Wat is een SOC 2 rapport?

Een SOC 2 rapport is een onafhankelijk assurance-rapport dat aantoont dat een organisatie voldoet aan de Trust Services Criteria van de AICPA op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Er zijn twee typen: Type I (opzet op een moment) en Type II (werking over een periode van minimaal 6 maanden).

Wat is het verschil tussen ISAE 3402 en SOC 2?

ISAE 3402 is een internationale standaard gericht op uitbestede processen en financiële verslaggeving, terwijl SOC 2 breder kijkt naar IT-beveiliging en -beheer. ISAE 3402 wordt vaak gevraagd door Europese klanten en accountants, SOC 2 is de standaard in de internationale markt. Beide kennen Type I en Type II varianten.

Wat houdt een DigiD assessment in?

Een DigiD assessment is een verplichte jaarlijkse ICT-beveiligingstoets voor organisaties die DigiD gebruiken als authenticatiemiddel. De toetsing is gebaseerd op de ICT-beveiligingsrichtlijnen van Logius en moet worden uitgevoerd door een onafhankelijke auditor.

Wat is ISO 27001 en waarom is het belangrijk?

ISO 27001 is de internationale standaard voor informatiebeveiliging. Het biedt een framework voor het opzetten en onderhouden van een Information Security Management System (ISMS). Implementatie helpt organisaties om risico's te beheersen, klantvertrouwen te vergroten en te voldoen aan wet- en regelgeving zoals de AVG en NIS2.

Wat is NIS2 en welke organisaties vallen eronder?

NIS2 is de Europese richtlijn voor netwerk- en informatiebeveiliging die in 2024 van kracht is geworden. De richtlijn geldt voor essentiële en belangrijke entiteiten in sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur en ICT-dienstverlening. Organisaties moeten passende beveiligingsmaatregelen nemen en incidenten melden.

Wat is DORA en voor wie geldt het?

DORA (Digital Operational Resilience Act) is een Europese verordening die de digitale weerbaarheid van de financiële sector versterkt. Het geldt voor banken, verzekeraars, beleggingsondernemingen en hun ICT-dienstverleners. DORA stelt eisen aan ICT-risicobeheer, incidentrapportage, testen van digitale weerbaarheid en oversight op kritieke derde partijen.

Wat doet een IT-auditor?

Een IT-auditor beoordeelt onafhankelijk of de IT-systemen, processen en controls van een organisatie effectief zijn ingericht en werken. Dit omvat het toetsen van informatiebeveiliging, IT-governance, compliance aan wet- en regelgeving en de betrouwbaarheid van IT-systemen voor financiële verslaggeving.

Wat is het Secure Audit Platform?

Het Secure Audit Platform is een eigen digitaal auditplatform van Secure Audit, security-by-design gebouwd. Het ondersteunt het volledige auditproces: van werkprogramma en toetsing tot bevindingen, opvolging en rapportage. Klanten kunnen real-time inzicht krijgen in de voortgang en bewijslast digitaal uitwisselen.

Onze diensten

Van IT-audits zoals SOC 2, ISAE 3402 en DigiD tot risicomanagement, compliance met ISO 27001, NIS2 en DORA en praktische ondersteuning bij informatiebeveiliging. Alles onder één dak, vanuit Eindhoven.

Overzicht

Zes disciplines, één partner

IT-audit Services

SOC 2 · ISAE 3402 · ISAE 3000 · DigiD

Compliance Services

GDPR · NIS2 · DORA · ISO 27001 · NEN 7510

Risk Services

Risicobeoordelingen · Interne controle · Toezichthouders

Internal Audit

Interne controle · Risicobeheersing · Onafhankelijke toetsing

Secure Audit Platform

Digitaal audit- en complianceplatform · Veilige omgeving

Security

Vulnerability scans · Pentests · ISO 27001 · IEC 62443

IT-audit Services

SOC 2 · ISAE 3402 · ISAE 3000 · DigiD

Onafhankelijke assurance-rapporten voor serviceorganisaties. Wij bepalen samen welk type rapport past bij jouw situatie en wat jouw klanten of toezichthouders verwachten.

Met een SOC 2-rapport verschaft een serviceorganisatie assurance aan haar klanten over de kwaliteit van de beheersingsmaatregelen die relevant zijn voor de dienstverlening. Het rapport richt zich op de processen en systemen die de serviceorganisatie zelf uitvoert ten behoeve van haar klanten, en geeft inzicht in de mate waarin deze betrouwbaar en gecontroleerd functioneren.

Een SOC 2 Assurance-rapport is gebaseerd op de Trust Services Criteria (TSC) van de AICPA, die zijn onderverdeeld in vijf categorieën: beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy. Het rapport beoordeelt of de controls die door de serviceorganisatie zijn ontworpen en geïmplementeerd, adequaat zijn en (in geval van een type II-rapport) gedurende de beoordelingsperiode effectief hebben gewerkt.

SOC 2 is daarmee een veelgebruikt IT-auditraamwerk voor organisaties die transparantie willen bieden over de wijze waarop zij gevoelige gegevens en bedrijfsprocessen beveiligen en beheren. Het biedt gebruikersorganisaties onafhankelijk inzicht in de opzet, het bestaan en de werking van de relevante IT- en securitycontrols.

Een ISAE 3402-rapport is een onafhankelijke assurance-rapportage door een IT-auditor of accountant, die zekerheid geeft over de opzet, het bestaan en – bij een Type II-rapport – de werking van de beheersingsmaatregelen binnen een serviceorganisatie. Het doel hiervan is om gebruikersorganisaties inzicht te geven in de mate waarin zij kunnen vertrouwen op uitbestede processen die van invloed zijn op hun financiële verslaggeving.

Omdat organisaties steeds vaker (kritische) processen uitbesteden, neemt de afhankelijkheid van de kwaliteit en beheersbaarheid van deze dienstverlening toe. Hoewel de primaire focus ligt op processen die relevant zijn voor de financiële verslaggeving, kan de scope – afhankelijk van de afspraken – ook bredere aspecten omvatten, zoals betrouwbaarheid van primaire processen, informatiebeveiliging, beschikbaarheid en integriteit.

Het rapport biedt daarmee zekerheid over de mate van interne controle bij de serviceorganisatie, zodat gebruikersorganisaties kunnen steunen op deze controls binnen hun eigen accountantscontrole.

ISAE 3000 is een internationaal raamwerk voor assurance-opdrachten die betrekking hebben op niet-financiële processen en beheersingsmaatregelen. Binnen de IT-context wordt dit vaak toegepast op processen zoals change management, incident management, service level management, security management, continuïteitsbeheer en softwareontwikkeling.

Een ISAE 3000-rapport geeft gebruikersorganisaties onafhankelijk inzicht in de mate waarin deze processen zijn ingericht (opzet), daadwerkelijk bestaan en – bij een Type II-rapport – gedurende een periode effectief hebben gefunctioneerd. Dit maakt het mogelijk om aan te tonen dat de organisatie controle heeft over cruciale processen die essentieel zijn voor de kwaliteit en betrouwbaarheid van de dienstverlening, los van de financiële verslaggeving.

ISAE 3000 is daarmee een flexibel en breed toepasbaar assurance-raamwerk, ideaal voor organisaties die zekerheid willen bieden over algemene bedrijfs- en IT-processen die bepalend zijn voor hun dienstverlening.

Veel overheden en zorginstellingen bieden burgers de mogelijkheid om via een online portal in te loggen met DigiD. Daarmee krijgen gebruikers toegang tot persoonlijke gegevens of kunnen zij bijvoorbeeld een verhuizing doorgeven via een digitaal formulier. Omdat DigiD toegang geeft tot privacygevoelige informatie, gelden er strikte beveiligingseisen.

Om aan te tonen dat organisaties deze eisen naleven, is in Nederland de DigiD TPM (Third Party Memorandum) verplicht. Dit jaarlijkse ICT-beveiligingsassessment (audit) moet worden uitgevoerd door een onafhankelijke IT-auditor voor alle organisaties die een DigiD-koppeling hebben (aansluithouders), waaronder gemeenten, zorginstellingen, applicatieleveranciers en hostingpartijen. Het onderzoek bestaat uit een combinatie van een audit en een technische penetratietest.

Het DigiD-normenkader is gebaseerd op de richtlijnen voor webapplicatiebeveiliging van het Nationaal Cyber Security Centrum (NCSC). Het assessment geeft zekerheid over de mate waarin organisaties voldoen aan de gestelde eisen voor informatiebeveiliging en de beveiliging van DigiD-koppelingen.

De DigiD-rapportage bevat een overzicht van de bevindingen per norm en wordt ingediend bij Logius, de beheerder van DigiD. Hiermee krijgen zowel de gebruikersorganisatie als betrokken serviceorganisaties inzicht in eventuele tekortkomingen en verbeterpunten.

Om organisaties optimaal voor te bereiden, biedt Secure Audit ook de mogelijkheid van een pre-audit. Hierbij toetsen wij in hoeverre uw organisatie al voldoet aan het DigiD-normenkader, zodat eventuele tekortkomingen tijdig kunnen worden hersteld voordat het verplichte DigiD-onderzoek plaatsvindt.

Compliance Services

GDPR · NIS2 · DORA · ISO 27001 · NEN 7510

Moet je voldoen aan ISO 27001, NEN 7510, NIS2 of DORA? Wij begeleiden het hele traject: van gap-analyse tot implementatie.

ISO 27001 is de internationale standaard voor informatiebeveiligingsmanagement. Wij begeleiden organisaties bij de volledige implementatie van een Information Security Management System (ISMS) — van gap-analyse en risicobeoordeling tot het opstellen van beleid, procedures en operationele inbedding.

Onze aanpak is pragmatisch: we focussen op wat werkbaar is voor jouw organisatie en zorgen dat het ISMS niet alleen voldoet aan de norm, maar ook daadwerkelijk bijdraagt aan betere informatiebeveiliging.

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Gebaseerd op ISO 27001, maar met aanvullende eisen specifiek voor de verwerking van patiëntgegevens en zorginformatie.

Wij ondersteunen zorginstellingen bij de implementatie van NEN 7510 en de bijbehorende normen NEN 7512 (gegevensuitwisseling) en NEN 7513 (logging). Van beleidsontwikkeling tot operationele implementatie en voorbereiding op audits.

De Algemene Verordening Gegevensbescherming (AVG/GDPR) stelt strenge eisen aan de verwerking van persoonsgegevens. Wij helpen organisaties bij het in kaart brengen van verwerkingsactiviteiten, het uitvoeren van Data Protection Impact Assessments (DPIA's) en het implementeren van passende technische en organisatorische maatregelen.

NIS2 (Network and Information Security Directive) is de Europese richtlijn die hogere eisen stelt aan de cybersecurity van essentiële en belangrijke entiteiten. DORA (Digital Operational Resilience Act) richt zich specifiek op de digitale weerbaarheid van de financiële sector.

Wij ondersteunen organisaties bij het begrijpen van de impact van deze regelgeving, het uitvoeren van gap-analyses en het implementeren van de vereiste maatregelen op het gebied van ICT-risicomanagement, incidentrapportage en weerbaarheidstesten.

Risk Services

Risicobeoordelingen · Interne controle · Toezichthouders

Waar zitten de risico's in jouw IT-landschap? Wij brengen ze in kaart op basis van ISO 27005, NIST of COBIT, toetsen je interne beheersing en adviseren richting toezichthouders als DNB en AFM.

Een gedegen IT-risicobeoordeling is de basis voor effectief risicomanagement. Wij identificeren en analyseren IT-risico's op basis van bedrijfsdoelstellingen, relevante dreigingen en kwetsbaarheden.

Onze methodiek sluit aan bij gangbare frameworks zoals ISO 27005, NIST en COBIT, en wordt afgestemd op de omvang en complexiteit van jouw organisatie. Het resultaat is een helder risicolandschap met geprioriteerde aanbevelingen voor verbetering.

Wij beoordelen de opzet, het bestaan en de werking van interne beheersmaatregelen rondom IT-systemen en processen. Dit omvat onder meer toegangsbeheer, security management, IT-operations en bedrijfscontinuïteit.

De evaluatie levert concrete inzichten op over de effectiviteit van het interne controleraamwerk en identificeert verbeterpunten die direct bijdragen aan een betere beheersing van IT-risico's.

Organisaties in de financiële sector worden steeds intensiever getoetst door toezichthouders als DNB en AFM op hun IT-beheersing en cyberweerbaarheid. Wij ondersteunen bij de voorbereiding op en uitvoering van toezichtonderzoeken.

Daarnaast adviseren wij over de implementatie van relevante wet- en regelgeving, zoals DORA (Digital Operational Resilience Act), en helpen wij organisaties hun IT-risicomanagement op het vereiste niveau te brengen.

Internal Audit

Interne controle · Risicobeheersing · Onafhankelijke toetsing

Versterk de interne beheersing van jouw organisatie. Wij voeren onafhankelijke interne IT-audits uit die processen, systemen en controls objectief toetsen en concrete verbeterpunten opleveren.

Wij beoordelen de effectiviteit van IT-processen, interne controls en informatiebeveiliging vanuit een onafhankelijke positie. Onze audits geven het management en de directie objectief inzicht in de kwaliteit van de interne beheersing.

Van algemene IT-controls (ITGC) en applicatiecontroles tot toegangsbeheer en security management. Wij toetsen wat er toe doet.

Onze interne audits zijn altijd risicogebaseerd. We focussen op de gebieden met de hoogste impact: kritische systemen, gevoelige data en processen waar de meeste risico's liggen. Zo leveren wij bevindingen op die daadwerkelijk waarde toevoegen.

Na afloop ontvang je een helder rapport met bevindingen, risicoclassificaties en concrete aanbevelingen. Via ons platform kun je de opvolging van verbeteracties real-time monitoren.

Secure Audit Platform

Digitaal audit- en complianceplatform · Veilige omgeving

Ons eigen beveiligde auditplatform. Werkprogramma's, bevindingen, bewijslast en communicatie op één plek. Gebouwd met security-by-design: rolgebaseerde toegang, versleutelde opslag en volledige audit trail.

Het platform biedt een volledig digitaal werkprogramma per auditengagement. Controls worden getoetst via gestructureerde werkprogramma's met ingebouwde review- en goedkeuringsflows.

Bevindingen worden centraal vastgelegd met risicoclassificatie en aanbevelingen. De klant kan direct in het platform reageren en de voortgang van verbeteracties bijhouden.

Alle auditdocumentatie wordt centraal beheerd in een gestructureerd dossier. Van planning en scope tot werkpapieren, bewijsstukken en het eindrapport. Het dossier is compliant met de geldende archiveringsverplichtingen.

Real-time communicatie tussen auditor en klant via het ingebouwde berichtensysteem. Informatieverzoeken, documentuitwisseling en statusupdates verlopen allemaal via één centraal platform — geen losse e-mails meer.

Security

Vulnerability scans · Pentests · ISO 27001 · IEC 62443

Hoe veilig is jouw IT-omgeving echt? Wij testen het met vulnerability scans en pentests, en begeleiden bij de implementatie van ISO 27001 en IEC 62443.

Wij voeren geautomatiseerde en handmatige vulnerability scans uit op jouw IT-infrastructuur, webapplicaties en netwerken. Kwetsbaarheden worden geïdentificeerd, geprioriteerd op basis van risico en voorzien van concrete aanbevelingen om ze te verhelpen.

Onze ethische hackers simuleren realistische aanvalsscenario's om de daadwerkelijke weerbaarheid van jouw systemen te testen. Van webapplicaties en API's tot interne netwerken — wij laten zien waar een kwaadwillende binnenkomt en hoe je dat voorkomt.

Wij begeleiden bij de implementatie van beveiligingsstandaarden van gap-analyse tot volledige implementatie en voorbereiding op certificering. Pragmatisch en op maat, zodat jouw organisatie aantoonbaar voldoet aan de normen voor informatiebeveiliging.

Op zoek naar een IT-auditor?

Elke organisatie is uniek. Neem vrijblijvend contact op voor een gesprek over IT-audit, compliance of risicomanagement.

Maak een afspraak Over Secure Audit