-ups
Als je groeit en internationaliseert, overweeg beide. De investering betaalt zich terug in deals die je anders zou mislopen.
Voor enterprise
Op enterprise-niveau is het hebben van beide frameworks vaak standaard. Je kunt het je niet veroorloven om “nee” te moeten zeggen op security-vragen van potentiële klanten.
Veelgestelde vragen
Kan ik SOC 2 gebruiken in plaats van ISO 27001 in Europa?
Technisch wel, maar veel Europese klanten kennen SOC 2 niet of accepteren het niet als equivalent. ISO 27001 is de verwachting in Europa.
Is SOC 2 makkelijker dan ISO 27001?
Niet per se. SOC 2 Type II vraagt dat je controls daadwerkelijk werken over een langere periode. ISO 27001 vraagt een managementsysteem. Het zijn verschillende inspanningen.
Hoe lang is een SOC 2 rapport geldig?
Standaard 12 maanden. Klanten willen een recent rapport, dus je hebt elk jaar een nieuwe audit nodig.
Kan ik zelf kiezen welke controls ik heb voor SOC 2?
Ja, binnen de Trust Services Criteria. Je bepaalt zelf welke specifieke controls je implementeert. De auditor beoordeelt of die controls effectief zijn voor het bereiken van de criteria.
Wat is SOC 1?
SOC 1 is gericht op controls die relevant zijn voor financiële rapportages van klanten. Het is bedoeld voor serviceorganisaties die financiële processen uitvoeren (zoals payroll of boekhouding). SOC 2 is breder en gaat over security, availability, etc.
Samenvatting
| Situatie | Advies |
|---|---|
| Europese markt | ISO 27001 |
| Amerikaanse markt | SOC 2 |
| Beide markten | Beide frameworks |
| Snel security-bewijs nodig | SOC 2 Type I als start |
| Langetermijn security-strategie | ISO 27001 als basis |
Meer informatie
- Wat is ISO 27001? – Introductie tot de norm
- Het ISMS – Het managementsysteem uitgelegd
- Kosten en tijdlijn – ISO 27001 kosten in detail
- AICPA SOC 2 – Officiële SOC 2 informatie
- Veelgestelde vragen – Meer antwoorden