ISAE 3402 gap-analyse: stappenplan, kosten en tijdlijn voor 2026
Uw klanten eisen een ISAE 3402-verklaring, en u heeft negen maanden. De eerste stap is niet een auditor inhuren. Begin met een gap-analyse die laat zien waar uw dienstverlening al op orde is en wat ontbreekt. Doet u dat goed, dan voorkomt u de klassieke valkuil: een Type II-audit die struikelt op zaken die u in de gap-fase had kunnen opvangen.
Key takeaways
- Gap-analyse duurt 3 tot 6 werkweken en legt gemiddeld 70 procent van de controls bloot die nog niet audit-ready zijn.
- Een typische ISAE 3402-scope telt 60 tot 200 controls, afhankelijk van de dienstomvang en het aantal uitbestede processen.
- Volledig traject van gap-analyse tot Type I-verklaring: 4 tot 8 maanden; Type II vraagt daarna minimaal zes maanden observation period.
- ISO 27001 en ISAE 3402 overlappen voor 60 tot 70 procent op control-niveau; een bestaande certificering versnelt de gap-fase aanzienlijk.
Wat is een ISAE 3402 gap-analyse precies?
Een ISAE 3402 gap-analyse is een gestructureerde nulmeting die uw bestaande beheersmaatregelen afzet tegen de eisen van de standaard. De uitkomst is een lijst van gaps per control, voorzien van een risico-score en een concrete remediatie-actie. Het doel: binnen de daaropvolgende maanden alle gaps dichten voordat de onafhankelijke auditor langskomt.
ISAE 3402 is in 2009 gepubliceerd door de IAASB en in Nederland vertaald als NV COS 3402 door de NBA. De standaard beschrijft hoe een service-organisatie, een partij aan wie klanten processen uitbesteden zoals payroll, hosting, SaaS of BPO, zekerheid kan geven over de werking van de eigen beheersmaatregelen. De gap-analyse valt buiten de auditvereisten, maar vormt wel de meest kostenefficiënte manier om een Type I- of Type II-verklaring te halen zonder verrassingen in de audit.
Type I of Type II: welke verklaring past bij uw organisatie?
Het verschil zit in wat de auditor toetst. Type I bevestigt alleen het ontwerp van uw beheersmaatregelen op één peildatum. Type II toetst ook of die maatregelen werkelijk hebben gefunctioneerd over een periode van minimaal zes maanden. Klanten met risicogerichte inkoopteams, zoals banken, verzekeraars en pensioenfondsen, vragen bijna altijd om Type II.
| Aspect | Type I | Type II |
|---|---|---|
| Wat toetst de auditor | Ontwerp op één peildatum | Ontwerp plus werking over ≥6 maanden |
| Rapportage-periode | Momentopname | 6 tot 12 maanden observation period |
| Doorlooptijd vanaf gap-analyse | 4 tot 8 maanden | 10 tot 18 maanden |
| Indicatieve auditkosten NL 2026 | €15k – €35k | €25k – €60k |
| Typische opdrachtgever vraagt | Kleinere zakelijke afnemers, eerste jaar | Financials, grote corporates, overheid |
| Strategie Risguard | Quick-win voor eerste klantvraag | Doelverklaring binnen 12 maanden |
Praktisch advies: start met Type I zodra de gap-analyse is afgerond, en gebruik het ontwerprapport als ankerdocument om de observation period voor Type II in te gaan. De Type II-verklaring volgt dan ongeveer een jaar na de gap-analyse.
Welke controls komen in scope?
ISAE 3402 schrijft geen vaste controllijst voor. Dat bepaalt u zelf, want u kiest welke beheersmaatregelen u wilt laten toetsen. In de praktijk telt een typische scope 60 tot 200 controls, verdeeld over vijf domeinen: logical access, change management, operations en monitoring, incident management, en physical en data center security. Het bredere netwerk aan ondersteunende controls (HR, fysieke beveiliging, backup) komt er vaak bij als de dienst kritieker wordt.
Het eerste domein, logical access, is verreweg het grootste. Denk aan provisioning, user access reviews, privileged access management, segregation of duties en password management. In onze ervaring zit hier ook de meeste gap bij nulmeting: processen bestaan, maar bewijslast (audit trail, review-sign-offs, ticketing) ontbreekt voor de auditor.
Hoe ziet het stappenplan er in zes fasen uit?
Zes fasen, van intake tot Type II-verklaring. De eerste twee zijn consultancy-gedreven; vanaf fase drie werkt u zelf door, met begeleiding op momenten waarop dat waarde toevoegt.
Fase 1: Gap-analyse (week 1 tot 6)
Werksessies met proces-eigenaars, review van bestaand beleid, control-walkthrough en een eerste gap-scorecard. Resultaat: rapport met control-overzicht, gap per domein en een kostenraming voor remediatie.
Fase 2: Remediatie-roadmap (week 4 tot 14)
Prioritering op risico en afhankelijkheid, koppeling aan bestaande ISO 27001- of SOC 2-controls om dubbel werk te voorkomen, resource-inschatting en bestuurlijke goedkeuring. Looptijd overlapt met fase 1 omdat remediatie op snelle wins al tijdens de gap-analyse kan starten.
Fase 3: Control-implementatie (week 6 tot 22)
Ontbrekende controls worden ingericht, bewijslast wordt opgebouwd (ticket-trails, review-sign-offs, logboeken), system description wordt geschreven. Dit is de zwaarste fase in uren; reken op twee tot vier FTE-maanden bij een middelgrote scope.
Fase 4: Pre-audit readiness-check (week 18 tot 24)
Een gesimuleerde audit op uw eigen bewijslast. Hier worden de laatste gaps zichtbaar, voor er echt een auditor langskomt. Neem deze fase niet over. Het is goedkoper om hier een observation te voorkomen dan om hem in het definitieve rapport te laten opnemen.
Fase 5: Type I-audit (week 22 tot 26)
Onafhankelijke auditor toetst het ontwerp op peildatum, levert een Type I-rapport. Dit is uw eerste bruikbare verklaring voor klanten.
Fase 6: Observation period en Type II (week 26 tot 48+)
Minimaal zes maanden loopt de auditor mee op werking; daarna volgt het Type II-rapport. Vanaf dit punt is het een jaarlijkse herhaalcyclus: elk jaar opnieuw observation period, bewijslast en rapport.
Wat kost een ISAE 3402-traject in Nederland?
Exacte kosten hangen af van scope, complexiteit en het volwassenheidsniveau bij start. De onderstaande range weerspiegelt de Nederlandse markt voor middelgrote service-organisaties in 2026, gebaseerd op marktobservaties en onze eigen begeleidingstrajecten.
| Fase | Typische kosten NL 2026 | Looptijd | Wie levert |
|---|---|---|---|
| Gap analysis | €8k – €20k | 3 – 6 weken | Consultant |
| Remediatie-begeleiding | €20k – €80k | 3 – 6 maanden | Consultant + intern team |
| Type I-audit | €15k – €35k | 4 – 8 weken | Onafhankelijke auditor |
| Type II-audit | €25k – €60k | 2 – 4 maanden (na 6+ mnd observation) | Onafhankelijke auditor |
| Jaarlijkse herhaling | €20k – €50k | Continu | Auditor + interne compliance |
Waar zit de kostenbesparing? Een grondige gap-analyse vooraan in het traject voorkomt dat u dure auditoruren besteedt aan het oplossen van problemen die in de consultancy-fase te tackelen waren. In onze ervaring reduceert een gap-analyse de latere Type I-audit-inzet met 15 tot 25 procent.
Hoe lang duurt het van gap-analyse tot verklaring?
Reken op 4 tot 8 maanden tot een Type I-verklaring en 10 tot 18 maanden tot Type II. Dat is inclusief de verplichte observation period van zes maanden. Organisaties met een bestaande ISO 27001-certificering zitten aan de onderkant van deze ranges, omdat veel van het beleid, de risico-assessment en de bewijslogging dan al operationeel is.
De grootste variabele is fase 3 (control-implementatie). Als de gap-analyse uitwijst dat logical access en change management fundamenteel moeten worden herzien, loopt deze fase snel naar zes maanden. Bij organisaties met al een volwassen GRC-functie is fase 3 vaak binnen twee maanden afgerond.
Hoe sluit ISAE 3402 aan op ISO 27001?
Tussen ISAE 3402-controls en ISO 27001 Annex A is ongeveer 60 tot 70 procent overlap. Logical access, change management, physical security en incident management zijn vrijwel één-op-één mapbaar. Wat ISAE 3402 uniek maakt is de nadruk op de dienst zoals geleverd aan de klant, met complementary user entity controls (CUECs) die beschrijven wat de klant zelf moet regelen om het geheel werkzaam te maken.
Praktisch advies: gebruik uw ISO 27001 Statement of Applicability als startdocument voor de ISAE 3402 control-matrix. Mappen de controls in één tabel, identificeer de ISAE 3402-only controls (vooral rond dienst-specifieke operationele processen en de CUECs) en werk die als delta uit. Zie ons ISO 27001-stappenplan voor het opzetten van het managementsysteem zelf.
Wat moet u klaar hebben vóór de auditor langskomt?
Een Type I-audit kent vier onmisbare componenten. Ontbreekt er één, dan loopt u vrijwel zeker tegen een gekwalificeerde verklaring of een aanpassing van de peildatum aan.
- Een goedgekeurde system description: complete beschrijving van de dienstverlening, scope-afbakening, boundaries, gebruikte subservice-organisaties en de control-objectives.
- De control-matrix: alle beheersmaatregelen met risk owner, frequentie, bewijsstroom en koppeling aan control-objective.
- Burden of proof: voor elke control moet u aantoonbaar kunnen laten zien dat hij op de peildatum werkte met ticket-trails, sign-offs, review-bewijs en log-extracts.
- CUECs-sectie: lijst van controls waarvoor u afhankelijk bent van uw klanten (denk aan toegangsbeheer op klantzijde), expliciet en leesbaar.
Onze ervaring
Bij de service-organisaties die wij begeleiden zien we dat 70 tot 80 procent van de gaps niet in ontbrekende controls zit, maar in ontbrekende bewijslast. Het proces werkt; de tickets, review-sign-offs en logboeken worden alleen niet consistent bewaard. Een gap-analyse die dit onderscheid maakt tussen design-gap en evidence-gap, scheelt weken aan remediatie-tijd en voorkomt dat teams onnodig processen gaan herontwerpen.
Veelgestelde vragen over de ISAE 3402 gap-analyse
Wat is het verschil tussen Type I en Type II?
Type I toetst alleen het ontwerp van de beheersmaatregelen op één peildatum. Type II toetst óók of die maatregelen effectief hebben gewerkt over een periode van minimaal zes maanden. Grote zakelijke klanten eisen vrijwel altijd Type II; Type I is vooral bruikbaar als tussenstap of voor kleinere klantopdrachten.
Is ISAE 3402 wettelijk verplicht?
Nee, ISAE 3402 kent geen wettelijke verplichting. De verklaring wordt contractueel geëist door klanten, met name door financiële instellingen en overheid. In de praktijk functioneert het daardoor als een commerciële voorwaarde: zonder verklaring raakt u opdrachten kwijt in die segmenten.
Wat zijn CUECs (Complementary User Entity Controls)?
CUECs zijn beheersmaatregelen waarvoor u afhankelijk bent van uw klanten. Denk aan het tijdig intrekken van gebruikerstoegang bij uitdiensttreding, of het veilig bewaren van API-sleutels. Deze controls moet u expliciet benoemen in de system description, zodat de klant weet wat zijn eigen verantwoordelijkheid is.
ISAE 3402 of SOC 2: welke past beter?
ISAE 3402 richt zich op financiële rapportage-relevante controls en wordt in Nederland en Europa het breedst geaccepteerd. SOC 2 richt zich op de trust services criteria (security, availability, confidentiality, processing integrity, privacy) en is dominant in de Amerikaanse markt. Veel internationaal opererende SaaS-bedrijven doen beide.
Hoeveel controls komen in een typische scope?
Tussen de 60 en 200, afhankelijk van dienstomvang en uitbestede processen. Payroll-diensten zitten vaak aan de onderkant (60 tot 100), complexe SaaS- en hosting-platforms aan de bovenkant (150 tot 200). De gap-analyse helpt u de juiste scope-afbakening te kiezen: te breed wordt duur, te smal geeft klanten onvoldoende zekerheid.
Kan een ISO 27001-certificering het traject versnellen?
Ja, aanzienlijk. Ongeveer 60 tot 70 procent van de ISAE 3402-controls heeft een equivalent in ISO 27001 Annex A. Onze ISO 27001-checklist is een goed startpunt om te zien welke controls al afgedekt zijn. De gap-analyse concentreert zich dan op de dienst-specifieke operationele processen en de CUECs.
Wat gebeurt er als de auditor observations constateert?
Observations zijn bevindingen die in het rapport worden opgenomen. Bij Type II is een enkele lichte observation vaak acceptabel voor klanten, mits u een corrigerende actie heeft beschreven. Meerdere of zware observations leiden tot een gekwalificeerd oordeel, wat commercieel pijn doet. Een pre-audit readiness-check (fase 4 in het stappenplan) voorkomt deze situatie vrijwel altijd.
Hoe vaak moet de audit worden vernieuwd?
Jaarlijks. Na de eerste Type II-verklaring loopt er continu een observation period, en elk jaar volgt een nieuw rapport. Klanten kijken niet alleen naar de datum van de verklaring, maar ook naar de ononderbroken dekking van periodes. Een gat in de observation period roept vragen op.
Hulp nodig met ISAE 3402 gap-analyse?
Onze consultants voeren de nulmeting uit, leveren de gap-scorecard, begeleiden de remediatie en bereiden u voor op de Type I- en Type II-audit. In vier tot acht maanden naar een verklaring waar uw klanten op vertrouwen.