SOC2 Type II versus eIDAS certificering

SAE 3000 SOC 2 Type 2 is een internationaal erkend onafhankelijk audit-rapport waarin wordt bevestigt dat een serviceorganisatie haar interne beheersmaatregelen rond bijvoorbeeld beveiliging, beschikbaarheid en privacy adequaat heeft ingericht én effectief heeft toegepast op basis van de Trust Services Criteria. Deze rapportage is bedoeld om klanten en partners inzicht en vertrouwen te geven in hoe een organisatie gevoelige gegevens verwerkt en beschermt. Een Conformity Assessment Report onder eIDAS (met toetsing aan ETSI-normen zoals EN 319 401, 521 en 531) is strenger dan een SOC 2 Type 2-rapport en formeler, juridisch verplicht en branchespecifiek.

Wat houdt ISAE 3000 SOC 2 Type II precies in?

ISAE 3000 SOC 2 Type 2 is een onafhankelijke auditrapportage die aantoont hoe goed een organisatie haar informatiebeveiliging en gegevensverwerking beheerst. Deze rapportage is met name relevant voor serviceorganisaties (zoals cloudproviders, SaaS-bedrijven en IT-dienstverleners) die diensten leveren waarbij klantgegevens of vertrouwelijke informatie verwerkt worden. Laten we de onderdelen opsplitsen in ISAE 3000, SOC 2 en Type 2 om het precies te begrijpen.

ISAE 3000

Staat voor International Standard on Assurance Engagements 3000.
Het is een internationale standaard die wordt gebruikt voor assurance-opdrachten met betrekking tot niet-financiële informatie.
Denk hierbij aan onderwerpen zoals informatiebeveiliging, privacy, duurzaamheid of compliance.
ISAE 3000 vormt de basis voor verschillende type assurance-rapportages, waaronder SOC 2.

SOC2

SOC staat voor Service Organization Control.
SOC 2 richt zich specifiek op de beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en privacy van systemen en gegevens van serviceorganisaties.
SOC 2-audits worden uitgevoerd op basis van de Trust Services Criteria van het AICPA (American Institute of Certified Public Accountants).

Type 2

Er zijn twee typen SOC 2-rapportages:
- Type 1: Beoordeelt of de beheersmaatregelen (controls) op een specifiek moment goed zijn ontworpen.
- Type 2: Beoordeelt of die maatregelen effectief hebben gewerkt over een langere periode, meestal 6 tot 12 maanden.

Lees meer over SOC2

Wat houdt een Conformity Assessment Report onder eIDAS precies in?

Een eIDAS Conformity Assessment Report (CAR) is een formeel auditrapport waarin een onafhankelijke en geaccrediteerde Conformity Assessment Body (CAB) verklaart dat een organisatie voldoet aan de wettelijke en technische eisen van de eIDAS-verordening. Wanneer dit rapport is gebaseerd op ETSI EN 319 401, 521 en 531, dan betreft het specifiek de toetsing van een (gekwalificeerde) vertrouwensdienstverlener die bijvoorbeeld elektronische handtekeningen of digitaal Aangetekende bezorging aanbiedt.

Een eIDAS CAR omvat:

Een formeel rapport waarin staat dat de organisatie conform is met eIDAS, en dus als (gekwalificeerde) vertrouwensdienstverlener mag opereren.
Een beoordeling van de technische, organisatorische en procedurele maatregelen van de organisatie.
Een toetsing aan Europese normen die zijn erkend onder de eIDAS-verordening.

Lees meer over eIDAS

Een eIDAS Conformity Assessment Report op basis van ETSI EN 319 401, 521 en 531 is een formeel auditdocument waarin wordt bevestigd dat een vertrouwensdienstverlener voldoet aan alle technische en organisatorische eisen voor het aanbieden van (gekwalificeerde) elektronische aangetekende bezorgdiensten, handtekeningen of zegels onder de eIDAS-verordening.

Verschillen tussen SOC 2 Type II en eIDAS Conformity Assessement (ETSI)

ISAE 3000 SOC 2 Type 2

Doel:

Aantonen van interne controle-effectiviteit (beveiliging enz.)

Toepassing:

Breed inzetbaar: cloud, IT, SaaS, financieel

Standaard:

AICPA Trust Services Criteria (VS)

Wettelijk vereist:

Nee

Toetsingstype:

Audit op werking van controls over een periode

Accreditatie auditor:

CPA / IT-auditor

Resultaat:

Assurance-rapport met scope en bevindingen

Herkenning door toezichthouders?:

Niet juridisch bindend

ISAE 3000 SOC 2 Type 2

Een SOC 2 Type 2-rapport is aanvullend, maar niet voldoende als alternatief voor eIDAS-conformiteit.

eIDAS CAR (ETSI 319 401/ 521/ 531)

Doel:

Juridische toets van conformiteit met eIDAS-verordening en technische normen

Toepassing:

Alleen voor Trust Service Providers (TSPs) onder eIDAS

Standaard:

ETSI EN 319 401, 521, 531 e.d.

Wettelijk vereist:

Ja, verplicht voor gekwalificeerde vertrouwensdiensten

Toetsingstype:

Conformiteitsbeoordeling: audit en technische evaluatie t.o.v. ETSI-vereisten

Accreditatie auditor:

ISO/IEC 17065 body, aangewezen door toezichthouder

Resultaat:

Juridisch bindend conformity assessment report

Herkenning door toezichthouders?:

Wel juridisch erkend

eIDAS CAR (ETSI 319 401/ 521/ 531)

Een conformity assessment rapport volgens ETSI EN 319 401, 521 en 531 is strikter, formeler en juridisch vereist voor eIDAS-doeleinden.

Een conformity assessment rapport volgens ETSI EN 319 401, 521 en 531 is strikter, formeler en juridisch vereist voor eIDAS-doeleinden.

Een SOC 2 Type 2-rapport is aanvullend, maar niet voldoende als alternatief voor eIDAS-conformiteit.

Verklaring van gelijkwaardigheid – Statement of Equivalence

Conclusie – SOC2 Type II vs eIDAS

SOC 2 Type II richt zich op het operationeel functioneren van controls over tijd. ETSI-conformiteit onder eIDAS heeft een formele wettelijke status binnen de EU. De technische en organisatorische eisen van ETSI zijn in veel gevallen dieper en specifieker dan SOC 2 Type II en zijn gericht op juridische betrouwbaarheid, niet alleen operationele betrouwbaarheid.

Je kunt onderbouwd stellen dat een eIDAS-conformiteitsverklaring op basis van ETSI EN 319 401 / 521 / 531 vergelijkbaar of strenger is dan een SOC 2 Type 2-rapport en dit verklaren in een formeel statement — bijvoorbeeld in het kader van een aanbesteding, mits dit goed is onderbouwt en voorziet van duidelijke toelichting.

Verklaring van gelijkwaardigheid

“Hoewel Aangetekend BV geen afzonderlijk SOC 2 Type 2-rapport heeft laten opstellen, beschikken wij over een geldige conformiteitsverklaring afgegeven door een erkende Conformity Assessment Body onder de eIDAS-verordening.

Deze verklaring bevestigt onze naleving van de normen ETSI EN 319 401, EN 319 521 en EN 319 531, welke uitgebreide eisen stellen aan informatiebeveiliging, integriteit, vertrouwelijkheid, beschikbaarheid en risicobeheersing. De aard en diepgang van deze toetsing zijn tenminste gelijkwaardig of strikter dan de scope van SOC 2 Type 2.”

Relevante aanvullende onderbouwing

Aangetekend BV is een gekwalificeerde vertrouwens-dienstverlener conform de eIDAS en eIDAS 2.0-Verordening. Lees meer

Aangetekend BV voldoet en is ook gecertificeerd tegen Europese normen zoals ISO27001, ETSI 319 401, en ETSI 319 521 en ETSI 319 531. Lees meer

Aangetekend BV wordt aangemerkt als vitale organisatie door het Ministerie van Economische Zaken en Klimaat en staat als vertrouwensdienstverlener onder toezicht van Rijksinspectie Digitale Infrastructuur. Lees meer

Wil je misschien verder lezen over Certificeringen en Security?

Aangetekend is gecertificeerd volgens Europese en Nederlandse standaarden en voldoet aan alle vereisten die NIS2 stelt aan digitale communicatie. Als Qualified Trust Service Provider (qTSP) en met onze uitgebreide securitymaatregelen borgen we dat jouw data veilig en soeverein blijft. Ontdek hoe onze certificeringen en aanpak jou helpen om risico’s te beperken en te voldoen aan wet- en regelgeving.

Meer over Certificeringen

Meer over Security