ISAE 3402 vs SOC 2: wat is het verschil?
ISAE 3402 en SOC 2 zijn allebei assurance-rapporten, maar ze beantwoorden een andere vraag. ISAE 3402 toont aan dat je controls de financiële rapportage van je klant niet in gevaar brengen. SOC 2 toont aan dat je IT-beveiliging op orde is. ISAE 3402 is een standaard van de IAASB , SOC 2 komt van de Amerikaanse AICPA . Welke je nodig hebt, hangt af van wat je klanten uitbesteden aan jou.
Het korte antwoord: verwerk je iets dat de cijfers van je klant raakt (payroll, facturatie, transacties), dan willen hun accountants ISAE 3402. Host of verwerk je vooral data, dan willen hun security-teams SOC 2. ISAE 3402 is in feite de internationale tegenhanger van SOC 1.
ISAE 3402 hoort bij SOC 1 (financiële rapportage). SOC 2 draait op de bredere ISAE 3000-standaard (beveiliging en trust). Verwar 3402 dus niet met 3000.
Wat is ISAE 3402?
ISAE 3402 staat voor International Standard on Assurance Engagements 3402. De standaard toetst controls bij een dienstverlener die de “internal control over financial reporting” (ICFR) van klanten raken. Met andere woorden: doe jij iets waar de jaarrekening van je klant van afhangt?
Voorbeeld: je verwerkt salarisbetalingen voor honderden bedrijven. Maak je een fout, dan staan er verkeerde loonkosten op hun resultatenrekening. De accountant van je klant wil dan zekerheid over jouw proces. Die zekerheid lever je met een ISAE 3402-rapport.
De Amerikaanse variant heet SOC 1. Inhoudelijk dekken ze hetzelfde, alleen de standaard verschilt per regio.
Wat is SOC 2?
SOC 2 toetst je beveiliging aan de Trust Services Criteria: security, availability, processing integrity, confidentiality en privacy. De vraag is niet “kloppen de cijfers?” maar “is de data veilig en het systeem betrouwbaar?”.
Voorbeeld: je biedt een SaaS-platform aan waar klanten hun klantgegevens in opslaan. Ze willen weten dat niemand anders bij die data kan, dat je systeem beschikbaar blijft, en dat je een datalek kunt voorkomen. Dat bewijs lever je met een SOC 2-rapport.
In Europa voeren accountants SOC 2 vaak uit onder ISAE 3000, de algemene assurance-standaard voor niet-financiële opdrachten. Lees meer over SOC 2 in de Nederlandse context.
ISAE 3402 vs SOC 2: de verschillen op een rij
| Aspect | ISAE 3402 | SOC 2 |
|---|---|---|
| Onderwerp | Financiële rapportage (ICFR) | IT-beveiliging en trust |
| Vraag die het beantwoordt | Kloppen de processen achter de cijfers? | Is de data veilig en het systeem betrouwbaar? |
| Standaard | ISAE 3402 (IAASB) | Trust Services Criteria, vaak via ISAE 3000 |
| Herkomst | Internationaal / EU | Verenigde Staten (AICPA) |
| US-equivalent | SOC 1 | SOC 2 (is zelf al de US-standaard) |
| Typische gebruikers | Payroll, facturatie, fondsbeheer | SaaS, cloud, IT-dienstverleners |
| Wie leest het rapport | Accountant van je klant | Security- en inkoopteams van je klant |
Wanneer kies je welke?
De keuze hangt af van wat klanten aan jou uitbesteden. Vraag het ze gewoon: wat staat er in jullie security questionnaire of RFP?
Kies ISAE 3402 als:
- Je payroll, facturatie of transacties verwerkt voor klanten
- De accountant van je klant om assurance vraagt voor de jaarrekeningcontrole
- Je vooral Europese of internationale klanten bedient
Kies SOC 2 als:
- Je SaaS, cloud of hosting aanbiedt
- Klanten je opnemen in hun vendor risk management
- Je veel Amerikaanse enterprise-klanten wilt binnenhalen
Kies beide als:
- Je dienst zowel de cijfers raakt als gevoelige data verwerkt
- Denk aan een betaalverwerker: transacties (ISAE 3402) én creditcarddata (SOC 2)
ISAE 3402 vervangt geen SOC 2 en andersom. Vraagt de accountant van je klant om ISAE 3402, dan accepteert hij geen SOC 2-rapport. Het zijn aparte standaarden voor aparte vragen.
De relatie met ISAE 3000
Dit zorgt vaak voor verwarring. Er zijn twee ISAE-standaarden die je tegenkomt:
- ISAE 3402: specifiek voor financiële rapportage-controls. Hoort bij SOC 1.
- ISAE 3000: algemeen, voor alle assurance buiten financiële historie. Hoort bij SOC 2.
Een Nederlandse accountant levert je SOC 2 dus meestal als “ISAE 3000 SOC 2-rapport”. Het voldoet aan beide kaders. Voor je Amerikaanse klanten is het gewoon een SOC 2-rapport. Meer hierover lees je bij de veelgestelde vragen.
Meer informatie
- Wat is SOC 2 – Complete introductie
- SOC 2 vs SOC 1 – De Amerikaanse tegenhanger van ISAE 3402
- SOC 2 in Nederland – Hoe ISAE 3000 hier werkt
- Kosten en tijdlijn – Wat kost een SOC 2-traject
- IAASB ISAE 3402 – Officiële standaardzetter