Wat is SOC 2?
Je verkoopt software. Een enterprise klant vraagt: “Hebben jullie SOC 2?” SOC 2 is de Amerikaanse standaard die bewijst dat je klantdata veilig verwerkt, ontwikkeld door de AICPA .
Je krijgt geen certificaat, maar een rapport. Een onafhankelijke accountant controleert je security controls en schrijft op: “Deze organisatie heeft de juiste maatregelen op orde.” Dat rapport deel je met klanten. NOREA (Nederlandse IT-auditors) kan dit ook uitvoeren via ISAE 3000 .
SOC staat voor Service Organization Control. SOC 1 = financiële processen, SOC 2 = IT-beveiliging (dit artikel), SOC 3 = publieke samenvatting.
In het kort
| Wat is het? | Attestatierapport voor IT-beveiliging |
| Voor wie? | SaaS, cloud providers, IT-dienstverleners |
| Verplicht? | Nee, maar vaak vereist door enterprise klanten |
| Geldigheid | 12 maanden (jaarlijks vernieuwen) |
| Kosten | €40.000 - €100.000+ eerste jaar |
| Doorlooptijd | Type I: 3-6 maanden, Type II: 6-15 maanden |
De kern: 5 criteria
SOC 2 test je op de Trust Services Criteria:
| Criterium | Verplicht? | Focus |
|---|---|---|
| Security | Ja | Bescherming tegen ongeautoriseerde toegang |
| Availability | Nee | Systeem beschikbaar wanneer nodig |
| Processing Integrity | Nee | Data wordt correct verwerkt |
| Confidentiality | Nee | Vertrouwelijke info beschermd |
| Privacy | Nee | Persoonlijke gegevens correct behandeld |
Je kiest zelf welke criteria relevant zijn. Security is altijd verplicht.
Type II duurt minimaal 9 maanden. Sales teams beloven vaak “we hebben SOC 2 over 3 maanden.” Dat is onmogelijk. Begin op tijd.
Volgende stappen
SaaS, fintech, cloud provider? Bekijk of SOC 2 bij jou past.
Voor wie is het?Momentopname of bewijs over tijd? Welke kies je?
Type I vs Type IIVan nul naar rapport in 12 stappen.
StappenplanWat kost het echt? Met indicaties per grootte.
Kosten en tijdlijnDe 5 pijlers uitgelegd.
Trust Services CriteriaAmerika vs Europa. Welke kies je?
SOC 2 vs ISO 27001Meer pagina’s
- Het auditproces – Wat doet de auditor?
- Controls – Wat moet je implementeren?
- Voor SaaS-bedrijven – Specifieke tips
- Voor cloud providers – Datacenter en hosting
- Veelgestelde vragen – Alle antwoorden
Bronnen
- AICPA Trust Services Criteria – Officiële criteria
- NOREA – Nederlandse IT-auditors
- IFAC ISAE 3000 – Internationale auditstandaard