Skip to the content

SOC2 rapportages

Bij SOC2 wordt er onderscheid gemaakt in een Type 1 en Type 2 verklaring.

Bij de SOC2 Type 1 Assurance wordt gekeken naar de manier waarop de organisatie van plan is haar processen en controles te laten verlopen. Tijdens deze audit wordt het bestaan van procedures en controles getoetst.

Het vervolg op het SOC2 Type 1 rapport is een SOC2 Type 2 Assurance. Bij SOC2 Type 2 Assurance wordt getoetst of er ook daadwerkelijk is gewerkt volgens de vastgestelde procedures en controles. Om een SOC2 Type 2 verklaring te kunnen behouden vindt een jaarlijks terugkerende audit plaats, waarbij gekeken wordt of de betreffende organisatie heeft voldaan aan de afgesproken processen en controles gedurende het voorgaande boekjaar. Een SOC2 Type 2 rapport geeft bestaande en potentiële klanten inzicht in de kwaliteit van de IT-services die IT-service organisaties bieden aan hun gebruikers.


Richtlijnen voor uitingen over SOC2

Vanuit de beroepsvereniging van IT-auditors (NOREA) zijn er strenge richtlijnen over de marketinguitingen die ten aanzien van een SOC2 rapport mogen worden gedaan. Algemene kwaliteitsuitingen uitingen zoals ‘wij beschikken over een systeem van interne beheersing van hoge kwaliteit’ mogen niet.

Wij beseffen dat het rapport niet alleen een assurance, maar ook commerciële waarde heeft. Daarom hebben wij deze richtlijnen voor uiting over SOC2 opgesteld:

    • Op de home pagina of in brieven naar klanten of potentiële klanten mag het bijgevoegd logo worden gepresenteerd.
    • Hierbij MOET altijd een verwijzing (hyperlink) worden gemaakt naar de toelichtende tekst op uw website. Bij uitingen in documenten de URL van onderstaande tekst toevoegen.
    • Het logo of de tekst mogen NIET worden gepresenteerd bij uitingen die niets met de scope van het rapport te maken hebben. Bijvoorbeeld bij offertes of teksten voor een heel ander product dat u aanbied. Of op de website van een andere werkmaatschappij dan waaraan het rapport is uitgebracht.
    • Het logo mag niet worden aangepast.


Een SOC2 rapport heeft een specifieke scope en kan mogelijkerwijs beperkingen bevatten. Indien u klant bent bij het bedrijf dat onderstaande logo's voert doet u er verstandig aan het rapport op te vragen bij het betreffende bedrijf, zodat u zelf een oordeel kan vormen over de zaken die voor u van belang zijn. Let u hierbij op:

  • Paragraaf 'Scope en reikwijdte'. Hier vind u ook de periode waarop het rapport betrekking heeft.
  • Paragraaf 'Object van onderzoek'. Hier ziet u wat gecontroleerd is.
  • Paragraaf 'beperkingen'. Hier ziet u eventueel maatregelen waaraan op het moment van audit niet is voldaan. Met deze toelichting kunt u beoordelen of dit voor u relevant is.
  • Paragraaf 'van toepassing zijnde beginselen'. Hier leest u welke criteria zijn gecontroleerd.
SOC2 Type 1 verklaring 2-Control
SOC2 Type 2 verklaring 2-Control

Kwaliteit van uw informatiebeveiliging aantoonbaar maken?

Wilt u ook een SOC2 verklaring om de kwaliteit van uw informatiebeveiliging aan te tonen? Neem dan vandaag nog contact met ons op.