{"id":2624,"date":"2026-04-23T11:00:00","date_gmt":"2026-04-23T11:00:00","guid":{"rendered":"https:\/\/risguard.com\/?p=2624"},"modified":"2026-04-23T07:10:39","modified_gmt":"2026-04-23T07:10:39","slug":"isae-3402-gap-analyse","status":"publish","type":"post","link":"https:\/\/risguard.com\/en\/isae-3402-gap-analyse\/","title":{"rendered":"ISAE 3402 gap-analyse: stappenplan, kosten en tijdlijn voor 2026"},"content":{"rendered":"\n<p><strong>Uw klanten eisen een ISAE 3402-verklaring, en u heeft negen maanden.<\/strong> De eerste stap is niet een auditor inhuren. Begin met een gap-analyse die laat zien waar uw dienstverlening al op orde is en wat ontbreekt. Doet u dat goed, dan voorkomt u de klassieke valkuil: een Type II-audit die struikelt op zaken die u in de gap-fase had kunnen opvangen.<\/p>\n\n\n\n<div class=\"wp-block-group key-takeaways has-background\" style=\"border-radius:8px;border-left-color:#1a4b7a;border-left-width:4px;background-color:#f4f6f8;margin-top:1rem;margin-bottom:1rem;padding-top:1.5rem;padding-right:1.5rem;padding-bottom:1.5rem;padding-left:1.5rem\"><div class=\"wp-block-group__inner-container is-layout-flow wp-block-group-is-layout-flow\">\n<h3 class=\"wp-block-heading has-text-color\" style=\"color:#1a4b7a\">Key takeaways<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Gap-analyse duurt 3 tot 6 werkweken<\/strong> en legt gemiddeld 70 procent van de controls bloot die nog niet audit-ready zijn.<\/li>\n\n\n\n<li><strong>Een typische ISAE 3402-scope telt 60 tot 200 controls<\/strong>, afhankelijk van de dienstomvang en het aantal uitbestede processen.<\/li>\n\n\n\n<li><strong>Volledig traject van gap-analyse tot Type I-verklaring: 4 tot 8 maanden<\/strong>; Type II vraagt daarna minimaal zes maanden observation period.<\/li>\n\n\n\n<li><strong>ISO 27001 en ISAE 3402 overlappen voor 60 tot 70 procent<\/strong> op control-niveau; een bestaande certificering versnelt de gap-fase aanzienlijk.<\/li>\n<\/ul>\n<\/div><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Wat is een ISAE 3402 gap-analyse precies?<\/h2>\n\n\n\n<p>Een ISAE 3402 gap-analyse is een gestructureerde nulmeting die uw bestaande beheersmaatregelen afzet tegen de eisen van de standaard. De uitkomst is een lijst van gaps per control, voorzien van een risico-score en een concrete remediatie-actie. Het doel: binnen de daaropvolgende maanden alle gaps dichten voordat de onafhankelijke auditor langskomt.<\/p>\n\n\n\n<p>ISAE 3402 is in 2009 gepubliceerd door de IAASB en in Nederland vertaald als NV COS 3402 door de NBA. De standaard beschrijft hoe een service-organisatie, een partij aan wie klanten processen uitbesteden zoals payroll, hosting, SaaS of BPO, zekerheid kan geven over de werking van de eigen beheersmaatregelen. De gap-analyse valt buiten de auditvereisten, maar vormt wel de meest kosteneffici\u00ebnte manier om een Type I- of Type II-verklaring te halen zonder verrassingen in de audit.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Type I of Type II: welke verklaring past bij uw organisatie?<\/h2>\n\n\n\n<p>Het verschil zit in wat de auditor toetst. Type I bevestigt alleen het ontwerp van uw beheersmaatregelen op \u00e9\u00e9n peildatum. Type II toetst ook of die maatregelen werkelijk hebben gefunctioneerd over een periode van minimaal zes maanden. Klanten met risicogerichte inkoopteams, zoals banken, verzekeraars en pensioenfondsen, vragen bijna altijd om Type II.<\/p>\n\n\n\n<div style=\"overflow-x:auto;\">\n<table style=\"width:100%;border-collapse:collapse;\">\n  <thead>\n    <tr style=\"background:#1a4b7a;color:#fff;\">\n      <th style=\"padding:0.6rem;text-align:left;\">Aspect<\/th>\n      <th style=\"padding:0.6rem;text-align:left;\">Type I<\/th>\n      <th style=\"padding:0.6rem;text-align:left;\">Type II<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\"><strong>Wat toetst de auditor<\/strong><\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Ontwerp op \u00e9\u00e9n peildatum<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Ontwerp plus werking over &ge;6 maanden<\/td><\/tr>\n    <tr><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\"><strong>Rapportage-periode<\/strong><\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Momentopname<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">6 tot 12 maanden observation period<\/td><\/tr>\n    <tr><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\"><strong>Doorlooptijd vanaf gap-analyse<\/strong><\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">4 tot 8 maanden<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">10 tot 18 maanden<\/td><\/tr>\n    <tr><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\"><strong>Indicatieve auditkosten NL 2026<\/strong><\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">&euro;15k &ndash; &euro;35k<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">&euro;25k &ndash; &euro;60k<\/td><\/tr>\n    <tr><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\"><strong>Typische opdrachtgever vraagt<\/strong><\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Kleinere zakelijke afnemers, eerste jaar<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Financials, grote corporates, overheid<\/td><\/tr>\n    <tr><td style=\"padding:0.5rem;\"><strong>Strategie Risguard<\/strong><\/td><td style=\"padding:0.5rem;\">Quick-win voor eerste klantvraag<\/td><td style=\"padding:0.5rem;\">Doelverklaring binnen 12 maanden<\/td><\/tr>\n  <\/tbody>\n<\/table>\n<\/div>\n\n\n\n<p>Praktisch advies: start met Type I zodra de gap-analyse is afgerond, en gebruik het ontwerprapport als ankerdocument om de observation period voor Type II in te gaan. De Type II-verklaring volgt dan ongeveer een jaar na de gap-analyse.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Welke controls komen in scope?<\/h2>\n\n\n\n<p>ISAE 3402 schrijft geen vaste controllijst voor. Dat bepaalt u zelf, want u kiest welke beheersmaatregelen u wilt laten toetsen. In de praktijk telt een typische scope 60 tot 200 controls, verdeeld over vijf domeinen: logical access, change management, operations en monitoring, incident management, en physical en data center security. Het bredere netwerk aan ondersteunende controls (HR, fysieke beveiliging, backup) komt er vaak bij als de dienst kritieker wordt.<\/p>\n\n\n\n<figure class=\"wp-block-image\" style=\"max-width:640px;margin:1.5rem auto;\">\n<svg viewBox=\"0 0 420 260\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" role=\"img\" aria-label=\"Gap-scorecard: percentage audit-ready per domein\" style=\"width:100%;height:auto;color:#1a4b7a;\" preserveAspectRatio=\"xMidYMid meet\">\n  <title>Gap-scorecard: percentage audit-ready per ISAE 3402-domein bij eerste nulmeting<\/title>\n  <!-- donut -->\n  <g transform=\"translate(130,130)\">\n    <circle r=\"90\" fill=\"none\" stroke=\"#e2e8f0\" stroke-width=\"30\"\/>\n    <!-- segments: 45%, 25%, 15%, 10%, 5% of 565 circumference -->\n    <circle r=\"90\" fill=\"none\" stroke=\"#f97316\" stroke-width=\"30\" stroke-dasharray=\"254 565\" transform=\"rotate(-90)\"\/>\n    <circle r=\"90\" fill=\"none\" stroke=\"#38bdf8\" stroke-width=\"30\" stroke-dasharray=\"141 565\" stroke-dashoffset=\"-254\" transform=\"rotate(-90)\"\/>\n    <circle r=\"90\" fill=\"none\" stroke=\"#a78bfa\" stroke-width=\"30\" stroke-dasharray=\"85 565\" stroke-dashoffset=\"-395\" transform=\"rotate(-90)\"\/>\n    <circle r=\"90\" fill=\"none\" stroke=\"#22c55e\" stroke-width=\"30\" stroke-dasharray=\"57 565\" stroke-dashoffset=\"-480\" transform=\"rotate(-90)\"\/>\n    <circle r=\"90\" fill=\"none\" stroke=\"#1a4b7a\" stroke-width=\"30\" stroke-dasharray=\"28 565\" stroke-dashoffset=\"-537\" transform=\"rotate(-90)\"\/>\n    <text y=\"-6\" text-anchor=\"middle\" fill=\"currentColor\" font-size=\"20\" font-weight=\"700\">60%<\/text>\n    <text y=\"16\" text-anchor=\"middle\" fill=\"currentColor\" font-size=\"11\">gemiddeld niet ready<\/text>\n  <\/g>\n  <!-- legend -->\n  <g transform=\"translate(250,50)\" font-size=\"12\">\n    <rect x=\"0\" y=\"0\" width=\"14\" height=\"14\" fill=\"#f97316\"\/><text x=\"22\" y=\"12\" fill=\"currentColor\">Logical access (45%)<\/text>\n    <rect x=\"0\" y=\"28\" width=\"14\" height=\"14\" fill=\"#38bdf8\"\/><text x=\"22\" y=\"40\" fill=\"currentColor\">Change management (25%)<\/text>\n    <rect x=\"0\" y=\"56\" width=\"14\" height=\"14\" fill=\"#a78bfa\"\/><text x=\"22\" y=\"68\" fill=\"currentColor\">Operations &amp; monitoring (15%)<\/text>\n    <rect x=\"0\" y=\"84\" width=\"14\" height=\"14\" fill=\"#22c55e\"\/><text x=\"22\" y=\"96\" fill=\"currentColor\">Incident management (10%)<\/text>\n    <rect x=\"0\" y=\"112\" width=\"14\" height=\"14\" fill=\"#1a4b7a\"\/><text x=\"22\" y=\"124\" fill=\"currentColor\">Physical &amp; data center (5%)<\/text>\n  <\/g>\n  <text x=\"210\" y=\"250\" text-anchor=\"middle\" fill=\"currentColor\" font-size=\"11\">Verdeling van gaps per control-domein in een typische Risguard-nulmeting.<\/text>\n<\/svg>\n<figcaption style=\"font-size:0.85rem;color:#64748b;text-align:center;\">Gap-scorecard: verdeling van niet-ready controls over vijf ISAE 3402-domeinen bij de eerste nulmeting.<\/figcaption>\n<\/figure>\n\n\n\n<p>Het eerste domein, logical access, is verreweg het grootste. Denk aan provisioning, user access reviews, privileged access management, segregation of duties en password management. In onze ervaring zit hier ook de meeste gap bij nulmeting: processen bestaan, maar bewijslast (audit trail, review-sign-offs, ticketing) ontbreekt voor de auditor.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Hoe ziet het stappenplan er in zes fasen uit?<\/h2>\n\n\n\n<p>Zes fasen, van intake tot Type II-verklaring. De eerste twee zijn consultancy-gedreven; vanaf fase drie werkt u zelf door, met begeleiding op momenten waarop dat waarde toevoegt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Fase 1: Gap-analyse (week 1 tot 6)<\/h3>\n\n\n\n<p>Werksessies met proces-eigenaars, review van bestaand beleid, control-walkthrough en een eerste gap-scorecard. Resultaat: rapport met control-overzicht, gap per domein en een kostenraming voor remediatie.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Fase 2: Remediatie-roadmap (week 4 tot 14)<\/h3>\n\n\n\n<p>Prioritering op risico en afhankelijkheid, koppeling aan bestaande ISO 27001- of SOC 2-controls om dubbel werk te voorkomen, resource-inschatting en bestuurlijke goedkeuring. Looptijd overlapt met fase 1 omdat remediatie op snelle wins al tijdens de gap-analyse kan starten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Fase 3: Control-implementatie (week 6 tot 22)<\/h3>\n\n\n\n<p>Ontbrekende controls worden ingericht, bewijslast wordt opgebouwd (ticket-trails, review-sign-offs, logboeken), system description wordt geschreven. Dit is de zwaarste fase in uren; reken op twee tot vier FTE-maanden bij een middelgrote scope.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Fase 4: Pre-audit readiness-check (week 18 tot 24)<\/h3>\n\n\n\n<p>Een gesimuleerde audit op uw eigen bewijslast. Hier worden de laatste gaps zichtbaar, voor er echt een auditor langskomt. Neem deze fase niet over. Het is goedkoper om hier een observation te voorkomen dan om hem in het definitieve rapport te laten opnemen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Fase 5: Type I-audit (week 22 tot 26)<\/h3>\n\n\n\n<p>Onafhankelijke auditor toetst het ontwerp op peildatum, levert een Type I-rapport. Dit is uw eerste bruikbare verklaring voor klanten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Fase 6: Observation period en Type II (week 26 tot 48+)<\/h3>\n\n\n\n<p>Minimaal zes maanden loopt de auditor mee op werking; daarna volgt het Type II-rapport. Vanaf dit punt is het een jaarlijkse herhaalcyclus: elk jaar opnieuw observation period, bewijslast en rapport.<\/p>\n\n\n\n<figure class=\"wp-block-image\" style=\"max-width:720px;margin:1.5rem auto;\">\n<svg viewBox=\"0 0 720 300\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" role=\"img\" aria-label=\"ISAE 3402 fase-tijdlijn in werkweken\" style=\"width:100%;height:auto;color:#1a4b7a;\" preserveAspectRatio=\"xMidYMid meet\">\n  <title>Tijdlijn ISAE 3402 gap-analyse tot Type II-verklaring in werkweken<\/title>\n  <!-- axis -->\n  <line x1=\"200\" y1=\"30\" x2=\"200\" y2=\"270\" stroke=\"#cbd5e0\"\/>\n  <line x1=\"300\" y1=\"30\" x2=\"300\" y2=\"270\" stroke=\"#cbd5e0\"\/>\n  <line x1=\"400\" y1=\"30\" x2=\"400\" y2=\"270\" stroke=\"#cbd5e0\"\/>\n  <line x1=\"500\" y1=\"30\" x2=\"500\" y2=\"270\" stroke=\"#cbd5e0\"\/>\n  <line x1=\"600\" y1=\"30\" x2=\"600\" y2=\"270\" stroke=\"#cbd5e0\"\/>\n  <text x=\"200\" y=\"22\" text-anchor=\"middle\" fill=\"currentColor\" font-size=\"11\">week 6<\/text>\n  <text x=\"300\" y=\"22\" text-anchor=\"middle\" fill=\"currentColor\" font-size=\"11\">week 14<\/text>\n  <text x=\"400\" y=\"22\" text-anchor=\"middle\" fill=\"currentColor\" font-size=\"11\">week 22<\/text>\n  <text x=\"500\" y=\"22\" text-anchor=\"middle\" fill=\"currentColor\" font-size=\"11\">week 30<\/text>\n  <text x=\"600\" y=\"22\" text-anchor=\"middle\" fill=\"currentColor\" font-size=\"11\">week 48<\/text>\n  <!-- bars -->\n  <rect x=\"120\" y=\"44\"  width=\"80\"  height=\"22\" fill=\"#f97316\"\/>\n  <text x=\"10\" y=\"60\" fill=\"currentColor\" font-size=\"12\">1. Gap-analyse<\/text>\n  <rect x=\"120\" y=\"78\"  width=\"160\" height=\"22\" fill=\"#f97316\" opacity=\"0.8\"\/>\n  <text x=\"10\" y=\"94\" fill=\"currentColor\" font-size=\"12\">2. Remediatie-roadmap<\/text>\n  <rect x=\"120\" y=\"112\" width=\"240\" height=\"22\" fill=\"#38bdf8\"\/>\n  <text x=\"10\" y=\"128\" fill=\"currentColor\" font-size=\"12\">3. Control-implementatie<\/text>\n  <rect x=\"280\" y=\"146\" width=\"100\" height=\"22\" fill=\"#a78bfa\"\/>\n  <text x=\"10\" y=\"162\" fill=\"currentColor\" font-size=\"12\">4. Pre-audit readiness-check<\/text>\n  <rect x=\"360\" y=\"180\" width=\"60\"  height=\"22\" fill=\"#22c55e\"\/>\n  <text x=\"10\" y=\"196\" fill=\"currentColor\" font-size=\"12\">5. Type I-audit<\/text>\n  <rect x=\"420\" y=\"214\" width=\"240\" height=\"22\" fill=\"#1a4b7a\"\/>\n  <text x=\"10\" y=\"230\" fill=\"currentColor\" font-size=\"12\">6. Observation + Type II<\/text>\n  <!-- legend -->\n  <text x=\"120\" y=\"268\" fill=\"currentColor\" font-size=\"11\">Werkweken vanaf start (indicatief; afhankelijk van scope en remediatie-volume)<\/text>\n<\/svg>\n<figcaption style=\"font-size:0.85rem;color:#64748b;text-align:center;\">Indicatieve fase-tijdlijn van gap-analyse tot Type II-verklaring bij een middelgrote service-organisatie.<\/figcaption>\n<\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Wat kost een ISAE 3402-traject in Nederland?<\/h2>\n\n\n\n<p>Exacte kosten hangen af van scope, complexiteit en het volwassenheidsniveau bij start. De onderstaande range weerspiegelt de Nederlandse markt voor middelgrote service-organisaties in 2026, gebaseerd op marktobservaties en onze eigen begeleidingstrajecten.<\/p>\n\n\n\n<div style=\"overflow-x:auto;\">\n<table style=\"width:100%;border-collapse:collapse;\">\n  <thead>\n    <tr style=\"background:#1a4b7a;color:#fff;\">\n      <th style=\"padding:0.6rem;text-align:left;\">Fase<\/th>\n      <th style=\"padding:0.6rem;text-align:left;\">Typische kosten NL 2026<\/th>\n      <th style=\"padding:0.6rem;text-align:left;\">Looptijd<\/th>\n      <th style=\"padding:0.6rem;text-align:left;\">Wie levert<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Gap-analyse<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">&euro;8k &ndash; &euro;20k<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">3 &ndash; 6 weken<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Consultant<\/td><\/tr>\n    <tr><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Remediatie-begeleiding<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">&euro;20k &ndash; &euro;80k<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">3 &ndash; 6 maanden<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Consultant + intern team<\/td><\/tr>\n    <tr><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Type I-audit<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">&euro;15k &ndash; &euro;35k<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">4 &ndash; 8 weken<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Onafhankelijke auditor<\/td><\/tr>\n    <tr><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Type II-audit<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">&euro;25k &ndash; &euro;60k<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">2 &ndash; 4 maanden (na 6+ mnd observation)<\/td><td style=\"padding:0.5rem;border-bottom:1px solid #e2e8f0;\">Onafhankelijke auditor<\/td><\/tr>\n    <tr><td style=\"padding:0.5rem;\"><strong>Jaarlijkse herhaling<\/strong><\/td><td style=\"padding:0.5rem;\"><strong>&euro;20k &ndash; &euro;50k<\/strong><\/td><td style=\"padding:0.5rem;\"><strong>Continu<\/strong><\/td><td style=\"padding:0.5rem;\"><strong>Auditor + interne compliance<\/strong><\/td><\/tr>\n  <\/tbody>\n<\/table>\n<\/div>\n\n\n\n<p>Waar zit de kostenbesparing? Een grondige gap-analyse vooraan in het traject voorkomt dat u dure auditoruren besteedt aan het oplossen van problemen die in de consultancy-fase te tackelen waren. In onze ervaring reduceert een gap-analyse de latere Type I-audit-inzet met 15 tot 25 procent.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Hoe lang duurt het van gap-analyse tot verklaring?<\/h2>\n\n\n\n<p>Reken op 4 tot 8 maanden tot een Type I-verklaring en 10 tot 18 maanden tot Type II. Dat is inclusief de verplichte observation period van zes maanden. Organisaties met een bestaande ISO 27001-certificering zitten aan de onderkant van deze ranges, omdat veel van het beleid, de risico-assessment en de bewijslogging dan al operationeel is.<\/p>\n\n\n\n<p>De grootste variabele is fase 3 (control-implementatie). Als de gap-analyse uitwijst dat logical access en change management fundamenteel moeten worden herzien, loopt deze fase snel naar zes maanden. Bij organisaties met al een volwassen GRC-functie is fase 3 vaak binnen twee maanden afgerond.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Hoe sluit ISAE 3402 aan op ISO 27001?<\/h2>\n\n\n\n<p>Tussen ISAE 3402-controls en ISO 27001 Annex A is ongeveer 60 tot 70 procent overlap. Logical access, change management, physical security en incident management zijn vrijwel \u00e9\u00e9n-op-\u00e9\u00e9n mapbaar. Wat ISAE 3402 uniek maakt is de nadruk op de <em>dienst zoals geleverd aan de klant<\/em>, met complementary user entity controls (CUECs) die beschrijven wat de klant zelf moet regelen om het geheel werkzaam te maken.<\/p>\n\n\n\n<p>Praktisch advies: gebruik uw ISO 27001 Statement of Applicability als startdocument voor de ISAE 3402 control-matrix. Mappen de controls in \u00e9\u00e9n tabel, identificeer de ISAE 3402-only controls (vooral rond dienst-specifieke operationele processen en de CUECs) en werk die als delta uit. Zie ons <a href=\"https:\/\/risguard.com\/iso-27001-stappenplan-van-nulmeting-naar-certificaat-in-2026\/\">ISO 27001-stappenplan<\/a> voor het opzetten van het managementsysteem zelf.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Wat moet u klaar hebben v\u00f3\u00f3r de auditor langskomt?<\/h2>\n\n\n\n<p>Een Type I-audit kent vier onmisbare componenten. Ontbreekt er \u00e9\u00e9n, dan loopt u vrijwel zeker tegen een gekwalificeerde verklaring of een aanpassing van de peildatum aan.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Een goedgekeurde system description<\/strong>: complete beschrijving van de dienstverlening, scope-afbakening, boundaries, gebruikte subservice-organisaties en de control-objectives.<\/li>\n\n\n\n<li><strong>De control-matrix<\/strong>: alle beheersmaatregelen met risk owner, frequentie, bewijsstroom en koppeling aan control-objective.<\/li>\n\n\n\n<li><strong>Bewijslast<\/strong>: voor elke control moet u aantoonbaar kunnen laten zien dat hij op de peildatum werkte met ticket-trails, sign-offs, review-bewijs en log-extracts.<\/li>\n\n\n\n<li><strong>CUECs-sectie<\/strong>: lijst van controls waarvoor u afhankelijk bent van uw klanten (denk aan toegangsbeheer op klantzijde), expliciet en leesbaar.<\/li>\n<\/ul>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Onze ervaring<\/strong><br><br>Bij de service-organisaties die wij begeleiden zien we dat 70 tot 80 procent van de gaps niet in ontbrekende controls zit, maar in ontbrekende bewijslast. Het proces werkt; de tickets, review-sign-offs en logboeken worden alleen niet consistent bewaard. Een gap-analyse die dit onderscheid maakt tussen design-gap en evidence-gap, scheelt weken aan remediatie-tijd en voorkomt dat teams onnodig processen gaan herontwerpen.<\/p>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\">Veelgestelde vragen over de ISAE 3402 gap-analyse<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Wat is het verschil tussen Type I en Type II?<\/h3>\n\n\n\n<p>Type I toetst alleen het ontwerp van de beheersmaatregelen op \u00e9\u00e9n peildatum. Type II toetst \u00f3\u00f3k of die maatregelen effectief hebben gewerkt over een periode van minimaal zes maanden. Grote zakelijke klanten eisen vrijwel altijd Type II; Type I is vooral bruikbaar als tussenstap of voor kleinere klantopdrachten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Is ISAE 3402 wettelijk verplicht?<\/h3>\n\n\n\n<p>Nee, ISAE 3402 kent geen wettelijke verplichting. De verklaring wordt contractueel ge\u00ebist door klanten, met name door financi\u00eble instellingen en overheid. In de praktijk functioneert het daardoor als een commerci\u00eble voorwaarde: zonder verklaring raakt u opdrachten kwijt in die segmenten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Wat zijn CUECs (Complementary User Entity Controls)?<\/h3>\n\n\n\n<p>CUECs zijn beheersmaatregelen waarvoor u afhankelijk bent van uw klanten. Denk aan het tijdig intrekken van gebruikerstoegang bij uitdiensttreding, of het veilig bewaren van API-sleutels. Deze controls moet u expliciet benoemen in de system description, zodat de klant weet wat zijn eigen verantwoordelijkheid is.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">ISAE 3402 of SOC 2: welke past beter?<\/h3>\n\n\n\n<p>ISAE 3402 richt zich op financi\u00eble rapportage-relevante controls en wordt in Nederland en Europa het breedst geaccepteerd. SOC 2 richt zich op de trust services criteria (security, availability, confidentiality, processing integrity, privacy) en is dominant in de Amerikaanse markt. Veel internationaal opererende SaaS-bedrijven doen beide.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Hoeveel controls komen in een typische scope?<\/h3>\n\n\n\n<p>Tussen de 60 en 200, afhankelijk van dienstomvang en uitbestede processen. Payroll-diensten zitten vaak aan de onderkant (60 tot 100), complexe SaaS- en hosting-platforms aan de bovenkant (150 tot 200). De gap-analyse helpt u de juiste scope-afbakening te kiezen: te breed wordt duur, te smal geeft klanten onvoldoende zekerheid.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Kan een ISO 27001-certificering het traject versnellen?<\/h3>\n\n\n\n<p>Ja, aanzienlijk. Ongeveer 60 tot 70 procent van de ISAE 3402-controls heeft een equivalent in ISO 27001 Annex A. Onze <a href=\"https:\/\/risguard.com\/iso-27001-checklist\/\">ISO 27001-checklist<\/a> is een goed startpunt om te zien welke controls al afgedekt zijn. De gap-analyse concentreert zich dan op de dienst-specifieke operationele processen en de CUECs.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Wat gebeurt er als de auditor observations constateert?<\/h3>\n\n\n\n<p>Observations zijn bevindingen die in het rapport worden opgenomen. Bij Type II is een enkele lichte observation vaak acceptabel voor klanten, mits u een corrigerende actie heeft beschreven. Meerdere of zware observations leiden tot een gekwalificeerd oordeel, wat commercieel pijn doet. Een pre-audit readiness-check (fase 4 in het stappenplan) voorkomt deze situatie vrijwel altijd.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Hoe vaak moet de audit worden vernieuwd?<\/h3>\n\n\n\n<p>Jaarlijks. Na de eerste Type II-verklaring loopt er continu een observation period, en elk jaar volgt een nieuw rapport. Klanten kijken niet alleen naar de datum van de verklaring, maar ook naar de ononderbroken dekking van periodes. Een gat in de observation period roept vragen op.<\/p>\n\n\n\n<div class=\"wp-block-group has-white-color has-text-color has-background\" style=\"border-radius:12px;background-color:#1a4b7a;margin-top:3rem;padding-top:3rem;padding-right:2rem;padding-bottom:3rem;padding-left:2rem\"><div class=\"wp-block-group__inner-container is-layout-constrained wp-container-core-group-is-layout-b219f08f wp-block-group-is-layout-constrained\">\n<h2 class=\"wp-block-heading has-text-align-center has-text-color\" style=\"color:#ffffff\">Hulp nodig met ISAE 3402 gap-analyse?<\/h2>\n\n\n\n<p class=\"has-text-align-center has-text-color\" style=\"color:#ffffff\"><p class=\"has-text-align-center\" style=\"color:#ffffff\">Onze consultants voeren de nulmeting uit, leveren de gap-scorecard, begeleiden de remediatie en bereiden u voor op de Type I- en Type II-audit. In vier tot acht maanden naar een verklaring waar uw klanten op vertrouwen.<\/p><\/p>\n\n\n\n<div class=\"wp-block-buttons is-content-justification-center is-layout-flex wp-container-core-buttons-is-layout-16018d1d wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link has-black-color has-white-background-color has-text-color has-background wp-element-button\" href=\"https:\/\/risguard.com\/contact\/\" style=\"border-radius:16px;padding-top:0.9rem;padding-right:2rem;padding-bottom:0.9rem;padding-left:2rem\"><strong>Neem contact op<\/strong><\/a><\/div>\n<\/div>\n<\/div><\/div>\n\n\n\n<script type=\"application\/ld+json\">\n{\"@context\":\"https:\/\/schema.org\",\"@graph\":[\n{\"@type\":\"Organization\",\"@id\":\"https:\/\/risguard.com\/#organization\",\"name\":\"Risguard\",\"url\":\"https:\/\/risguard.com\",\"logo\":\"https:\/\/risguard.com\/wp-content\/uploads\/logo.png\"},\n{\"@type\":\"BreadcrumbList\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/risguard.com\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Blog\",\"item\":\"https:\/\/risguard.com\/blog\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"ISAE 3402 gap-analyse\",\"item\":\"https:\/\/risguard.com\/isae-3402-gap-analyse\/\"}]},\n{\"@type\":\"BlogPosting\",\"@id\":\"https:\/\/risguard.com\/isae-3402-gap-analyse\/#article\",\"headline\":\"ISAE 3402 gap-analyse: stappenplan, kosten en tijdlijn voor 2026\",\"description\":\"Complete ISAE 3402 gap-analyse: 6-staps plan, 60-200 controls in scope, kosten 2026 en doorlooptijd van 4-8 maanden naar Type I-verklaring.\",\"author\":{\"@type\":\"Organization\",\"@id\":\"https:\/\/risguard.com\/#organization\"},\"publisher\":{\"@id\":\"https:\/\/risguard.com\/#organization\"},\"datePublished\":\"2026-05-05\",\"inLanguage\":\"nl-NL\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/risguard.com\/isae-3402-gap-analyse\/\"}},\n{\"@type\":\"FAQPage\",\"mainEntity\":[\n{\"@type\":\"Question\",\"name\":\"Wat is het verschil tussen Type I en Type II?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Type I toetst alleen het ontwerp op een peildatum; Type II toetst ook de werking over minimaal zes maanden. Grote zakelijke klanten eisen vrijwel altijd Type II.\"}},\n{\"@type\":\"Question\",\"name\":\"Is ISAE 3402 wettelijk verplicht?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Nee, ISAE 3402 kent geen wettelijke verplichting. De verklaring wordt contractueel ge\u00ebist, met name door financi\u00eble instellingen en overheid.\"}},\n{\"@type\":\"Question\",\"name\":\"Wat zijn CUECs?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Complementary User Entity Controls zijn beheersmaatregelen waarvoor de service-organisatie afhankelijk is van klanten, zoals tijdig intrekken van gebruikerstoegang bij uitdiensttreding.\"}},\n{\"@type\":\"Question\",\"name\":\"Hoeveel controls komen in een typische scope?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Tussen de 60 en 200 controls, afhankelijk van dienstomvang. Payroll-diensten zitten aan de onderkant, complexe SaaS- en hosting-platforms aan de bovenkant.\"}},\n{\"@type\":\"Question\",\"name\":\"Kan een ISO 27001-certificering het ISAE 3402-traject versnellen?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Ja. Ongeveer 60 tot 70 procent van de ISAE 3402-controls heeft een equivalent in ISO 27001 Annex A, wat de gap-fase aanzienlijk verkort.\"}},\n{\"@type\":\"Question\",\"name\":\"Hoe vaak moet de ISAE 3402-audit worden vernieuwd?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Jaarlijks. Na de eerste Type II-verklaring loopt er continu een observation period, en elk jaar volgt een nieuw rapport.\"}}\n]}\n]}\n<\/script>\n","protected":false},"excerpt":{"rendered":"<p>Complete ISAE 3402 gap-analyse: 6-staps plan, 60-200 controls in scope, kosten 2026 en doorlooptijd van 4-8 maanden naar Type I-verklaring.<\/p>","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_kad_post_transparent":"","_kad_post_title":"","_kad_post_layout":"","_kad_post_sidebar_id":"","_kad_post_content_style":"","_kad_post_vertical_padding":"","_kad_post_feature":"","_kad_post_feature_position":"","_kad_post_header":false,"_kad_post_footer":false,"_kad_post_classname":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-2624","post","type-post","status-publish","format-standard","hentry","category-niet-gecategoriseerd"],"_links":{"self":[{"href":"https:\/\/risguard.com\/en\/wp-json\/wp\/v2\/posts\/2624","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/risguard.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/risguard.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/risguard.com\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/risguard.com\/en\/wp-json\/wp\/v2\/comments?post=2624"}],"version-history":[{"count":3,"href":"https:\/\/risguard.com\/en\/wp-json\/wp\/v2\/posts\/2624\/revisions"}],"predecessor-version":[{"id":2628,"href":"https:\/\/risguard.com\/en\/wp-json\/wp\/v2\/posts\/2624\/revisions\/2628"}],"wp:attachment":[{"href":"https:\/\/risguard.com\/en\/wp-json\/wp\/v2\/media?parent=2624"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/risguard.com\/en\/wp-json\/wp\/v2\/categories?post=2624"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/risguard.com\/en\/wp-json\/wp\/v2\/tags?post=2624"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}