
Wanneer vragen klanten om SOC 2 en wat bedoelen ze daar echt mee
Dennis van de Wiel · Founder & CEOLinkedIn
"Hebben jullie een SOC 2-rapport?" Acht van de tien keer is dat niet de echte vraag. De inkoper die het stuurt, weet vaak zelf niet precies wat hij wil zien als je het rapport overhandigt. Dat klinkt cynisch, maar het is een belangrijk inzicht. De vraag is een proxy. En als je begrijpt voor wat, voer je een ander gesprek dan wanneer je in de stress schiet om binnen drie maanden een audit te halen.
In dit artikel: in welke situaties de vraag binnenkomt, wat klanten er meestal écht mee bedoelen, en wat je kunt zeggen als je geen rapport hebt maar de deal niet wilt verliezen.
De vraag komt zelden uit het niets
Wij zien drie patronen waarin SOC 2 ter sprake komt:
Patroon 1: de Amerikaanse inkoopvragenlijst. Een Nederlands SaaS-bedrijf doet zaken met een Amerikaanse enterprise. Het verkoopgesprek loopt goed, er wordt over prijs gesproken, en dan komt er een PDF binnen van 73 vragen. Onder vraag 41 staat: "Please attach your SOC 2 Type II report." Soms is dat onderhandelbaar, soms niet. Een founder vertelde me dat hij in die situatie zes weken vertraging opliep omdat zijn ISO 27001-certificaat per vraag handmatig vertaald moest worden naar SOC 2-controls.
Patroon 2: de bestaande klant doet vendor review. Je hebt al een contract, je levert al twee jaar. Plotseling vraagt de inkoopafdeling om een recent rapport voor hun jaarlijkse leveranciersbeoordeling. Dit gebeurt vaker dan founders verwachten en het is gevaarlijker dan een verkooptraject, want je hebt al omzet die afhankelijk is van het antwoord.
Patroon 3: de investeerder of overnamekandidaat. Tijdens due diligence komt SOC 2 ter sprake als indicator van operationele volwassenheid. Hier draait het minder om beveiliging en meer om signaal: een bedrijf zonder enige formele compliance wordt minder volwassen ingeschat.
In alle drie gevallen geldt: hoe later in het proces de vraag komt, hoe duurder het wordt om deze vragen te adresseren.
Wat ze echt vragen
SOC 2 is geen wet. Het is een raamwerk van de American Institute of CPAs, gericht op dienstverleners die klantdata in de cloud verwerken. Vijf Trust Service Criteria, waarvan alleen Beveiliging verplicht is (de overige vier — Beschikbaarheid, Verwerkingsintegriteit, Vertrouwelijkheid en Privacy — worden op verzoek van de klant toegevoegd). Een audit door een gecertificeerde accountant, een rapport als uitkomst.
Maar als de inkoper van de overkant vraagt om SOC 2, vraagt hij meestal om iets anders. Hij wil weten dat jij niet de zwakste schakel bent in zijn aanvalsoppervlak. Hij wil intern kunnen aantonen dat hij due diligence heeft gedaan. Hij wil drie maanden later niet voor de directie hoeven uitleggen waarom hij een leverancier zonder bewijs van beveiliging heeft goedgekeurd.
Dat verklaart waarom een ISO 27001-certificaat vaak een acceptabel alternatief is, terwijl een gedetailleerde beveiligingsvragenlijst dat soms ook is. De inkoper heeft documentatie nodig die hij intern kan delen. Het rapport is een verpakking voor die behoefte, geen doel op zich.
De cijfers ondersteunen dit. Industriedata uit 2024 laat zien dat SOC 2-adoptie met circa 40% groeide in dat jaar, en dat meer dan een derde van organisaties al deals heeft verloren door een ontbrekend beveiligingscertificaat. Er werd berekend dat een gemiddelde IT-beslisser ongeveer 6,5 uur per week kwijt is aan vendor risk assessments. Een rapport halveert die tijd. Dat is dus ook een legitieme reden waarom ze het vragen.
Type I versus Type II: waar ze echt op letten
Een Type I-rapport zegt dat je controls op een bepaald moment goed waren ontworpen. Een Type II-rapport zegt dat ze gedurende minimaal zes maanden aantoonbaar hebben gewerkt. Enterprise-klanten willen vrijwel altijd Type II. Type I wordt zelden bewust geaccepteerd, maar wel gedoogd als overbrugging wanneer je laat zien dat de Type II-audit gepland is.
Wat veel founders zich niet realiseren: de observatieperiode is geen administratieve formaliteit. Je controls moeten gedurende die zes tot twaalf maanden werken, en het bewijs moet doorlopend worden verzameld. Begin je pas met inrichten op het moment dat de eerste klantvraag binnenkomt, dan kijk je naar minimaal negen tot vijftien maanden voor je een rapport in handen hebt. Voor een verkooptraject van zes weken is dat te laat.
Wat te zeggen als je geen rapport hebt
Drie scenario's die ik in de praktijk zie werken.
Scenario A: je hebt ISO 27001, geen SOC 2. ISO 27001 is breder en stricter dan SOC 2 op meerdere fronten. Stuur een korte mapping mee waarin je laat zien welke SOC 2-controls je al afdekt via je ISMS. Voor Europese klanten is dit doorgaans voldoende. Voor Amerikaanse klanten kun je het volgende zeggen: "Wij hebben ISO 27001-certificering, een internationale standaard die de Trust Service Criteria substantieel overlapt. Onze beheersmaatregelen zijn onafhankelijk geaudit door een geaccrediteerde certificeringsinstelling. Hier is de mapping. Indien jullie aanvullend SOC 2 vereisen, kunnen we daar naartoe toewerken."
Scenario B: je hebt niets. Wees expliciet over wat je wel hebt. Beveiligingsbeleid, een Trust Center, MFA verplicht, encryptie at-rest en in-transit, een incident response plan dat afgelopen kwartaal nog is getest. Schrijf dat op één pagina, met data en eigenaren. Voeg toe wat je tijdpad is. Een eerlijk antwoord met een concreet plan slaat in 70% van de gevallen aan, een vaag antwoord in 0%.
Scenario C: je bent al bezig met SOC 2. Deel je gap-analyse en je geplande auditdatum. Veel inkopers accepteren een Type I-rapport plus een toezegging voor Type II als overbrugging. Sommige accepteren zelfs alleen een Letter of Engagement van je auditor.
De fout die founders bijna altijd maken
Wachten. Een Nederlandse founder die ik recent sprak (B2B SaaS, 18 medewerkers, twee Amerikaanse logo's binnengehaald in 2025) vertelde: "We dachten dat we SOC 2 pas nodig hadden als we het zouden vragen. Toen vroegen ze het, en zaten we vier maanden vast in onderhandelingen met inkoop terwijl onze auditor begon."
De oplossing is niet om bij oprichting al een SOC 2-audit te plannen. Wel om controls in te richten op een manier die past bij beide kaders, ISO 27001 én SOC 2. Beleid voor toegangsbeheer, encryptie, change management, incident response, vendor management: deze zijn nagenoeg identiek in beide raamwerken. Wie ze opbouwt in een platform dat de mapping bijhoudt, kan binnen drie tot zes maanden naar audit toewerken zodra een klant erom vraagt.
Dat is precies waar Tidal Control voor gebouwd is. Voorgebouwde controls met mapping tussen ISO 27001, SOC 2, NIS2 en GDPR, geautomatiseerde tests via integraties met AWS, Azure, GitHub en Jira, en doorlopende bewijsverzameling die de observatieperiode voor Type II zonder handwerk opbouwt.
##Wil je weten hoe jouw bedrijf ervoor staat?
Voordat je beslist of SOC 2, ISO 27001 of een combinatie het juiste pad is, wil je weten waar je nu staat. Welke controls heb je al impliciet ingericht? Welke documentatie ontbreekt? Hoe ver ben je van een eerste audit?
Doe de gratis Quickscan in 3 minuten en krijg een eerste beeld van je compliance-positie, en de logische vervolgstappen. Geen verkoopgesprek, geen verplichtingen.
Doe de gratis Quickscan
Veelgestelde vragen
Waarom vragen klanten specifiek om SOC 2 en niet om ISO 27001?
In Noord-Amerika is SOC 2 de gangbare taal voor leveranciersbeveiliging. ISO 27001 is bekend bij grotere enterprises maar wordt vaak gezien als relevant voor andere continenten zoals Europa. De voorkeur voor SOC 2 is dus deels een marktconventie, niet altijd een inhoudelijke eis.
Verwachten klanten altijd Type II?
Voor enterprise-klanten: ja. Type I wordt soms geaccepteerd als overbrugging in een vroege fase, of bij smaller deals. Voor een duurzame plek in de leverancierslijst van een Fortune 1000-bedrijf is Type II de standaard.
Wat doe ik als een klant alleen SOC 2 accepteert en wij hebben het niet?
Stuur een Letter of Intent met je auditor en een tijdpad. Voeg een Type I-rapport toe als overbrugging als dat mogelijk is. Bij circa een derde van deze situaties wordt een commercieel uitstel verleend op basis van een concreet plan.
Hoe lang duurt het echt voor je een Type II-rapport hebt?
Tussen de negen en vijftien maanden vanaf nul. Drie tot zes maanden om controls in te richten, daarna zes tot twaalf maanden observatieperiode, vervolgens de audit zelf nog, afhankelijk van FTE minimaal 7 dagen.
Is SOC 2 nog relevant als je ISO 27001 hebt?
In Europa: meestal niet. In Noord-Amerika of bij internationale klanten: ja, vanwege de marktconventie. Een geïntegreerd platform dat beide kaders bedient voorkomt dubbel werk.