Skip to the content

Informatiebeveiliging SOC2

Steeds meer bedrijven maken gebruik van IT-serviceorganisaties voor de geautomatiseerde gegevensverwerking. Gezien het toenemende belang van informatiebeveiliging gaan steeds meer bedrijven aan diezelfde serviceorganisaties vormen van assurance vragen. Hierdoor ontstaat een groeiende behoefte aan een rapportageformat specifiek voor IT-serviceorganisaties.

IT-serviceorganisatie

Een SOC2 rapportage is bedoeld voor IT-serviceorganisaties die het verzamelen, bewerken en versturen van (persoonlijke) informatie van derden voor hun rekening nemen. SOC2 is een afgeleide van de Amerikaanse variant die is opgesteld door AICPA (de Amerikaanse accountants organisatie) waardoor in Nederland de naamgeving Service Organisatie Control rapportage moet worden gehanteerd.

Klanten van de serviceorganisaties kunnen met behulp van een SOC2 rapport toezicht en governance bij de serviceorganisatie beoordelen. Daarnaast is een SOC2 rapportage een kwaliteitsstempel voor de organisatie.

SOC2 rapport

In een SOC2 rapport wordt gerapporteerd over de volgende kwaliteitsaspecten:

  • Beveiliging: Het systeem is beveiligd tegen ongeautoriseerde toegang, gebruik of aanpassing.
  • Beschikbaarheid: Het systeem is beschikbaar voor gebruik zoals aangegeven door de serviceorganisatie of zoals overeengekomen.
  • Integriteit van processen: De processen in het systeem zijn volledig, valide, accuraat, tijdig en geautoriseerd.
  • Vertrouwelijkheid: De informatie is vertrouwelijk zoals overeengekomen.
  • Privacy: Het verzamelen, gebruiken, opslaan en verstrekken en vernietigen van persoonlijke informatie is in overeenstemming met het privacy beleid van de gebruikende entiteit en met andere criteria.

Adequate beheersingsmaatregelen

Met een SOC2 rapport kan een IT-serviceorganisatie aantonen dat het adequate interne beheersingsmaatregelen heeft ingericht, voldoet aan alle richtlijnen en dus bekwaam en betrouwbaar is.

Een SOC2 rapportage omschrijft tot in detail aan welke richtlijnen wordt voldaan. Het is voor de klant inzichtelijk welke systemen en processen voldoen aan de SOC2 richtlijnen. Hiermee kan een klant volledig steunen op dit keurmerk.

Onderdelen SOC2 rapportage

Een SOC2 rapportage bestaat uit de volgende onderdelen:

  • Sectie I: Vermelding van het management
  • Sectie II: Assurance-rapport van de onafhankelijke auditor
  • Sectie III: Beschrijving van het systeem door de serviceorganisatie
  • Sectie IV: Gehanteerde beginselen en criteria en de door de auditor gevoerde testwerkzaamheden inclusief de uitkomst daarvan (optioneel bij een type I rapport)
  • Sectie V: Overige informatie verschaft door de serviceorganisatie die niet is onderzocht door de auditor (optioneel)

Contact

Vragen over IT beveiliging, privacy, AVG, autorisaties in Dynamics NAV of iets anders? Wij helpen u graag.