Skip to Content
SOC 2Stappenplan

SOC 2 stappenplan

Van nul naar een SOC 2 rapport. Dit stappenplan, gebaseerd op de AICPA Trust Services Criteria , neemt je mee door het hele traject. Of je nu werkt met Deloitte , PwC , of gespecialiseerde bureaus als A-LIGN .

Het komt neer op drie dingen: (1) opschrijven hoe je werkt, (2) controls implementeren, en (3) bewijzen dat het werkt. Heb je al ISO 27001? Dan heb je 60-80% overlap.

Doorlooptijd: Type I in 4-6 maanden, Type II in 9-15 maanden. Wat is het verschil?

Op deze pagina

Hieronder doorlopen we het volledige SOC 2 traject in 12 stappen. Per stap leggen we uit: wat je doet, welke acties je neemt, en welke fouten je moet vermijden. Gebruik dit overzicht om snel naar de juiste stap te navigeren.

Welke systemen? Welke criteria? Type I of II?

1. Scope bepalen

Wat heb je al? Wat mist er nog?

2. Gap analyse

Opschrijven hoe je werkt: security policy, access control, etc.

3. Policies

MFA, logging, encryptie, vulnerability scanning.

4. Technische controls

Training, vendor management, incident response.

5. Organisatorische controls

Bewijs verzamelen dat je controls werken.

6. Evidence collection

3-12 maanden bewijzen dat het blijft werken.

7. Observatieperiode

CPA selecteren, offertes vergelijken.

8. Auditor kiezen

Mini-audit voordat het echt begint.

9. Readiness check

Fieldwork, sampling, interviews.

10. Officiële audit

Review en management response schrijven.

11. Draft rapport

Delen met klanten, sales unblocked.

12. Rapport ontvangen

1. Scope en criteria bepalen

Voordat je begint moet je weten: wat laten we auditen?

Scope definiëren: Welke systemen, welke applicatie, welke infrastructuur? Je eerste SOC 2 moet bewijsbaar zijn. Begin klein. Eén primaire applicatie, één cloud omgeving. Je kunt altijd uitbreiden bij de volgende audit.

Voorbeeld: Je hebt een SaaS-product op AWS. Scope: productie-omgeving, customer-facing applicatie, AWS account. Niet in scope: internal tools, development omgevingen, je kantoornetwerk.

Criteria kiezen: Security is verplicht. De rest kies je strategisch. Vraag je klanten wat ze willen zien. SaaS met SLA? Voeg Availability toe. Gevoelige data? Confidentiality. GDPR-gegevens? Privacy.

64% kiest Confidentiality, 75% Availability, 30% Processing Integrity, 20% Privacy. Je hoeft niet alles te kiezen.

Type I of Type II: Type I als je snel een sales-blokkade moet oplossen (3-6 maanden). Type II als je echte zekerheid wilt tonen (9-15 maanden). Meeste bedrijven beginnen met Type I, doen daarna Type II. Lees meer over het verschil.

Resultaat van deze fase: Document met scope, gekozen criteria, Type I/II keuze, timeline.

2. Gap analyse

Je hebt waarschijnlijk al meer dan je denkt. Een gap analyse brengt in kaart: wat hebben we al, wat mist er nog?

Checklist doorlopen: Neem de AICPA Trust Services Criteria  door. Ongeveer 60-90 controle-eisen afhankelijk van je gekozen criteria. Per eis: hebben we dit? Zo ja, waar gedocumenteerd? Zo nee, hoe implementeren?

Technische controls: Heb je MFA? Logging? Encryptie? Firewalls? Vulnerability scanning? Backup procedures? Dit is vaak al aanwezig, maar niet gedocumenteerd.

Organisatorische controls: Heb je een information security policy? Access reviews? Change management? Vendor management? Incident response? Dit is vaak de grootste gap.

Tools gebruiken: Compliance platforms zoals Vanta, Drata, Secureframe kunnen je gap analyse automatiseren. Ze scannen je infrastructure (AWS, Google Workspace, GitHub, etc.) en tonen wat er mist. €5.000-€20.000/jaar, maar scheelt honderden uren.

Resultaat van deze fase: Lijst met gaps, prioritering, actieplan om gaps te dichten.

3. Policies en documentatie

SOC 2 vraagt om gedocumenteerd beleid. Je moet opschrijven hoe je werkt.

Minimaal benodigde policies:

  • Information Security Policy (de overkoepelende)
  • Access Control Policy (wie mag wat)
  • Data Classification Policy (wat is vertrouwelijk?)
  • Change Management Policy (hoe release je?)
  • Incident Response Policy (wat bij een breach?)
  • Vendor Management Policy (hoe selecteer/monitor je suppliers?)
  • Acceptable Use Policy (wat mogen medewerkers wel/niet?)
  • Business Continuity/Disaster Recovery Policy

Niet honderd pagina’s: Een policy hoeft niet een boek te zijn. 2-5 pagina’s per policy is normaal. Focus op: wat doen we, waarom, wie is verantwoordelijk, hoe vaak reviewen we dit?

Templates gebruiken mag: Veel consultants bieden templates. Je past ze aan op jouw situatie. De meeste compliance tools hebben ingebouwde templates die je customized.

ISO 27001 overlap: Als je ISO 27001 policies hebt, hergebruik ze. 80% is hetzelfde. Je moet ze misschien herformuleren naar de Trust Services Criteria, maar de inhoud is grotendeels identiek.

Copy-paste policies uit templates zonder aanpassing is een red flag voor auditors. Ze testen of je policies daadwerkelijk matchen met hoe je werkt. “We hebben password policy die zegt 12 characters, maar jullie systeem enforced 8.” Dat is een finding.

Resultaat van deze fase: Complete set policies, goedgekeurd door management, gepubliceerd intern.

4. Technische controls

Nu komt het IT-werk. De technische controls die je policies beschrijven moeten werkelijkheid worden.

Access management:

  • Multi-Factor Authentication (MFA) op alle kritieke systemen
  • Role-Based Access Control (RBAC): mensen krijgen toegang op basis van hun rol
  • Offboarding process: accounts worden binnen 24 uur afgesloten na vertrek
  • Regular access reviews: elk kwartaal checken wie nog toegang heeft

Infrastructure security:

  • Firewalls en network segmentation
  • Intrusion Detection/Prevention Systems (IDS/IPS)
  • DDoS protection
  • VPN voor remote access

Data protection:

  • Encryption at rest (data op schijf versleuteld)
  • Encryption in transit (TLS/SSL voor alle verbindingen)
  • Database encryption
  • Backup encryption

Logging en monitoring:

  • Centralized logging (alle logs verzameld in één systeem)
  • Log retention (minimaal 90 dagen, vaak 1 jaar)
  • Security Information and Event Management (SIEM) voor alerting
  • Monitoring dashboards

Vulnerability management:

  • Automated vulnerability scanning (weekly)
  • Patch management process (updates binnen X dagen)
  • Third-party dependency scanning
  • Penetration testing (jaarlijks)

Development security:

  • Code reviews verplicht
  • Secrets management (geen passwords in code)
  • Security testing in CI/CD pipeline
  • Production/development environment separation

De meeste van deze tools zijn niet duur. MFA: gratis of €5/user/maand. SIEM: €50-500/maand. Vulnerability scanning: €100-500/maand. Veel is ingebouwd in je cloud provider.

Resultaat van deze fase: Technische controls operationeel, geconfigureerd volgens je policies.

5. Organisatorische controls

De mensen- en proceskant. Vaak lastiger dan techniek omdat het gedragsverandering vraagt.

Security awareness training: Alle medewerkers (en nieuwe) krijgen training over phishing, wachtwoorden, data handling. Minimaal jaarlijks, bij voorkeur elk kwartaal. Test met phishing simulations.

Background checks: Voor nieuwe medewerkers met toegang tot productie of klantdata. Dit hoeft niet CIA-niveau te zijn, maar je moet kunnen aantonen dat je het doet.

Vendor risk management: Elke nieuwe vendor (sub-processor) wordt geëvalueerd op security. Vraag hun SOC 2 rapport, doe due diligence, leg vast in een vendor register. Review jaarlijks.

Change management: Productie changes gaan via een proces: ticket, review, approval, deployment, testing. Dit moet gedocumenteerd zijn. Auditors pakken random changes en checken of het proces gevolgd is.

Incident response: Je moet kunnen aantonen dat je weet wat te doen bij een security incident. Playbook maken, roles toewijzen, test doen (tabletop exercise).

Business continuity: Wat als AWS down gaat? Wat als je kantoor afbrandt? Disaster recovery plan maken, backups testen (restore tests!), document recovery time objectives (RTO).

Risk assessments: Minimaal jaarlijks: welke risico’s lopen we, hoe erg is de impact, wat doen we eraan? Gedocumenteerd in een risk register.

Resultaat van deze fase: Organisatorische controls geïmplementeerd, medewerkers getraind, processen draaien.

6. Evidence collection

Type II vraagt om bewijs over tijd. Je moet aantonen dat je controls 3-12 maanden werkten. Begin dus direct met evidence verzamelen.

Wat je moet verzamelen:

  • Logs: access logs, change logs, authentication logs
  • Screenshots: van configuraties, dashboards, tools
  • Tickets: change requests, incident reports
  • Reports: vulnerability scans, penetration tests, phishing simulations
  • Meeting minutes: security reviews, risk assessments
  • Training records: wie heeft training gehad, wanneer
  • Sign-offs: policy approvals, access approvals

Automatiseren waar mogelijk: Compliance tools kunnen veel evidence automatisch verzamelen. Daily screenshots van MFA settings, weekly vulnerability scan reports, continuous monitoring van access changes. Dit scheelt je honderden uren handwerk.

Evidence folder structuur: Maak een folder per control met daarin alle evidence. Auditor vraagt “laat zien dat MFA actief was”: je opent de MFA-folder met dagelijkse screenshots van 6 maanden.

Veel bedrijven vergeten evidence te verzamelen tijdens de observatieperiode. Je kunt niet terugdraaien in tijd. Begin vanaf dag 1 zodra je controls live gaan.

Resultaat van deze fase: Evidence collection proces draait, automated waar mogelijk, georganiseerd per control.

7. Observatieperiode (Type II)

Voor Type II moet je bewijzen dat controls over tijd werken. Dit is een wachtperiode van 3-12 maanden. 6 maanden is het meest gebruikelijk.

Wat gebeurt er: Je doet gewoon je werk. Je controls draaien, evidence wordt verzameld. Elke maand: access reviews, vulnerability scans, backup tests, training sessions. Alles volgens je policies.

Monthly checklist:

  • Access review gedaan en gedocumenteerd?
  • Vulnerability scan uitgevoerd en gereviewd?
  • Backups getest (restore test)?
  • Nieuwe medewerkers ge-onboard volgens procedure?
  • Vertrokken medewerkers ge-offboard?
  • Vendor reviews gedaan voor nieuwe suppliers?
  • Incidents gelogd en afgehandeld?
  • Changes via change management process?

Geen shortcuts: Je kunt deze periode niet inkorten. Type II met 3 maanden observation is mogelijk, maar de meeste klanten willen 6 of 12 maanden zien. Check met je sales team wat klanten vragen.

Type I skip deze stap: Type I controleert alleen de design van je controls op één moment. Geen observatieperiode nodig.

Resultaat van deze fase: 3-12 maanden bewijs dat je controls effectief zijn.

8. Auditor kiezen

Je hebt een onafhankelijke CPA nodig die SOC 2 audits mag uitvoeren. Niet elke accountant kan dit.

Wat te checken:

  • Ervaring met SOC 2 (hoeveel per jaar?)
  • Sector-ervaring (SaaS, cloud, jouw branche)
  • Nederlandse vs. Amerikaanse bureaus (Nederlandse kunnen ISAE 3000/SOC 2 combi)
  • Prijs (varieert enorm: €15.000-€80.000+)
  • Timing (kunnen ze jouw planning halen?)
  • References (praat met andere klanten)

Bekende namen:

  • Nederland: Deloitte, PwC, EY, KPMG (Big 4), kleinere: Baker Tilly, Mazars, BDO
  • VS-georiënteerd: A-LIGN, Schellman, Prescient Assurance, Sensiba

Offerte aanvragen: Vraag minimaal 3 offertes. Geef duidelijk je scope, criteria, Type I/II, bedrijfsgrootte. Prijs varieert 2-3x tussen bureaus.

Start vroeg: Goede bureaus zijn maanden van tevoren volgeboekt. Begin met zoeken zodra je je gap analyse af hebt.

Resultaat van deze fase: Geselecteerd CPA-bureau, contract getekend, kickoff gepland.

9. Readiness assessment

Voordat de officiële audit begint, doe je een readiness check. Dit is optioneel maar sterk aanbevolen.

Pre-audit: Je auditor (of een consultant) doet een mini-audit. Loopt door je controls, checkt documentatie, test een paar dingen. Doel: vinden wat er nog mist voordat de echte audit begint.

Wat komt eruit: Lijst met findings: policies die niet matchen met werkelijkheid, missende documentatie, controls die niet volledig zijn. Je hebt nog tijd om te fixen.

Waarom dit doen: Niets is erger dan halverwege de officiële audit merken dat je grote gaps hebt. Findings in de readiness assessment zijn geen probleem. Findings in de officiële audit komen in je rapport.

Kosten: €2.000-€8.000 voor een readiness assessment. Verdient zich direct terug in confidence en het vermijden van findings.

Sommige bedrijven skippen readiness omdat ze denken “we zijn er klaar voor.” 70% krijgt dan unexpected findings tijdens de echte audit. Die €5.000 voor readiness had je veel stress gescheeld.

Resultaat van deze fase: Readiness report met actiepunten, alles gefixed voordat de audit begint.

10. Officiële audit

Nu begint het echte werk. De auditor komt je organisatie doorlichten.

Planning meeting: Kickoff met auditor. Je loopt door je scope, criteria, systems, geeft een tour. Auditor legt uit wat hij gaat doen en wat hij nodig heeft.

Document request: Je krijgt een lange lijst: policies, procedures, evidence, screenshots, logs, reports. Alles wat je verzameld hebt in stap 6. Lever dit georganiseerd aan.

Fieldwork: Auditor test je controls. Hij vraagt: “Laat zien dat MFA actief is.” Je laat screenshots zien, hij logt zelf in om te verifiëren. “Laat een access review zien.” Je laat meeting minutes en approval emails zien.

Sampling: Voor Type II: auditor pakt random samples over de observatieperiode. “Laat 3 changes zien in mei, 2 in juli.” Hij checkt of je change management proces echt gevolgd is.

Interviews: Gesprekken met key personnel. CTO over architecture, security lead over incident response, HR over onboarding/offboarding. Auditor test of mensen weten wat de policies zijn.

Testing: Technische tests. Auditor probeert in te loggen zonder MFA (moet falen), checkt firewall regels, bekijkt encryption settings, controleert logging configuratie.

Findings: Als er iets niet klopt krijg je een finding. Komt in je rapport. Je hebt tijd om te remediëren, maar de finding blijft staan tenzij je heraudit.

Duur: 5-12 weken voor de fieldwork, afhankelijk van complexiteit en hoe goed je evidence is georganiseerd.

Resultaat van deze fase: Audit afgerond, alle controls getest, findings geïdentificeerd.

11. Draft rapport en response

Je krijgt een draft rapport. Nu is het tijd om dit te reviewen.

Wat staat erin:

  • Scope en criteria
  • Beschrijving van je systemen en controls
  • Test results
  • Findings (als die er zijn)
  • Auditor’s opinion

Types findings:

  • Control deficiency: Control is er, maar werkt niet goed
  • Significant deficiency: Meerdere deficiencies of ernstige zwakte
  • Material weakness: Grote fout met potentieel zware impact

Management response: Bij elke finding schrijf je een response: wat ging er fout, wat hebben we gedaan, wanneer is het opgelost. Deze komt in het rapport.

Review grondig: Checkt of alle feiten kloppen. Beschrijvingen accuraat? Scope correct? Geen fouten in de weergave van je systemen?

Geen findings = clean report: Als alles goed is krijg je een unqualified opinion: “controls zijn effectief ontworpen en werken.” Dit is wat klanten willen zien.

Resultaat van deze fase: Final rapport, klaar om te delen.

12. Rapport ontvangen

Je hebt je SOC 2 rapport. Wat nu?

Formaten: Je krijgt een PDF, vaak 50-150 pagina’s. Bevat sensitive info over je infrastructure, dus vertrouwelijk.

Hoe delen:

  • Via secure portals (niet email attachments)
  • NDA verplicht voor ontvangers
  • Limited distribution: alleen relevante klanten en prospects
  • Redacted version: soms maak je een versie zonder sensitive details

Gebruik in sales:

  • RFPs: bijvoegen in security sectie
  • Due diligence: delen tijdens procurement
  • Website: “SOC 2 compliant” badge (maar niet het volledige rapport publiek)
  • Security questionnaires: veel vragen worden “zie SOC 2 rapport”

SOC 3 optie: Een publieke, verkorte versie van SOC 2. Minder detail, maar wel sharable. Vraag je auditor of dit beschikbaar is.

Geldigheid: Rapport is geldig voor de observatieperiode. Na 12 maanden wil je klant een nieuw rapport. Plan je heraudit dus al meteen in.

Resultaat van deze fase: SOC 2 rapport in productie, sales is unblocked, klanten zijn tevreden.

Na attestatie: het werk gaat door

SOC 2 is geen eenmalig project. Het is continuous compliance.

Onderhoud: Je controls moeten blijven draaien. Access reviews elk kwartaal, vulnerability scans weekly, training jaarlijks. Als je stopt werken de controls niet meer en faal je de volgende audit.

Heraudit cyclus: Jaarlijks herhalen. Goede nieuws: heraudit is 50-70% van de effort van de eerste keer. Je hebt al policies, controls draaien, je weet hoe het werkt.

Continuous monitoring: Modern compliance is real-time. Tools monitoren je controls dagelijks. Alarm als MFA uitgezet wordt, als een privileged user toegevoegd wordt, als een change buiten het proces gaat.

Scope uitbreiden: Eerste SOC 2: klein en veilig. Volgende jaren: meer criteria toevoegen, meer systemen in scope, Type I naar Type II.

Veelgemaakte fouten

Te laat beginnen Je hebt 3 maanden tot een deadline. Type II duurt 9+ maanden. Deze deadline gaat niet gehaald worden. Begin vroeg.

Evidence pas achteraf verzamelen Je hebt 6 maanden observatie achter de rug zonder evidence. Je kunt niet terug in tijd. Begin vanaf dag 1.

Policies die niet matchen met werkelijkheid Je policy zegt: “passwords 12 characters.” Je systeem enforced 8. Auditor test dit. Finding. Zorg dat beleid en praktijk matchen.

Controls niet testen Je hebt backups, maar test nooit of restore werkt. Bij audit: restore faalt. Grote finding. Test je controls regelmatig.

Vendor management vergeten Je gebruikt 20 sub-processors zonder due diligence. Auditor vraagt: “Waar is hun SOC 2?” Je hebt er niet naar gevraagd. Finding.

Denken dat tooling genoeg is Platforms helpen enorm, maar zijn niet de oplossing. Je moet nog steeds werken: policies schrijven, mensen trainen, evidence reviewen.

Tijdlijn visualisatie

Typische timeline voor een middelgroot SaaS-bedrijf (eerste Type II):

MaandFase
1-2Gap analyse, scope bepalen, auditor selecteren
3-4Policies schrijven, tooling implementeren, controls opzetten
5Readiness assessment, findings fixen
6-11Observatieperiode (6 maanden) + continuous evidence collection
12-13Officiële audit (fieldwork 6-8 weken)
14Draft rapport review, finalisatie, rapport ontvangen

Totaal: 14 maanden van start tot rapport voor eerste Type II. Type I: 4-6 maanden.

Meer informatie

Bronnen

Voor wie is het?Kosten en tijdlijn