Skip to Content
SOC 2Veelgestelde vragen

Veelgestelde vragen over SOC 2

Alles wat je wilde weten maar niet durfde te vragen over SOC 2. Van basisvragen tot praktische implementatie. Voor officiële informatie zie de AICPA  of raadpleeg NOREA  voor Nederlandse context.

Is SOC 2 verplicht?

Nee, het is geen wettelijke verplichting. Er is geen toezichthouder die zegt “je MOET SOC 2 hebben.”

Maar in de praktijk is het voor veel bedrijven de facto verplicht:

  • Amerikaanse enterprise klanten eisen het in RFPs
  • Venture capitalists vragen erom bij due diligence vanaf Series B
  • Compliance officers van grote bedrijven hebben SOC 2 in hun vendor risk policies staan
  • Zonder SOC 2 kom je niet op vendor shortlists van Fortune 500 bedrijven

Dus: niet wettelijk verplicht, maar wel een business requirement als je enterprise klanten wilt in de VS.

Als je alleen Nederlandse mkb-klanten hebt die er nooit om vragen, is het waarschijnlijk overkill. Dan is ISO 27001 logischer voor Europese markt.

Wat is het verschil tussen SOC 1, SOC 2 en SOC 3?

SOC 1: Voor financiële rapportage Als je processen hebt die impact hebben op je klant’s financiële statements. Denk aan: payroll services, billing platforms, transaction processing. SOC 1 test of je controls correct zijn zodat je klant kan vertrouwen op hun financial reporting.

SOC 2: Voor IT-beveiliging en operationele controls Dit is de relevante voor SaaS, cloud providers, IT-dienstverleners. Test of je security, availability, confidentiality, etc. op orde zijn. Dit artikel gaat over SOC 2.

SOC 3: Publieke versie van SOC 2 Zelfde criteria als SOC 2, maar een verkorte versie zonder gevoelige details. Je mag SOC 3 publiekelijk delen (geen NDA nodig). Minder detail, dus enterprise procurement accepteert het vaak niet. Meer voor marketing doeleinden.

Voor tech-bedrijven: SOC 2 is wat je nodig hebt. Tenzij je een fintech bent die ook transacties verwerkt, dan mogelijk SOC 1 + SOC 2.

Wat kost SOC 2?

Hangt af van bedrijfsgrootte, complexiteit, Type I vs Type II, en gekozen criteria. Indicaties:

Klein bedrijf (1-25 mensen):

  • Type I: €15.000-€30.000 audit + €8.000-€15.000 consultancy + €5.000-€12.000 tooling = €28.000-€57.000 totaal eerste jaar
  • Type II: €30.000-€50.000 audit + €8.000-€15.000 consultancy + €5.000-€12.000 tooling = €43.000-€77.000 totaal eerste jaar

Middelgroot (25-100 mensen):

  • Type II: €45.000-€80.000 audit + €15.000-€30.000 consultancy + €10.000-€20.000 tooling = €70.000-€130.000 totaal eerste jaar

Groot (100+ mensen):

  • Type II: €70.000-€150.000+ audit + €15.000-€50.000 consultancy + €15.000-€40.000 tooling = €100.000-€240.000+ totaal eerste jaar

Vergeet interne kosten niet: 200-500 uur projectleiding, 100-200 uur IT-werk. Bij €75/uur fully loaded: €20.000-€60.000 extra.

Gedetailleerde kostenopbouw

Hoe lang duurt het om SOC 2 te krijgen?

Type I: 3-6 maanden

  • 2-3 maanden voorbereiding (gap analyse, policies, implementatie)
  • 3-5 weken audit
  • 1-2 weken rapportage

Type II: 6-15 maanden

  • 3-6 maanden voorbereiding
  • 3-12 maanden observatieperiode (meestal 6 maanden)
  • 5-12 weken audit
  • 2-4 weken rapportage

De observatieperiode is niet sneller te maken. 6 maanden is 6 maanden. Je kunt geld uitgeven om voorbereiding sneller te doen (consultants inhuren), maar de observatieperiode is tijdsgebonden.

Type I of Type II? Welke moet ik kiezen?

Kies Type I als:

  • Je hebt binnen 3-6 maanden een SOC 2 nodig voor een deal
  • Budget is beperkt en je wilt investment spreiden
  • Je wilt eerst “oefenen” en testen of je klaar bent
  • Je klanten accepteren Type I als tussenstap

Kies Type II als:

  • Je target enterprise klanten (die willen bijna altijd Type II)
  • Je hebt 12+ maanden voordat je het nodig hebt
  • Je wilt échte zekerheid tonen (niet alleen design maar ook operational effectiveness)
  • Je wilt 1x investeren, niet 2x betalen

De meeste bedrijven starten met Type I om snel een rapport te hebben, en upgraden 6-12 maanden later naar Type II.

Volledige vergelijking Type I vs Type II

Welke Trust Services Criteria moet ik kiezen?

Security: Verplicht, altijd.

Availability: Kies dit als je een SLA hebt (99.9% uptime) of als downtime direct business impact heeft voor klanten.

Processing Integrity: Kies dit als je transacties verwerkt, berekeningen doet, of financial data verwerkt waar accuracy business-critical is.

Confidentiality: Kies dit als je proprietary information van klanten verwerkt (trade secrets, strategische data) of als klanten NDA’s met je hebben.

Privacy: Kies dit als je veel persoonsgegevens verwerkt (consumer apps, HR-data, health data) en GDPR-compliance wilt tonen.

Typisch: 75% kiest Security + Availability. Als je gevoelige data hebt, voeg Confidentiality toe. Alleen kiezen wat relevant is, niet “alles omdat het kan.”

Gedetailleerde uitleg Trust Services Criteria

Kan ik SOC 2 zelf doen zonder consultant?

Ja, maar het is niet makkelijk. SOC 2 zelf doen vereist:

  • Iemand met security/compliance ervaring (minimaal 3-5 jaar)
  • Tijd (500-800 uur totaal over het hele proces)
  • Begrip van AICPA Trust Services Criteria
  • Ervaring met audits (anders weet je niet wat auditors willen zien)

Met compliance tooling (Vanta, Drata, Secureframe) wordt het makkelijker:

  • Automated evidence collection
  • Policy templates
  • Gap analysis
  • Guidance door het proces

Cost-benefit: consultant kost €10.000-€30.000, maar scheelt je 150-300 uur worstelen en verkleint kans op findings. Voor eerste SOC 2: sterk aanbevolen om hulp in te huren, minimaal voor gap analyse en readiness assessment.

Wat als ik de audit niet haal?

Je krijgt findings. Dat komt in je rapport te staan. Types findings:

  • Control deficiency: Eén control werkte niet goed
  • Significant deficiency: Meerdere controls of ernstige zwakte
  • Material weakness: Grote fout met potentieel zware impact

Wat gebeurt er: Je hebt tijd om findings te remediëren (afhankelijk van type, 30-90 dagen). Je schrijft een management response: wat ging fout, wat heb je gedaan, wanneer fixed. Dit komt in het rapport.

Clean vs qualified opinion:

  • Clean (unqualified): “Controls zijn effectief” → dit is wat je wilt
  • Qualified: “Controls zijn effectief behalve voor…” → findings erbij → niet ideaal maar acceptabel als findings minor zijn
  • Adverse: “Controls zijn niet effectief” → zeer zeldzaam, betekent grote problemen

Heraudit: Als findings erg zijn, kun je heraudit aanvragen na remediatie. Kost extra (€5.000-€15.000), maar dan krijg je clean rapport.

Preventie: Doe readiness assessment 4-6 weken voor officiële audit. Findings tijdens readiness zijn geen probleem, die fix je voordat de echte audit begint.

Hoe vaak moet ik SOC 2 vernieuwen?

Jaarlijks. Je SOC 2 rapport is geldig voor de periode die geaudited is. Type II rapport van jan-dec 2025 is “geldig” tot je nieuwe rapport hebt voor jan-dec 2026.

Klanten willen geen gap zien. Als je rapport eindigt in december 2025 en het is nu maart 2026, heb je 3 maanden gap. Sommige klanten accepteren dat, anderen niet.

Planning: Start heraudit 3-4 maanden voor je huidige rapport expireert. Auditor komt langs, checkt dat je controls nog steeds werken, je krijgt nieuw rapport. Proces is sneller dan eerste keer (50-70% van effort) omdat je systeem al draait.

Kosten heraudit: 50-70% van je eerste audit. Als eerste keer €60.000 kostte, heraudit: €30.000-€42.000.

Kan ik SOC 2 en ISO 27001 combineren?

Ja, en veel bedrijven doen dat. 80% van de controls zijn hetzelfde. Als je er één hebt, is de stap naar de ander veel kleiner.

Van SOC 2 naar ISO 27001: Je hebt operational controls al. Wat je toevoegt: ISMS-framework (risk management, Statement of Applicability, internal audit, management review). Schatting: 30-40% van de effort van je eerste SOC 2.

Van ISO 27001 naar SOC 2: Je hebt ISMS en controls. Wat je toevoegt: evidence collection volgens TSC-format, observatieperiode evidence. Schatting: 30-40% van de effort van je eerste ISO 27001.

Timing: Eerst één, dan de ander. Niet beide tegelijk (te veel werk). Jaar 1: SOC 2 of ISO 27001. Jaar 2: de ander toevoegen.

Volledige vergelijking SOC 2 vs ISO 27001

Moet ik alle 93 Annex A controls van ISO 27001 implementeren?

Je denkt aan ISO 27001. SOC 2 heeft geen “93 controls.” SOC 2 heeft Trust Services Criteria met ongeveer 60-90 control requirements afhankelijk van welke criteria je kiest.

Voor ISO 27001: nee, je hoeft niet alle 93 Annex A controls te implementeren. Je doet risk assessment, bepaalt welke controls relevant zijn, en documenteert in je Statement of Applicability (SoA) welke je implementeert en welke not applicable zijn.

Voor SOC 2: alle requirements van de criteria die je kiest moet je adresseren. Security (verplicht) heeft ongeveer 60 requirements. Als je Availability toevoegt, komen er 15-20 bij. Etc.

Kan ik SOC 2 krijgen zonder MFA?

Technisch: auditor test of je controls adequaat zijn voor je risk profile. Als je een zeer low-risk applicatie hebt (geen gevoelige data, geen external users) kun je theoretisch argumenteren dat password-only voldoende is.

Praktisch: nee, MFA is de facto verplicht. Elke auditor zal vragen: “Waarom geen MFA?” Je antwoord moet waterdicht zijn. In 2026 is “we vonden het te duur” geen acceptabel antwoord.

MFA wordt verwacht op minimaal:

  • Production environment access (cloud consoles, servers)
  • Code repositories (GitHub, GitLab)
  • Admin accounts in je SaaS-product
  • Email (G Suite, Office 365)
  • HR/payroll systems
  • Any system met klant- of productiedata

Kosten van MFA zijn verwaarloosbaar (€0-€5/user/maand). Geen excuus om het niet te hebben.

Als je geen MFA hebt en vraagt “kunnen we SOC 2 krijgen?”, is het antwoord: implementeer eerst MFA, dan praten we verder. MFA is table stakes in 2026.

Mag ik het SOC 2 logo gebruiken op mijn website?

Nee. Er bestaat geen officieel “SOC 2 logo.” SOC 2 is een rapport, geen certificaat. Je mag NIET zeggen “we zijn SOC 2 certified” want dat is technisch incorrect.

Wat je WEL mag:

  • “We have a SOC 2 Type II report”
  • “SOC 2 Type II compliant”
  • Een eigen badge maken: “SOC 2 Type II Attested” met link naar “request our report”
  • Op je security page: “SOC 2 Type II report available upon request”

Wat je NIET mag:

  • Een nep-certificaat maken alsof het officieel is
  • Het AICPA logo gebruiken (dat is trademark van AICPA)
  • Zeggen “certified” (het is een report, geen certification)

In contrast: ISO 27001 is een certificaat en je MAG het ISO 27001 logo gebruiken na certificatie.

Wat is het verschil tussen ISAE 3000 en SOC 2?

Dit is verwarrend voor Nederlandse bedrijven. Simpel antwoord:

  • SOC 2 is de Amerikaanse standaard van de AICPA
  • ISAE 3000 is de internationale assurance standaard van de IFAC

Nederlandse accountants gebruiken ISAE 3000 als raamwerk en voeren daarmee een SOC 2 audit uit volgens de AICPA-criteria.

In de praktijk: je krijgt een “ISAE 3000 SOC 2 rapport” van een Nederlandse accountant. Het voldoet aan beide standaarden. Voor jouw Amerikaanse klanten is het gewoon een SOC 2 rapport.

Je hoeft niet naar Amerika om een SOC 2 audit te krijgen. Nederlandse bureaus kunnen het. Check of ze ervaring hebben met SOC 2 (niet alle accountants doen dit).

NOREA  (Nederlandse beroepsorganisatie) heeft guidance gepubliceerd voor SOC 2 in Nederland.

Kan een startup SOC 2 krijgen?

Ja. Er is geen minimum bedrijfsgrootte. Zelfs een team van 5 mensen kan SOC 2 halen.

Praktisch:

  • Controls moeten passen bij je grootte. Je hebt geen dedicated security team, maar je kunt wel MFA, logging, en basale procedures hebben.
  • Type I is realistischer voor zeer kleine startups (sneller, goedkoper).
  • Consultancy is zeer aanbevolen (je hebt geen ervaring, consultant leidt je door proces).
  • Compliance tooling is bijna must-have (anders verzuip je in handwerk).

Kosten voor 5-10 persoons startup: €30.000-€50.000 totaal voor Type I (audit + consultancy + tooling). Type II: €45.000-€70.000.

Dat is veel voor pre-seed. Maar als je een enterprise deal van €100k ARR hebt die blocked is op SOC 2, verdient het zich direct terug.

Moet mijn cloud provider (AWS/Azure/GCP) ook SOC 2 hebben?

Goede vraag. Ja, maar je hoeft het niet te regelen. AWS, Azure en GCP hebben allemaal SOC 2 Type II rapporten. Deze zijn publiekelijk beschikbaar via hun compliance portals.

Wat je auditor checkt:

  • Heb je SOC 2 rapport van je cloud provider opgevraagd?
  • Is het recent (binnen 12 maanden)?
  • Covers de services die je gebruikt?
  • Heb je het gereviewd (je moet kunnen aantonen dat je weet wat erin staat)?

Dit is vendor risk management. Je bent verantwoordelijk voor je supply chain. Als AWS down gaat door hun security incident, is dat jouw probleem richting je klanten.

Voor kleinere vendors (bijvoorbeeld: email provider, monitoring tool, CRM): vraag hun SOC 2 of ISO 27001. Als ze het niet hebben, doe je risk assessment: hoe kritiek is deze vendor, welke data hebben ze, wat is het risico? Document je beslissing.

Wat als ik remote team heb in meerdere landen?

Geen probleem. SOC 2 focust op je systems en data, niet op waar je mensen zitten.

Wat je auditor checkt:

  • Hoe manage je access voor remote employees?
  • Heb je device management (MDM) zodat bedrijfsdata beveiligd is?
  • Heb je VPN voor toegang tot productie?
  • Hoe doe je onboarding/offboarding remote (laptop ophalen bij vertrek)?
  • Background checks voor remote employees?
  • Data residency: waar staat je data (AWS region)?

Tips:

  • MDM (Mobile Device Management) zoals Jamf, Kandji voor Macs
  • VPN verplicht voor productie-toegang
  • BYOD policy als mensen eigen devices gebruiken
  • Clear procedures voor remote onboarding/offboarding
  • Asset tracking: wie heeft welke laptop

Veel SaaS-bedrijven zijn remote-first en hebben SOC 2. Het is feasible.

Hoe kies ik een auditor?

Criteria:

  • Ervaring met SOC 2: Hoeveel audits per jaar? Voor SaaS-bedrijven?
  • Sector-ervaring: Jouw industrie (fintech, healthcare, etc.)
  • Nederlandse vs Amerikaanse bureaus: Nederlandse kunnen ISAE 3000/SOC 2, Amerikaanse pure SOC 2
  • Prijs: Varieert 2-3x tussen bureaus (€15k-€80k+)
  • Timing: Kunnen ze jouw planning halen?
  • References: Praat met andere klanten

Bekende namen:

  • Big 4: Deloitte, PwC, EY, KPMG (duurder, merk-waarde)
  • Nederlandse bureaus: Baker Tilly, Mazars, BDO, RSM
  • US-focused: A-LIGN, Schellman, Prescient Assurance, Sensiba
  • Budget: TrustCloud, ConductorCPA (online, goedkoper)

Advies: Vraag minimaal 3 offertes. Check niet alleen prijs maar ook “chemistry”: je werkt 3-6 maanden nauw samen. Als auditor niet responsive is tijdens offerte, wordt het niet beter tijdens audit.

Kan ik mijn scope later uitbreiden?

Ja. Je begint met Security-only. Volgende jaar: voeg Availability toe. Jaar daarop: voeg Confidentiality toe.

Process: Bij heraudit: vertel auditor welke criteria je wilt toevoegen. Hij test die nieuwe criteria volledig (alsof het de eerste keer is). Je bestaande criteria worden heraudit (lichter).

Kosten: Extra criterium: +15-25% bovenop heraudit kosten. Als heraudit €40k kost, +Availability: €46k-€50k.

Timing: Geen extra doorlooptijd als je voorbereid bent. Auditor test gewoon meer controls.

Praktisch: begin klein (Security of Security+Availability), breid uit als klanten om specifieke criteria vragen.

Wat is een “readiness assessment” en heb ik dat nodig?

Een readiness assessment is een pre-audit. Een consultant (of soms je auditor) doet een mini-audit om te checken of je klaar bent voor de echte audit.

Wat wordt getest:

  • Policies compleet en coherent?
  • Controls geïmplementeerd?
  • Evidence verzameld en georganiseerd?
  • Gaps die nog gedicht moeten?

Output: Rapport met findings en aanbevelingen. Je hebt tijd om te fixen voordat officiële audit.

Kosten: €2.000-€8.000 afhankelijk van scope.

Nodig? Niet verplicht, maar sterk aanbevolen. Voorkomt dat je tijdens officiële audit findings krijgt die in je rapport komen. Readiness findings zijn privé, officiële audit findings zijn in het rapport dat klanten zien.

70% van bedrijven die readiness skippen krijgt unexpected findings tijdens audit. Die €5.000 readiness had veel stress gescheeld.

Nog meer vragen?

Staat je vraag er niet bij? Mail naar info@normwijzer.nl of check deze pagina’s:

Ontwikkelingen 2026Wat is VCA?