Tag: SOC 2

  • Waarom klanten steeds vaker om SOC 2 vragen

    Waarom klanten steeds vaker om SOC 2 vragen

    En wat ze eigenlijk willen weten

    Het begint zelden met een audit.

    Meestal begint het met een goed gesprek. Een offerte die inhoudelijk klopt. Een samenwerking die logisch voelt. Vertrouwen, aan beide kanten. Tot er aan het einde van het gesprek nog één vraag op tafel komt.

    “Kunnen jullie iets delen over SOC 2?”

    De vraag klinkt vaak achteloos. Alsof het een formaliteit is. Maar de impact ervan is dat zelden. Want zodra die vraag gesteld wordt, verandert het gesprek. Niet omdat iemand direct een rapport verwacht, maar omdat er iets anders wordt aangeraakt: beheersing, verantwoordelijkheid en volwassenheid.

    Steeds meer organisaties krijgen deze vraag. Ook organisaties zonder grote compliance-afdeling of formele auditstructuur. SOC 2 schuift het gesprek binnen. Niet als certificering, maar als signaal.

    Het hardnekkige misverstand rond SOC 2

    De eerste reflex is vaak defensief.

    Dat SOC 2 “iets is voor grote techbedrijven”. Dat er geen verplichting bestaat. Dat bestaande certificering voldoende zou moeten zijn.

    Die reacties zijn begrijpelijk en vaak inhoudelijk juist. Maar ze missen de kern van de vraag. In de praktijk vragen klanten zelden om SOC 2 omdat zij diepgaande normkennis hebben. Ze vragen ernaar omdat hun afhankelijkheid toeneemt.

    Van systemen. Van processen. Van de manier waarop mensen beslissingen nemen.

    De SOC 2-vraag is zelden normgedreven. Ze is contextgedreven.

    Wat klanten eigenlijk willen weten

    Achter de vraag naar SOC 2 zitten nauwelijks abstracte compliance-eisen. Wat eronder ligt, is concreter en menselijker.

    Klanten willen begrijpen wat er gebeurt als het misgaat. Of duidelijk is wie verantwoordelijkheid draagt. Of incidenten worden vastgelegd in plaats van alleen opgelost. Of beleid iets is dat leeft in de organisatie, of alleen zichtbaar wordt wanneer iemand erom vraagt.

    Het zijn geen auditvragen. Het zijn vertrouwensvragen.

    Dat patroon is niet nieuw. Het kwam eerder terug in verhalen waarin alles op papier geregeld leek, tot een klant om bewijs vroeg. Dan bleek hoe dun de onderliggende structuur eigenlijk was. Niet omdat mensen hun werk niet deden, maar omdat niemand had vastgelegd dát het werk gedaan werd.

    SOC 2 als assurance, niet als vinkje

    SOC 2 is geen certificaat dat je behaalt en vervolgens archiveert. Het is een vorm van assurance. Dat verschil is essentieel.

    Een certificering zegt iets over voldoen op een moment. Assurance laat zien hoe een organisatie structureel werkt en hoe dat te toetsen is.

    Daar wringt het vaak. Niet omdat maatregelen ontbreken, maar omdat beheersing impliciet is georganiseerd. Taken worden uitgevoerd, maar niet herhaalbaar ingericht. Rollen zijn logisch, maar nergens expliciet vastgelegd. Incidenten worden opgelost, maar zelden geëvalueerd.

    In eerdere blogs over audits die nét niet lukten werd dit zichtbaar. De intentie was goed. De maatregelen bestonden. Maar zonder aantoonbaarheid blijft vertrouwen kwetsbaar.

    Waarom deze vragen juist nu vaker op tafel komen

    De omgeving is veranderd. Organisaties zijn sterker met elkaar verweven geraakt. Diensten zijn minder tastbaar. Afhankelijkheden zijn complexer geworden.

    Wat vroeger intern bleef, raakt nu direct anderen. Klanten kijken niet alleen meer naar het eindresultaat, maar ook naar de manier waarop dat resultaat tot stand komt.

    Daarom zie je dezelfde beweging op meerdere plekken terug. Meer aandacht voor leveranciersbeoordeling. Meer vragen over incidentbeheer. Meer nadruk op privacy- en governance-structuren.

    De rode draad is telkens dezelfde. Vertrouwen moet uitlegbaar worden.

    De stille spanning die dan ontstaat

    Wat de SOC-2 vraag vaak blootlegt, is geen gebrek aan goede bedoelingen, maar een gebrek aan impliciete structuur. Veel teams werken op basis van vakmanschap en gezond verstand. Dat functioneert uitstekend, tot het onvoldoende blijkt.

    Zolang alles goed gaat, voelt impliciete beheersing comfortabel. Iedereen weet wat er van hem verwacht wordt. Problemen worden opgelost. Klanten zijn tevreden.

    Maar zodra iemand van buiten meekijkt, ontstaan vragen. Niet omdat er iets mis is, maar omdat niemand precies kan aanwijzen hoe het geregeld is.

    Wie beslist bij twijfel. Waar keuzes worden vastgelegd. Hoe structureel gedrag aantoonbaar is.

    Die vragen ontstaan pas wanneer vertrouwen getest wordt.

    Waarom “we zijn daar te klein voor” geen antwoord meer is

    De gedachte dat dit soort vragen alleen relevant zijn voor grote organisaties, houdt steeds minder stand. Juist compacte teams zijn kwetsbaar voor impliciete afspraken.

    Rollen lopen door elkaar. Taken worden informeel opgepakt. Kennis zit in hoofden, niet in structuren. Dat is efficiënt, tot iemand wegvalt of tot een klant expliciet vraagt hoe iets geborgd is.

    De SOC-2-vraag dwingt niet tot bureaucratie. Ze dwingt tot explicitering. Tot het zichtbaar maken van wat er in de praktijk al gebeurt.

    Wat organisaties die hier ontspannen mee omgaan anders doen

    Organisaties die rustig reageren op dit soort vragen, hebben zelden alles dichtgetimmerd. Wat ze wel hebben, is overzicht.

    Ze weten wie waarvoor verantwoordelijk is. Welke taken terugkeren. Waar besluiten worden vastgelegd. Hoe incidenten worden opgevolgd.

    Niet omdat een norm dat vraagt, maar omdat het rust geeft. Intern én extern.

    Daarmee verschuift compliance van last naar bijproduct. Niet iets wat erbij komt, maar iets wat meebeweegt met hoe er gewerkt wordt.

    Tot slot

    Wanneer iemand naar SOC 2 vraagt, vraagt hij zelden om een rapport.

    Hij vraagt of je begrijpt waar zijn zorgen zitten. Of je weet wat je belooft. En of je kunt laten zien dat je dat ook waarmaakt.

    SOC 2 is dan geen einddoel, maar een spiegel. Geen technische exercitie. Geen juridische verplichting.

    Maar een vraag over hoe je georganiseerd bent.

    Verder lezen

  • Wat is SOC 2 (en waarom je ‘m niet haalt met een mapje Word-bestanden)

    Wat is SOC 2 (en waarom je ‘m niet haalt met een mapje Word-bestanden)

    “We hadden alles netjes in een mapje. Beleid, procedures, risicoanalyse – het zat er allemaal in. Maar toen de auditor vroeg: ‘Welk bewijs heb je dat dit écht wordt nageleefd?’, werd het stil.”

    Steeds meer organisaties in de IT en zakelijke dienstverlening krijgen ermee te maken: klanten vragen om een SOC 2-verklaring. Niet omdat ze daar zelf op zitten te wachten, maar omdat hún klanten, toezichthouders of investeerders het eisen. En dus moet je als leverancier kunnen aantonen dat je gegevensbescherming, beschikbaarheid en procesbeheersing écht op orde hebt.

    Dat klinkt overzichtelijk. Tot je beseft wat SOC 2 in de praktijk vraagt.

    Wat is SOC 2 precies?

    SOC 2 (Service Organization Control 2) is een Amerikaanse standard voor het beoordelen van hoe een organisatie omgaat met klantdata. Het rapport wordt opgesteld door een onafhankelijke auditor, op basis van jouw eigen processen en maatregelen. Die moeten aantoonbaar bijdragen aan het waarborgen van de zogeheten Trust Service Criteria:

    1. Beveiliging (Security) – zijn je systemen beschermd tegen ongeautoriseerde toegang?
    2. Beschikbaarheid (Availability) – is je dienst beschikbaar zoals afgesproken?
    3. Verwerkingsintegriteit (Processing Integrity) – worden gegevens correct en volledig verwerkt?
    4. Vertrouwelijkheid (Confidentiality) – blijven vertrouwelijke gegevens intern en beschermd?
    5. Privacy – hoe wordt omgegaan met persoonsgegevens van klanten?

    Het grote verschil met veel andere normen? SOC 2 schrijft niet exact voor wat je moet doen, maar vraagt om bewijs dat maatregelen daadwerkelijk werken in de praktijk. Het draait om betrouwbaarheid in de uitvoering.

    SOC 2 vs. ISO 27001: twee wegen naar vertrouwen

    Veel organisaties denken dat SOC 2 en ISO 27001 inwisselbaar zijn. Maar hoewel beide draaien om informatiebeveiliging, verschillen ze sterk in aanpak:

    • ISO 27001 is een internationale norm voor het opzetten van een Information Security Management System (ISMS). Het draait om het structureren van je beleid, processen, risicoanalyse en continue verbetering. Je voldoet aan een vast eisenkader, en krijgt een certificaat van een geaccrediteerde instantie.
    • SOC 2 is een auditrapport, geen certificaat. Er zijn geen verplichte maatregelen, maar je moet kunnen aantonen dat de maatregelen die je zelf hebt gekozen, ook daadwerkelijk worden uitgevoerd en gevolgd. Een SOC 2-audit kijkt terug: wat heb je gedaan, en wat kun je bewijzen?

    Kort samengevat:

    ISO 27001SOC 2
    VormCertificeringAssurance-rapport
    Norm of frameworkFormele normPrincipe-gebaseerd framework
    DoelSysteem opzetten en onderhoudenAantonen dat processen werken
    ReikwijdteInformatiebeveiliging in de breedte (inclusief privacy, beschikbaarheid en vertrouwelijkheid binnen ISMS)Klantdata en betrouwbaarheid volgens Trust Service Criteria
    ToetsingVoldoen aan vaste eisenWerking aantonen over tijd (bijv. 6-12 maanden)

    Het is geen kwestie van kiezen tussen SOC 2 of ISO 27001. Veel organisaties gebruiken ze juist samen: ISO voor structuur en SOC 2 om klantvertrouwen te versterken.

    Waarom je SOC 2 niet haalt met een mapje Word-bestanden

    Het is verleidelijk om te beginnen met een gedeelde map: een Word-bestand met het beleid, een Excel-sheet met risico’s, een PDF’je met je security controls. Maar zodra de auditor je vraagt:

    • “Wanneer is deze controle uitgevoerd?”
    • “Wie heeft dit beoordeeld?”
    • “Is er opvolging geweest na dit incident?”
    • “Wat was de laatste wijziging en door wie is die gedaan?”

    …dan blijkt dat een map vol documenten weinig waard is zonder context, logging en opvolging.

    SOC2 Type II-audits beoordelen de effectiviteit van je controles over een periode van 6 tot 12 maanden. Het gaat niet alleen om wat je opschrijft, maar of je kunt aantonen dat je het structureel doet. Iedere maand. Elke medewerker. Alle maatregelen. En dat vraagt meer dan alleen statische documenten.

    Praktijkvoorbeeld: de audit die nét niet lukte

    Een SaaS-bedrijf kreeg een grote klant uit de financiële sector in het vizier. Er was maar één voorwaarde: een SOC 2-rapport. In allerijl werd een intern team samengesteld, het beleid opgepoetst, en alles netjes gedocumenteerd. Excel voor risico’s, SharePoint voor processen, Word voor het beveiligingsbeleid. Het team had er vertrouwen in.

    Tot de auditor langskwam.

    De controles waren afgesproken, maar niet aantoonbaar uitgevoerd. Incidenten werden besproken in meetings, maar nergens vastgelegd. Rollen waren informeel verdeeld, maar nergens expliciet. De maatregelen leken prima – maar het bewijs ontbrak.

    Resultaat: geen SOC 2-rapport, geen deal, en opnieuw beginnen.

    Wat je wél nodig hebt

    Een succesvolle SOC 2-audit vraagt niet om perfectie, maar om aantoonbaarheid. Je moet laten zien dat je processen zijn ingebed in de dagelijkse praktijk. Dat betekent:

    • Duidelijke rollen en verantwoordelijkheden
      Wie is verantwoordelijk voor het beoordelen van toegangsrechten? Wie logt incidenten? Wie volgt ze op?
    • Terugkerende taken en logging
      Worden maandelijks back-ups gecontroleerd? Zijn security-updates tijdig uitgevoerd? Met bewijs?
    • Versiebeheer op beleid en maatregelen
      Wat is het actuele beleid? Wanneer is het gewijzigd? Door wie?
    • Incidentbeheer en verbeteracties
      Worden incidenten structureel geregistreerd? Zijn er trends zichtbaar Is er een evaluatie gedaan?
    • Audit-trail
      Kun je per maatregel zien wie iets heeft uitgevoerd, wanneer en wat de uitkomst was?

    CompliTrack is ontwikkeld met dat doel: een toegankelijke GRC-oplossing voor organisaties die serieus aan de slag willen met risico- en compliance beheer, zonder zware implementaties of langdurige consultancytrajecten.

    Met CompliTrack kun je:

    • Incidenten registreren en opvolgen
    • Terug taken inplannen en loggen
    • Risicoanalyse uitvoeren en koppelen aan maatregelen
    • Documentatie beheren
    • Interne audits plannen en opvolgen
    • Alles centraal vastleggen – met bewijslast

    Kortom: het juiste evenwicht tussen eenvoud en aantoonbaarheid.

    Tot slot: vertrouwen win je niet met een Excel-sheet

    Een SOC-2 audit is geen toneelstuk waarin je laat zien dat je iets hebt opgeschreven. Het is een evaluatie van hoe je organisatie werkelijk functioneert. Dag in en dag uit.

    Wil je SOC 2 halen zonder dat je organisatie verandert in een papieren compliance-machine? Ontdek hoe CompliTrack je helpt om wél aantoonbaar te zijn – en niet alleen compliant te lijken, maar het ook écht te zijn.

    Plan een vrijblijvende demo of neem contact op voor advies over hoe jij je auditproces concreet aanpakt.

  • Alles was op papier geregeld. Tot SOC 2 om bewijs vroeg.

    Alles was op papier geregeld. Tot SOC 2 om bewijs vroeg.

    Ze hadden er maanden aan gewerkt.

    Een informatiebeveiligingsbeleid. Een risicoregister. Procedures voor onboarding, back-ups, toegangsbeheer. Alles keurig uitgewerkt, besproken met het team en opgeslagen in een strak georganiseerde map op SharePoint.

    Toen de SOC 2-audit dichterbij kwam, dachten ze: we zijn er klaar voor. En eerlijk gezegd leek het ook zo.

    Tot de auditor niet vroeg wát ze hadden, maar hoe ze konden aantonen dat het ook wérkte.

    De eerste vragen waren nog overzichtelijk:

    “Wanneer is dit beleid voor het laatst geëvalueerd?”
    “Wie is verantwoordelijk voor deze beheersmaatregel?”
    “Hoe volgen jullie actiepunten op?”
    “Welke risico’s zijn herzien na de wijziging van april?”

    Het team wist het ongeveer. Maar ze konden het niet laten zíen. Er was geen log. Geen taakgeschiedenis. Geen centraal overzicht. Wat ze wél hadden: Word-bestanden, Excel-sheets en e-mails.

    Versiebeheer gebeurde op gevoel.
    Acties zaten in hoofden.
    En processen waren onzichtbaar – behalve op papier.

    Het moment waarop controle verandert in twijfel

    De documenten waren inhoudelijk prima. Daar lag het niet aan. Maar er ontbrak iets: structuur. Traceerbaarheid. Bewijs.

    Toen de auditor vroeg waar hij kon zien dat taken ook echt waren uitgevoerd, werd het ongemakkelijk.

    De verantwoordelijke medewerker was ziek.
    Verzonden e-mails? Misschien nog ergens.
    Evaluatie van het beleid? Besproken in het teamoverleg, maar nergens vastgelegd.

    Wat eerst voelde als controle, veranderde in twijfel. En die twijfel werd zichtbaar.

    In onze eerdere blog over risicoanalyse schreven we:
    “De risicoanalyse hoeft niet perfect te zijn. Maar hij moet leven in je organisatie” –> De risicoanalyse: een onmisbaar instrument voor elke ondernemer

    In een SOC 2-traject wordt dat pijnlijk duidelijk. Je krijgt niet de vraag: “Heb je het geregeld”, je krijgt de vraag: “Kun je aantonen dat het werkt?”.

    De fout die veel bedrijven maken

    Ze beginnen met beleid. Logisch – dat is tastbaar. Iets dat je kunt schrijven, opslaan, afvinken.

    Maar beleid zonder opvolging is façade, en SOC 2 kijkt dwars door façades heen.

    Je moet kunnen aantonen:

    • Wat de status is van je beheersmaatregelen
    • Welke taken zijn uitgevoerd, door wie, en wanneer
    • Hoe incidenten worden geregistreerd en opgevolgd
    • Wanneer je risico’s hebt herzien – en waarom

    Als dat overzicht ontbreekt, ontstaat auditstress. En soms: auditfalen.

    Wat CompliTrack anders doet

    CompliTrack is ontworpen voor dit soort situaties.
    Voor bedrijven die wél serieus werk willen maken van compliance, maar geen zwaar en log GRC-systeem nodig hebben.

    Met CompliTrack:

    • Koppel je beleid aan risico’s, processen en acties
    • Volg taken automatisch op – met eigenaarschap en herinneringen
    • Bewijs wie wat heeft gedaan – en wanneer
    • Houd je auditacties overzichtelijk en aantoonbaar
    • Voorkom dat auditvoorbereiding voelt als damage control

    Zo wordt compliance niet iets dat je bijhoudt, maar iets dat je organiseert.

    Zoals we eerder schreven
    “Je hoeft geen zware tool te kiezen. Maar je hebt wél een systeem nodig dat niet uit elkaar valt zodra iemand dóórvraagt.” –> Wat een lichtgewicht GRC-systeem wél moet kunnen doen voor het MKB

    Later deze week publiceren we een praktische blog:
    Wat is SOC 2 – en waarom je ‘m niet haalt met een mapje Word-bestanden.

    Sta je aan het begin van een SOC 2- of ISA3402-traject?

    Of wil je zeker weten dat je niet alleen op papier compliant bent?

    Met CompliTrack maak je beleid, risico’s en opvolging aantoonbaar. Zonder paniek. Zonder zoekwerk. Zonder twijfel.

    Vraag een demo aan – en ontdek hoe grip eruit ziet.