30 november 2023

SOC 2: wat beoordelen we eigenlijk?

Voor IT-serviceorganisaties zijn de internationaal erkende Service Organisatie Controls (SOC 2) richtlijnen opgesteld. Deze SOC 2 norm is een vorm van assurance, specifiek gericht op IT-serviceorganisaties die zekerheid willen bieden over de beheersingsmaatregelen op het vlak van Beveiliging, BeschikbaarheidIntegriteit van verwerking en Vertrouwelijkheid en Privacy.

Maar hoe beoordelen IT-auditors deze beheersingsmaatregelen? En wat wordt er precies bedoeld met de termen Beveiliging, Beschikbaarheid, Integriteit van processen en Vertrouwelijkheid en Privacy?

Kwaliteitsaspecten SOC 2

  • Beveiliging: Het systeem is beschermd tegen ongeautoriseerd(e) toegang, gebruik of veranderingen.
  • Beschikbaarheid: Het systeem kan gebruikt worden op de afgesproken manier en voldoet aan de afgesproken eisen voor beschikbaarheid.
  • Integriteit van verwerking: De verwerking van gegevens in het systeem is volledig, accuraat, tijdig en geautoriseerd.
  • Vertrouwelijkheid: De informatie die is gemarkeerd als vertrouwelijk wordt beschermd conform de afgesproken eisen.
  • Privacy: Persoonlijke informatie wordt verzameld, bewaard, openbaargemaakt en verwijderd om conform de afgesproken eisen en conform de Algemene Verordening Gegevensbescherming. 

Bovenstaande aspecten zijn uitgewerkt in een aantal beheersingsdoelstellingen (criteria). Deze beheersingsdoelstellingen zijn weer uitgewerkt in (voorbeeld) beheersingsmaatregelen gericht op het behalen van de beheersingsdoelstellingen ten aanzien van de Beveiliging, Beschikbaarheid, Integriteit van processen, Vertrouwelijkheid en Privacy van de informatie die door het systeem wordt verwerkt.

Beheersingsdoelstellingen SOC 2

Het aspect Beveiliging is uitgewerkt in zogenaamde ‘Common Criteria’ en maakt onderdeel uit van elke SOC 2 audit. Voor de overige kwaliteitsaspecten zijn aanvullende beheersingsmaatregelen geformuleerd, die optioneel gekozen kunnen worden in een SOC 2 traject.

Kwaliteitsaspecten (Beginselen)

Aantal beheersingsmaatregelen

Beveiliging (verplicht)

33 algemene beheersingsmaatregelen

Beschikbaarheid

3 aanvullende beheersingsmaatregelen

Integriteit van verwerking

5 aanvullende beheersingsmaatregelen

Vertrouwelijkheid

2 aanvullende beheersingsmaatregelen

Privacy[1]

Nvt.

 

[1] De beheersingsdoelstellingen en -maatregelen t.a.v. privacy in SOC2 zijn gebaseerd op Amerikaans recht en kunnen niet gebruikt worden in Europa. Als alternatief wordt een selectie van de normen uit het Privacy Control Framework van de NOREA toegevoegd.

Hoe kies je de juiste SOC 2 kwaliteitsaspecten?

Zoals aangegeven is Beveiliging een verplicht onderdeel van een SOC 2 rapport.

Beschikbaarheid is het tweede meest gekozen kwaliteitsaspect voor een SOC 2 onderzoek.  Aangezien de meeste serviceorganisaties een uitbestede dienst verstrekken aan hun klant, ligt de beschikbaarheid hiervan vaak contractueel vast doormiddel van zogenaamde Service level Agreements (SLA’s). Hierom is het kwaliteitsaspect Beschikbaarheid een zeer interessante om mee te nemen in een SOC 2 onderzoek.

Als de serviceorganisatie transacties voor zijn klanten verwerkt, dus data manipuleert en genereert, is het kwaliteitsaspect de Integriteit van verwerking relevant. Dit geeft de zekerheid dat de gegevens op een juiste, volledige, tijdige en geautoriseerde manier worden verwerkt. 

De laatste twee principes zijn Vertrouwelijkheid en Privacy. De principes lijken op elkaar omdat ze beiden betrekking hebben op de informatie die ‘in’ het systeem zit. Het verschil is dat het privacy principe alleen betrekking heeft op persoonsgegevens. Verwerkt de serviceorganisatie vertrouwelijke informatie en zijn er specifieke afspraken gemaakt met de opdrachtgever over de beveiliging van deze data? Dan is het vertrouwelijkheidsprincipe interessant.

Indien de serviceorganisatie (op grote schaal) persoonsgegevens verwerkt voor haar opdrachtgever dan zal met de opdrachtgever over het algemeen een verwerkersovereenkomst zijn afgesloten. In deze overeenkomsten zullen vaak vereiste beheersmaatregelen zijn opgenomen. Een SOC 2 rapport met het onderdeel Privacy kan dienen als een manier om aantoonbaar aan de verwerkersovereenkomst te voldoen.

Onze IT-auditors helpen u kiezen

Het kiezen van de juiste kwaliteitsaspecten die worden meegenomen in een SOC 2 onderzoek is een belangrijk proces. Onze IT-auditors (RE’s) hebben jarenlange ervaring met SOC 2 trajecten bij IT-serviceorganisaties en zijn goed op de hoogte over welke principes men het best kan toepassen in een bepaalde situatie.  Wij zullen u dan ook begeleiden bij kiezen van de juiste principes voor uw SOC 2 audit.