SOC 2 Type I vs Type II: wat is het verschil?
Je begint aan SOC 2 en direct komt de vraag: Type I of Type II? Het klinkt als versienummers, maar het verschil is fundamenteel. Type I is een momentopname, Type II is bewijs over tijd. De meeste klanten willen uiteindelijk Type II, maar veel bedrijven beginnen met Type I om te leren.
Het korte antwoord
Type I: momentopname van je controls De auditor controleert of je security controls op één specifiek moment correct zijn ingericht. “Is MFA aan?” Ja. “Is de policy correct gedocumenteerd?” Ja. “Zijn firewalls goed geconfigureerd?” Ja. Check, check, check. Je krijgt een rapport dat zegt: “Op datum X waren de controls adequaat ontworpen.”
Type II: bewijs dat je controls werken over tijd De auditor controleert of je controls 3, 6 of 12 maanden lang effectief hebben gewerkt. Niet alleen “is MFA aan,” maar ook “zijn er 6 maanden lang geen uitzonderingen geweest, zijn access reviews elk kwartaal gedaan, zijn changes via het proces gegaan?” Het toont operationele effectiviteit.
Denk aan Type I als een architectuurtekening: “Dit is hoe het huis ontworpen is.” Type II is de bouwinspectie: “Het huis is gebouwd volgens de tekening en staat nog overeind na een winter.”
Gedetailleerde vergelijking
| Aspect | Type I | Type II |
|---|---|---|
| Wat wordt getest | Design van controls op één moment | Design + operating effectiveness over tijd |
| Tijdsperiode | Point-in-time (één datum) | 3, 6 of 12 maanden (meest: 6 maanden) |
| Doorlooptijd | 3-6 maanden | 9-15 maanden (incl. observatieperiode) |
| Kosten | €15.000-€45.000 | €30.000-€80.000+ |
| Observatieperiode | Nee | Ja, 3-12 maanden |
| Evidence verzameling | Beperkt (snapshots) | Uitgebreid (continuous over periode) |
| Wat klanten denken | ”Oké, maar liever Type II" | "Dit is what we need” |
| Sales enablement | Lost direct blokkades op | Wint enterprise deals |
| Audit intensiteit | Lichter, focus op design | Zwaarder, operational testing |
| Heraudit cyclus | Jaarlijks | Jaarlijks |
Type I: de snelle start
Wat krijg je
Een rapport dat zegt: “Wij hebben de controls van [Bedrijf] op [Datum] geëvalueerd. De controls waren adequaat ontworpen om te voldoen aan de Trust Services Criteria.”
De auditor checkt:
- Zijn je policies compleet en logisch?
- Zijn je technische controls correct geconfigureerd?
- Zijn verantwoordelijkheden toegewezen?
- Is documentatie aanwezig?
Hij test NIET of alles echt werkt in de praktijk over tijd.
Wanneer Type I kiezen
Sales blokkade oplossen Je bent in gesprek met een klant die SOC 2 eist. Ze accepteren Type I om te starten, maar willen Type II binnen 12 maanden. Je doet Type I om de deal door te krijgen, start meteen met observatieperiode voor Type II.
Testen of je klaar bent Je weet niet zeker of je controls goed genoeg zijn. Type I is een oefenronde. Je krijgt findings, kunt ze fixen, en gaat daarna met confidence naar Type II. Dit is conservatief maar verstandig.
Budget spreiding €15k-€45k voor Type I, 6 maanden later €30k-€50k voor Type II upgrade is makkelijker te budgetteren dan €80k ineens. Vooral voor startups die cashflow managen.
Learning experience Je eerste SOC 2 is een leerproces. Type I heeft minder druk (“het hoeft alleen ontworpen te zijn, niet perfect werkend”). Je leert hoe audits werken, wat auditors vragen, hoe je evidence presenteert.
Nadelen van Type I
Klanten zijn skeptisch Enterprise procurement weet dat Type I een lichte versie is. Ze vragen: “Wanneer krijgen we Type II?” Je moet uitleggen dat het een tussenstap is. Sommige klanten accepteren het niet.
Geen bewijs van effectiviteit Type I toont niet dat je controls echt werken. Je kunt perfecte policies hebben maar in de praktijk slordig zijn. Type II dwingt je om echt compliant te zijn.
Dubbele kosten Je betaalt twee keer: eerst Type I, dan Type II. Totaal €45k-€95k. Direct Type II was €30k-€80k geweest. Je betaalt €15k-€15k extra voor de phased approach.
Tijdverlies Je bent 3-6 maanden kwijt aan Type I, dan nog 9-12 maanden voor Type II. Totaal 12-18 maanden. Direct Type II: 9-15 maanden. Je verliest 3-6 maanden.
Veel bedrijven doen Type I met de intentie om “over 6 maanden Type II te doen” en realiseren zich dan dat observatieperiode 6 maanden is. Ze zitten dus nog 12 maanden verder. Plan dit goed.
Type II: de gouden standaard
Wat krijg je
Een rapport dat zegt: “Wij hebben de controls van [Bedrijf] van [Start datum] tot [Eind datum] geëvalueerd. De controls waren adequaat ontworpen EN werkten effectief gedurende de gehele periode.”
De auditor checkt alles van Type I, plus:
- Zijn access reviews echt elk kwartaal gedaan?
- Zijn vulnerability scans wekelijks uitgevoerd en opgevolgd?
- Zijn changes via change management gegaan (steekproef van 20 changes)?
- Zijn offboarding procedures echt binnen 24 uur uitgevoerd (steekproef van 10 vertrekkers)?
- Zijn backups getest met successful restores?
- Zijn incidents correct gelogd en afgehandeld?
Het toont: “We zeggen niet alleen dat we het doen, we doen het echt.”
Wanneer Type II kiezen
Enterprise klanten Als je Fortune 500 bedrijven, financiële instellingen, of gereguleerde industrie klanten wilt, eisen ze Type II. Type I wordt niet geaccepteerd in hun vendor risk frameworks.
Echte zekerheid tonen Je wilt niet alleen zeggen “vertrouw ons,” je wilt bewijzen dat je betrouwbaar bent. Type II geeft dat bewijs. Het is marketing materiaal dat zichzelf verkoopt.
Serieuze compliance cultuur Je bouwt voor de long term. Compliance is geen checkbox maar onderdeel van je DNA. Type II dwingt je om écht goed te zijn, niet alleen op papier.
Je hebt tijd Je hebt 12-15 maanden voordat je het nodig hebt. Je kunt de observatieperiode rustig doorlopen zonder stress. Sales geeft je die tijd.
Je hebt al Type I Je hebt Type I gedaan, controls zijn proven, je bent klaar voor de upgrade. Dit is de natuurlijke volgende stap.
Voordelen van Type II
Enterprise doors open RFPs, tenders, procurement portals accepteren het. Je bent in hetzelfde lijstje als gevestigde spelers. Level playing field.
Minder questions Met Type I krijg je vragen: “Maar werkt het ook echt?” Met Type II: “Oké, jullie zijn legit.” Kortere sales cycles.
Operational improvement Type II dwingt je om disciplined te zijn. Elk kwartaal access reviews, elke week vulnerability scans, elk jaar penetration testing. Je security wordt echt beter, niet alleen op papier.
Minder heraudit stress Als je eenmaal Type II hebt en je controls draaien smooth, is heraudit routine. Je verzamelt evidence continuous, auditor komt langs, checkt dat alles klopt, done. Met Type I was het elke keer weer opnieuw “zijn we wel goed genoeg?”
Nadelen van Type II
Lange doorlooptijd Minimaal 9 maanden, vaak 12-15. Als je sales over 3 maanden een deal heeft met Type II eis, gaat die deal niet door. Type II vraagt patience.
Hogere kosten €30k-€80k+ eerste keer, vs €15k-€45k voor Type I. Voor startups met tight budgets is dat een groot verschil.
Observatieperiode is niet sneller te maken Je kunt geld uitgeven, meer mensen inzetten, maar 6 maanden is 6 maanden. Je kunt het niet inkorten. Dit is frustrerend voor bedrijven die “snel willen gaan.”
Operational discipline vereist Je moet echt je processes volgen. Elke access review op tijd, elke change via het proces, elke vulnerability binnen SLA opgelost. Als je slordig bent, krijg je findings. Type I was makkelijker te “faken.”
De beslisboom: wat past bij jou?
Begin met Type I als:
✅ Je hebt binnen 3-6 maanden een sales opportunity met SOC 2 eis ✅ Budget is tight en je wilt investering spreiden ✅ Je weet niet zeker of je controls matuur genoeg zijn voor Type II ✅ Dit is je eerste compliance framework ooit en je wilt leren ✅ Je klanten accepteren Type I als tussenstap
Ga direct voor Type II als:
✅ Je hebt 12+ maanden voordat je SOC 2 nodig hebt ✅ Je target enterprise klanten die alleen Type II accepteren ✅ Je hebt al ISO 27001 of andere mature controls ✅ Je wilt 1x investeren, niet 2x betalen ✅ Je hebt operational discipline en resources om observatieperiode goed te doen
Hybrid approach:
Veel bedrijven doen: Type I om te starten, direct beginnen met observatieperiode voor Type II, 6-12 maanden later Type II rapport. Dit kost meer (€60k-€100k totaal) maar spread de kosten en geeft zekerheid.
Pro tip: Als je Type I doet, start DIRECT met evidence collection alsof je Type II doet. Dan kun je 6 maanden later upgraden naar Type II zonder opnieuw te beginnen. Auditor kan Type I doen en meteen zeggen “als je 6 maanden blijft verzamelen, doen we Type II upgrade.”
Observatieperiode length: 3, 6 of 12 maanden?
Je hebt keuze in hoelang je observatieperiode duurt. Wat kiezen?
3 maanden: het minimum Enkele klanten accepteren dit. Vooral als ze je al kennen en vertrouwen. Voordeel: snelste route naar Type II. Nadeel: weinig data, minder robuust bewijs.
6 maanden: de standaard De meeste bedrijven kiezen dit. Goed evenwicht tussen tijdsinvestering en robuust bewijs. De meeste klanten accepteren 6 maanden zonder vragen.
12 maanden: de gouden standaard Enterprise klanten (banken, fintech, healthcare) vragen vaak expliciet om 12 maanden. Het toont dat je controls écht stabiel zijn over een lang period. Nadeel: dubbele tijdsinvestering.
Advies: Check met je target customers wat ze willen zien. Als ze 12 maanden eisen, begin dan meteen met 12. Niet eerst 6 doen en later alsnog 12 moeten bewijzen.
Type I naar Type II upgraden: hoe werkt het?
Je hebt Type I, nu wil je Type II. Kan dat? Ja.
Process:
- Je Type I rapport is geldig
- Je start (of continue) evidence collection vanaf de Type I audit datum
- Na 3-12 maanden heb je genoeg data voor Type II
- Auditor komt terug, doet operational effectiveness testing
- Je krijgt een Type II rapport met dezelfde audit date als start, huidige datum als eind
Kosten: Type II upgrade: €15k-€35k bovenop je Type I kosten. Goedkoper dan een volledig nieuwe Type II audit omdat design testing al gedaan is.
Timing: Als je Type I in januari doet en meteen start met evidence collection, kun je in juli (6 maanden later) Type II upgrade doen. Rapport dateert van januari-juli.
Let op: Als je tussen Type I en Type II upgrade je scope wijzigt (nieuwe criteria, nieuwe systemen), moet auditor die nieuwe scope elements volledig testen. Dit verhoogt kosten.
Wat zeggen klanten echt?
Small/mid-market klanten: “Type I is prima, we willen gewoon zien dat jullie security serieus nemen.” Ze accepteren Type I omdat ze zelf ook geen Type II hebben often.
Enterprise procurement: “We accepteren alleen Type II met minimum 6 maanden observatieperiode.” Hun vendor risk policies staat dit expliciet. Je komt er niet onderuit.
VC’s en investors: “Type I is oké voor seed/Series A. Series B en later willen we Type II.” Hogere maturity verwachting naarmate je groeit.
Compliance officers: “Type II of we kunnen niet contracteren.” Ze rapporteren aan hun board over vendor risk. Type I is onvoldoende voor hun risk appetite.
Heraudit cyclus: wat na je eerste rapport?
Type I: Jaarlijks herhalen. Elke keer opnieuw: controls op dit moment correct? Kosten: 50-70% van eerste audit.
Type II: Jaarlijks herhalen met 12 maanden observatieperiode. Je eerste Type II is jan-dec 2025. Je tweede is jan-dec 2026. Doorlopend bewijs. Kosten: 50-70% van eerste audit.
Gap tussen rapporten: Je rapport is gedateerd jan-dec 2025. Het is nu maart 2026 en klant vraagt om rapport. Je hebt een “gap” van 3 maanden. Sommige klanten vinden dat oké, anderen niet. Plan je heraudit zo dat je continuous coverage hebt.
Kosten vergelijking totaalplaatje
Scenario 1: Direct Type II
| Tijdlijn | Actie | Kosten |
|---|---|---|
| Maand 1-4 | Voorbereiding | €10k-€25k (consultancy/tooling) |
| Maand 5-10 | Observatieperiode + evidence | €5k-€15k (tooling subscription) |
| Maand 11-13 | Audit Type II | €30k-€80k (audit fees) |
| Maand 13+ | Onderhoud tot heraudit | €1k-€2k/maand (tooling) |
| Totaal eerste jaar | €57k-€145k | |
| Jaar 2+ (heraudit) | €35k-€70k/jaar |
Scenario 2: Type I eerst, dan Type II
| Tijdlijn | Actie | Kosten |
|---|---|---|
| Maand 1-3 | Voorbereiding | €8k-€20k |
| Maand 4-6 | Audit Type I | €15k-€45k |
| Maand 7-12 | Observatieperiode voor Type II | €6k-€12k |
| Maand 13-15 | Type II upgrade audit | €15k-€35k |
| Totaal eerste 15 maanden | €44k-€112k | |
| Jaar 2+ (heraudit) | €35k-€70k/jaar |
Conclusie: Scenario 2 (phased) kan goedkoper zijn als je Type I bij een budget-friendly bureau doet. Maar het duurt 3-6 maanden langer. Scenario 1 (direct Type II) is duurder upfront maar je bent sneller klaar.
Veelgemaakte fouten
Denken dat Type I voldoende is “We hebben Type I, we zijn klaar.” Dan komt procurement van je target customer: “We accepteren alleen Type II.” Je moet nog 12 maanden wachten.
Te laat beginnen met Type II “We doen Type I in Q1, dan Type II in Q2.” Dat kan niet. Type II observatieperiode is 6+ maanden. Je zit pas in Q4 klaar.
Scope wijzigen tussen Type I en II Type I: Security-only. Type II upgrade: “Kunnen we Availability toevoegen?” Ja, maar auditor moet alle Availability controls from scratch testen. Kosten stijgen.
Evidence niet bewaren tijdens Type I “We hadden Type I in januari, willen nu Type II.” Auditor vraagt: “Waar is je evidence van februari-juni?” Je hebt het niet. Je moet opnieuw 6 maanden wachten.
Samenvatting: de pragmatische keuze
Voor de meeste SaaS-bedrijven: Start met Type I als je binnen 6 maanden een SOC 2 nodig hebt voor een deal. Gebruik het als learning experience en sales enabler. Begin meteen met Type II observatieperiode zodat je 6-12 maanden later kunt upgraden.
Voor enterprise-focused bedrijven: Ga direct voor Type II. Je weet dat je het nodig hebt, je klanten accepteren niets anders, investeer goed de eerste keer. Ja, het duurt 12-15 maanden, maar die tijd heb je toch nodig om enterprise sales cycles te doen.
Voor budget-conscious startups: Type I met goedkope auditor (€15k-€25k) + eigen tooling (€5k-€10k) + zelf implementatie. Minimale investering, krijg je een rapport, kan je mee verkopen. Upgrade naar Type II als je Series A funding binnen is.
Wat je ook kiest: communiceer duidelijk met je sales team wat je hebt en wanneer je wat krijgt. Niets is erger dan een deal verliezen omdat sales een Type II beloofde en je hebt Type I, of sales beloofde “3 maanden” en het duurt 12 maanden.
Meer informatie
- Stappenplan – De 12 stappen naar SOC 2
- Kosten en tijdlijn – Gedetailleerde kostenopbouw
- Het auditproces – Wat doet de auditor precies
- Wat is SOC 2 – Terug naar de hoofdpagina
- AICPA SOC 2 Guidance – Officiële bron