SOC 2

Aantoonbare IT en privacy beheersing die deuren opent bij klanten

Kies een first-time-right implementatie

Werk alleen met ervaren register IT-auditors met 20+ jaar ervaring

Regel jouw verklaring in 3 maanden

Gespecialiseerd in SOC 2 voor SaaS, Cloud en MSP’s

Download de checklist met bekende valkuilen, tips en trucs voor een succesvolle audit

Right Right Ontvang de SOC 2 checklist
Liever direct contact? Bel Steven Verkaart op +31 (0)184 49 68 00 Phone Phone

Onze expertise

SOC 2 voor SaaS, Cloud en MSPs

Voor een succesvolle SOC 2 implementatie is actieve betrokkenheid vanuit de eigen organisatie essentieel, zowel vanuit management als operatie. Op basis van onze ervaring, beschikbare modellen en studierapporten zorgen wij ervoor dat de juiste stappen worden gezet. Tussentijds beoordelen wij (deel)producten; een kostenefficiënte en resultaatgerichte aanpak.

Wij zijn gespecialiseerd in het verstrekken van assurance verklaringen aan IT (cloud) service providers. Hierdoor kennen wij de diversiteit van de dienstverlening, begrijpen het complexe IT landschap en weten welke processen en maatregelen de risico’s voor klanten afdekken. Effectief in control en tegelijkertijd wendbaar en pragmatisch.

Flow-tree Flow-tree
Gespecialiseerd in SaaS en MSP
Fast-forward Fast-forward
Concrete aanpak in 4 fasen
Briefcase Briefcase
Register IT auditors
Gauge Gauge
Kwaliteit staat voorop
Up Up
Betaalbaar
SOC 2

OVERTUIG JOUW KLANT MET EEN SOC 2 VERKLARING

Een SOC 2 verklaring is erop gericht om zekerheid te verschaffen over de kwaliteit van uitbestede IT diensten en de structuur van een SOC 2 rapport is gelijk aan de ISAE 3402. Voor een SOC 2 verklaring geldt echter geen verplichte relatie met de financiële verslaggeving van de klant. De inhoud van een SOC 2 verklaring wordt bepaald aan de hand van de Trust Services Criteria. Een SOC 2 verklaring hanteert een verplichte set aan beheersingsdoelstellingen en gaat hiermee een stap verder dan ISAE 3000, waarin de service organisatie meer vrijheid heeft in het bepalen van de reikwijdte.

Waarom Hoek en Blok.IT?

  • Een partner met Register IT auditors

    Professionele audit & adviesorganisatie met 200+ collega’s, met ervaren Register IT auditors op SOC 2 implementatie en audit ervaring.

  • Gespecialiseerd in SOC 2 voor SaaS, Cloud en MSP

    Onze register IT auditors zijn gespecialiseerd in complexe IT landschappen en houden SOC 2 werkbaar voor jouw organisatie.

  • Concrete aanpak in 4 fasen

    Van nulmeting tot auditrapport met duidelijke acties, planning en begeleiding.

Referenties

Gespecialiseerd in SaaS, MSP en Cloud

 
VorigeVolgende
SOC 2 betaalbaar

De voordelen

Wat een SOC 2 jouw organisatie oplevert

Een succesvol afgerond SOC 2 project levert de volgende voordelen op voor je organisatie:

  • Professionele uitstraling door gebruik van de SOC 2 criteria
  • Optimale beheersing van IT en AVG risico’s
  • Brengt uniformiteit en structuur aan in processen
  • Het antwoord op checklists van klanten
  • Een belangrijke criterium bij selectietrajecten
  • Volwassen uitstraling naar klanten
  • Toont een veilige IT dienstverlening aan
Download de SOC 2 checklist

Van nulmeting tot verklaring

Onze register IT auditors ondersteunen je om efficiënt en pragmatisch de kwaliteit van je dienstverlening aan te tonen. Voor het assurance project hanteren we 4 fasen:

  • Fase 1

    Scope vaststellen

    Hierin bepalen we voor welke dienstverlening je aan klanten zekerheid wilt verschaffen. Dit bepaalt welke processen en systemen in scope zijn voor jouw SOC 2 verklaring.

  • Fase 2

    Nulmeting en ontwerp maatregelen

    We brengen de huidige situatie in kaart en stellen de knelpunten vast. Op basis van standaarden worden de maatregelen beschreven en implementatieacties geïdentificeerd.

  • Fase 3

    Inrichten maatregelen

    De acties voor de implementatie van de maatregelen worden opgepakt en er wordt gestart met de structurele uitvoering van de maatregelen. Optioneel voeren we een tussentijdse meting of type I audit uit.

  • Fase 4

    Opstellen rapportage en verklaring

    Aansluitend voeren we de type II audit uit. We stellen de assurance rapportage en onafhankelijke auditor verklaring op, waarmee de kwaliteit van jouw dienst wordt aangetoond.

VorigeVolgende
type 1 vs type 2

Scope

Type 1 of type 2 audit

  • SOC 2 type I audit: geeft de opzet en het bestaan van beheersmaatregelen weer en is gericht op één meetmoment. Er wordt geen oordeel gegeven of de maatregelen structureel gedurende een langere periode zijn uitgevoerd.
  • SOC 2 type II audit: geeft naast de opzet ook een oordeel over de werking van de beheersmaatregelen. De auditor beoordeelt of de beheersmaatregelen gedurende een periode van bijvoorbeeld 6 maanden of 1 jaar hebben gewerkt.

Vergelijking met andere standaarden

Hoe verhoudt SOC 2 zich tot andere standaarden?

Bij het kiezen van een compliance- of assurance-raamwerk krijgen organisaties vaak de vraag: moeten we SOC 2 doen, of voldoet ISO 27001, ISAE 3402, NIS2 of DORA? Deze standaarden overlappen soms, maar hebben ieder een eigen doel, scope en publiek. Een goede keuze voorkomt dubbel werk en zorgt dat je aan de juiste eisen voldoet.

  • ISO 27001 → SOC 2 geeft een auditorverklaring over de werking van controles, terwijl ISO 27001 een certificaat voor een managementsysteem is.
  • ISAE 3402 → ISAE 3402 richt zich vooral op financiële processen bij serviceorganisaties, SOC 2 op IT-beveiliging en dataprotectie.
  • ISAE 3000 → ISAE 3000 is breed inzetbaar voor allerlei niet-financiële processen (bijv. privacy, duurzaamheid), SOC 2 is specifiek ontwikkeld voor IT-diensten.
SOC 2 versus
SOC 2 betaalbaar

Kosten en tijdsplanning

Wat kost een SOC 2 verklaring en hoe lang duurt het traject?

De investering in een SOC 2 verklaring hangt af van de omvang van jouw organisatie, het type dienstverlening en de gekozen scope. Voor kleinere bedrijven starten de kosten vaak rond de €15.000 – €20.000, terwijl middelgrote organisaties meestal rekenen op €20.000 – €40.000. De uiteindelijke kosten zijn daarnaast afhankelijk van de mate waarin processen en documentatie al op orde zijn.

Ook de doorlooptijd varieert. Voor een SOC 2 Type I traject moet je rekening houden met een een totaal van 3 tot 5 maanden. Een Type II rapportage vraagt meer inspanning, omdat de werking van jouw controles over een langere periode moet worden aangetoond. Hiervoor wordt een totaal van 8 tot 15 maanden geschat.

Onze ervaring leert dat organisaties die tijdig starten met voorbereiden, minder verrassingen en lagere kosten ervaren.

NOREA

In control op privacy en security

Om invulling te kunnen geven aan de privacy criteria in SOC 2, kan het NOREA Privacy Control Framework (PCF) gebruikt worden. Het PCF bevat beheersmaatregelen die de volgende privacy principes afdekken:

  1. Transparantie;
  2. Doelbeperking;
  3. Gegevensbeperking;
  4. Juistheid;
  5. Bewaarbeperking;
  6. Integriteit en vertrouwelijkheid;
  7. Verantwoording.

Privacy en security

Trust Services Criteria

De reikwijdte en doelstellingen van een SOC 2 verklaring worden bepaald aan de hand van 5 categorieën (beginselen). De 5 categorieën zijn:

  • Beveiliging

    Het systeem is beveiligd tegen ongeautoriseerde toegang, gebruik of aanpassing

  • Beschikbaarheid

    Het systeem is beschikbaar voor gebruik zoals aangegeven door de serviceorganisatie of zoals overeengekomen

  • Integriteit

    De processen in het systeem zijn volledig, valide, accuraat, tijdig en geautoriseerd

  • Vertrouwelijkheid

    De informatie is vertrouwelijk zoals overeengekomen

  • Privacy

    Het verzamelen, gebruiken, opslaan, verstrekken en vernietigen van persoonlijke informatie is in overeenstemming met het privacybeleid van de gebruikende entiteit en met andere criteria

De 5 categorieën bestaan ieder uit een gemeenschappelijke verzameling van 33 algemene beheersdoelstellingen. Per categorie zijn er daarnaast ook specifieke beheersdoelstellingen. Per doelstelling moet de serviceorganisatie de onderliggende beheersmaatregelen zelf definiëren.

Tips & valkuilen

Hoe bespaar je kosten bij een SOC 2 traject?

Een SOC 2 traject vraagt tijd en investering, maar er zijn slimme manieren om kosten te beperken. Met de juiste voorbereiding voorkom je onnodige vertragingen en onverwachte uitgaven.

Praktische tips

  • Begin op tijd

    Start minimaal 6 maanden van tevoren met voorbereiden. Zo heb je ruimte om documentatie en processen op orde te brengen voordat de audit begint.

  • Maak gebruik van bestaande documentatie

    Vaak heb je al beleid, procedures of beveiligingsmaatregelen vastgelegd. Door die goed te structureren bespaar je kostbare audituren.

  • Betrek de juiste mensen

    Zorg dat IT, security en compliance samen optrekken. Dit voorkomt dubbel werk en onduidelijkheden.

  • Voorkom verborgen kosten

    Denk aan remediatie (het oplossen van bevindingen), een heraudit of extra licentiekosten voor tools.

Valkuilen

  • Te laat beginnen, waardoor er verassingen of tijdrovende acties uitgevoerd moeten worden.

  • Alleen focussen op uitvoering, terwijl vastlegging en documentatie net zo belangrijk zijn.

  • Onderschatten van de tijd die medewerkers kwijt zijn aan het beantwoorden van vragen.

Wat klanten vertellen over onze assurance verklaring:

De persoonlijke betrokkenheid vanuit Hoek en Blok.IT is heel fijn. Dat je steeds dezelfde gezichten ziet bij de audits en belangrijke meetings, zorgt ervoor dat er effectief en efficiënt samengewerkt kan worden.

Door de kwaliteit van het assurance traject en de audit zijn we in staat om onze processen continu te evalueren en te verbeteren, waardoor we de kwaliteit van onze dienstverlening blijven verhogen!

Het project heeft het mogelijk gemaakt om gebruik te maken van ons bestaande kwaliteitsmanagementsysteem waarbij wij onze bestaande doelstellingen – waar nodig – hebben gedetailleerd om additionele waarborging te geven dat onze gestelde maatregelen structureel aantoonbaar zijn voor zowel onze assuranceverklaring als onze NEN/ISO certificaten, mooi resultaat!

VorigeVolgende

Wil je het project in één keer goed doen?

Download de checklist

Toets of jouw organisatie audit klaar is met onze praktische checklist en lees hoe je van SOC 2 een commercieel voordeel kan maken.

Kies voor Hoek en Blok.IT en:

  • Kies een first-time-right implementatie
  • Voorkom de bekende valkuilen
  • Werk alleen met ervaren register IT-auditors
  • Regel jouw verklaring in 3 maanden
  • Kies met specialisten met 20+ jaar ervaring
  • Gespecialiseerd in SOC 2 voor SaaS, Cloud en MSP’s

Onze SOC 2 specialisten

Steven Verkaart RE CISA CISSP

Steven Verkaart RE CISA CISSP

Partner IT Audit & Advisory
Wesley Visser RE

Wesley Visser RE

Senior Manager IT Audit & Advisory
Frank de Rover EMITA

Frank de Rover EMITA

Cloud Specialist

Frequently Asked Questions

Een SOC 2 verklaring krijg je door een onafhankelijke auditor te laten beoordelen of jouw organisatie voldoet aan de vijf Trust Service Criteria: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.

Bedrijven die diensten leveren waarbij klantgegevens worden verwerkt of opgeslagen in de cloud, zoals IT-dienstverleners en SaaS-bedrijven, hebben vaak een SOC 2 nodig om hun betrouwbaarheid aan te tonen.

Klanten vragen om een SOC 2 verklaring omdat het een onafhankelijke bevestiging geeft dat jouw organisatie de juiste processen en controles heeft om klantgegevens veilig en betrouwbaar te beheren. Het rapport geeft vertrouwen en helpt bij het voldoen aan eisen van klanten en leveranciers.

Een SOC 2 audit wordt meestal jaarlijks uitgevoerd, zodat klanten continu zekerheid hebben over de betrouwbaarheid van jouw processen. De frequentie kan echter variëren, afhankelijk van de afspraken met klanten en de risico’s binnen jouw organisatie.

De kosten voor een SOC 2 audit zijn afhankelijk van de scope van de rapportage, de complexiteit van de dienstverlening en het aantal interne beheersingsmaatregelen wat beoordeeld wordt. Voor een type II audit, waarbij de werking van de maatregelen over een langere periode wordt getoetst, geldt een bandbreedte van €15.000 – €40.000

Aangepast lay-out element – u hebt geen item geselecteerd om weer te geven.