SOC 2

Aantoonbare IT en privacy beheersing die deuren opent bij klanten

Kies een first-time-right implementatie

Werk alleen met ervaren register IT-auditors met 20+ jaar ervaring

Regel jouw verklaring in 3 maanden

Gespecialiseerd in SOC 2 voor SaaS, Cloud en MSP’s

Download de checklist met bekende valkuilen, tips en trucs voor een succesvolle audit

Ontvang de SOC 2 checklist

Liever direct contact? Bel Steven Verkaart op +31 (0)184 49 68 00

Onze expertise

SOC 2 voor SaaS, Cloud en MSPs

Voor een succesvolle SOC 2 implementatie is actieve betrokkenheid vanuit de eigen organisatie essentieel, zowel vanuit management als operatie. Op basis van onze ervaring, beschikbare modellen en studierapporten zorgen wij ervoor dat de juiste stappen worden gezet. Tussentijds beoordelen wij (deel)producten; een kostenefficiënte en resultaatgerichte aanpak.

Wij zijn gespecialiseerd in het verstrekken van assurance verklaringen aan IT (cloud) service providers. Hierdoor kennen wij de diversiteit van de dienstverlening, begrijpen het complexe IT landschap en weten welke processen en maatregelen de risico’s voor klanten afdekken. Effectief in control en tegelijkertijd wendbaar en pragmatisch.

Gespecialiseerd in SaaS en MSP

Concrete aanpak in 4 fasen

Kwaliteit staat voorop

Betaalbaar

OVERTUIG JOUW KLANT MET EEN SOC 2 VERKLARING

Een SOC 2 verklaring is erop gericht om zekerheid te verschaffen over de kwaliteit van uitbestede IT diensten en de structuur van een SOC 2 rapport is gelijk aan de ISAE 3402. Voor een SOC 2 verklaring geldt echter geen verplichte relatie met de financiële verslaggeving van de klant. De inhoud van een SOC 2 verklaring wordt bepaald aan de hand van de Trust Services Criteria. Een SOC 2 verklaring hanteert een verplichte set aan beheersingsdoelstellingen en gaat hiermee een stap verder dan ISAE 3000, waarin de service organisatie meer vrijheid heeft in het bepalen van de reikwijdte.

Waarom Hoek en Blok.IT?

Een partner met Register IT auditors
Professionele audit & adviesorganisatie met 200+ collega’s, met ervaren Register IT auditors op SOC 2 implementatie en audit ervaring.

Gespecialiseerd in SOC 2 voor SaaS, Cloud en MSP
Onze register IT auditors zijn gespecialiseerd in complexe IT landschappen en houden SOC 2 werkbaar voor jouw organisatie.

Concrete aanpak in 4 fasen
Van nulmeting tot auditrapport met duidelijke acties, planning en begeleiding.

Referenties

Gespecialiseerd in SaaS, MSP en Cloud

Vorige Volgende

De voordelen

Wat een SOC 2 jouw organisatie oplevert

Een succesvol afgerond SOC 2 project levert de volgende voordelen op voor je organisatie:

Professionele uitstraling door gebruik van de SOC 2 criteria
Optimale beheersing van IT en AVG risico’s
Brengt uniformiteit en structuur aan in processen
Het antwoord op checklists van klanten
Een belangrijke criterium bij selectietrajecten
Volwassen uitstraling naar klanten
Toont een veilige IT dienstverlening aan

Download de SOC 2 checklist

Van nulmeting tot verklaring

Onze register IT auditors ondersteunen je om efficiënt en pragmatisch de kwaliteit van je dienstverlening aan te tonen. Voor het assurance project hanteren we 4 fasen:

Fase 1
Scope vaststellen
Hierin bepalen we voor welke dienstverlening je aan klanten zekerheid wilt verschaffen. Dit bepaalt welke processen en systemen in scope zijn voor jouw SOC 2 verklaring.
Fase 2
Nulmeting en ontwerp maatregelen
We brengen de huidige situatie in kaart en stellen de knelpunten vast. Op basis van standaarden worden de maatregelen beschreven en implementatieacties geïdentificeerd.
Fase 3
Inrichten maatregelen
De acties voor de implementatie van de maatregelen worden opgepakt en er wordt gestart met de structurele uitvoering van de maatregelen. Optioneel voeren we een tussentijdse meting of type I audit uit.
Fase 4
Opstellen rapportage en verklaring
Aansluitend voeren we de type II audit uit. We stellen de assurance rapportage en onafhankelijke auditor verklaring op, waarmee de kwaliteit van jouw dienst wordt aangetoond.

Vorige Volgende

Scope

Type 1 of type 2 audit

SOC 2 type I audit: geeft de opzet en het bestaan van beheersmaatregelen weer en is gericht op één meetmoment. Er wordt geen oordeel gegeven of de maatregelen structureel gedurende een langere periode zijn uitgevoerd.
SOC 2 type II audit: geeft naast de opzet ook een oordeel over de werking van de beheersmaatregelen. De auditor beoordeelt of de beheersmaatregelen gedurende een periode van bijvoorbeeld 6 maanden of 1 jaar hebben gewerkt.

Vergelijking met andere standaarden

Hoe verhoudt SOC 2 zich tot andere standaarden?

Bij het kiezen van een compliance- of assurance-raamwerk krijgen organisaties vaak de vraag: moeten we SOC 2 doen, of voldoet ISO 27001, ISAE 3402, NIS2 of DORA? Deze standaarden overlappen soms, maar hebben ieder een eigen doel, scope en publiek. Een goede keuze voorkomt dubbel werk en zorgt dat je aan de juiste eisen voldoet.

ISO 27001 → SOC 2 geeft een auditorverklaring over de werking van controles, terwijl ISO 27001 een certificaat voor een managementsysteem is.
ISAE 3402 → ISAE 3402 richt zich vooral op financiële processen bij serviceorganisaties, SOC 2 op IT-beveiliging en dataprotectie.
ISAE 3000 → ISAE 3000 is breed inzetbaar voor allerlei niet-financiële processen (bijv. privacy, duurzaamheid), SOC 2 is specifiek ontwikkeld voor IT-diensten.

Kosten en tijdsplanning

Wat kost een SOC 2 verklaring en hoe lang duurt het traject?

De investering in een SOC 2 verklaring hangt af van de omvang van jouw organisatie, het type dienstverlening en de gekozen scope. Voor kleinere bedrijven starten de kosten vaak rond de €15.000 – €20.000, terwijl middelgrote organisaties meestal rekenen op €20.000 – €40.000. De uiteindelijke kosten zijn daarnaast afhankelijk van de mate waarin processen en documentatie al op orde zijn.

Ook de doorlooptijd varieert. Voor een SOC 2 Type I traject moet je rekening houden met een een totaal van 3 tot 5 maanden. Een Type II rapportage vraagt meer inspanning, omdat de werking van jouw controles over een langere periode moet worden aangetoond. Hiervoor wordt een totaal van 8 tot 15 maanden geschat.

Onze ervaring leert dat organisaties die tijdig starten met voorbereiden, minder verrassingen en lagere kosten ervaren.

NOREA

In control op privacy en security

Om invulling te kunnen geven aan de privacy criteria in SOC 2, kan het NOREA Privacy Control Framework (PCF) gebruikt worden. Het PCF bevat beheersmaatregelen die de volgende privacy principes afdekken:

Transparantie;
Doelbeperking;
Gegevensbeperking;
Juistheid;
Bewaarbeperking;
Integriteit en vertrouwelijkheid;
Verantwoording.

Trust Services Criteria

De reikwijdte en doelstellingen van een SOC 2 verklaring worden bepaald aan de hand van 5 categorieën (beginselen). De 5 categorieën zijn:

Beveiliging
Het systeem is beveiligd tegen ongeautoriseerde toegang, gebruik of aanpassing
Beschikbaarheid
Het systeem is beschikbaar voor gebruik zoals aangegeven door de serviceorganisatie of zoals overeengekomen
Integriteit
De processen in het systeem zijn volledig, valide, accuraat, tijdig en geautoriseerd
Vertrouwelijkheid
De informatie is vertrouwelijk zoals overeengekomen
Privacy
Het verzamelen, gebruiken, opslaan, verstrekken en vernietigen van persoonlijke informatie is in overeenstemming met het privacybeleid van de gebruikende entiteit en met andere criteria

De 5 categorieën bestaan ieder uit een gemeenschappelijke verzameling van 33 algemene beheersdoelstellingen. Per categorie zijn er daarnaast ook specifieke beheersdoelstellingen. Per doelstelling moet de serviceorganisatie de onderliggende beheersmaatregelen zelf definiëren.

Tips & valkuilen

Hoe bespaar je kosten bij een SOC 2 traject?

Een SOC 2 traject vraagt tijd en investering, maar er zijn slimme manieren om kosten te beperken. Met de juiste voorbereiding voorkom je onnodige vertragingen en onverwachte uitgaven.

Praktische tips

Begin op tijd
Start minimaal 6 maanden van tevoren met voorbereiden. Zo heb je ruimte om documentatie en processen op orde te brengen voordat de audit begint.
Maak gebruik van bestaande documentatie
Vaak heb je al beleid, procedures of beveiligingsmaatregelen vastgelegd. Door die goed te structureren bespaar je kostbare audituren.
Betrek de juiste mensen
Zorg dat IT, security en compliance samen optrekken. Dit voorkomt dubbel werk en onduidelijkheden.
Voorkom verborgen kosten
Denk aan remediatie (het oplossen van bevindingen), een heraudit of extra licentiekosten voor tools.

Valkuilen

Te laat beginnen, waardoor er verassingen of tijdrovende acties uitgevoerd moeten worden.
Alleen focussen op uitvoering, terwijl vastlegging en documentatie net zo belangrijk zijn.
Onderschatten van de tijd die medewerkers kwijt zijn aan het beantwoorden van vragen.

Wat klanten vertellen over onze assurance verklaring:

De persoonlijke betrokkenheid vanuit Hoek en Blok.IT is heel fijn. Dat je steeds dezelfde gezichten ziet bij de audits en belangrijke meetings, zorgt ervoor dat er effectief en efficiënt samengewerkt kan worden.

ISPnextSecurity Officer

Door de kwaliteit van het assurance traject en de audit zijn we in staat om onze processen continu te evalueren en te verbeteren, waardoor we de kwaliteit van onze dienstverlening blijven verhogen!

Verzuimdata 200x200 r25 - Hoek en Blok.IT

VerzuimdataDirectie

Het project heeft het mogelijk gemaakt om gebruik te maken van ons bestaande kwaliteitsmanagementsysteem waarbij wij onze bestaande doelstellingen – waar nodig – hebben gedetailleerd om additionele waarborging te geven dat onze gestelde maatregelen structureel aantoonbaar zijn voor zowel onze assuranceverklaring als onze NEN/ISO certificaten, mooi resultaat!

Arcus ITSecurity consultant

Vorige Volgende

Wil je het project in één keer goed doen?

Download de checklist

Toets of jouw organisatie audit klaar is met onze praktische checklist en lees hoe je van SOC 2 een commercieel voordeel kan maken.

Kies voor Hoek en Blok.IT en:

Kies een first-time-right implementatie
Voorkom de bekende valkuilen
Werk alleen met ervaren register IT-auditors
Regel jouw verklaring in 3 maanden
Kies met specialisten met 20+ jaar ervaring
Gespecialiseerd in SOC 2 voor SaaS, Cloud en MSP’s

Onze SOC 2 specialisten

Steven Verkaart RE CISA CISSP

Partner IT Audit & Advisory

Wesley Visser RE

Senior Manager IT Audit & Advisory

Frank de Rover EMITA

Cloud Specialist

Frequently Asked Questions

Hoe krijg je een SOC 2 verklaring?

Een SOC 2 verklaring krijg je door een onafhankelijke auditor te laten beoordelen of jouw organisatie voldoet aan de vijf Trust Service Criteria: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.

Wie heeft een SOC 2 nodig?

Bedrijven die diensten leveren waarbij klantgegevens worden verwerkt of opgeslagen in de cloud, zoals IT-dienstverleners en SaaS-bedrijven, hebben vaak een SOC 2 nodig om hun betrouwbaarheid aan te tonen.

Waarom vragen klanten om een SOC 2 verklaring?

Klanten vragen om een SOC 2 verklaring omdat het een onafhankelijke bevestiging geeft dat jouw organisatie de juiste processen en controles heeft om klantgegevens veilig en betrouwbaar te beheren. Het rapport geeft vertrouwen en helpt bij het voldoen aan eisen van klanten en leveranciers.

Hoe vaak moet een SOC 2 audit worden herhaald?

Een SOC 2 audit wordt meestal jaarlijks uitgevoerd, zodat klanten continu zekerheid hebben over de betrouwbaarheid van jouw processen. De frequentie kan echter variëren, afhankelijk van de afspraken met klanten en de risico’s binnen jouw organisatie.

Wat kost een SOC 2 audit?

De kosten voor een SOC 2 audit zijn afhankelijk van de scope van de rapportage, de complexiteit van de dienstverlening en het aantal interne beheersingsmaatregelen wat beoordeeld wordt. Voor een type II audit, waarbij de werking van de maatregelen over een langere periode wordt getoetst, geldt een bandbreedte van €15.000 – €40.000

Aangepast lay-out element – u hebt geen item geselecteerd om weer te geven.

SOC 2

SOC 2 voor SaaS, Cloud en MSPs

OVERTUIG JOUW KLANT MET EEN SOC 2 VERKLARING

Waarom Hoek en Blok.IT?

Een partner met Register IT auditors

Gespecialiseerd in SOC 2 voor SaaS, Cloud en MSP

Concrete aanpak in 4 fasen

Referenties

Wat een SOC 2 jouw organisatie oplevert

Van nulmeting tot verklaring

Fase 1

Scope vaststellen

Fase 2

Nulmeting en ontwerp maatregelen

Fase 3

Inrichten maatregelen

Fase 4

Opstellen rapportage en verklaring

Type 1 of type 2 audit

Hoe verhoudt SOC 2 zich tot andere standaarden?

Wat kost een SOC 2 verklaring en hoe lang duurt het traject?

In control op privacy en security

Trust Services Criteria

Hoe bespaar je kosten bij een SOC 2 traject?

Begin op tijd

Maak gebruik van bestaande documentatie

Betrek de juiste mensen

Voorkom verborgen kosten

Wil je het project in één keer goed doen?

Download de checklist

Onze SOC 2 specialisten

Steven Verkaart RE CISA CISSP

Wesley Visser RE

Frank de Rover EMITA

Frequently Asked Questions

Diensten

Contactgegevens