Artikel:

SOC 2+®: Bereik efficiëntie met slechts één assurance-rapportage

01 juni 2021

Door toenemende uitbesteding en een steeds grotere afhankelijkheid van IT binnen bedrijven wordt de vraag naar zekerheid omtrent de dienstverlening van service organisaties groter en groter. Aan welke vragen moet en kan een service organisatie voldoen tegen acceptabele kosten? Ziet u door de bomen het bos niet meer door de diverse audits en hieruit voortkomende certificeringen en rapportages? SOC 2+® kan hiervoor een uitkomst bieden.

Toenemende vraag naar zekerheid

ISO 27001, een ISAE rapportage, privacy certificering, PCI-DSS, HIPAA: zomaar een greep uit de grote hoeveelheid beschikbare certificeringen en assurance rapportages waar vraag naar is vanuit service organisaties. In de huidige tijd waarin enerzijds de uitbesteding van IT toeneemt en anderzijds het belang van een veilige IT-omgeving steeds urgenter wordt voor eindgebruikers en maatschappij, groeit de vraag naar zekerheid omtrent de dienstverlening van service organisaties. Vragen hieromtrent worden breder en komen uit verschillende hoeken, zoals de toezichthouder of de externe accountant, of een security of privacy officer. Door deze groeiende vraag naar zekerheid op basis van allerlei verschillende standaarden en normenkaders neemt de investering voor service organisaties om aan deze vraag te voldoen toe, zowel in tijd als kosten.

Vaak worden vereisten ten aanzien van certificeringen en assurance-rapportages opgenomen in de contracten met afnemers. Denk bijvoorbeeld aan een IT dienstverlener die de verplichting heeft om ieder jaar een SOC 2 assurance audit te doorlopen. Steeds vaker wordt echter gevraagd naar aanvullende details op basis van andere frameworks. Binnen veel sectoren spelen immers zekerheidsvragen op specifieke branche-gerelateerde thema’s. Zo opereren financiële instellingen in een andere omgeving dan bijvoorbeeld zorginstellingen en is hun (omgang met) data onderhevig aan specifieke wet- en regelgeving. Op basis van deze eisen wordt vaak om aanvullende zekerheid gevraagd.  Voorbeelden hiervan zijn ISO27001, het DNB Toetsingskader Informatiebeveiliging, HITRUST, NIST en HIPAA. 

Overload aan rapportages of één single source of trust?

De vraag die al snel opkomt is of u aan al deze compliance vragen kunt voldoen. 
In de meeste gevallen wordt voor de verschillende frameworks een afzonderlijke rapportage uitgegeven, aangezien niet alle frameworks dezelfde eisen stellen aan bijvoorbeeld de diepgang van de toetsing of de auditor die het certificaat of de rapportage mag uitgeven. Dit is een tijdrovende en kostbare klus, voor zowel de serviceorganisatie als de auditor. Bij BDO krijgen wij van onze klanten dan ook steeds vaker de vraag of rapportages niet gecombineerd kunnen worden. Daarop is nu een antwoord: SOC 2+®.

SOC 2+® maakt het mogelijk om te rapporteren op basis van verschillende frameworks in één rapportage. Door de frameworks en standaarden waarover gerapporteerd dient te worden te combineren tot één rapportage, kunnen significante schaalvoordelen behaald worden. Vaak is overlap mogelijk in controls, die invulling kunnen geven aan meerdere frameworks. Door slim om te gaan met de verschillende vereisten vanuit de frameworks en de maatregelen die daar invulling aan geven, kunnen alle vragen vanuit afnemers middels één rapport beantwoord worden: een Single Source of Trust.

Hoe kan SOC 2+® toegepast worden?

De basis voor de SOC 2+® rapportage ligt in de algemene SOC 2 rapportage die specifiek is bedoeld voor IT service organisaties om in algemene zin te rapporteren op de deelgebieden security, availability, confidentiality, processing integrity en/of privacy. Deze SOC 2 rapportage kan worden uitgebreid naar een SOC 2+® rapportage door hier de toetsing op basis van andere frameworks aan toe te voegen. In de rapportage zal daarmee door de auditor een oordeel worden gevormd over zowel de SOC 2 criteria, als de criteria van de aanvullend toegevoegde frameworks.

Voor een aantal frameworks heeft de AICPA (American Institute of Certified Public Accountants – de nationale organisatie van accountants in Amerika) zelfs al een mapping gemaakt en de overlap met andere frameworks geïdentificeerd, wat integratie van verschillende frameworks nog makkelijker maakt. Doordat alle maatregelen in één rapport geïntegreerd worden, kunnen ook de werkzaamheden door een auditor efficiënter uitgevoerd worden; dubbele toetsing voor verschillende rapportages is niet langer nodig.

Ter illustratie: cloud applicaties hebben vaak gebruikers uit diverse branches waardoor er verschillende typen data worden opgeslagen in de applicatie. Denk bijvoorbeeld aan een document management systeem waarvan zowel bedrijven uit de profitsector, zorginstellingen en financiële instellingen gebruik maken. Om deze gebruikers zekerheid te geven rondom de uitbesteding laat de service organisatie ieder jaar een SOC 2 audit uitvoeren op het gebied van Security, Availability en Privacy. Zij ontvangen echter ook regelmatig de vraag naar een ISO 27001 certificering, moeten zij voldoen aan PCI-DSS (de Payment Card Industry Data Security Standard is een informatiebeveiligingsstandaard voor organisaties die betrokken zijn bij de opslag, verwerking en/of verzending van kaarthoudergegevens) en HIPAA (de Health Insurance Portability and Accountability Act is Amerikaanse wetgeving voor de gezondheidssector).

In plaats van deze vier audits apart te laten uitvoeren, resulterend in 4 rapporten en/of certificaten, kan de service organisatie ervoor kiezen om een SOC 2+® audit te laten uitvoeren. Het resultaat van deze audit is één SOC 2+® rapportage, waarin de volgende zaken zijn opgenomen:

  • De SOC 2 Trust Services Criteria rondom Security, Availability en Privacy;
  • Een mapping van deze Trust Services Criteria met de ISO 27001 standaard;
  • PCI-DSS vereisten;
  • Compliance met de HIPAA wet- en regelgeving.

De toetsing vindt plaats op basis van één integrated control framework waarmee aan alle genoemde standaarden invulling wordt gegeven. Een aanzienlijk efficiëntere manier van aantonen dat aan alle standaard en wordt voldaan.

Meer weten?

Benieuwd wat SOC 2+® voor uw organisatie kan betekenen of interesse in een SOC 2+® rapportage? Neem gerust vrijblijvend contact met ons op. Wij gaan graag het gesprek met u aan.