ECH

Nieuws     Vacatures       Inschrijven nieuwsbrief      Veelgestelde vragen     Inloggen

Het geheim achter het behalen van de SOC2 Type II rapportage

/ Bestuur, Directie ECH, ECH medewerkers, Hypotheekmarkt, KNB, Nieuws, notarieel software leverancier, Notaris, Raad van Advies, Referenties banken, Referenties notariaat / Door

Aantoonbaar in control: zo borgt ECH de veiligheid van data in de keten. Stichting ECH heeft opnieuw een SOC 2 Type II assurance-rapportage ontvangen. Een belangrijke mijlpaal in het aantoonbaar veilig en professioneel omgaan met data. Voor hypothecair financiers, notariskantoren en softwareleveranciers in de keten is dat meer dan een vinkje: het is de basis voor vertrouwen.

“We blijven aantoonbaar in control,” zegt Tijmen Logge, Compliance Officer bij ECH. “En dat is geen eenmalige prestatie, maar het resultaat van een zorgvuldig ingericht en breed gedragen proces.” Samen met Casper van Ginneken, sinds 1 januari Manager Operations, blikt hij terug op het SOC2-traject van 2024 – en vooruit naar de volgende ronde.

Waarom ECH dit jaar opnieuw koos voor SOC2
“De maatschappelijke verantwoordelijkheid in onze keten wordt steeds groter,” vertelt Tijmen. “Financiële instellingen en notariskantoren moeten niet alleen zelf compliant zijn, maar ook kunnen aantonen dat hún leveranciers dat zijn. Met deze rapportage, die door een onafhankelijke auditor wordt opgesteld, laten wij zien dat we veilig en transparant omgaan met data – van beveiliging tot beschikbaarheid en privacy.”

Casper vult aan: “Zes jaar geleden spraken we met hypothecair financiers af dat we jaarlijks een SOC2 Type II-rapportage zouden leveren. Dat werkt goed. Klanten hoeven minder vragen te stellen, en weten precies wat ze aan ons hebben.”

Van ‘opstarten’ naar doorontwikkelen
Voor Tijmen was 2024 het jaar waarin hij het traject volledig zelf mocht leiden. “Vorig jaar verzamelde ik vooral bewijslast, dit jaar mocht ik het hele project coördineren: de planning, de afstemming met onze externe auditor BDO, en het contact met de betrokken partners. Dat vertrouwen kreeg ik van Casper, en dat gaf me veel energie.”

Casper glimlacht: “Ik heb het SOC2-traject zelf ooit opgezet, dus het voelt wel een beetje als een ‘kindje’ uit handen geven. Wat Tijmen uitstekend heeft opgepakt. Ik hoefde alleen nog maar af en toe mee te denken. Zo groeit het proces en het team.”

Wat levert het op?
Het SOC2-traject is geen jaarlijkse vinklijst, benadrukken beiden. “Het zorgt voor structuur, duidelijkheid en rust,” zegt Casper. “Je weet wie waar verantwoordelijk voor is, en wat er nodig is om veilig en betrouwbaar te werken. Dat is niet alleen goed voor de rapportage, maar voor de professionaliteit van je hele organisatie.”

Tijmen: “Wat ik mooi vind, is dat de bewustwording bij collega’s groot is. Als we iets nodig hebben, dan komt het direct. Mensen zien het belang. We doen dit omdat we het zélf belangrijk vinden en niet voor de show.”

Tips voor andere organisaties
Casper is duidelijk: “Onderschat het niet. Als je het serieus aanpakt, levert het veel op. Zorg ervoor dat het niet alleen een feestje van de afdeling Security of Compliance wordt. Je moet het breder laten leven. Laat het onderdeel zijn van je hele organisatie.”

Tijmen voegt toe: “Wat bij ons hielp, was informeel schakelen. Gewoon even bellen in plaats van mailen. Dat verlaagt de drempel en houdt het tempo erin.”

Over SOC 2 en ECH
De SOC 2 Type II assurance-rapportage van ECH wordt opgesteld volgens de internationale standaard van het American Institute of Certified Public Accountants (AICPA). Deze standaard is wereldwijd erkend en biedt organisaties de mogelijkheid om onafhankelijk aan te tonen dat zij hun processen rondom data en IT-beveiliging aantoonbaar op orde hebben.

De toetsing richt zich op vijf zogenoemde Trust Service Criteria, die elk een cruciaal aspect van betrouwbare dienstverlening belichten:

  • Security
    Toont aan dat systemen beschermd zijn tegen ongeautoriseerde toegang, zowel fysiek als digitaal. Denk aan maatregelen zoals firewalls, toegangscontrole en monitoring.
  • Availability
    Beoordeelt of systemen en diensten beschikbaar zijn zoals afgesproken in servicelevel agreements (SLA’s). Dit omvat onder andere failover-systemen en monitoring van uptime.
  • Processing Integrity
    Gaat over de betrouwbaarheid van verwerkingsprocessen: gegevens worden correct, tijdig en volledig verwerkt. Zo weet je zeker dat de informatie die door systemen loopt klopt en bruikbaar is.
  • Confidentiality
    Richt zich op het beschermen van gevoelige informatie tegen onbevoegde toegang. Denk aan versleuteling, toegangsautorisaties en beveiligde opslag.
  • Privacy
    Beoordeelt hoe persoonsgegevens worden verzameld, opgeslagen, gebruikt en vernietigd. Dit sluit aan bij wetgeving zoals de AVG en garandeert zorgvuldige omgang met persoonsgegevens.

Door jaarlijks deze toetsing te ondergaan, laat ECH zien dat het structureel werkt aan veiligheid, betrouwbaarheid en transparantie in de digitale communicatieketen. Het geeft ketenpartners de zekerheid dat zij kunnen vertrouwen op een solide fundament.

Op naar 2025 en verder
De SOC 2-rapportage over 2024 is binnen, maar dat betekent niet dat ECH achteroverleunt. De voorbereidingen voor de volgende audit zijn alweer begonnen. “We blijven verbeteren en borgen wat goed gaat,” zegt Casper. “Zo blijven we het vertrouwen waard van de partijen met wie we werken.”

Deel dit bericht!