Rotaform behaalt SOC2 type 1 voor aan haar uitbestede IT-diensten

01 oktober 2021

Eind augustus heeft Rotaform onder leiding van onze onvolprezen informatiebeveiligingsfunctionaris Leo Mittelhaëuser het SOC 2 type 1 certificaat behaald voor uitbestede IT-diensten. Dit is gebeurd zonder dat de externe auditor ook maar één kritische bevinding naar voren heeft kunnen brengen! De volgende stap is nu om te komen tot een SOC 2 type 2 certificering, dit staat voor volgend jaar op het programma. Zodra die mijlpaal is behaald kan afscheid worden genomen van de ISAE 3402 certificering die Rotaform in de afgelopen jaren heeft gevoerd.

Beide rapportages (ISAE 3402 en SOC 2) kennen een grote verwantschap: zij dienen er beide toe om aan te tonen dat de processen die zijn uitbesteed (in dit geval aan Rotaform) beheerst zijn.
Het grote verschil is dat SOC 2 specifiek focust op uitbestede IT-diensten, terwijl ISAE 3402 betrekking heeft op alle mogelijke uitbestede diensten, mits deze een relatie hebben met de jaarrekening.
SOC 2 kent daarom anders dan ISAE 3402 vastgestelde principes (zogenaamde Trust Services Criteria zoals security, availability, confidentiality, processing integrity en privacy) die specifiek relevant zijn voor uitbestede IT-diensten, waaronder de diensten die Rotaform op dat gebied voor haar klanten uitvoert.
Om die reden biedt een SOC 2 Type 2 verklaring voor de klanten van Rotaform meer toegevoegde waarde (meer ‘assurance’) dan een ISAE 3402 Type 2 verklaring. Dit is de reden dat Rotaform heeft besloten om met ingang van het kalenderjaar 2022 de overstap te maken van ISAE 3402 naar SOC 2.