SOC 2 - Identity Management | Tools4ever
SOC 2 header

SOC 2

Wat is SOC 2?

SOC 2 staat voor Service Organization Control 2 en is een raamwerk voor audits van de informatiebeveiliging en databeheer binnen serviceorganisaties. Zwaartepunt ligt daarbij op het beheer en de beveiliging van de klantgegevens. Het SOC 2 raamwerk is ontwikkeld door de het Institute of Certified Public Accountants (AICPA) en richt zich op vijf gebieden:

  • Beveiliging
  • Beschikbaarheid
  • Verwerkingsintegriteit
  • Vertrouwelijkheid
  • Privacy

De aanleiding van SOC 2 ligt in het feit dat steeds meer organisaties het verzamelen, de opslag en de verwerking van persoonsgegevens uitbesteden aan dienstverleners binnen de cloud. Dat varieert van bijvoorbeeld Microsoft 365 waarin de office bestanden in de cloud worden opgeslagen, tot medische toepassingen die patiëntgegevens van zorginstellingen online bewaren en verwerken.

Als opdrachtgever blijf je echter verantwoordelijk voor wat er met die data gebeurt. De Algemene Verordening Gegevensbescherming (AVG) geeft duidelijke richtlijnen over welke persoonsgegevens je mag laten verwerken, in welke gevallen en met welk doel. Ook zijn er regels over wanneer en hoe je personen toestemming moet vragen en welke rechten particulieren hebben om hun opgeslagen gegevens in te zien en desgewenst te laten verwijderen. En tenslotte zijn er richtlijnen voor de maatregelen die je als organisatie moet nemen om alle persoonsgegevens goed te beveiligen tegen onrechtmatig gebruik.

Dit betekent dat als je een contract afsluit met een cloud aanbieder je zeker wil weten dat je gegevens veilig zijn en dat de provider het hele databeheer en de -beveiliging van begin tot eind op orde heeft. Niet alleen technisch maar ook procesmatig en organisatorisch. Die zekerheid biedt een SOC 2 verklaring. Bij een SOC 2 audit beoordeelt een gecertificeerde auditor de interne maatregelen van de dienstverlener voor het beheer van de IT-omgeving en alle data.

Waarom is SOC 2 belangrijk?

Omdat je als organisatie verantwoordelijk blijft voor je gegevensbeheer kan de impact enorm zijn als door je dienstverleners fouten worden gemaakt:

  • Dat begint met de enorme boetes die de Autoriteit Persoonsgegevens (AP) en andere Europese privacy waakhonden kunnen uitdelen als iemand zich niet aan de richtlijnen houdt en bijvoorbeeld een datalek veroorzaakt. De boetes kunnen zelfs oplopen tot 20 miljoen euro of 4% van iemands wereldwijde jaaromzet.
  • Los daarvan kunnen klanten schadeclaims indienen bij datalekken en al helemaal als blijkt dat organisaties hun databeheer niet op orde hebben.
  • Dit kan bovendien ernstige schade toebrengen aan je reputatie in de markt. Ook hier geldt: vertrouwen komt te voet en gaat te paard.

Natuurlijk kan een organisatie proberen zulke schade terug te halen bij de dienstverlener die de zaakjes niet op orde heeft maar of dat lukt blijft altijd de vraag. Overigens betekent een SOC 2 verklaring niet dat er nooit iets kan misgaan rondom je databeheer, maar het helpt je wel om aan te tonen dat je al het mogelijke hebt gedaan om problemen te voorkomen.

compliance worden SOC 2

Compliance worden met SOC 2

Maar hoe word je SOC 2 compliant? SOC 2 compliance houdt in dat je als serviceorganisatie een audit laat uitvoeren door een organisatie die gecertificeerd is om zulke SOC 2 audits uit te voeren. De auditresultaten worden vastgelegd in een SOC2 assurance-verklaring. Daarvoor zijn naast de informatiebeveiliging ook – afhankelijk van de afgesproken scope – de beschikbaarheid van de data, de integriteit, de vertrouwelijkheid en de privacy maatregelen beoordeeld. Dit gebeurt conform de SOC 2 richtlijnen, uitgegeven door het Assurance Services Executive Committee (ASEC) van de AICPA. Als dienstverlener kun je het SOC 2 audit rapport delen met je bestaande en potentiële klanten zodat zij je dienstverlening zelf goed kunnen beoordelen.

Een service organisatie kan daarbij kiezen uit twee type SOC 2 certifications:

  • Een SOC 2 Type I onderzoek beoordeelt de opzet van het IT-servicesysteem en de ingestelde beheermaatregelen. Dit gebeurt onder andere aan de hand van de documentatie, interviews, observaties en steekproeven.
  • Een SOC 2 Type II onderzoek is uitgebreider want niet alleen wordt het beheersysteem beoordeeld (zoals bij Type I), maar ook de daadwerkelijke implementatie, werking en de resultaten van de toegepaste beheersmaatregelen.

Bij zo’n SOC 2 Type II audit beoordeel je dus echt de effectiviteit van het beheersysteem. Er moet dan ook jaarlijks een nieuwe audit worden uitgevoerd om te kijken of het systeem de afgelopen periode goed heeft gefunctioneerd en of de beheermaatregelen effectief waren.

Wat zijn de voordelen van SOC 2?

Het voordeel van SOC 2 is dat zo’n gedegen standaard audit alle betrokken partijen inzicht geeft over de kwaliteit van de IT dienstverlening. Als klant hoeft je dus niet zelf een uitgebreide audit uit te laten voeren. In plaats daarvan kun je je beperken tot het beoordelen van de SOC 2 auditresultaten. Voor dienstverleners is het dus een enorm voordeel zo’n SOC 2 auditrapport te kunnen tonen.

Bovendien geeft zo’n audit de dienstverlener volop leerpunten om het eigen beheersysteem en de processen verder te kunnen verbeteren. Je bent als organisatie volledig ‘in control’ en dat toon je ook duidelijk naar je klanten.

ISO 27001 vs SOC 2

Als we de vergelijking ISO 27001 vs SOC 2 maken, zien we dat een SOC 2 rapportage een duidelijk aanvulling is op een ISO 27001 certificaat. Onder andere omdat SOC 2 breder kijkt dan alleen beveiliging, en het assurance-rapport veel inzicht geeft over de organisatie, middelen en processen. Een SOC 2 auditrapport wordt ook meer ingezet om bedrijfscontinuiteit te kunnen aantonen door het in control zijn.

Tools4ever SOC 2 auditverklaring

Tools4ever is een moderne IAM cloud dienstverlener. Onze HelloID oplossing is een Identity-of-a-Service (IDaaS) oplossing waarmee organisaties hun IAM functionaliteit volledig vanuit de cloud kunnen afnemen. Tools4ever verzorgt het beheer en de doorontwikkeling van het platform en klanten kunnen zich zo volledig richten op het gebruik van de functionaliteit. Tools4ever gebruikt daarbij een SOC 2 audit om de kwaliteit van die cloud dienstverlening aan te tonen.

We hebben de HelloID cloud dienstverlening laten beoordelen met een SOC 2 Type II audit door auditors van Brand Compliance. Met het assurance-report tonen we de kwaliteit van onze dienstverlening aan. De auditrapportage omvat de volledige cloud dienstverlening, het leveranciersbeheer, de processen voor softwareontwikkeling, de interne corporate governance en risicobeheerprocessen. Je vindt hier meer over onze Tools4ever SOC 2 Type II auditverklaring.

SOC 2 Type 2 betekent dat niet alleen het IT beheersysteem op zichzelf is beoordeeld, maar dat ook de implementatie en effectiviteit ervan gedurende een langere periode. Een SOC 2 Type 1 audit beoordeelt dus primair of een beheersysteem kán werken, een SOC 2 Type 2 beoordeelt of dat beheersysteem de afgelopen periode ook daadwerkelijk effectief was.

ISO 27001 focust op de informatiebeveiliging binnen allerlei organisaties. SOC 2 heeft een wat bredere scope (IT beheer als geheel) maar is wel specifiek bedoeld voor IT cloud- en dienstverleners. Anders dan ISO 27001 ontvang je bij een positieve SOC 2 audit niet een certificaat maar ontvang je een uitgebreide rapportage die met klanten kan worden gedeeld.

ISAE staat voor International Standard for Assurance Engagements en is een auditstandaard voor rapportage over beheersing van uitbestede processen. Een ISAE 3402 type 2 rapportage gaat in op hoe de dienstverlener risico’s beheerst over uitbestede processen. Het toetsingskader wordt daarbij gevormd door de uitbesteding en de financiele processen. Bij een SOC 2 rapportage wordt het toetsingskader niet gevormd door de uitbesteding, maar juist door informatiebeveiliging. SOC 2 rapportages richten zich dus niet op financiële processen, maar juist op Trust Services Criteria als security, availability, confidentiality, processing integrity en privacy in een serviceorganisatie.

Nee, SOC 2 compliance is niet verplicht maar wel erg nuttig voor IT cloud- en dienstverleners. Zij kunnen (potentiële) afnemers van hun diensten eenvoudig inzicht geven in de kwaliteit van hun dienstverlening, zonder dat iedere klant een eigen audit hoeft te laten uitvoeren.