Wat is SOC 2?
SOC 2 staat voor System and Organization Controls 2. Het is een raamwerk dat is ontwikkeld door de AICPA (American Institute of Certified Public Accountants), de Amerikaanse beroepsorganisatie van accountants. Een SOC 2 rapport beschrijft hoe een serviceorganisatie haar beheersmaatregelen heeft ingericht en of die maatregelen ook daadwerkelijk werken. Het rapport wordt opgesteld door een onafhankelijke, gekwalificeerde auditor.
Anders dan bij een ISO-norm krijg je bij SOC 2 geen certificaat met een logo, maar een uitgebreid auditrapport (een attestatie). Daarin staat het oordeel van de auditor, een beschrijving van het systeem door het management, en vaak een gedetailleerd overzicht van de geteste maatregelen en de testresultaten. Dit rapport deel je vervolgens vertrouwelijk met klanten, prospects en hun auditors.
SOC 2 is vooral relevant voor organisaties die diensten leveren waarbij zij gegevens van klanten verwerken of beheren, zoals:
- SaaS- en softwareleveranciers;
- cloud-, hosting- en datacenterproviders;
- managed service providers en IT-dienstverleners;
- fintech- en betalingsplatformen;
- verwerkers van persoonsgegevens of bedrijfskritische data.
Voor deze organisaties is een SOC 2 rapportage een krachtig commercieel instrument: het neemt bij (potentiele) klanten twijfel weg over de beveiliging en betrouwbaarheid van de dienstverlening, en versnelt vaak de inkoop- en securityreviews die aan een contract voorafgaan.
SOC 1, SOC 2 en SOC 3: wat is het verschil?
De AICPA kent drie SOC-rapportages, die elk een ander doel dienen. Het is belangrijk om ze niet door elkaar te halen, want klanten vragen meestal heel gericht om een specifiek type.
| Rapport | Waar gaat het over? | Voor wie? |
|---|---|---|
| SOC 1 | Beheersmaatregelen die invloed hebben op de financiele rapportage van klanten (vergelijkbaar met ISAE 3402) | Partijen die financieel relevante processen uitvoeren, zoals salaris- of betalingsverwerking |
| SOC 2 | Beheersmaatregelen rond beveiliging en gegevensverwerking, getoetst aan de Trust Services Criteria | Technologie- en clouddienstverleners die klantdata verwerken |
| SOC 3 | Een publieke, vereenvoudigde samenvatting van een SOC 2, zonder gevoelige details | Organisaties die hun assurance breed (bijvoorbeeld op hun website) willen tonen |
Kort samengevat: SOC 1 draait om geld en cijfers, SOC 2 om beveiliging en vertrouwen, en SOC 3 is de marketingvriendelijke versie van SOC 2 die je vrij mag delen. In de praktijk gaat het bij vragen over “security assurance” vrijwel altijd om SOC 2.
De vijf Trust Services Criteria
Het hart van SOC 2 wordt gevormd door de zogenoemde Trust Services Criteria (TSC), opgesteld door de Assurance Services Executive Committee van de AICPA. De huidige set komt uit 2017 en is in 2022 voorzien van herziene points of focus, die aansluiten op veranderde IT- en cyberrisico's. Er zijn vijf categorieen:
| Criterium | Waar staat het voor? |
|---|---|
| Beveiliging (Security) | Bescherming van systemen en gegevens tegen ongeautoriseerde toegang en misbruik |
| Beschikbaarheid (Availability) | De systemen zijn beschikbaar zoals afgesproken in service levels |
| Verwerkingsintegriteit (Processing Integrity) | Verwerking is volledig, juist, tijdig en geautoriseerd |
| Vertrouwelijkheid (Confidentiality) | Vertrouwelijke informatie wordt afdoende beschermd |
| Privacy | Persoonsgegevens worden verzameld, gebruikt en verwijderd conform afspraken |
Belangrijk om te weten: alleen het criterium Beveiliging is verplicht. Dit wordt ook wel de Common Criteria genoemd en vormt de basis van elke SOC 2 audit. Deze gemeenschappelijke criteria zijn onderverdeeld in negen categorieen (aangeduid als CC1 tot en met CC9), die nauw aansluiten op het wereldwijd gebruikte COSO-raamwerk voor interne beheersing en onder meer de beheersomgeving, risicobeoordeling, toegangsbeveiliging, wijzigingsbeheer en monitoring omvatten.
De overige vier criteria zijn optioneel. Een organisatie kiest zelf welke daarvan ze toevoegt aan de scope, afhankelijk van de aard van de dienst en wat klanten verwachten. Een hostingpartij neemt bijvoorbeeld vaak Beschikbaarheid mee, terwijl een verwerker van persoonsgegevens juist Vertrouwelijkheid en Privacy zal toevoegen.
Op zoek naar een IT audit functie?
Professionals die SOC 2-, ISAE- en ISO-audits kunnen uitvoeren zijn zeer gewild. Bekijk de nieuwste IT audit en assurance vacatures in Nederland.
Bekijk IT Audit VacaturesSOC 2 Type I versus Type II
Binnen SOC 2 bestaan er twee soorten rapporten, en het onderscheid is cruciaal voor de bewijskracht. Het verschil zit hem in de vraag of de auditor alleen naar de opzet kijkt, of ook naar de werking over een periode.
- SOC 2 Type I is een momentopname. De auditor beoordeelt of de beheersmaatregelen op een specifieke datum goed zijn opgezet en geschikt zijn om de doelstellingen te halen. Het zegt nog niets over of de maatregelen in de praktijk ook consequent worden uitgevoerd.
- SOC 2 Type II gaat een stap verder. De auditor toetst of de maatregelen gedurende een langere periode — meestal drie tot twaalf maanden — daadwerkelijk effectief hebben gewerkt. Daarvoor verzamelt de auditor bewijs over die hele periode.
Omdat Type II laat zien dat beheersing geen eenmalig kunstje is maar structureel werkt, vragen klanten in de praktijk vrijwel altijd om een Type II-rapport. Veel organisaties beginnen wel met een Type I als eerste mijlpaal, om daarna een observatieperiode in te gaan en die af te sluiten met een Type II. Een SOC 2 rapport heeft geen formele “geldigheidsduur”, maar dekt steeds een afgebakende periode; daarom laten organisaties doorgaans elk jaar opnieuw een audit uitvoeren om aaneengesloten dekking te houden.
| Kenmerk | SOC 2 Type I | SOC 2 Type II |
|---|---|---|
| Wat wordt getoetst? | Opzet van de maatregelen | Opzet én werking over tijd |
| Periode | Momentopname (1 datum) | Doorgaans 3 tot 12 maanden |
| Bewijskracht | Beperkt | Hoog |
| Wanneer ingezet? | Als snelle eerste stap | Als standaard die klanten vragen |
Loopt de observatieperiode van een Type II-rapport niet helemaal door tot het moment waarop een klant de informatie nodig heeft? Dan kan de serviceorganisatie een zogeheten bridge letter (of gap letter) afgeven. Daarin verklaart het management dat er in de tussenliggende periode geen wezenlijke veranderingen in de beheersomgeving zijn opgetreden. Een bridge letter overbrugt het gat, maar vervangt nooit een nieuw auditrapport.
SOC 2 versus ISO 27001
SOC 2 en ISO 27001 worden vaak in een adem genoemd, omdat beide draaien om informatiebeveiliging en vertrouwen. Toch zijn het fundamenteel verschillende instrumenten. ISO 27001 is een certificeerbare norm voor een managementsysteem voor informatiebeveiliging (ISMS); je behaalt een certificaat dat drie jaar geldig is, met jaarlijkse controle-audits. SOC 2 is geen certificaat maar een attestatierapport over je beheersmaatregelen, dat steeds een afgebakende periode beslaat.
| Aspect | SOC 2 | ISO 27001 |
|---|---|---|
| Aard | Auditrapport (attestatie) | Certificeerbare norm (ISMS) |
| Afkomstig van | AICPA (Verenigde Staten) | ISO (internationaal) |
| Resultaat | Vertrouwelijk rapport voor klanten | Publiek certificaat |
| Geldigheid | Per afgebakende periode, jaarlijks herhaald | Certificaat 3 jaar, jaarlijkse surveillance |
| Sterkst gevraagd in | VS en internationale SaaS-markt | Europa, aanbestedingen en tenders |
In de praktijk is ISO 27001 in Europa de gangbare standaard, terwijl SOC 2 vooral wordt gevraagd door Amerikaanse klanten en in de wereldwijde SaaS-sector. Veel Nederlandse scale-ups en techbedrijven kiezen daarom voor beide: ze gebruiken hun ISO 27001-managementsysteem als fundament en bouwen daar een SOC 2 Type II-rapport bovenop voor hun internationale klanten. Omdat de onderliggende beheersmaatregelen elkaar grotendeels overlappen, levert die dubbele aanpak relatief weinig extra werk op.
SOC 2 in Nederland: ISAE 3000 en de rol van de auditor
Hoewel SOC 2 een Amerikaans raamwerk is, is het in Nederland goed bruikbaar. Buiten de Verenigde Staten wordt de SOC 2 audit doorgaans uitgevoerd onder de internationale assurancestandaard ISAE 3000, in combinatie met de Trust Services Criteria. In de VS zelf vormt de standaard SSAE 18 de basis. Het resultaat is inhoudelijk vergelijkbaar; het verschil zit vooral in het professionele kader waaronder de auditor werkt.
Een SOC 2 rapport mag in Nederland niet door zomaar iemand worden ondertekend. Daarvoor is een gekwalificeerde auditor nodig: een Register EDP-auditor (RE) die is aangesloten bij beroepsorganisatie NOREA, of een Registeraccountant (RA). Deze professionals zijn gebonden aan strenge gedrags- en kwaliteitsregels en aan de juiste assurancestandaarden. Dit maakt de IT-auditor een onmisbare schakel in het hele traject — en verklaart waarom de vraag naar gekwalificeerde IT compliance auditors en assurance-specialisten blijft groeien.
Het SOC 2-traject in de praktijk
Het behalen van een SOC 2 rapport kent een herkenbaar stappenplan. De doorlooptijd hangt af van de omvang van de organisatie en de volwassenheid van de bestaande beheersing, maar globaal ziet het traject er zo uit:
| Fase | Activiteit |
|---|---|
| 1. Scoping | Bepalen welke Trust Services Criteria en welke systemen in scope vallen |
| 2. Gap-analyse | In kaart brengen waar maatregelen nog ontbreken of tekortschieten |
| 3. Remediatie | Ontbrekende beheersmaatregelen inrichten en vastleggen |
| 4. Observatieperiode | De maatregelen laten werken en bewijs verzamelen (bij Type II) |
| 5. Audit | Toetsing door een RE of RA en opstellen van het rapport |
| 6. Onderhoud | Jaarlijks herhalen om aaneengesloten dekking te behouden |
Voor een SOC 2 Type II-audit moet een organisatie in Nederland doorgaans rekening houden met auditkosten in de orde van enkele tienduizenden euro's, plus eventuele kosten voor consultancy en tooling. De grootste investering zit echter meestal niet in de audit zelf, maar in het inrichten en onderhouden van de onderliggende beheersmaatregelen.
Wat SOC 2 betekent voor jouw carriere
De groeiende vraag naar SOC 2-rapportages vertaalt zich direct in kansen op de arbeidsmarkt. Aan beide kanten van de tafel zijn professionals nodig: bij de serviceorganisaties die hun maatregelen op orde moeten brengen, en bij de auditkantoren die de rapporten opstellen. Kennis van SOC 2 en de Trust Services Criteria is daarmee een waardevolle aanvulling op je profiel.
De rapportage raakt onder meer de volgende functies:
- IT auditor: voert de SOC 2 audit uit, verzamelt bewijs en stelt het rapport op onder ISAE 3000;
- IT compliance auditor: bewaakt de aansluiting tussen SOC 2, ISO 27001 en wettelijke eisen;
- Senior IT auditor en assurance-manager: begeleidt complexe trajecten en tekent (samen met een RE of RA) de verklaring;
- Security- en GRC-professionals: richten aan de kant van de serviceorganisatie de beheersmaatregelen in en houden ze actueel.
Wil je je in deze richting ontwikkelen, dan is een gerichte opleiding of certificering een logische stap. De CISA certificering is wereldwijd de toonaangevende kwalificatie voor IT auditors, en in Nederland leidt de postmaster IT-audit (RE-opleiding) op tot Register EDP-auditor — precies het profiel dat een SOC 2 verklaring mag tekenen. Net zoals ISO 27001 al jaren onmisbaar is, wordt vaardigheid met SOC 2 in de komende jaren steeds belangrijker voor audit-, assurance- en compliance-functies. Benieuwd hoe de salarissen zich ontwikkelen? Lees dan ook onze salaristrends voor 2026.