Tag: SOC 2

  • Wat is SOC 2 (en waarom je ‘m niet haalt met een mapje Word-bestanden)

    Wat is SOC 2 (en waarom je ‘m niet haalt met een mapje Word-bestanden)

    “We hadden alles netjes in een mapje. Beleid, procedures, risicoanalyse – het zat er allemaal in. Maar toen de auditor vroeg: ‘Welk bewijs heb je dat dit écht wordt nageleefd?’, werd het stil.”

    Steeds meer organisaties in de IT en zakelijke dienstverlening krijgen ermee te maken: klanten vragen om een SOC 2-verklaring. Niet omdat ze daar zelf op zitten te wachten, maar omdat hún klanten, toezichthouders of investeerders het eisen. En dus moet je als leverancier kunnen aantonen dat je gegevensbescherming, beschikbaarheid en procesbeheersing écht op orde hebt.

    Dat klinkt overzichtelijk. Tot je beseft wat SOC 2 in de praktijk vraagt.

    Wat is SOC 2 precies?

    SOC 2 (Service Organization Control 2) is een Amerikaanse standard voor het beoordelen van hoe een organisatie omgaat met klantdata. Het rapport wordt opgesteld door een onafhankelijke auditor, op basis van jouw eigen processen en maatregelen. Die moeten aantoonbaar bijdragen aan het waarborgen van de zogeheten Trust Service Criteria:

    1. Beveiliging (Security) – zijn je systemen beschermd tegen ongeautoriseerde toegang?
    2. Beschikbaarheid (Availability) – is je dienst beschikbaar zoals afgesproken?
    3. Verwerkingsintegriteit (Processing Integrity) – worden gegevens correct en volledig verwerkt?
    4. Vertrouwelijkheid (Confidentiality) – blijven vertrouwelijke gegevens intern en beschermd?
    5. Privacy – hoe wordt omgegaan met persoonsgegevens van klanten?

    Het grote verschil met veel andere normen? SOC 2 schrijft niet exact voor wat je moet doen, maar vraagt om bewijs dat maatregelen daadwerkelijk werken in de praktijk. Het draait om betrouwbaarheid in de uitvoering.

    SOC 2 vs. ISO 27001: twee wegen naar vertrouwen

    Veel organisaties denken dat SOC 2 en ISO 27001 inwisselbaar zijn. Maar hoewel beide draaien om informatiebeveiliging, verschillen ze sterk in aanpak:

    • ISO 27001 is een internationale norm voor het opzetten van een Information Security Management System (ISMS). Het draait om het structureren van je beleid, processen, risicoanalyse en continue verbetering. Je voldoet aan een vast eisenkader, en krijgt een certificaat van een geaccrediteerde instantie.
    • SOC 2 is een auditrapport, geen certificaat. Er zijn geen verplichte maatregelen, maar je moet kunnen aantonen dat de maatregelen die je zelf hebt gekozen, ook daadwerkelijk worden uitgevoerd en gevolgd. Een SOC 2-audit kijkt terug: wat heb je gedaan, en wat kun je bewijzen?

    Kort samengevat:

    ISO 27001SOC 2
    VormCertificeringAssurance-rapport
    Norm of frameworkFormele normPrincipe-gebaseerd framework
    DoelSysteem opzetten en onderhoudenAantonen dat processen werken
    ReikwijdteInformatiebeveiliging in de breedte (inclusief privacy, beschikbaarheid en vertrouwelijkheid binnen ISMS)Klantdata en betrouwbaarheid volgens Trust Service Criteria
    ToetsingVoldoen aan vaste eisenWerking aantonen over tijd (bijv. 6-12 maanden)

    Het is geen kwestie van kiezen tussen SOC 2 of ISO 27001. Veel organisaties gebruiken ze juist samen: ISO voor structuur en SOC 2 om klantvertrouwen te versterken.

    Waarom je SOC 2 niet haalt met een mapje Word-bestanden

    Het is verleidelijk om te beginnen met een gedeelde map: een Word-bestand met het beleid, een Excel-sheet met risico’s, een PDF’je met je security controls. Maar zodra de auditor je vraagt:

    • “Wanneer is deze controle uitgevoerd?”
    • “Wie heeft dit beoordeeld?”
    • “Is er opvolging geweest na dit incident?”
    • “Wat was de laatste wijziging en door wie is die gedaan?”

    …dan blijkt dat een map vol documenten weinig waard is zonder context, logging en opvolging.

    SOC2 Type II-audits beoordelen de effectiviteit van je controles over een periode van 6 tot 12 maanden. Het gaat niet alleen om wat je opschrijft, maar of je kunt aantonen dat je het structureel doet. Iedere maand. Elke medewerker. Alle maatregelen. En dat vraagt meer dan alleen statische documenten.

    Praktijkvoorbeeld: de audit die nét niet lukte

    Een SaaS-bedrijf kreeg een grote klant uit de financiële sector in het vizier. Er was maar één voorwaarde: een SOC 2-rapport. In allerijl werd een intern team samengesteld, het beleid opgepoetst, en alles netjes gedocumenteerd. Excel voor risico’s, SharePoint voor processen, Word voor het beveiligingsbeleid. Het team had er vertrouwen in.

    Tot de auditor langskwam.

    De controles waren afgesproken, maar niet aantoonbaar uitgevoerd. Incidenten werden besproken in meetings, maar nergens vastgelegd. Rollen waren informeel verdeeld, maar nergens expliciet. De maatregelen leken prima – maar het bewijs ontbrak.

    Resultaat: geen SOC 2-rapport, geen deal, en opnieuw beginnen.

    Wat je wél nodig hebt

    Een succesvolle SOC 2-audit vraagt niet om perfectie, maar om aantoonbaarheid. Je moet laten zien dat je processen zijn ingebed in de dagelijkse praktijk. Dat betekent:

    • Duidelijke rollen en verantwoordelijkheden
      Wie is verantwoordelijk voor het beoordelen van toegangsrechten? Wie logt incidenten? Wie volgt ze op?
    • Terugkerende taken en logging
      Worden maandelijks back-ups gecontroleerd? Zijn security-updates tijdig uitgevoerd? Met bewijs?
    • Versiebeheer op beleid en maatregelen
      Wat is het actuele beleid? Wanneer is het gewijzigd? Door wie?
    • Incidentbeheer en verbeteracties
      Worden incidenten structureel geregistreerd? Zijn er trends zichtbaar Is er een evaluatie gedaan?
    • Audit-trail
      Kun je per maatregel zien wie iets heeft uitgevoerd, wanneer en wat de uitkomst was?

    CompliTrack is ontwikkeld met dat doel: een toegankelijke GRC-oplossing voor organisaties die serieus aan de slag willen met risico- en compliance beheer, zonder zware implementaties of langdurige consultancytrajecten.

    Met CompliTrack kun je:

    • Incidenten registreren en opvolgen
    • Terug taken inplannen en loggen
    • Risicoanalyse uitvoeren en koppelen aan maatregelen
    • Documentatie beheren
    • Interne audits plannen en opvolgen
    • Alles centraal vastleggen – met bewijslast

    Kortom: het juiste evenwicht tussen eenvoud en aantoonbaarheid.

    Tot slot: vertrouwen win je niet met een Excel-sheet

    Een SOC-2 audit is geen toneelstuk waarin je laat zien dat je iets hebt opgeschreven. Het is een evaluatie van hoe je organisatie werkelijk functioneert. Dag in en dag uit.

    Wil je SOC 2 halen zonder dat je organisatie verandert in een papieren compliance-machine? Ontdek hoe CompliTrack je helpt om wél aantoonbaar te zijn – en niet alleen compliant te lijken, maar het ook écht te zijn.

    Plan een vrijblijvende demo of neem contact op voor advies over hoe jij je auditproces concreet aanpakt.

  • Alles was op papier geregeld. Tot SOC 2 om bewijs vroeg.

    Alles was op papier geregeld. Tot SOC 2 om bewijs vroeg.

    Ze hadden er maanden aan gewerkt.

    Een informatiebeveiligingsbeleid. Een risicoregister. Procedures voor onboarding, back-ups, toegangsbeheer. Alles keurig uitgewerkt, besproken met het team en opgeslagen in een strak georganiseerde map op SharePoint.

    Toen de SOC 2-audit dichterbij kwam, dachten ze: we zijn er klaar voor. En eerlijk gezegd leek het ook zo.

    Tot de auditor niet vroeg wát ze hadden, maar hoe ze konden aantonen dat het ook wérkte.

    De eerste vragen waren nog overzichtelijk:

    “Wanneer is dit beleid voor het laatst geëvalueerd?”
    “Wie is verantwoordelijk voor deze beheersmaatregel?”
    “Hoe volgen jullie actiepunten op?”
    “Welke risico’s zijn herzien na de wijziging van april?”

    Het team wist het ongeveer. Maar ze konden het niet laten zíen. Er was geen log. Geen taakgeschiedenis. Geen centraal overzicht. Wat ze wél hadden: Word-bestanden, Excel-sheets en e-mails.

    Versiebeheer gebeurde op gevoel.
    Acties zaten in hoofden.
    En processen waren onzichtbaar – behalve op papier.

    Het moment waarop controle verandert in twijfel

    De documenten waren inhoudelijk prima. Daar lag het niet aan. Maar er ontbrak iets: structuur. Traceerbaarheid. Bewijs.

    Toen de auditor vroeg waar hij kon zien dat taken ook echt waren uitgevoerd, werd het ongemakkelijk.

    De verantwoordelijke medewerker was ziek.
    Verzonden e-mails? Misschien nog ergens.
    Evaluatie van het beleid? Besproken in het teamoverleg, maar nergens vastgelegd.

    Wat eerst voelde als controle, veranderde in twijfel. En die twijfel werd zichtbaar.

    In onze eerdere blog over risicoanalyse schreven we:
    “De risicoanalyse hoeft niet perfect te zijn. Maar hij moet leven in je organisatie” –> De risicoanalyse: een onmisbaar instrument voor elke ondernemer

    In een SOC 2-traject wordt dat pijnlijk duidelijk. Je krijgt niet de vraag: “Heb je het geregeld”, je krijgt de vraag: “Kun je aantonen dat het werkt?”.

    De fout die veel bedrijven maken

    Ze beginnen met beleid. Logisch – dat is tastbaar. Iets dat je kunt schrijven, opslaan, afvinken.

    Maar beleid zonder opvolging is façade, en SOC 2 kijkt dwars door façades heen.

    Je moet kunnen aantonen:

    • Wat de status is van je beheersmaatregelen
    • Welke taken zijn uitgevoerd, door wie, en wanneer
    • Hoe incidenten worden geregistreerd en opgevolgd
    • Wanneer je risico’s hebt herzien – en waarom

    Als dat overzicht ontbreekt, ontstaat auditstress. En soms: auditfalen.

    Wat CompliTrack anders doet

    CompliTrack is ontworpen voor dit soort situaties.
    Voor bedrijven die wél serieus werk willen maken van compliance, maar geen zwaar en log GRC-systeem nodig hebben.

    Met CompliTrack:

    • Koppel je beleid aan risico’s, processen en acties
    • Volg taken automatisch op – met eigenaarschap en herinneringen
    • Bewijs wie wat heeft gedaan – en wanneer
    • Houd je auditacties overzichtelijk en aantoonbaar
    • Voorkom dat auditvoorbereiding voelt als damage control

    Zo wordt compliance niet iets dat je bijhoudt, maar iets dat je organiseert.

    Zoals we eerder schreven
    “Je hoeft geen zware tool te kiezen. Maar je hebt wél een systeem nodig dat niet uit elkaar valt zodra iemand dóórvraagt.” –> Wat een lichtgewicht GRC-systeem wél moet kunnen doen voor het MKB

    Later deze week publiceren we een praktische blog:
    Wat is SOC 2 – en waarom je ‘m niet haalt met een mapje Word-bestanden.

    Sta je aan het begin van een SOC 2- of ISA3402-traject?

    Of wil je zeker weten dat je niet alleen op papier compliant bent?

    Met CompliTrack maak je beleid, risico’s en opvolging aantoonbaar. Zonder paniek. Zonder zoekwerk. Zonder twijfel.

    Vraag een demo aan – en ontdek hoe grip eruit ziet.