SOC 2 vs ISO 27001: wat past bij jou?

Je bouwt een SaaS-product. Klanten vragen om “security certificering.” De ene vraagt ISO 27001 (de internationale standaard van ISO ), de andere SOC 2 (de Amerikaanse standaard van de AICPA ). Wat is het verschil? Heb je beide nodig? Dit artikel legt het uit.

Het korte antwoord: 80% van de controls zijn hetzelfde. Het verschil zit in geografie (ISO = Europa, SOC 2 = VS), format (certificaat vs rapport), en koststructuur. NOREA (Nederlandse IT-auditors) kan je helpen bij de keuze. Veel bedrijven met internationale ambities kiezen uiteindelijk beide.

Als je Amerikaanse enterprise klanten wilt: SOC 2 is must-have. Als je Europese klanten en tenders doet: ISO 27001 is must-have. Als je beide markten wilt: plan beide in, maar niet tegelijk. Eerst één, dan de ander (scheelt 30-40% werk).

Het korte overzicht

Aspect	SOC 2	ISO 27001
Herkomst	Amerikaans (AICPA)	Internationaal (ISO/IEC)
Geografische voorkeur	VS, Canada, soms UK	Europa, Azië, Midden-Oosten, wereldwijd
Industrie focus	SaaS, cloud, tech services	Alle industrieën
Wat je krijgt	Attestatierapport (vertrouwelijk)	Certificaat (publiek)
Geldigheid	12 maanden (jaarlijks vernieuwen)	3 jaar (met jaarlijkse surveillance)
Kosten eerste jaar	€30k-€80k	€45k-€120k
Doorlooptijd	6-15 maanden	6-18 maanden
Flexibiliteit scope	Kies je Trust Services Criteria	Fixed scope (alle requirements)
Auditor type	CPA-bureaus	Certificerende instanties
Publieke zichtbaarheid	Rapport is NDA-protected	Certificaat publiek, logo usage allowed
Focus	Operational controls over tijd	Management systeem maturity
Heraudit	Jaarlijks volledig	Jaar 2-3: surveillance audits (lichter)

Wat is SOC 2?

SOC 2 is de Amerikaanse standaard voor service-organisaties die data van klanten verwerken. Ontwikkeld door de AICPA, gericht op SaaS, cloud providers, datacenters.

Kern concept: Trust Services Criteria Je kiest uit vijf categorieën (Security verplicht, rest optioneel):

Security (ongeautoriseerde toegang voorkomen)
Availability (systeem beschikbaar houden)
Processing Integrity (data correct verwerken)
Confidentiality (vertrouwelijke info beschermen)
Privacy (persoonlijke gegevens correct behandelen)

Type I vs Type II:

Type I: point-in-time (controls ontworpen op datum X)
Type II: operational effectiveness (controls werkten 3-12 maanden)

Resultaat: Een attestatierapport van 50-150 pagina’s. Je deelt dit alleen met klanten die er om vragen (onder NDA). Geen publiek certificaat, geen logo.

Heraudit: Elk jaar opnieuw volledig. Je rapport is geldig voor de periode die audited is. Na 12 maanden wil je klant een nieuw rapport.

Lees meer over SOC 2

Wat is ISO 27001?

ISO 27001 is de internationale standaard voor Information Security Management Systems (ISMS). Ontwikkeld door ISO/IEC, erkend in 170+ landen, voor alle industrieën.

Kern concept: ISMS = management systeem Je bouwt een systeem om information security te managen:

Policies en procedures
Risk assessment en treatment
Controls uit Annex A (93 controls, je kiest wat relevant is)
Continuous improvement (PDCA-cyclus)

Structuur: 10 hoofdstukken (ISO 27001) + Annex A met controls. Je moet alle hoofdstukken implementeren, maar mag controls uit Annex A excluderen met reden (Statement of Applicability).

Resultaat: Een certificaat dat 3 jaar geldig is. Je mag het ISO 27001 logo gebruiken, het op je website zetten, het in marketing gebruiken. Publiekelijk verifieerbaar.

Heraudit:

Jaar 1: initiële certificatie audit
Jaar 2 en 3: surveillance audits (lichter, checken of je systeem nog werkt)
Jaar 4: recertificatie (volledige audit opnieuw)

Lees meer over ISO 27001

De belangrijkste verschillen

1. Geografische voorkeur

SOC 2: Amerikaans DNA

Ontwikkeld voor VS-markt
Amerikaans enterprise herkent en vertrouwt het
RFPs in VS vragen bijna altijd om SOC 2, zelden om ISO 27001
EU-bedrijven die VS willen betreden: SOC 2 is toegangsbewijs

ISO 27001: Europees/internationaal

Erkend in 170+ landen
EU tenders en overheidsopdrachten: vaak ISO 27001 vereiste
Azië, Midden-Oosten, Latijns-Amerika: ISO 27001 is de norm
Multinationals buiten VS: ISO 27001 familiar

Praktijk: Nederlandse SaaS-startup wil Nederland + VS: begin met ISO 27001 (lokaal), voeg SOC 2 toe zodra Amerikaanse prospects vragen erom. Amerikaans SaaS-bedrijf wil Europa: begin met SOC 2, voeg ISO 27001 toe als je serieus in EU groeit.

2. Certificaat vs Rapport

SOC 2: vertrouwelijk rapport Je krijgt een PDF-rapport. Bevat details over je architecture, controls, findings. Je deelt dit alleen met klanten die er om vragen, onder NDA. Je mag NIET zeggen “we zijn SOC 2 certified” (want het is geen certificaat). Je zegt “we have a SOC 2 Type II report.”

Geen logo, geen public badge. Sommige vendors maken wel badges (“SOC 2 Compliant”), maar officieel bestaat dat niet.

ISO 27001: publiek certificaat Je krijgt een certificaat met nummer, geldigheidsdatum, scope. Dit is publiekelijk verifieerbaar op de website van je certificerende instantie. Je mag het ISO 27001 logo gebruiken in marketing, op je website, in proposals.

Je kunt trots roepen: “We are ISO 27001 certified.”

Marketing impact: ISO 27001 is beter voor marketing en PR. SOC 2 is beter voor deal-specific compliance vragen. Beide hebben waarde, maar andere use cases.

Compromis: sommige bedrijven maken een “SOC 2 attestation badge” voor op hun website, met link naar “request our SOC 2 report.” Officieel geen certificaat, maar wel zichtbaar voor prospects.

3. Scope flexibiliteit

SOC 2: je kiest je criteria Security is verplicht. Daarna kies je: Availability? Confidentiality? Processing Integrity? Privacy? Je scope is: “SOC 2 Type II for Security and Availability.”

Voordeel: je betaalt alleen voor wat relevant is. Nadeel: als klant zegt “wij willen ook Confidentiality zien” en jij hebt alleen Security, moet je opnieuw auditen.

ISO 27001: fixed scope met exclusions Je moet alle 10 hoofdstukken implementeren. Uit Annex A (93 controls) mag je excluderen wat niet relevant is, met onderbouwing. Bijvoorbeeld: je hebt geen fysieke datacenter, dus fysieke security controls zijn not applicable.

Je scope is: “ISO 27001 for [company name] covering [systems/locations].” Alle controls worden bekeken, sommige excluded met reden.

Voordeel: comprehensive, klanten weten wat ze krijgen. Nadeel: je betaalt voor volledige audit ook als 20 controls not applicable zijn.

4. Kosten

SOC 2: €30k-€80k eerste jaar (gemiddeld)

Type I: €15k-€45k
Type II: €30k-€80k
Consultancy: €10k-€30k (optioneel)
Tooling: €5k-€20k
Interne tijd: €20k-€60k

ISO 27001: €45k-€120k eerste jaar (gemiddeld)

Certificatie audit: €25k-€60k (Stage 1 + Stage 2)
Consultancy: €15k-€40k (vaak nodig voor eerste keer)
Tooling: €5k-€20k (kan overlap met SOC 2 tools)
Interne tijd: €30k-€80k
Gap analysis + ISMS opbouw: €10k-€30k

Waarom is ISO 27001 duurder?

Auditors moeten certified ISO auditors zijn (schaarser, duurder)
ISMS-opbouw is uitgebreider (risk assessments, Statement of Applicability, volledige documentatie)
Stage 1 audit (documentatie review) + Stage 2 audit (on-site testing) = twee audit rondes
Certification body fees bovenop audit fees

Heraudit kosten:

SOC 2: €25k-€60k/jaar (50-70% van eerste audit)
ISO 27001: €10k-€25k jaar 2-3 (surveillance), €20k-€45k jaar 4 (recertificatie)

Over 3 jaar: SOC 2 kost €80k-€200k, ISO 27001 kost €70k-€190k. Vergelijkbaar.

5. Doorlooptijd

SOC 2:

Type I: 3-6 maanden
Type II: 6-15 maanden (observatieperiode van 3-12 maanden kan niet sneller)

ISO 27001:

Met consultancy: 6-12 maanden (ISMS opbouw + gap closure + audit)
Zonder consultancy: 9-18 maanden (als je het zelf doet duurt ISMS-opbouw langer)
Observatieperiode: minimaal 3 maanden operational voor Stage 2 audit

Praktijk: SOC 2 Type II en ISO 27001 zijn vergelijkbaar qua doorlooptijd (10-15 maanden). SOC 2 Type I is sneller (4-6 maanden).

6. Auditor type

SOC 2: CPA-bureaus Alleen Certified Public Accountants (CPA’s) mogen SOC 2 audits uitvoeren. In Nederland: accountants met NOREA-ervaring die ISAE 3000/SOC 2 combinatie kunnen doen.

Bekende namen: Deloitte, PwC, EY, KPMG (Big 4), maar ook kleinere bureaus zoals A-LIGN, Schellman, Prescient (US-focused).

ISO 27001: certificerende instanties Alleen geaccrediteerde certification bodies mogen ISO 27001 certificaten uitgeven. In Nederland: geaccrediteerd door Raad voor Accreditatie (RvA).

Bekende namen: Kiwa, TÜV, DNV, BSI, DEKRA, Certiked.

Je kunt NIET je eigen auditor kiezen buiten deze groepen. Dit zorgt voor standaardisatie maar ook voor minder keuzevrijheid.

De overlap: 80% is hetzelfde

Goed nieuws: als je er één hebt, is de stap naar de ander veel kleiner.

Gedeelde controls:

Access management (MFA, RBAC, least privilege)
Network security (firewalls, segmentation)
Encryption (at rest, in transit)
Logging en monitoring
Vulnerability en patch management
Incident response
Change management
Vendor risk management
Employee onboarding/offboarding
Security awareness training
Risk assessments
Business continuity/disaster recovery
Physical security
Backup procedures

SOC 2-specifiek:

Trust Services Criteria framework (je kiest welke)
Type I vs Type II distinction
Observatieperiode evidence met timestamps

ISO 27001-specifiek:

ISMS management framework (PDCA)
Context analysis (internal/external factors)
Statement of Applicability (SoA)
Management review verplicht
Internal audit verplicht (je audited jezelf first)
Interested parties analysis

Van SOC 2 naar ISO 27001: Je hebt 70-80% van de operational controls al. Wat je moet toevoegen: ISMS-framework (policies, risk management, SoA), internal audit process, management review. Schatting: 30-40% van de effort van je eerste SOC 2.

Van ISO 27001 naar SOC 2: Je hebt het ISMS en controls. Wat je moet toevoegen: evidence collection volgens TSC-format, observatieperiode evidence (timed and dated), attestatierapport in plaats van certificaat. Schatting: 30-40% van de effort van je eerste ISO 27001.

Best practice: als je beide wilt, begin met degene die je eerst nodig hebt (volg je klanten). 12-18 maanden later, voeg de ander toe. Kosten voor tweede framework: 30-40% minder dan als je beide tegelijk doet.

Wanneer kies je wat?

Kies SOC 2 als:

✅ Je target Amerikaanse enterprise klanten ✅ Je bent een SaaS, cloud provider, of tech service business ✅ Klanten vragen specifiek om SOC 2 in RFPs ✅ Je wilt snel starten (Type I = 4-6 maanden) ✅ Je wilt flexibiliteit in scope (kies je criteria) ✅ Budget is lager (€30k-€80k voor Type II vs €45k-€120k voor ISO)

Kies ISO 27001 als:

✅ Je target Europese of internationale klanten (buiten VS) ✅ Je doet tenders en overheidsopdrachten in EU ✅ Je wilt een publiek certificaat voor marketing ✅ Je bent niet alleen tech, ook andere industrieën (ISO is breed) ✅ Je wilt 3-jaar geldigheid i.p.v. jaarlijks vernieuwen ✅ Klanten in Azië, Midden-Oosten, of Latijns-Amerika (ISO is norm daar)

Kies beide als:

✅ Je hebt Amerikaanse én Europese enterprise klanten ✅ Je groeit internationaal en wilt beide markten bedienen ✅ Compliance is competitive advantage (grote bedrijven verwachten beide) ✅ Je hebt budget voor €100k-€200k total compliance investment ✅ Je wilt maximaal trust signaling richting alle stakeholders

Gecombineerde aanpak: hoe doe je beide?

Veel bedrijven eindigen met beide. Hoe pak je dat aan zonder dubbel werk?

Scenario 1: ISO 27001 eerst, dan SOC 2

Timing: Jaar 1 ISO 27001, Jaar 2 SOC 2

Proces:

Bouw je ISMS volgens ISO 27001
Implementeer Annex A controls
Krijg ISO 27001 certificaat
6-12 maanden later: start SOC 2
Hergebruik policies, risk assessments, controls
Voeg SOC 2-specifieke evidence collection toe
Kies je Trust Services Criteria (Security + Availability meestal)
Audit en rapport

Besparing: 30-40% op SOC 2 kosten en tijd.

Voordeel: Je hebt eerst een publiek certificaat (ISO) voor marketing terwijl je aan SOC 2 werkt.

Scenario 2: SOC 2 eerst, dan ISO 27001

Timing: Jaar 1 SOC 2, Jaar 2 ISO 27001

Proces:

Start met SOC 2 (sneller, goedkoper)
Implementeer controls volgens Trust Services Criteria
Krijg Type II rapport
6-12 maanden later: start ISO 27001
Hergebruik controls, policies, evidence
Voeg ISMS-framework toe (context analysis, SoA, internal audit, management review)
Stage 1 + Stage 2 audit
Certificaat

Besparing: 30-40% op ISO 27001 kosten en tijd.

Voordeel: Je lost sneller sales blokkades op (SOC 2 Type I = 4-6 maanden), bouwt daarna naar ISO 27001.

Scenario 3: parallel (niet aanbevolen voor eerste keer)

Je kunt beide tegelijk doen, maar het is overwhelmingly:

Dubbele audit processen tegelijk
Twee verschillende auditors, twee verschillende frameworks
Team is verdeeld over beide projecten
Hogere kans op burnout en findings
Geen synergy voordeel (je doet alles dubbel)

Alleen doen als: je hebt al één van beide en wilt de ander toevoegen, of je hebt dedicated compliance team van 3+ mensen.

Praktische voorbeelden

Voorbeeld 1: Nederlandse SaaS-startup (25 mensen)

Situatie: Verkoopt B2B SaaS, primair Nederlandse mkb-klanten, wil naar enterprise in NL + VS.

Advies: Begin met ISO 27001

Nederlandse enterprise is bekend met ISO 27001
Overheidstenders vragen vaak om ISO 27001
Publiek certificaat helpt met marketing in early days
Kosten: €50k-€80k eerste jaar

Als Amerikaanse klanten vragen om SOC 2 (gebeurt bij 2-3 prospects):

Voeg SOC 2 Type II toe in jaar 2
Kosten: €35k-€50k (30% besparing door ISO foundation)
Timing: 6-9 maanden

Voorbeeld 2: Amerikaanse startup met Europese ambities (50 mensen)

Situatie: Verkoopt in VS, wil expansion naar EU, Duitse enterprise klant vraagt om “certificering.”

Advies: SOC 2 Type II behouden, voeg ISO 27001 toe

SOC 2 Type II al behaald voor Amerikaanse klanten
ISO 27001 toevoegen voor EU
Kosten: €40k-€60k voor ISO (40% besparing door SOC 2 foundation)
Timing: 6-10 maanden

Voorbeeld 3: Fintech met internationale ambities (100+ mensen)

Situatie: Betalingsplatform, VS + EU + Azië, gereguleerde industrie.

Advies: Beide frameworks, plus PCI-DSS

SOC 2 Type II voor Amerikaanse financiële instellingen
ISO 27001 voor Europese banken en Aziatische klanten
PCI-DSS omdat je kaartdata verwerkt
Phased: SOC 2 → ISO 27001 → PCI-DSS over 2 jaar
Totaal investment: €200k-€350k over 2 jaar
Synergy: veel controls overlap, scheelt 40-50%

Kosten totaalplaatje over 3 jaar

Scenario	Jaar 1	Jaar 2	Jaar 3	Totaal 3 jaar
Alleen SOC 2	€60k	€45k	€45k	€150k
Alleen ISO 27001	€80k	€15k	€15k	€110k
ISO → SOC 2	€80k	€50k (ISO surveillance + SOC 2 initial)	€60k (beide)	€190k
SOC 2 → ISO	€60k	€55k (SOC 2 heraudit + ISO initial)	€60k (beide)	€175k
Beide tegelijk	€120k+	€65k	€65k	€250k+

Conclusie: ISO 27001 is goedkoper over 3 jaar (surveillance vs jaarlijkse volledige heraudit). Maar SOC 2 heeft lagere entry costs. Beide samen is investment, maar geeft maximale marktbereik.

Veelgestelde vragen

Kan ik met ISO 27001 certificaat SOC 2 skippen?

Hangt van je klant af. Sommige Amerikaanse klanten accepteren ISO 27001 als equivalent. Maar veel Amerikaanse procurement departments hebben SOC 2 hardcoded in hun vendor risk frameworks. Je komt er dan niet onderuit.

Kan ik met SOC 2 rapport ISO 27001 skippen?

Zelfde verhaal: Europese tenders en overheidsopdrachten vragen vaak expliciet om ISO 27001 certificaat. SOC 2 is onbekend voor veel EU-procurement mensen.

Wat is makkelijker?

SOC 2 Type I is snelste en goedkoopste om te starten. ISO 27001 is comprehensive maar duurt langer. Beide zijn serieuze projecten die 6-15 maanden duren voor eerste keer.

Kan ik beide met dezelfde tooling doen?

Ja, compliance platforms zoals Vanta, Drata, Secureframe ondersteunen beide frameworks. Je betaalt €10k-€25k/jaar voor beide samen (vs €8k-€18k voor alleen SOC 2).

Moet ik verschillende consultants inhuren?

Niet persé. Veel consultants doen beide (ISO 27001 én SOC 2). Check hun ervaring met beide frameworks. Als ze beiden kennen, kunnen ze maximale synergy creëren.

Samenvatting: de pragmatische keuze

Voor Nederlandse/Europese SaaS: Start met ISO 27001. Voeg SOC 2 toe als Amerikaanse klanten erom vragen.

Voor Amerikaanse startups: Start met SOC 2. Voeg ISO 27001 toe als je serieus internationaal groeit.

Voor enterprise/fintech/healthcare met globale ambities: Plan beide in vanaf het begin, maar sequenced (eerst één, dan de ander). Dit maximaliseert synergy en spreidt investering.

Voor serie-entrepreneurs die al meerdere bedrijven hebben gebouwd: Waarschijnlijk heb je al ervaring met één van beide. Begin met wat je kent, voeg de ander toe als je team groot genoeg is (50+ mensen) om beide te onderhouden.

Red flag: als een consultant zegt “je hebt beide nodig vanaf dag 1” zonder te vragen naar je klanten, target market, of budget. Beide frameworks zijn valuable, maar niet iedereen heeft beide nodig. Volg je klanten, niet een consultant’s revenue target.

Meer informatie

SOC 2 hoofdpagina – Alles over SOC 2
ISO 27001 hoofdpagina – Alles over ISO 27001
SOC 2 kosten – Gedetailleerde kosten
ISO 27001 kosten – Gedetailleerde kosten
ISO 27001 vs andere normen – Bredere vergelijking