SOC 2 vs SOC 1: wat is het verschil?

Je hebt gehoord over SOC 2. Dan zegt iemand: “Wacht, er is ook SOC 1?” Ja. En ze zijn fundamenteel verschillend. Dit artikel legt uit welke je nodig hebt.

Het korte antwoord: SOC 1 is voor service-organisaties die financiële rapportage van klanten beïnvloeden (payroll, billing). SOC 2 is voor IT security en operational controls. Voor de meeste tech-bedrijven is SOC 2 relevant, niet SOC 1.

If je klanten zijn andere bedrijven die jouw dienst gebruiken voor hun financial reporting (denk: payroll processor, billing platform), heb je SOC 1 nodig. If je SaaS, cloud, or IT services aanbiedt, heb je SOC 2 nodig. Sommige bedrijven hebben beide.

Wat is SOC 1?

Volledige naam: SOC 1 Report on Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting

Focus: Financial reporting controls

Doel: Als jouw dienst impact heeft op je klant’s financial statements, moet je bewijzen dat je controls correct zijn zodat je klant kan vertrouwen op hun cijfers.

Standard: SSAE 18 (US) of ISAE 3402 (international)

Voorbeeld: Je bent een payroll service provider. Je procest salaries voor je klanten. Als jij een fout maakt (verkeerde bedrag, verkeerd tijdstip), heeft dat directe impact op je klant’s financial reporting (salaries zijn expense op hun P&L).

Je klant’s accountant vraagt: “Hoe weten we dat jouw payroll processing correct is?” Antwoord: “Hier is ons SOC 1 rapport.”

Wat is SOC 2?

Volledige naam: SOC 2 Report on Controls at a Service Organization Relevant to Trust Services Criteria

Focus: IT security, availability, processing integrity, confidentiality, privacy

Doel: Bewijzen dat je IT-controls op orde zijn, data veilig is, systemen beschikbaar zijn, etc.

Standard: Trust Services Criteria (AICPA)

Voorbeeld: Je bent een SaaS CRM platform. Klanten stoppen hun customer data in jouw systeem. Ze vragen: “Is onze data veilig? Is jullie systeem beschikbaar? Kunnen jullie onze data niet zien?”

Antwoord: “Hier is ons SOC 2 Type II rapport.”

De belangrijkste verschillen

Aspect	SOC 1	SOC 2
Focus	Financial reporting controls	IT security & operational controls
Criteria	ICFR (Internal Control over Financial Reporting)	Trust Services Criteria (5 categorieën)
Relevant voor	Services die financiële impact hebben	Services met IT/data/security focus
Typische users	Payroll, billing, transaction processing	SaaS, cloud, IT services, datacenters
Wat wordt getest	Controls die financial accuracy beïnvloeden	Security, availability, confidentiality, etc.
Auditor focus	Financial statement relevance	IT general controls + application controls
Report users	Client’s auditors (meestal)	Broad audience (procurement, compliance, customers)

SOC 1 in detail

Wie heeft SOC 1 nodig?

Payroll processors:

ADP, Paychex, etc.
Je procest salarisbetalingen, belastingen, benefits
Impact: salaries expense, tax liabilities op client financial statements

Billing and invoicing platforms:

Je verwerkt billing voor je klanten
Je genereert invoices, procest payments
Impact: revenue recognition, accounts receivable

Claims processing:

Insurance claims, healthcare claims
Impact: liabilities, expenses

Transaction processing:

Payment processors (debit/credit card processing)
Impact: revenue, cash flow

Fund administrators:

Mutual funds, hedge funds
Calculeer NAV (Net Asset Value)
Impact: fund valuation

Wat wordt getest in SOC 1?

Control objectives:

Completeness: Alle transacties zijn verwerkt
Accuracy: Transacties zijn correct verwerkt
Validity: Alleen authorized transacties zijn verwerkt
Timeliness: Transacties zijn on-time verwerkt

Examples van controls:

Reconciliation procedures (input vs output)
Authorization workflows (wie mag transactions goedkeuren)
Error handling (wat gebeurt bij failed transaction)
Exception reporting (transactions buiten normale parameters)

Typisch SOC 1 control: “Company reconciles daily transaction totals between input file and output file. Discrepancies are investigated and resolved within 24 hours. Reconciliation is reviewed and approved by supervisor.”

SOC 2 in detail

(Dit is uitgebreid behandeld op andere pagina’s, hier kort samengevat)

Wie heeft SOC 2 nodig?

SaaS companies: CRM, project management, collaboration tools, analytics platforms

Cloud providers: IaaS, PaaS, hosting, managed services

IT service providers: Managed security, NOC/SOC services, IT outsourcing

Datacenters: Colocation, hosting facilities

Wat wordt getest in SOC 2?

Trust Services Criteria:

Security: bescherming tegen unauthorized access
Availability: system uptime en performance
Processing Integrity: data wordt correct verwerkt
Confidentiality: confidential info beschermd
Privacy: persoonlijke gegevens correct behandeld

Typisch SOC 2 control: “Multi-factor authentication is enforced on all production system access. Access is granted based on role. Quarterly access reviews are performed to verify appropriateness.”

Kun je beide hebben?

Ja, en sommige bedrijven hebben beide nodig.

Example: Payment processor

Je procest credit card payments voor e-commerce bedrijven.

SOC 1: Je moet hebben omdat je transaction processing direct financial impact heeft. Je klanten’s revenue hangt af van jouw correctheid.

SOC 2: Je moet ook hebben omdat je creditcard data verwerkt (security), je systeem moet beschikbaar zijn (availability), en je klanten willen weten dat hun data veilig is.

Example: Payroll + HRIS platform

Je combineert payroll processing met HR management.

SOC 1: Voor payroll component (financial impact) SOC 2: Voor HRIS component (employee data, security, privacy)

Geïntegreerde audit

Je kunt SOC 1 en SOC 2 in één audit laten doen. Veel overlappende controls:

Access management
Change management
Incident response
Backup and recovery

Auditor test deze controls eenmaal, rapporteert ze in beide rapporten.

Kosten: SOC 1 + SOC 2 samen is niet 2x zo duur. Meer zoals 1.3-1.5x door overlap. Als SOC 2 alleen €60k kost, SOC 1+2 samen: €80k-€90k.

Type 1 vs Type 2 (geldt voor beide)

Zowel SOC 1 als SOC 2 hebben Type 1 en Type 2:

Type 1: Point-in-time (controls ontworpen op datum X) Type 2: Operational effectiveness over periode (3-12 maanden)

Enterprise klanten willen meestal Type 2, voor beide types.

Decision tree: welke heb je nodig?

Start hier: Wat is je primaire service?

Scenario 1: Je bent SaaS, cloud provider, IT services → SOC 2 is relevant → SOC 1 waarschijnlijk niet nodig (tenzij je specifiek financial services doet)

Scenario 2: Je procest transacties, billing, payroll → SOC 1 is relevant → SOC 2 mogelijk ook (als je IT-systeem zelf ook gevoelig is)

Scenario 3: Je bent payment processor, fund administrator, insurance claims → Beide waarschijnlijk nodig

Vraag je klanten

De beste manier om te bepalen welke je nodig hebt: vraag je (potentiële) klanten.

Sales questionnaires of RFPs vragen meestal specifiek:

“Do you have SOC 1 Type II?” (als ze financial service zijn)
“Do you have SOC 2 Type II?” (als ze IT/security compliance checken)

Als 80% van je prospects vraagt om SOC 2, dat is je antwoord. Als ze om SOC 1 vragen, dan heb je die nodig.

Kosten vergelijking

SOC 1 audit: €20.000-€60.000 voor Type II (middelgroot bedrijf)

SOC 2 audit: €30.000-€80.000 voor Type II (middelgroot bedrijf)

SOC 1 + SOC 2 combined: €50.000-€110.000 (niet exact 2x, door overlappende controls)

Doorlooptijd: Beide: 6-15 maanden voor Type II (observatieperiode is gelijk)

Veelgemaakte verwarring

”Ik dacht SOC 1 was de eerste, SOC 2 de upgrade?”

Nee. Het zijn verschillende frameworks voor verschillende doeleinden. Niet “versie 1” en “versie 2”.

”Moet ik eerst SOC 1, dan SOC 2?”

Nee. Je kiest wat relevant is. Meeste tech-bedrijven skippen SOC 1 volledig.

”Is SOC 2 beter dan SOC 1?”

Niet “beter,” gewoon andere focus. Als je payroll processor bent is SOC 1 wat je klanten willen. Als je SaaS bent is SOC 2 what je klanten willen.

”Kan ik SOC 2 gebruiken in plaats van SOC 1?”

Nee. Als je klant’s auditor vraagt om SOC 1 (voor hun financial statement audit), accepteert hij geen SOC 2 als substitute. Het zijn different standards.

SOC 3: de publieke versie

Er is ook SOC 3, dat is een publieke (verkorte) versie van SOC 2. Geen equivalent voor SOC 1.

SOC 3 is general-use report zonder gevoelige details. Je mag het publiekelijk delen. Minder detail dan SOC 2, dus enterprise klanten accepteren het vaak niet voor due diligence. Maar handig voor marketing.

Samenvatting

Voor 90% van tech-bedrijven: SOC 2

Als je SaaS bouwt, cloud host, IT services aanbiedt, of data verwerkt zonder financiële impact: SOC 2.

Voor financial services-gerelateerde bedrijven: SOC 1

Als je payroll, billing, transaction processing, fund admin doet: SOC 1 (mogelijk ook SOC 2).

Niet zeker? Vraag je top 10 prospects/klanten welke compliance ze vragen. Volg hun requirements.

Meer informatie

Wat is SOC 2 – Complete SOC 2 introductie
Stappenplan – De 12 stappen
Kosten en tijdlijn – Gedetailleerde kosten
Trust Services Criteria – De 5 pijlers van SOC 2
AICPA SOC Reporting – Officiële bron