SOC 2

Wat is SOC 2?

SOC 2 staat voor Service Organization Control 2 en is een raamwerk voor audits van de informatiebeveiliging en databeheer binnen serviceorganisaties. Zwaartepunt ligt daarbij op het beheer en de beveiliging van de klantgegevens. Het SOC 2 raamwerk is ontwikkeld door de het Institute of Certified Public Accountants (AICPA) en richt zich op vijf gebieden:

• Beveiliging
• Beschikbaarheid
• Verwerkingsintegriteit
• Vertrouwelijkheid
• Privacy

De aanleiding van SOC 2 ligt in het feit dat steeds meer organisaties het verzamelen, de opslag en de verwerking van persoonsgegevens uitbesteden aan dienstverleners binnen de cloud. Dat varieert van bijvoorbeeld Microsoft 365 waarin de office bestanden in de cloud worden opgeslagen, tot medische toepassingen die patiëntgegevens van zorginstellingen online bewaren en verwerken.

Als opdrachtgever blijf je echter verantwoordelijk voor wat er met die data gebeurt. De Algemene Verordening Gegevensbescherming (AVG) geeft duidelijke richtlijnen over welke persoonsgegevens je mag laten verwerken, in welke gevallen en met welk doel. Ook zijn er regels over wanneer en hoe je personen toestemming moet vragen en welke rechten particulieren hebben om hun opgeslagen gegevens in te zien en desgewenst te laten verwijderen. En tenslotte zijn er richtlijnen voor de maatregelen die je als organisatie moet nemen om alle persoonsgegevens goed te beveiligen tegen onrechtmatig gebruik.

Dit betekent dat als je een contract afsluit met een cloud aanbieder je zeker wil weten dat je gegevens veilig zijn en dat de provider het hele databeheer en de -beveiliging van begin tot eind op orde heeft. Niet alleen technisch maar ook procesmatig en organisatorisch. Die zekerheid biedt een SOC 2 verklaring. Bij een SOC 2 audit beoordeelt een gecertificeerde auditor de interne maatregelen van de dienstverlener voor het beheer van de IT-omgeving en alle data.

Waarom is SOC 2 belangrijk?

Omdat je als organisatie verantwoordelijk blijft voor je gegevensbeheer kan de impact enorm zijn als door je dienstverleners fouten worden gemaakt:

• Dat begint met de enorme boetes die de Autoriteit Persoonsgegevens (AP) en andere Europese privacy waakhonden kunnen uitdelen als iemand zich niet aan de richtlijnen houdt en bijvoorbeeld een datalek veroorzaakt. De boetes kunnen zelfs oplopen tot 20 miljoen euro of 4% van iemands wereldwijde jaaromzet.
• Los daarvan kunnen klanten schadeclaims indienen bij datalekken en al helemaal als blijkt dat organisaties hun databeheer niet op orde hebben.
• Dit kan bovendien ernstige schade toebrengen aan je reputatie in de markt. Ook hier geldt: vertrouwen komt te voet en gaat te paard.

Natuurlijk kan een organisatie proberen zulke schade terug te halen bij de dienstverlener die de zaakjes niet op orde heeft maar of dat lukt blijft altijd de vraag. Overigens betekent een SOC 2 verklaring niet dat er nooit iets kan misgaan rondom je databeheer, maar het helpt je wel om aan te tonen dat je al het mogelijke hebt gedaan om problemen te voorkomen.

Compliance worden met SOC 2

Maar hoe word je SOC 2 compliant? SOC 2 compliance houdt in dat je als serviceorganisatie een audit laat uitvoeren door een organisatie die gecertificeerd is om zulke SOC 2 audits uit te voeren. De auditresultaten worden vastgelegd in een SOC2 assurance-verklaring. Daarvoor zijn naast de informatiebeveiliging ook – afhankelijk van de afgesproken scope – de beschikbaarheid van de data, de integriteit, de vertrouwelijkheid en de privacy maatregelen beoordeeld. Dit gebeurt conform de SOC 2 richtlijnen, uitgegeven door het Assurance Services Executive Committee (ASEC) van de AICPA. Als dienstverlener kun je het SOC 2 audit rapport delen met je bestaande en potentiële klanten zodat zij je dienstverlening zelf goed kunnen beoordelen.

Een service organisatie kan daarbij kiezen uit twee type SOC 2 certifications:

• Een SOC 2 Type I onderzoek beoordeelt de opzet van het IT-servicesysteem en de ingestelde beheermaatregelen. Dit gebeurt onder andere aan de hand van de documentatie, interviews, observaties en steekproeven.
• Een SOC 2 Type II onderzoek is uitgebreider want niet alleen wordt het beheersysteem beoordeeld (zoals bij Type I), maar ook de daadwerkelijke implementatie, werking en de resultaten van de toegepaste beheersmaatregelen.

Bij zo’n SOC 2 Type II audit beoordeel je dus echt de effectiviteit van het beheersysteem. Er moet dan ook jaarlijks een nieuwe audit worden uitgevoerd om te kijken of het systeem de afgelopen periode goed heeft gefunctioneerd en of de beheermaatregelen effectief waren.

Wat zijn de voordelen van SOC 2?

Het voordeel van SOC 2 is dat zo’n gedegen standaard audit alle betrokken partijen inzicht geeft over de kwaliteit van de IT dienstverlening. Als klant hoeft je dus niet zelf een uitgebreide audit uit te laten voeren. In plaats daarvan kun je je beperken tot het beoordelen van de SOC 2 auditresultaten. Voor dienstverleners is het dus een enorm voordeel zo’n SOC 2 auditrapport te kunnen tonen.

Bovendien geeft zo’n audit de dienstverlener volop leerpunten om het eigen beheersysteem en de processen verder te kunnen verbeteren. Je bent als organisatie volledig ‘in control’ en dat toon je ook duidelijk naar je klanten.

ISO 27001 vs SOC 2

Als we de vergelijking ISO 27001 vs SOC 2 maken, zien we dat een SOC 2 rapportage een duidelijk aanvulling is op een ISO 27001 certificaat. Onder andere omdat SOC 2 breder kijkt dan alleen beveiliging, en het assurance-rapport veel inzicht geeft over de organisatie, middelen en processen. Een SOC 2 auditrapport wordt ook meer ingezet om bedrijfscontinuiteit te kunnen aantonen door het in control zijn.

Tools4ever SOC 2 auditverklaring

Tools4ever is een moderne IAM cloud dienstverlener. Onze HelloID oplossing is een Identity-of-a-Service (IDaaS) oplossing waarmee organisaties hun IAM functionaliteit volledig vanuit de cloud kunnen afnemen. Tools4ever verzorgt het beheer en de doorontwikkeling van het platform en klanten kunnen zich zo volledig richten op het gebruik van de functionaliteit. Tools4ever gebruikt daarbij een SOC 2 audit om de kwaliteit van die cloud dienstverlening aan te tonen.

We hebben de HelloID cloud dienstverlening laten beoordelen met een SOC 2 Type II audit door auditors van Brand Compliance. Met het assurance-report tonen we de kwaliteit van onze dienstverlening aan. De auditrapportage omvat de volledige cloud dienstverlening, het leveranciersbeheer, de processen voor softwareontwikkeling, de interne corporate governance en risicobeheerprocessen. Je vindt hier meer over onze Tools4ever SOC 2 Type II auditverklaring.