SOC 2 bridge letter: het gat tussen twee rapporten dichten
Je SOC 2 Type II rapport dekt januari tot december 2025. Het is nu maart 2026 en een prospect vraagt om je rapport. Er zit een gat van drie maanden tussen het einde van je rapport en vandaag. Een bridge letter, ook wel gap letter of comfort letter genoemd, overbrugt dat gat. De AICPA schrijft geen formele standaard voor bridge letters voor, maar in de praktijk is het een breed geaccepteerde aanpak. Lees ook wat de SOC 2 auditcyclus inhoudt om te begrijpen waarom er überhaupt een gat ontstaat.
Een bridge letter is geen vervanging van je SOC 2 rapport. Het is een aanvulling: je verklaart zelf dat er niets wezenlijks is veranderd. Er is geen accountant die tekent. Het is een verklaring van jouw management.
Wanneer heb je een bridge letter nodig?
Een gat ontstaat altijd. Je SOC 2 rapport heeft een einddatum, maar klanten vragen er maanden later om. Hoe groot het gat mag zijn, hangt af van je klant.
| Gat | Wat klanten doorgaans accepteren |
|---|---|
| 0-30 dagen | Vrijwel altijd geaccepteerd, geen brief nodig |
| 1-3 maanden | Geaccepteerd mits bridge letter aanwezig |
| 3-6 maanden | Soms geaccepteerd, afhankelijk van risicoclassificatie klant |
| 6+ maanden | Klant vraagt doorgaans om nieuw rapport |
Enterprise klanten met strenge vendor risk policies accepteren zelden een gat van meer dan drie maanden, ook niet met een bridge letter. Kleiner risico, meer speelruimte.
Je hebt een bridge letter nodig als:
- Een klant of prospect om je meest recente rapport vraagt terwijl dat rapport al drie maanden of ouder is
- Je in een RFP-procedure zit en de rapport-einddatum buiten de toegestane periode valt
- Je heraudit vertraging heeft opgelopen en je klanten wilt informeren
Wat staat er in een bridge letter?
De brief is kort. Één tot twee pagina’s is normaal. Langere brieven trekken meer vragen uit dan ze beantwoorden.
Een goede bridge letter bevat:
- Identificatie van het rapport – welke periode, welke auditor, welke criteria
- De verklaring – dat er geen materiële wijzigingen zijn aan de controls of systemen die in het rapport beschreven staan
- Uitzonderingen – als er wél iets veranderd is (een grote migratie, een security incident, nieuwe systemen), vermeldt de brief dat expliciet
- Ondertekening – door een bevoegd persoon binnen je organisatie, doorgaans de CEO, CFO of CISO
- Datum – de brief is actueel, niet antedateren
Wie schrijft de bridge letter?
Jij. Of concreter: iemand binnen jouw organisatie met tekenbevoegdheid. De auditor schrijft hem niet en tekent hem niet. Dat onderscheidt de bridge letter van het eigenlijke rapport.
Sommige klanten vragen of je auditor “de bridge letter heeft bevestigd.” Dat is geen standaardpraktijk. De auditor bevestigt hooguit dat hij op de hoogte is dat jij een bridge letter uitgeeft, maar hij geeft geen assurance over de periode na zijn rapport. Als een klant dat vereist, is de enige echte oplossing een nieuw rapport.
Voorbeeldstructuur van een bridge letter
Hieronder een sjabloon dat je kunt aanpassen. Gebruik je eigen briefhoofd en laat het reviewen door je legal of compliance officer.
[Naam organisatie] – Bridge Letter
Datum: [huidige datum]
Aan: [naam ontvanger of “geïnteresseerde partijen”]
Betreft: SOC 2 Type II rapport, periode [startdatum] – [einddatum], uitgevoerd door [naam CPA-bureau]
Wij, het management van [naam organisatie], verklaren hierbij het volgende:
Ons meest recente SOC 2 Type II rapport heeft betrekking op de periode [startdatum] tot en met [einddatum]. Dat rapport is opgesteld door [naam CPA-bureau] en is beschikbaar voor geautoriseerde partijen onder een geheimhoudingsovereenkomst.
Wij verklaren dat, naar ons beste weten, er in de periode van [einddatum rapport] tot en met [datum van deze brief] geen materiële wijzigingen hebben plaatsgevonden in de controls, systemen of processen die in het bovengenoemde rapport worden beschreven. In het bijzonder:
- De reikwijdte van ons systeem en de Trust Services Criteria zijn ongewijzigd.
- Er hebben zich geen security-incidenten voorgedaan met materiële impact op de beveiliging van klantdata.
- Er zijn geen organisatorische wijzigingen geweest die de effectiviteit van onze controls wezenlijk beïnvloeden.
[Indien van toepassing:] Met uitzondering van het volgende: [beschrijf eventuele wijzigingen en hun beperkte impact].
Deze verklaring is geen attestatie en vervangt het SOC 2 rapport niet. Wij verwachten ons volgende rapport, dat de periode [verwachte startdatum] tot [verwachte einddatum] dekt, beschikbaar te hebben op of voor [verwachte opleverdatum].
Naam: ___________________________ Functie: ___________________________ Datum: ___________________________
Veelgemaakte fouten bij bridge letters
Te breed verklaren “Er is niets veranderd” is een gevaarlijke zin als er wel dingen zijn veranderd, ook als die geen directe impact op de controls hadden. Wees precies: verklaar alleen over de controls die in scope waren voor het rapport.
Te lang wachten Een bridge letter voor een gat van zeven maanden wordt zelden geaccepteerd. Als je ziet dat je heraudit gaat uitlopen, stuur de brief vroeg en plan de heraudit opnieuw in.
Geen uitzonderingen vermelden Als er een systeem is gemigreerd, een key employee vertrokken, of een incident geweest in de gapperiode, vermeld het. Een bridge letter met verstopt nieuws schaadt je vertrouwensrelatie meer dan een eerlijke vermelding.
Accountant laten tekenen Vraag je accountant dit niet. Hij heeft geen zekerheid over de periode na zijn rapport en zal tekenen voor iets wat hij niet heeft geverifieerd.
De bridge letter in verhouding tot je heraudit
De beste remedie voor rapportgaten is een heraudit die op tijd start. Als je Type II rapport in december eindigt, start je al in oktober met de voorbereiding voor de nieuwe auditperiode. Dan is er maximaal drie tot vier maanden gat terwijl het nieuwe rapport wordt afgerond.
Voor een complete kostenopbouw van de herauditcyclus, zie kosten en tijdlijn. Voor de vraag of Type I als tussenstap geschikt is om het gat te dichten: dat werkt alleen als klanten Type I accepteren. Lees het volledige verschil in Type I vs Type II.
Meer informatie
- Het auditproces – Hoe de heraudit werkt en wat auditors controleren
- Type I vs Type II – De keuze die bepaalt hoe lang jouw rapportcyclus duurt
- Kosten en tijdlijn – Wat de heraudit kost en hoe je de planning inricht
- Veelgestelde vragen – Meer vragen over rapportgeldigheid en gaps
- AICPA SOC 2 – Officiële bron