Wat is een SOC 2 rapport?

Een SOC 2 rapport is een onafhankelijk assurance-rapport dat aantoont dat een organisatie voldoet aan de Trust Services Criteria van de AICPA op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Er zijn twee typen: Type I (opzet op een moment) en Type II (werking over een periode van minimaal 6 maanden).

Wat is het verschil tussen ISAE 3402 en SOC 2?

ISAE 3402 is een internationale standaard gericht op uitbestede processen en financiële verslaggeving, terwijl SOC 2 breder kijkt naar IT-beveiliging en -beheer. ISAE 3402 wordt vaak gevraagd door Europese klanten en accountants, SOC 2 is de standaard in de internationale markt. Beide kennen Type I en Type II varianten.

Wat houdt een DigiD assessment in?

Een DigiD assessment is een verplichte jaarlijkse ICT-beveiligingstoets voor organisaties die DigiD gebruiken als authenticatiemiddel. De toetsing is gebaseerd op de ICT-beveiligingsrichtlijnen van Logius en moet worden uitgevoerd door een onafhankelijke auditor.

Wat is ISO 27001 en waarom is het belangrijk?

ISO 27001 is de internationale standaard voor informatiebeveiliging. Het biedt een framework voor het opzetten en onderhouden van een Information Security Management System (ISMS). Implementatie helpt organisaties om risico's te beheersen, klantvertrouwen te vergroten en te voldoen aan wet- en regelgeving zoals de AVG en NIS2.

Wat is NIS2 en welke organisaties vallen eronder?

NIS2 is de Europese richtlijn voor netwerk- en informatiebeveiliging die in 2024 van kracht is geworden. De richtlijn geldt voor essentiële en belangrijke entiteiten in sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur en ICT-dienstverlening. Organisaties moeten passende beveiligingsmaatregelen nemen en incidenten melden.

Wat is DORA en voor wie geldt het?

DORA (Digital Operational Resilience Act) is een Europese verordening die de digitale weerbaarheid van de financiële sector versterkt. Het geldt voor banken, verzekeraars, beleggingsondernemingen en hun ICT-dienstverleners. DORA stelt eisen aan ICT-risicobeheer, incidentrapportage, testen van digitale weerbaarheid en oversight op kritieke derde partijen.

Wat doet een IT-auditor?

Een IT-auditor beoordeelt onafhankelijk of de IT-systemen, processen en controls van een organisatie effectief zijn ingericht en werken. Dit omvat het toetsen van informatiebeveiliging, IT-governance, compliance aan wet- en regelgeving en de betrouwbaarheid van IT-systemen voor financiële verslaggeving.

Wat is het Secure Audit Platform?

Het Secure Audit Platform is een eigen digitaal auditplatform van Secure Audit, security-by-design gebouwd. Het ondersteunt het volledige auditproces: van werkprogramma en toetsing tot bevindingen, opvolging en rapportage. Klanten kunnen real-time inzicht krijgen in de voortgang en bewijslast digitaal uitwisselen.

IT-audit Services

Onafhankelijke assurance-rapporten voor serviceorganisaties. Wij bepalen samen welk type rapport past bij uw situatie en wat uw klanten of toezichthouders verwachten.

IT-audit Services

SOC 2 · ISAE 3402 · ISAE 3000 · DigiD

Onafhankelijke assurance-rapporten voor serviceorganisaties. Wij bepalen samen welk type rapport past bij uw situatie en wat uw klanten of toezichthouders verwachten.

Met een SOC 2-rapport verschaft een serviceorganisatie assurance aan haar klanten over de kwaliteit van de beheersingsmaatregelen die relevant zijn voor de dienstverlening. Het rapport richt zich op de processen en systemen die de serviceorganisatie zelf uitvoert ten behoeve van haar klanten, en geeft inzicht in de mate waarin deze betrouwbaar en gecontroleerd functioneren. SOC 2 is ontwikkeld door de AICPA (American Institute of Certified Public Accountants) en is wereldwijd de meest gevraagde assurance-standaard voor technologie- en SaaS-organisaties.

Trust Services Criteria

Een SOC 2-rapport is gebaseerd op de Trust Services Criteria (TSC), die zijn onderverdeeld in vijf categorieen: beveiliging (Security), beschikbaarheid (Availability), vertrouwelijkheid (Confidentiality), verwerkingsintegriteit (Processing Integrity) en privacy (Privacy). Beveiliging is altijd onderdeel van een SOC 2-rapport; de overige vier categorieen worden opgenomen op basis van de aard van de dienstverlening en de verwachtingen van klanten. Samen met u bepalen wij welke categorieen van toepassing zijn op uw specifieke situatie.

Type I versus Type II

Er zijn twee typen SOC 2-rapporten. Een Type I-rapport beoordeelt de opzet en het bestaan van controls op een specifiek moment (peilmoment). Een Type II-rapport gaat een stap verder en beoordeelt of de controls gedurende een langere periode (minimaal drie maanden, doorgaans zes tot twaalf maanden) daadwerkelijk effectief hebben gefunctioneerd. Type II biedt daarmee meer zekerheid en is in de praktijk de variant die klanten en prospects het vaakst vragen.

Voor organisaties die nog geen SOC 2-rapport hebben, is het vaak praktisch om te starten met een Type I. Dit geeft een duidelijk beeld van waar de organisatie staat en welke eventuele verbeterpunten er zijn, voordat de langere beoordelingsperiode van een Type II ingaat.

Voor wie is SOC 2 relevant?

SOC 2 is relevant voor iedere organisatie die diensten levert waarbij klantdata wordt verwerkt, opgeslagen of beheerd. Denk aan SaaS-aanbieders, cloudproviders, datacenters, managed service providers, fintechbedrijven en HR-techplatforms. In de praktijk is een SOC 2-rapport steeds vaker een voorwaarde om als leverancier in aanmerking te komen, zeker bij internationale klanten of grotere enterprise-organisaties.

Het auditproces

Een SOC 2-audit begint met een scoping-fase, waarin we samen de scope van het rapport bepalen: welke systemen, processen en Trust Services Criteria worden meegenomen? Vervolgens brengen we de bestaande controls in kaart en beoordelen of deze aansluiten bij de vereisten. Tijdens de auditperiode toetsen we de opzet en werking van de controls door middel van interviews, documentatiereview, systeemconfiguratie-inspecties en het beoordelen van bewijsstukken.

Het resultaat is een formeel assurance-rapport dat u kunt delen met (potentiele) klanten, prospects en andere belanghebbenden. Het rapport bevat een beschrijving van uw systeem, de relevante controls, de testresultaten en onze onafhankelijke conclusie.

Onze aanpak

Wij geloven dat een SOC 2-audit niet alleen een rapportage-verplichting is, maar een kans om uw interne beheersing structureel te versterken. Daarom investeren we aan de voorkant in het begrijpen van uw organisatie, uw dienstverlening en de verwachtingen van uw klanten. Waar nodig adviseren wij over de inrichting van controls, zodat u niet alleen voldoet aan de standaard, maar ook daadwerkelijk sterker uit het traject komt. Het volledige auditproces wordt ondersteund door ons Secure Audit Platform, waarin bevindingen, bewijsstukken en communicatie centraal worden beheerd.

Een ISAE 3402-rapport is een onafhankelijke assurance-rapportage door een IT-auditor of accountant, die zekerheid geeft over de opzet, het bestaan en (bij een Type II-rapport) de werking van de beheersingsmaatregelen binnen een serviceorganisatie. Het doel is om gebruikersorganisaties inzicht te geven in de mate waarin zij kunnen vertrouwen op uitbestede processen die van invloed zijn op hun financiele verslaggeving.

Waarom ISAE 3402?

Organisaties besteden steeds vaker kritische processen uit: salarisverwerking, financiele administratie, IT-beheer, dataopslag of applicatiebeheer. De accountant van de gebruikersorganisatie moet bij de jaarrekeningcontrole kunnen vaststellen dat ook de uitbestede processen beheerst verlopen. Een ISAE 3402-rapport levert hiervoor het bewijs. Zonder dit rapport moet de accountant zelf aanvullend onderzoek doen bij de serviceorganisatie, wat voor beide partijen kostbaar en tijdrovend is.

Type I versus Type II

Net als bij SOC 2 kent ISAE 3402 twee rapporttypen. Een Type I-rapport beschrijft het systeem van de serviceorganisatie en beoordeelt of de controls op een specifiek moment adequaat zijn ingericht. Een Type II-rapport voegt daar de werking aan toe: zijn de controls gedurende een periode (minimaal drie maanden, doorgaans zes tot twaalf maanden) ook daadwerkelijk effectief uitgevoerd? In de praktijk vragen accountants vrijwel altijd om een Type II-rapport.

Scope en afbakening

Hoewel de primaire focus van ISAE 3402 ligt op processen die relevant zijn voor de financiele verslaggeving, kan de scope breder zijn. Afhankelijk van de afspraken met gebruikersorganisaties en hun accountants kan het rapport ook betrekking hebben op informatiebeveiliging, beschikbaarheid, integriteit en continuiteit van de dienstverlening. Wij helpen u bij het bepalen van de juiste scope, zodat het rapport aansluit bij wat uw klanten en hun accountants verwachten.

Voor wie is ISAE 3402 relevant?

ISAE 3402 is relevant voor elke organisatie die diensten verleent die direct of indirect van invloed zijn op de financiele verslaggeving van klanten. Denk aan salarisverwerkers, pensioenadministrateurs, hosting- en cloudproviders, financiele dienstverleners, facility management bedrijven en IT-serviceproviders. In veel sectoren is een ISAE 3402-rapport een standaard eis bij het aangaan of verlengen van contracten.

Onze aanpak

Wij starten met een inventarisatie van de relevante processen en controls, in afstemming met uw organisatie en (waar nodig) de accountant van uw klant. Vervolgens beoordelen wij de opzet en werking van de controls aan de hand van interviews, proceswalkthrough, documentatiereview en het toetsen van bewijsstukken. Het eindresultaat is een formeel assurance-rapport dat direct bruikbaar is voor de jaarrekeningcontrole van uw klanten.

ISAE 3000 is een internationaal raamwerk voor assurance-opdrachten die betrekking hebben op niet-financiele processen en beheersingsmaatregelen. Waar ISAE 3402 specifiek gericht is op controls die relevant zijn voor de financiele verslaggeving, biedt ISAE 3000 een breder kader dat toepasbaar is op vrijwel elk type proces of onderwerp.

Toepassingsgebieden

Binnen de IT-context wordt ISAE 3000 vaak toegepast op processen zoals change management, incident management, service level management, security management, continuiteitsbeheer en softwareontwikkeling. Maar het raamwerk is breder inzetbaar: ook voor duurzaamheidsrapportages (ESG), privacy compliance, kwaliteitsmanagement of elk ander onderwerp waarover een organisatie onafhankelijke assurance wil bieden.

Type I versus Type II

Ook bij ISAE 3000 wordt onderscheid gemaakt tussen Type I (opzet en bestaan op een peilmoment) en Type II (werking over een periode van minimaal drie maanden). Een Type II-rapport biedt meer zekerheid omdat het aantoont dat de controls niet alleen bestaan, maar ook daadwerkelijk effectief functioneren in de dagelijkse praktijk.

Verschil met ISAE 3402

Het belangrijkste verschil is de scope. ISAE 3402 richt zich specifiek op controls die relevant zijn voor de financiele verslaggeving van klanten. ISAE 3000 heeft die beperking niet en is toepasbaar op elk onderwerp. Dat maakt ISAE 3000 ideaal voor organisaties die assurance willen bieden over IT-processen en beveiliging in brede zin, zonder dat er een directe link met financiele verslaggeving hoeft te zijn.

Voor wie is ISAE 3000 relevant?

ISAE 3000 is relevant voor organisaties die hun klanten, toezichthouders of andere stakeholders zekerheid willen bieden over de kwaliteit van hun processen en beheersing, maar waarbij de scope breder is dan financiele verslaggeving. Denk aan IT-dienstverleners, overheidsorganisaties, zorginstellingen en organisaties die willen aantonen dat zij voldoen aan specifieke wet- en regelgeving of branche-eisen.

Onze aanpak

Wij bepalen samen met u welke processen, controls en criteria in scope vallen. Het toetsingskader wordt op maat samengesteld, aansluitend bij de verwachtingen van uw stakeholders. De audit verloopt via dezelfde grondige methodiek als onze SOC 2- en ISAE 3402-trajecten: interviews, proceswalkthrough, bewijsstukkenreview en rapportage via het Secure Audit Platform.

Veel overheden en zorginstellingen bieden burgers de mogelijkheid om via een online portaal in te loggen met DigiD. Daarmee krijgen gebruikers toegang tot persoonlijke gegevens of kunnen zij bijvoorbeeld een verhuizing doorgeven via een digitaal formulier. Omdat DigiD toegang geeft tot privacygevoelige informatie, gelden er strikte beveiligingseisen.

Verplichting en normenkader

In Nederland is de DigiD TPM (Third Party Memorandum) verplicht voor alle organisaties met een DigiD-aansluiting. Dit jaarlijkse ICT-beveiligingsassessment moet worden uitgevoerd door een onafhankelijke IT-auditor. De verplichting geldt voor alle aansluithouders: gemeenten, zorginstellingen, waterschappen, uitvoeringsorganisaties, applicatieleveranciers en hostingpartijen. Het normenkader is gebaseerd op de ICT-beveiligingsrichtlijnen van het Nationaal Cyber Security Centrum (NCSC) en wordt jaarlijks bijgewerkt door Logius.

Wat houdt het assessment in?

Een DigiD-assessment bestaat uit twee onderdelen: een audit van de organisatorische en technische beheersingsmaatregelen, en een technische penetratietest op de webapplicatie en onderliggende infrastructuur. De audit toetst onder andere toegangsbeheer, netwerkbeveiliging, patchmanagement, logging en monitoring, en cryptografie. De penetratietest richt zich op het actief zoeken naar kwetsbaarheden in de applicatie en de configuratie van de omgeving.

Rapportage en oplevering

De DigiD-rapportage bevat een overzicht van de bevindingen per norm, inclusief een beoordeling of aan elke norm wordt voldaan. Het rapport wordt ingediend bij Logius, de beheerder van DigiD. Bij bevindingen die leiden tot een niet-voldoende beoordeling stelt Logius een hersteltermijn vast waarbinnen de tekortkomingen moeten worden opgelost. Na herstel kan een hertoeitsing plaatsvinden.

Inclusief penetratietest

De penetratietest is een integraal onderdeel van het DigiD-assessment en wordt uitgevoerd conform de eisen van Logius. Wij testen de webapplicatie op veelvoorkomende kwetsbaarheden zoals SQL-injectie, cross-site scripting (XSS), onveilige sessieafhandeling en onjuiste autorisatie. De resultaten worden opgenomen in het DigiD-rapport en voorzien van concrete aanbevelingen voor herstel.

Pre-audit: wees voorbereid

Om verrassingen te voorkomen bieden wij de mogelijkheid van een pre-audit. Hierbij toetsen wij ruim voor de deadline in hoeverre uw organisatie al voldoet aan het DigiD-normenkader. Dit geeft u de tijd om eventuele tekortkomingen te herstellen voordat het verplichte assessment plaatsvindt. Zo voorkomt u een niet-voldoende beoordeling en de bijbehorende tijdsdruk.

Ketenverantwoordelijkheid

Bij DigiD-koppelingen is vaak sprake van een keten: de aansluithouder maakt gebruik van een applicatieleverancier, die op zijn beurt weer draait bij een hostingpartij. Het DigiD-normenkader stelt eisen aan alle schakels in deze keten. Wij hebben ervaring met het beoordelen van de volledige keten en adviseren over de verdeling van verantwoordelijkheden en de afstemming tussen de verschillende partijen.

Security

Vulnerability scans · Pentests · ISO 27001 · IEC 62443

Op zoek naar een IT-auditor?

Elke organisatie is uniek. Neem vrijblijvend contact op voor een gesprek over IT-audit, informatiebeveiliging of risicomanagement.

Maak een afspraak Over Secure Audit