We spraken met Peter de Raadt en Casper van Ginneken van Davinci Conclusion, beiden experts op het gebied van security en compliance. Peter werkt al sinds 2014 bij Davinci, onderdeel van Yellowtail Conclusion, en heeft SOC 2 geïmplementeerd bij diverse organisaties. Ook Casper heeft sinds 2019 ervaring opgedaan met de implementatie en doorontwikkeling van SOC 2 en werkt nauw samen met Peter. In dit artikel geven ze hun kijk op de toegevoegde waarde en uitdagingen van SOC 2.
Van ISO naar SOC 2
“ISO27001 was lange tijd de standaard,” begint Peter. “Maar alleen voldoen aan ISO27001 is tegenwoordig niet meer genoeg. ISO27001 richt zich vooral op security en biedt richtlijnen voor informatiebeveiliging. Als je aan deze richtlijnen voldoet, krijg je een certificaat dat drie jaar geldig is. SOC 2 gaat verder dan dat. Het richt zich niet alleen op security, maar ook op het waarborgen van de continuïteit van je dienstverlening aan klanten. Dit vereist meer dan alleen goede securitymaatregelen; het omvat ook financiële gezondheid en andere belangrijke bedrijfsprocessen. Gelukkig zien steeds meer bedrijven dit ook zo.”
Pragmatische implementatie
Casper vult aan: “De vraag naar expertise in SOC 2 groeit. Bedrijven vragen ons om ondersteuning bij het effectief implementeren van SOC 2. Vaak lopen organisaties vast in de verschillende frameworks en certificeringen. Het lijkt dan wel om ‘compliance om compliance’. Onze combinatie van diepgaande kennis van het speelveld en een praktische aanpak zorgt voor een implementatie die organisaties echt verder brengt. Zodra medewerkers zien dat het professionaliteitsniveau stijgt en daarmee de kwaliteit van de dienstverlening verbetert, zijn ze aan boord en klaar voor verandering”
Zelfreflectie en bewustwording
“Veel organisaties denken dat ze hun zaken goed op orde hebben,” merkt Peter op. “SOC 2 houdt je een spiegel voor. Het dwingt je om kritisch naar je eigen processen te kijken en verbeterpunten te identificeren. Dit geldt niet alleen voor security, maar voor alle bedrijfsprocessen. Het implementeren van SOC 2 is vergelijkbaar met een langdurige verbintenis. Je moet continu aantonen dat je doet wat je zegt. Dit is een doorlopend proces en geen eenmalige controle.”
Flexibiliteit binnen SOC 2
Casper benadrukt dat SOC 2 juist flexibiliteit biedt: “SOC 2 is geen star systeem, maar een raamwerk dat bedrijven helpt bij het systematisch verbeteren van hun processen. Dit raamwerk is niet in beton gegoten. Het stelt je in staat om van processen af te wijken, zolang je deze afwijkingen goed documenteert en kunt onderbouwen. Dit maakt SOC 2 toegankelijk voor zowel kleine als grote bedrijven. Het is belangrijk om te beseffen dat SOC 2 niet voorschrijft hoe je je zaken moet doen, maar dat je bewijst dat je in control bent.”
Gebruik van software
“Een van de voordelen van SOC 2 is de vrijheid in hoe je zaken vastlegt,” vertelt Peter. “Of je nu geavanceerde software gebruikt of je processen met pen en papier vastlegt, het gaat erom dat je alles goed documenteert. Voor grotere bedrijven is het vaak handig om speciale tools te gebruiken. Deze tools helpen bij het kwantificeren van risico’s en het registreren van acties, wat realtime inzicht geeft in het risicoprofiel van de organisatie. Yellowtail biedt hier bijvoorbeeld het Key Control Dashboard voor aan.”
Langdurige voordelen
“Na verloop van tijd zien organisaties de voordelen van SOC 2,” legt Casper uit. “Als de processen eenmaal goed zijn gedefinieerd en gevolgd, werkt alles efficiënter. Bij incidenten is meteen duidelijk wat er moet gebeuren. Bedrijven die SOC 2 eenmaal hebben omarmd, willen vaak niet meer terug. Het biedt rust en efficiëntie.”
De uitdagingen bij Yellowtail Conclusion
Bij Yellowtail zien we deze voordelen ook, merkt Peter op. “Met ons eigen Key Control Dashboard kunnen we processen en risico’s gemakkelijk registreren. De uitdaging ligt in het vrijmaken van tijd en middelen voor SOC 2, gezien de dagelijkse bedrijfsdrukte. Dit vraagt om duidelijke prioriteitstelling door het management, wat soms tot interessante discussies leidt over verantwoordelijkheden en besluitvorming. SOC 2 helpt ons om van intuïtief naar gestructureerd management te gaan.”
Conclusie
De gezamenlijke ervaringen van Peter en Casper laten zien dat SOC 2 veel meer is dan een set regels. Het is een filosofie die organisaties helpt om continu te verbeteren en gemotiveerd te zijn. SOC 2 zorgt voor efficiëntere processen, verhoogt het risicobewustzijn en biedt een structuur die bedrijven helpt om beter in control te zijn.
Wil je weten hoe jouw organisatie SOC2 compliant kan worden? Neem contact op met Peter de Raadt via pderaadt@davinci-conclusion.nl of Casper van Ginneken via cvanginneken@davinci-conclusion.nl.