SOC 2 evidence verzamelen: wat auditors willen zien per criterium
Evidence is het bewijs dat je controls werken. Zonder evidence is een control voor een auditor niet effectief, ook al werkt hij technisch perfect. “Pics or it didn’t happen” is geen grap: een backup die nooit is getest bestaat voor de auditor niet. Deze pagina toont per Trust Services Criterium wat auditors verwachten, hoe je dat bewijs automatiseert, en welke fouten teams het vaakst maken. Lees ook het auditproces om te begrijpen hoe de auditor je evidence gebruikt.
Voor Type I verzamel je evidence op één moment (snapshots). Voor Type II verzamel je over de gehele observatieperiode, doorgaans zes maanden. Begin direct zodra je controls live zijn. Terugdraaien in de tijd kan niet.
Evidence per Trust Services Criterium
Security (verplicht voor iedereen)
Security is het verplichte criterium. Hieronder de meest gevraagde evidence-categorieën.
| Control | Wat de auditor wil zien | Hoe je het verzamelt |
|---|---|---|
| Multi-factor authenticatie | Maandelijkse screenshots van MFA-instellingen in AWS, GitHub, Google Workspace. Logs van MFA-protected logins. | Compliance tooling of maandelijkse handmatige screenshot + exporteer audit logs |
| Toegangsbeheer | Toegangsmatrix (wie mag wat). Kwartaalse toegangsreviews met aantekeningen en goedkeuring. | Spreadsheet bijhouden; reviewvergaderingen notuleren |
| Onboarding | Per nieuwe medewerker: HR-formulier, IT-ticket, trainingsbevestiging, NDA, toestemming voor accountaanmaak | HRIS + ticketsysteem exporteren; trainingsplatform |
| Offboarding | Per vertrek: melding van HR aan IT, account disabled log met tijdstempel binnen 24 uur, hardware retour | IAM-auditlog exporteren per vertrek |
| Logging | SIEM-dashboard screenshots. Bewijs dat logs minimaal 90 dagen worden bewaard. Sample alerts met afhandeling. | SIEM automatisch; bewaarbeleid als screenshot van configuratie |
| Encryptie | Screenshots van encryptie-at-rest-instellingen (S3, RDS). TLS-scan resultaten. Key management configuratie. | AWS console screenshots; SSL Labs scan opslaan |
| Vulnerability management | Wekelijkse scanrapporten (26 over zes maanden). Opvolgnotities per high/critical bevinding. | Scanner exporteert automatisch; ticket per bevinding aanmaken |
| Incident response | IRP-document goedgekeurd door management. Tabletop exercise notulen. Incidentlog (ook als die leeg is). | Document in wiki; vergadernotulen opslaan |
| Change management | Per change: ticket, peer review, goedkeuring, deploylogboek. Sample van 15-20 changes over de observatieperiode. | Git-history, Jira-export, CI/CD-logs |
Availability (optioneel, maar veelgekozen)
| Control | Wat de auditor wil zien | Hoe je het verzamelt |
|---|---|---|
| Backups | Automatische backupschema’s geconfigureerd. Kwartaalse restore-tests met resultaten. | Cloud backup dashboard; restore-testnotulen |
| Uptime monitoring | Maandelijkse SLA-rapporten. Downtimelog met root cause per incident. | Uptime-tool exporteert; incidentnotulen bijhouden |
| Capaciteitsplanning | Monitoringdashboard screenshots. Kwartaalse capaciteitsreviews. | Dashboard exporteren; vergadernotulen |
| DR-plan | DR-document goedgekeurd. Jaarlijkse DR-oefening met resultaten. | Document in wiki; oefennotulen opslaan |
Confidentiality (optioneel)
| Control | Wat de auditor wil zien | Hoe je het verzamelt |
|---|---|---|
| Dataclassificatie | Beleid met classificatieniveaus. Voorbeelden van geclassificeerde data. | Beleidsdocument; tagging-configuratie |
| DLP | DLP-configuratie screenshots. Alertlog met afhandeling per alert. | DLP-tool exporteert; tickets per alert |
Privacy (optioneel)
| Control | Wat de auditor wil zien | Hoe je het verzamelt |
|---|---|---|
| Privacybeleid | Actueel beleid met datum. Cookieconsent-screenshots. | Websitescreenshot met datum; document |
| DSR-afhandeling | Sample van vijf verzoeken (inzage, verwijdering). Reactietijden binnen 30 dagen. | Ticketsysteem exporteren; e-mailbevestigingen bewaren |
Hoe je evidence collection automatiseert
Handmatig evidence verzamelen voor Type II kost 200 tot 300 uur. Dat is per week een tot twee uur screenshot nemen, logs exporteren en mappen bijhouden. De meeste teams vergeten het halverwege, of de screenshots zijn niet consistent genoeg.
Compliance platforms zoals Vanta, Drata of Secureframe verbinden via API met je infrastructuur en verzamelen dagelijks evidence. Zie compliance tooling voor een vergelijking van die platforms.
Wat je ook automatiseert, sommige evidence verzamel je altijd handmatig:
- Vergadernotulen van toegangsreviews en capaciteitsreviews
- Resultatendocumenten van tabletop exercises en DR-tests
- Trainingscompletions per medewerker
- Management response op incidents
Die zijn niet te automatiseren. Maak het jezelf makkelijk door sjablonen te maken en ze direct na elke review of test in te vullen.
Mappenstructuur voor evidence
Consistentie is minstens zo belangrijk als volledigheid. Een auditor die 200 bestanden ontvangt zonder structuur, stelt meer vragen dan een auditor die twintig mappen vindt met duidelijke namen.
Een werkbare structuur:
SOC2-Evidence/
├── Policies/
├── Access-Controls/
│ ├── Q1-2026-access-review/
│ ├── Q2-2026-access-review/
│ ├── Onboarding/
│ └── Offboarding/
├── Vulnerability-Management/
│ ├── Weekly-Scans/
│ └── Pentest-2025/
├── Change-Management/
├── Incident-Response/
│ ├── IRP-document/
│ └── Tabletop-2025/
├── Backups-en-DR/
└── Training/Bestandsnamen zijn beschrijvend: 2026-03-15-Q1-access-review-notulen.pdf is beter dan meeting_notes_final_v2.pdf.
Veelgemaakte fouten bij evidence collection
Te laat beginnen met verzamelen Controls zijn live in maand drie van het traject, maar bewijs verzamelen start pas in maand vijf. Je observatieperiode begint op het moment dat je evidence begint te verzamelen. Eerder mist je periode. Begin op dag één.
Screenshots zonder datum Een screenshot van de MFA-instelling zonder zichtbare datum is weinig waard. Zorg dat de browser-URL, de systeemklok of de bestandsnaam de datum duidelijk maakt.
Lege incidentlogs weggooien Als er zes maanden lang geen incidents zijn, is dat goed nieuws. Maar de auditor wil een leeg incidentlog zien. Dat bewijst dat je het bijhoudt, niet alleen dat er niks is misgegaan.
Patches zonder opvolgingsbewijs Vulnerability scanner vindt een high-severity kwetsbaarheid. Je patcht hem. Prima. Maar waar is het ticket dat laat zien dat je hem hebt opgepakt, getest en gesloten? Zonder die traceerbaarheid ziet de auditor een bevinding zonder afhandeling.
Toegangsreviews zonder aantekeningen “We hebben de review gedaan” is niet genoeg. De auditor wil zien wie er bij was, welke accounts zijn gereviewd, welke rechten zijn ingetrokken of bijgesteld, en wie de uitkomst heeft goedgekeurd. Een vergadering zonder notulen is een vergadering die voor de auditor niet heeft plaatsgevonden.
Evidence niet per control georganiseerd Alles in één map gooien maakt de audit moeizamer en duurder. Elke dag extra fieldwork kost €2.000 tot €3.000. Georganiseerde evidence verkort de audit.
Evidence en de readiness assessment
Vier tot zes weken voor de officiële audit doe je idealiter een readiness assessment. Dat is het moment om je evidence door te lichten: is alles aanwezig, consistent en aantoonbaar? Ontbrekende evidence kun je dan nog aanvullen of herstellen.
Meer informatie
- Het auditproces – Hoe de auditor je evidence gebruikt bij control testing
- Veelgebruikte controls – Wat elke control inhoudt en welke evidence erbij hoort
- Readiness assessment – Verificatie van je evidence voor de officiële audit
- Compliance tooling – Automatiseer het verzamelen van evidence
- AICPA Trust Services Criteria – De officiële criteria en vereisten