En wat ze eigenlijk willen weten
Het begint zelden met een audit.
Meestal begint het met een goed gesprek. Een offerte die inhoudelijk klopt. Een samenwerking die logisch voelt. Vertrouwen, aan beide kanten. Tot er aan het einde van het gesprek nog één vraag op tafel komt.
“Kunnen jullie iets delen over SOC 2?”
De vraag klinkt vaak achteloos. Alsof het een formaliteit is. Maar de impact ervan is dat zelden. Want zodra die vraag gesteld wordt, verandert het gesprek. Niet omdat iemand direct een rapport verwacht, maar omdat er iets anders wordt aangeraakt: beheersing, verantwoordelijkheid en volwassenheid.
Steeds meer organisaties krijgen deze vraag. Ook organisaties zonder grote compliance-afdeling of formele auditstructuur. SOC 2 schuift het gesprek binnen. Niet als certificering, maar als signaal.
Het hardnekkige misverstand rond SOC 2
De eerste reflex is vaak defensief.
Dat SOC 2 “iets is voor grote techbedrijven”. Dat er geen verplichting bestaat. Dat bestaande certificering voldoende zou moeten zijn.
Die reacties zijn begrijpelijk en vaak inhoudelijk juist. Maar ze missen de kern van de vraag. In de praktijk vragen klanten zelden om SOC 2 omdat zij diepgaande normkennis hebben. Ze vragen ernaar omdat hun afhankelijkheid toeneemt.
Van systemen. Van processen. Van de manier waarop mensen beslissingen nemen.
De SOC 2-vraag is zelden normgedreven. Ze is contextgedreven.
Wat klanten eigenlijk willen weten
Achter de vraag naar SOC 2 zitten nauwelijks abstracte compliance-eisen. Wat eronder ligt, is concreter en menselijker.
Klanten willen begrijpen wat er gebeurt als het misgaat. Of duidelijk is wie verantwoordelijkheid draagt. Of incidenten worden vastgelegd in plaats van alleen opgelost. Of beleid iets is dat leeft in de organisatie, of alleen zichtbaar wordt wanneer iemand erom vraagt.
Het zijn geen auditvragen. Het zijn vertrouwensvragen.
Dat patroon is niet nieuw. Het kwam eerder terug in verhalen waarin alles op papier geregeld leek, tot een klant om bewijs vroeg. Dan bleek hoe dun de onderliggende structuur eigenlijk was. Niet omdat mensen hun werk niet deden, maar omdat niemand had vastgelegd dát het werk gedaan werd.
SOC 2 als assurance, niet als vinkje
SOC 2 is geen certificaat dat je behaalt en vervolgens archiveert. Het is een vorm van assurance. Dat verschil is essentieel.
Een certificering zegt iets over voldoen op een moment. Assurance laat zien hoe een organisatie structureel werkt en hoe dat te toetsen is.
Daar wringt het vaak. Niet omdat maatregelen ontbreken, maar omdat beheersing impliciet is georganiseerd. Taken worden uitgevoerd, maar niet herhaalbaar ingericht. Rollen zijn logisch, maar nergens expliciet vastgelegd. Incidenten worden opgelost, maar zelden geëvalueerd.
In eerdere blogs over audits die nét niet lukten werd dit zichtbaar. De intentie was goed. De maatregelen bestonden. Maar zonder aantoonbaarheid blijft vertrouwen kwetsbaar.
Waarom deze vragen juist nu vaker op tafel komen
De omgeving is veranderd. Organisaties zijn sterker met elkaar verweven geraakt. Diensten zijn minder tastbaar. Afhankelijkheden zijn complexer geworden.
Wat vroeger intern bleef, raakt nu direct anderen. Klanten kijken niet alleen meer naar het eindresultaat, maar ook naar de manier waarop dat resultaat tot stand komt.
Daarom zie je dezelfde beweging op meerdere plekken terug. Meer aandacht voor leveranciersbeoordeling. Meer vragen over incidentbeheer. Meer nadruk op privacy- en governance-structuren.
De rode draad is telkens dezelfde. Vertrouwen moet uitlegbaar worden.
De stille spanning die dan ontstaat
Wat de SOC-2 vraag vaak blootlegt, is geen gebrek aan goede bedoelingen, maar een gebrek aan impliciete structuur. Veel teams werken op basis van vakmanschap en gezond verstand. Dat functioneert uitstekend, tot het onvoldoende blijkt.
Zolang alles goed gaat, voelt impliciete beheersing comfortabel. Iedereen weet wat er van hem verwacht wordt. Problemen worden opgelost. Klanten zijn tevreden.
Maar zodra iemand van buiten meekijkt, ontstaan vragen. Niet omdat er iets mis is, maar omdat niemand precies kan aanwijzen hoe het geregeld is.
Wie beslist bij twijfel. Waar keuzes worden vastgelegd. Hoe structureel gedrag aantoonbaar is.
Die vragen ontstaan pas wanneer vertrouwen getest wordt.
Waarom “we zijn daar te klein voor” geen antwoord meer is
De gedachte dat dit soort vragen alleen relevant zijn voor grote organisaties, houdt steeds minder stand. Juist compacte teams zijn kwetsbaar voor impliciete afspraken.
Rollen lopen door elkaar. Taken worden informeel opgepakt. Kennis zit in hoofden, niet in structuren. Dat is efficiënt, tot iemand wegvalt of tot een klant expliciet vraagt hoe iets geborgd is.
De SOC-2-vraag dwingt niet tot bureaucratie. Ze dwingt tot explicitering. Tot het zichtbaar maken van wat er in de praktijk al gebeurt.
Wat organisaties die hier ontspannen mee omgaan anders doen
Organisaties die rustig reageren op dit soort vragen, hebben zelden alles dichtgetimmerd. Wat ze wel hebben, is overzicht.
Ze weten wie waarvoor verantwoordelijk is. Welke taken terugkeren. Waar besluiten worden vastgelegd. Hoe incidenten worden opgevolgd.
Niet omdat een norm dat vraagt, maar omdat het rust geeft. Intern én extern.
Daarmee verschuift compliance van last naar bijproduct. Niet iets wat erbij komt, maar iets wat meebeweegt met hoe er gewerkt wordt.
Tot slot
Wanneer iemand naar SOC 2 vraagt, vraagt hij zelden om een rapport.
Hij vraagt of je begrijpt waar zijn zorgen zitten. Of je weet wat je belooft. En of je kunt laten zien dat je dat ook waarmaakt.
SOC 2 is dan geen einddoel, maar een spiegel. Geen technische exercitie. Geen juridische verplichting.
Maar een vraag over hoe je georganiseerd bent.
Geef een reactie