Trust Services Criteria uitgelegd

SOC 2 in het kort

Trust Services Criteria uitgelegd verklaart SOC 2 voor Europese SaaS: attestatierapport van een CPA over Trust Services Criteria (security vaak leidend). ISO 27001 is een certificaat op een ISMS — ander bewijs, andere markt.

Type I vs Type II

Type I is ontwerp op een moment; Type II is werking over een periode (vaak 6–12 maanden). Enterprise-klanten vragen meestal Type II.

Evidence en combineren met ISO

Map TSC-controls naar je ISO SoA en risicoregister. Deel logging, access reviews en change records — vermijd dubbele policies. Gebruik één evidence-map met tags per framework.

Veelgemaakte fouten

SOC 2 rapport als ISO verkopen; geen periode voor Type II; evidence in persoonlijke drives; vendor questionnaires handmatig zonder register.

Controlelijst

• Kies Type I of II
• Map TSC ↔ ISO controls
• Gedeelde evidence-map
• Readiness scan vóór audit
• Contracten en vragenlijsten koppelen

Praktische vervolgstap

Voor Trust Services Criteria helpt ISO Ready om acties, bewijs, risico’s en leveranciers in één lijn te houden richting audit of toezicht. Start met de readiness-scan op iso-ready.nl.

Geen certificeringsgarantie — je houdt eigenaarschap op scope, risico’s en besluiten.

Verdieping in dit cluster

• Soc 2 Uitleg
• Soc 2 Type 1 Vs Type 2
• Soc 2 Evidence Verzamelen
• Iso 27001 Vs Soc 2
• Iso Audit Bewijsvoering
• Business Continuity Iso

Gerelateerde kennisclusters

• ISO audit: bewijsvoering
• Business continuity
• DORA compliance