Bovenaanzicht van vergadertafel met vijf gekleurde beveiligingsschilden en holografische checklist voor IT-security

Hoe kies je de juiste Trust Service Criteria voor jouw organisatie?

in

De juiste Trust Service Criteria kies je door eerst je dienstverlening en klantbehoeften te analyseren. Security is altijd verplicht bij een SOC 2 verklaring, terwijl je Availability, Processing Integrity, Confidentiality en Privacy selecteert op basis van wat relevant is voor jouw organisatie en waar je klanten zekerheid over willen. Begin met het in kaart brengen van je IT-omgeving, inventariseer contracteisen van klanten en bepaal welke risico’s je wilt afdekken.

Wat zijn Trust Service Criteria eigenlijk?

Trust Service Criteria zijn beoordelingsnormen die aangeven hoe goed een organisatie omgaat met informatiebeveiliging en gegevensbescherming. Ze vormen de basis voor SOC 2 verklaringen en helpen serviceproviders om aan te tonen dat ze betrouwbaar zijn in hun dienstverlening. Het framework bestaat uit vijf hoofdcategorieën die elk een ander aspect van betrouwbare IT-dienstverlening belichten.

De vijf categorieën zijn ontwikkeld door de AICPA (American Institute of Certified Public Accountants) en zijn opgenomen in de TSP Section 100. Ze richten zich op Security, Availability, Processing Integrity, Confidentiality en Privacy. Samen dekken deze criteria de belangrijkste zorgen af die klanten hebben wanneer ze IT-diensten uitbesteden of gebruikmaken van cloud-oplossingen.

Voor serviceproviders en IT-bedrijven zijn deze criteria belangrijk omdat ze een gestandaardiseerde manier bieden om betrouwbaarheid aan te tonen. In plaats van dat elke klant zijn eigen vragenlijst opstelt, kun je met één SOC 2 verklaring laten zien dat je aan internationale normen voldoet. Dit bespaart tijd en maakt het makkelijker om nieuwe klanten binnen te halen.

Waarom zou je überhaupt Trust Service Criteria willen implementeren?

Je implementeert Trust Service Criteria omdat klanten steeds vaker zekerheid willen over hoe je met hun data en systemen omgaat. Een SOC 2 verklaring is voor veel zakelijke contracten inmiddels een basiseis geworden. Zonder zo’n verklaring loop je het risico dat je wordt uitgesloten bij leveranciersselecties, vooral in sectoren als tech, e-commerce en finance.

Marktdifferentiatie speelt ook een rol. In een competitieve markt helpt een SOC 2 verklaring je om je te onderscheiden van concurrenten die geen aantoonbare beheersing hebben. Het laat zien dat je serieus bent over beveiliging en dat je bereid bent om je processen door een onafhankelijke auditor te laten toetsen.

Risicobeheer is een andere praktische reden. Door maatregelen te implementeren volgens de Trust Service Criteria krijg je beter grip op je eigen IT-beveiliging en procesbeheersing. Je voorkomt datalekken, systeemuitval en andere incidenten die je reputatie en continuïteit kunnen schaden. Het gaat dus niet alleen om het overtuigen van klanten, maar ook om het beschermen van je eigen bedrijf.

Het wordt relevant om hier serieus naar te kijken wanneer je merkt dat klanten er tijdens contractonderhandelingen naar vragen, of wanneer je wilt groeien naar grotere of internationale klanten. Ook als je werkt met gevoelige data of bedrijfskritische systemen is het een logische stap om je beheersing formeel aan te tonen.

Hoe weet je welke criteria relevant zijn voor jouw organisatie?

Je bepaalt welke criteria relevant zijn door te kijken naar wat je doet en wat je klanten belangrijk vinden. Begin met het analyseren van je dienstverlening: welke data verwerk je, welke systemen beheer je en wat zijn de kritische processen? Vervolgens inventariseer je de eisen die klanten stellen in contracten of tijdens leveranciersselecties.

Security is altijd verplicht bij een SOC 2 verklaring. Dit criterium bevat 33 normen die een basisniveau van beveiliging waarborgen, zoals toegangscontroles, firewalls en inbraakdetectie. De andere vier criteria zijn optioneel en kies je op basis van relevantie.

Voor verschillende organisatietypen passen meestal andere combinaties:

  • Cloud service providers: Security + Availability (klanten willen weten dat hun systemen altijd beschikbaar zijn)
  • SaaS-bedrijven met dataverwerking: Security + Processing Integrity + Confidentiality (juiste verwerking en bescherming van vertrouwelijke gegevens)
  • Managed service providers: Security + Availability + Confidentiality (beschikbaarheid en vertrouwelijkheid van beheerde systemen)
  • Diensten met persoonsgegevens: Security + Privacy (naleving van AVG/GDPR eisen)

De relatie tussen bedrijfsactiviteiten en criteria is direct: als je een SLA hebt met beschikbaarheidsgaranties, dan is Availability relevant. Als je persoonsgegevens verwerkt voor klanten, dan komt Privacy in beeld. Kijk naar wat je belooft in contracten en waar je aansprakelijk voor bent.

Wat is het verschil tussen de vijf Trust Service Criteria?

De vijf criteria richten zich elk op een ander aspect van betrouwbare dienstverlening. Security gaat over bescherming tegen ongeautoriseerde toegang en bevat maatregelen zoals netwerk- en webtoepassingsfirewalls, 2-factor authenticatie en inbraakdetectie. Dit is het fundament en daarom verplicht bij elke SOC 2 verklaring.

Availability richt zich op de toegankelijkheid van systemen, producten of diensten zoals vastgelegd in een service level agreement. Hier gaat het om monitoring van netwerkprestaties, site failover en afhandeling van beveiligingsincidenten die de beschikbaarheid kunnen beïnvloeden.

Processing Integrity beoordeelt of gegevensverwerking juist, volledig, nauwkeurig, tijdig en geautoriseerd is. Dit criterium is relevant wanneer je klantgegevens verwerkt, genereert of manipuleert. Het zorgt ervoor dat het systeem het doel vervult: de juiste gegevens tegen de juiste prijs op het juiste moment.

Confidentiality gaat over het beschermen van vertrouwelijke gegevens zoals afgesproken. Informatie wordt als vertrouwelijk beschouwd als de toegang en openbaarmaking beperkt is tot een specifieke groep individuen of organisaties. Dit verschilt van Security doordat het zich specifiek richt op vertrouwelijke informatie in plaats van algemene beveiliging.

Privacy beoordeelt hoe je omgaat met persoonsgegevens volgens privacywetgeving zoals de AVG. Dit criterium overlapt deels met Confidentiality, maar legt specifiek de nadruk op de rechten van betrokkenen en naleving van privacyregels.

De criteria overlappen elkaar soms. Security vormt de basis voor alle andere criteria. Confidentiality en Privacy lijken op elkaar maar hebben een ander perspectief: Confidentiality gaat over zakelijke vertrouwelijkheid, Privacy over wettelijke bescherming van persoonsgegevens.

Hoe begin je met het selecteren van de juiste criteria?

Begin met het analyseren van je dienstverlening. Breng in kaart welke IT-systemen en processen in scope zijn, welke data je verwerkt en wat de kritische onderdelen van je dienstverlening zijn. Dit geeft je inzicht in waar risico’s zitten en waar klanten zekerheid over willen.

Inventariseer vervolgens de klanteisen. Ga contracten en offerteaanvragen na om te zien welke criteria klanten expliciet vragen. Voer gesprekken met je belangrijkste klanten of prospects om te begrijpen waar hun zorgen liggen. Dit voorkomt dat je criteria kiest die niemand nodig heeft of juist relevante criteria overslaat.

Beoordeel de risico’s door een risk assessment uit te voeren. Stel jezelf de vragen:

  • Welke potentiële bedreigingen zijn er voor onze systemen?
  • Wat zijn de risico’s van deze bedreigingen?
  • Welke maatregelen hebben we al genomen?
  • Waar zitten nog gaten in onze beheersing?

Prioriteer de criteria op basis van deze analyse. Security is verplicht, dus die staat vast. Voor de overige vier kijk je naar wat het meest relevant is voor je dienstverlening en waar de grootste risico’s of klantvragen liggen. Begin liever met twee of drie criteria die echt passen dan dat je alle vijf meeneemt zonder dat het nodig is.

Bereik intern consensus door de juiste stakeholders te betrekken. Dit zijn meestal de IT-manager, de commerciële directie en de operationeel verantwoordelijke. Leg uit waarom bepaalde criteria relevant zijn en wat de impact is op het werk. Documenteer de beslissing in een memo of projectplan waarin je uitlegt welke criteria je kiest en waarom.

Welke fouten maken organisaties vaak bij het kiezen van criteria?

Een veelvoorkomende fout is te ambitieus beginnen door alle vijf de criteria te willen implementeren terwijl dat niet nodig is. Dit maakt het project groter, duurder en complexer dan nodig. Je kunt beter starten met Security en één of twee andere relevante criteria, en later uitbreiden als dat zinvol is.

Organisaties kiezen soms criteria op basis van veronderstellingen in plaats van feiten. Ze denken dat klanten iets willen zonder het te checken, of ze nemen aan dat bepaalde criteria niet relevant zijn zonder het goed te analyseren. Vraag het gewoon aan je klanten en kijk naar je contracten voordat je beslist.

Te voorzichtig zijn is ook een valkuil. Sommige organisaties vermijden bepaalde criteria omdat ze denken dat ze er nog niet aan voldoen. Maar het implementeren van maatregelen is juist onderdeel van het proces. Als een criterium relevant is, moet je het meenemen en de benodigde verbeteringen doorvoeren.

Het negeren van toekomstige groeiplannen leidt tot problemen. Als je van plan bent om binnen een jaar persoonsgegevens te gaan verwerken, is het slim om Privacy nu al mee te nemen. Anders moet je later opnieuw door het hele proces en een nieuwe audit laten uitvoeren.

Het niet betrekken van de juiste stakeholders zorgt voor weerstand later. Als de operationele teams niet betrokken zijn bij de keuze, voelen ze zich overvallen door de maatregelen die ze moeten implementeren. Zorg dat iedereen die impact heeft of impact ondervindt aan tafel zit bij de beslissing.

Kun je later nog criteria toevoegen of aanpassen?

Je kunt later zeker criteria toevoegen of aanpassen. Het Trust Service Criteria framework is flexibel en bedoeld om mee te groeien met je organisatie. Als je dienstverlening verandert of klanten nieuwe eisen stellen, pas je de scope van je SOC 2 verklaring aan.

Het toevoegen van criteria betekent wel dat je een nieuwe audit moet laten uitvoeren. De auditor moet de nieuwe criteria beoordelen en nagaan of je de bijbehorende maatregelen hebt geïmplementeerd en of ze effectief werken. Dit vraagt tijd en investering, maar is vaak minder werk dan het eerste traject omdat de basis al staat.

Het verwijderen van criteria is ook mogelijk, maar gebeurt minder vaak. Als een criterium niet meer relevant is voor je dienstverlening, kun je het uit de scope halen. Communiceer dit wel duidelijk naar klanten, zodat ze begrijpen waarom bepaalde zekerheid niet meer wordt gegeven.

Hercertificering vindt meestal jaarlijks plaats. Bij een type II SOC 2 verklaring kijkt de auditor naar een periode van minimaal zes maanden. Als je tussentijds criteria wilt toevoegen, kun je dit het beste afstemmen met je volgende jaarlijkse audit om kosten te beperken.

Communicatie naar klanten is belangrijk bij scope-aanpassingen. Als je criteria toevoegt, is dat goed nieuws dat je kunt gebruiken in je marketing. Als je criteria verwijdert, leg dan uit waarom dit niet meer relevant is. Transparantie voorkomt vragen en zorgen bij klanten.

Het is logisch om uit te breiden wanneer je nieuwe diensten lanceert, andere markten betreedt of grotere klanten wilt aantrekken. Ook als klanten expliciet om aanvullende criteria vragen, is dat een duidelijk signaal. Pak het aan door de nieuwe criteria te analyseren, de benodigde maatregelen te implementeren en vervolgens de auditor in te schakelen voor beoordeling.

Conclusie

Het kiezen van de juiste Trust Service Criteria vraagt om een gedegen analyse van je dienstverlening, klantbehoeften en risico’s. Security is altijd de basis, terwijl je de andere vier criteria selecteert op basis van wat echt relevant is voor jouw organisatie. Begin pragmatisch met wat nu nodig is en breid later uit als dat zinvol wordt.

Bij Hoek en Blok.IT begeleiden we organisaties bij het maken van deze keuzes en het implementeren van de juiste maatregelen. Onze aanpak is doelgericht en betaalbaar, waarbij we maatregelen zoveel mogelijk in de eerste lijn beleggen zonder onnodige administratieve last. We helpen je om met een SOC 2 verklaring je klanten te overtuigen van jouw betrouwbaarheid en je marktpositie te versterken. Neem contact met ons op voor een vrijblijvend gesprek over jouw situatie.

Veelgestelde vragen

Hoe lang duurt het om Trust Service Criteria te implementeren voordat je een SOC 2 audit kunt laten uitvoeren?

De implementatietijd varieert meestal tussen 3 en 6 maanden, afhankelijk van je huidige beveiligingsniveau en het aantal gekozen criteria. Voor een Type II SOC 2 verklaring moet je vervolgens minimaal 6 maanden kunnen aantonen dat de maatregelen effectief werken. Begin daarom tijdig als je een deadline hebt voor contractonderhandelingen of leveranciersselecties.

Wat zijn de kosten verbonden aan het implementeren en auditen van Trust Service Criteria?

De kosten bestaan uit implementatiekosten (tools, consultancy, interne uren) en auditkosten die variëren van €15.000 tot €50.000+ afhankelijk van je organisatiegrootte, complexiteit en aantal criteria. Meer criteria betekent meer werk voor de auditor en dus hogere kosten. Bereken ook interne uren voor voorbereiding, documentatie en het implementeren van maatregelen in je budget.

Kan ik met alleen Security als criterium al voldoende zijn voor de meeste klanten?

Voor sommige klanten is Security voldoende, maar veel organisaties verwachten tegenwoordig meer. B2B SaaS-klanten vragen vaak ook naar Availability en Confidentiality, terwijl bedrijven die persoonsgegevens uitbesteden specifiek Privacy willen zien. Check vooraf bij je doelgroep wat hun verwachtingen zijn om te voorkomen dat je later alsnog moet uitbreiden.

Wat gebeurt er als ik niet voldoe aan een gekozen criterium tijdens de audit?

De auditor rapporteert dan bevindingen (findings) in je SOC 2 rapport, die kunnen variëren van kleine opmerkingen tot ernstige tekortkomingen. Dit betekent niet automatisch dat je geen verklaring krijgt, maar de bevindingen worden wel zichtbaar voor klanten die het rapport lezen. Je kunt dan een herstelplan opstellen en bij de volgende audit aantonen dat je de issues hebt opgelost.

Hoe communiceer ik mijn SOC 2 verklaring naar prospects zonder vertrouwelijke informatie te delen?

Gebruik een SOC 2 Type II summary of seal op je website en in salesgesprekken om aan te tonen dat je gecertificeerd bent. Het volledige SOC 2 rapport deel je alleen onder NDA met serieuze prospects tijdens contractonderhandelingen. Veel organisaties maken ook een publieke samenvatting met de scope en criteria zonder details over specifieke maatregelen of bevindingen.

Is een SOC 2 verklaring voldoende of heb ik ook ISO 27001 of NEN 7510 nodig?

Dit hangt af van je markt en klanten. SOC 2 is vooral gangbaar in de tech-sector en bij internationale klanten, terwijl ISO 27001 breder erkend wordt in Europa en NEN 7510 specifiek voor de zorgsector geldt. Sommige organisaties kiezen voor meerdere certificeringen, maar er is veel overlap in maatregelen waardoor de tweede certificering minder werk kost dan de eerste.

Hoe houd ik mijn Trust Service Criteria-maatregelen actueel na de eerste certificering?

Implementeer een continu verbeterproces met periodieke risk assessments, interne audits en monitoring van je maatregelen. Wijs een verantwoordelijke aan voor compliance management die wijzigingen in systemen, processen of wetgeving bijhoudt en waar nodig maatregelen aanpast. Bereid je jaarlijkse hercertificering voor door gedurende het hele jaar bewijs te verzamelen en documentatie up-to-date te houden.