CAPTURE
BlogOperaties · SOP en compliance
Operaties · SOP en compliance

SOC 2: audit-klare SOP's zonder documentatie-sprint

Een SOC 2-auditeur wil geen mooie Notion-pagina's. Hij wil bewijs dat een controle is uitgevoerd. Een door de proceseigenaar opgenomen gids met getimestampte klikken is het schoonste bewijs dat de meeste auditeurs het hele jaar zien.

Portrait of Elliot Bensabat
Geschreven door
Elliot Bensabat
Co-founder, Capture
Gepubliceerd
Prijzen geverifieerd
mei 2026
Stapel gidskaarten met getimestampte staplijnen die naar een centrale doelring lopen, brutalistische redactionele illustratie die SOP's suggereert die hun eigen auditbewijs produceren
De cijfers
Bibliotheek herbouwd
6 weken
21 SOP's, eigenaren getraind
Auditdekking
100%
Controles met schermbewijs
Audit follow-ups
0
3
Op documentatie, vorige audit
Auditafsluiting
2 weken eerder
Versus de geplande einddatum
In 60 seconden

De korte versie.

Een SOC 2-audit struikelt zelden over de controles. Hij struikelt over het bewijs. Het team heeft de controles ingericht. Het kan niet aantonen dat ze daadwerkelijk lopen. De uitweg past op één regel: elke proceseigenaar neemt zijn workflow eenmaal op, de opname draagt timestamps en schermafbeeldingen, hetzelfde artefact dient als dagelijkse SOP en als bewijsstuk in de auditweek. Zes weken, 21 SOP's, een Nederlandse B2B-fintech van 38 mensen, Series A: 100% van de controles gedekt, geen enkele doc vanaf een blanco pagina geschreven.

01 · Sectie

Het gat in SOC 2-documentatie waar niemand voor waarschuwt

De meeste early-stage fintechs bereiden SOC 2 voor met een compliance-tool (Vanta, Drata, Secureframe) en zes weken werken aan beleid. Beleid is het makkelijke deel. De tool template-t er negentig procent van.

Het gat verschijnt in fieldwork. De auditeur vraagt om bewijs dat een specifieke controle in de auditperiode is uitgevoerd. Niet het beleid. De uitvoering. Met voorbeelden.

Toegangsreview (CC6.3): hij wil de laatste kwartaalreview, de gebruikerslijst en de ondernomen acties. Het team heeft de review gedaan. Het bewijs is een schermafbeelding ergens in een Google Drive die min of meer aansluit op de timing van het beleid.

Wijzigingsbeheer (CC8.1): hij wil het pad zien van een codewijziging naar productie. Het team heeft het proces. Het pad wordt een senior engineer aan het whiteboard, dertig minuten lang, midden in de audit.

Leveranciersbeheer (CC9.2): hij wil het onboardingproces voor een nieuwe sub-processor en het bewijs van de beoordeling. Het team heeft de stappen genomen. Het bewijs is een Notion-pagina met vijf tabbladen, waarvan de helft de oude leverancier beschrijft.

Dit zijn geen beleidshiaten. Het zijn bewijshiaten. De kosten van dichten in de auditweek bedragen ongeveer veertig uur senior leiderschap per controle. Voor een klein team dat SOC 2 voorbereidt, is dat de rekening die iedereen verrast.

De reflex om "de SOP's te herschrijven" maakt het erger. Achttien SOP's van twee uur per stuk is zesendertig uur schrijfwerk voor documentatie die twee maanden later veroudert. AICPA's SOC 2 Trust Services Criteria zijn duidelijk: bewijs is het artefact van het werk, geen geschreven beschrijving van het werk.

02 · Sectie

Wat de auditeur echt wil, versus wat het team opschrijft

De evaluatie van bewijs door een auditeur loopt langs drie tests.

1. Liep het proces tijdens de auditperiode? Een mooie Notion-pagina geeft geen antwoord. Een getimestampte opname wel. Een kliklog wel. De auditeur zoekt geen beschrijving, maar een spoor.

2. Is het proces reproduceerbaar? Een eenmalige Loom uit januari 2024 is geen reproduceerbaar bewijs. Een gids die zegt "Eigenaar: Sanne, laatste verversing: april 2026, Q1-toegangsreview bijgevoegd" is dat wel. De auditeur wil zien dat hetzelfde proces in Q1, Q2, Q3 en Q4 van de auditperiode is gelopen.

3. Werkt het proces zonder de auteur? Hier zakt de meerderheid. De CFO neemt de SOP op en vertrekt, de opvolgster doet hetzelfde proces net iets anders. Auditeurs noemen dit "key-person dependency" en flaggen het onder CC1.4.

De keurige Notion-pagina haalt geen van de drie tests. De door de eigenaar opgenomen gids haalt alle drie. Toen een Nederlandse B2B-fintech van 38 mensen haar SOP-bibliotheek in zes weken voor SOC 2 opnieuw opbouwde, luidde de aantekening van de auditeur: "het schoonste SOC 2-bewijs dat ik dit jaar heb gezien". De bibliotheek bestond uit eenentwintig gidsen, opgenomen door de proceseigenaren, met timestamps en schermafbeeldingen ingebed. AICPA's Trust Services Criteria PDF beschrijft precies welke controlecategorieën dit soort operationeel bewijs vereisen. Voor de raakvlakken met persoonsgegevens hanteert de Autoriteit Persoonsgegevens onder de AVG een vergelijkbare logica: het bewijs van uitvoering weegt zwaarder dan de beschrijving.

Vraag van de auditeur
Laat de Q1-toegangsreview zien
Verkeerd antwoord
"Dit is het beleid"
Goed antwoord
"Dit is de opgenomen review met timestamps, de gebruikerslijst per 31 maart en de uitgevoerde deprovisioning"
Vraag van de auditeur
Hoe komt een codewijziging in productie?
Verkeerd antwoord
"Een senior engineer leidt de auditeur erdoorheen"
Goed antwoord
"Dit is de opgenomen SOP met schermbewijs van de CI-checks, de PR-review en de deploystap"
Vraag van de auditeur
Wat gebeurt er als een sub-processor wordt toegevoegd?
Verkeerd antwoord
"Dit is de Notion-pagina"
Goed antwoord
"Dit is de opgenomen leveranciersgids en het bewijs van de drie laatste beoordelingen"
03 · Sectie

Het patroon: SOP opgenomen door de eigenaar

Het patroon dat 100% controledekking opleverde bij een fintech van 38 mensen, draait op één regel: de proceseigenaar neemt de SOP op, niet een centraal documentatieteam.

Drie redenen waarom dit werkt.

1. De opname legt het werkelijke proces vast. Een centrale schrijver die de eigenaar interviewt, produceert een beschrijving. De eigenaar die zijn workflow loopt, produceert de workflow. Het verschil is groter dan het klinkt. De auditeur ziet het meteen.

2. De onderhoudslus is kort. Wanneer het proces verandert (een nieuwe tool, een nieuwe goedkeurder, een nieuwe drempel), neemt de eigenaar de getroffen stap in twee minuten opnieuw op. Een centrale schrijver is een knelpunt dat de onderhoudslus binnen één kwartaal breekt.

3. Eigenaarschap is auditbaar. SOC 2 CC1.4 (gedefinieerd in de SOC for Service Organizations-suite) eist gedefinieerde verantwoordelijkheden. Een SOP met een genoemde eigenaar die kan worden gevraagd het proces te demonstreren, voldoet direct aan CC1.4. Een Notion-pagina zonder eigenaar niet. Voor B2B-fintechs in Nederland die ook met de AVG en de eisen van de AFM te maken hebben, telt dezelfde logica voor het register van verwerkingen en het toegangsbeheer.

De setup ligt in vier stappen.

Stap 1. Inventariseer de controles in scope. De meeste teams hebben tussen vijftien en dertig controles in scope voor een Type 2-audit. Elke controle krijgt een eigenaar en een SOP.

Stap 2. Wijs één eigenaar per controle aan. De eigenaar is de persoon die het proces vandaag uitvoert. Niet de eigenaar van het beleid. Niet de auteur van het beleid. De persoon die door de daadwerkelijke workflow klikt wanneer die loopt. Voor toegangsreview is dat doorgaans de IT-lead, niet de CISO. Voor leveranciersbeheer is dat Operations, niet Legal.

Stap 3. Elke eigenaar neemt de SOP eenmaal op. De eerste duurt vijfentwintig minuten. De derde tien. De eigenaar loopt het proces precies zoals op een normale dag, licht het redeneerwerk toe en stopt waar het proces eindigt. De uitvoer is een gids met timestamps, schermafbeeldingen en optioneel verteller-audio.

Stap 4. Neem alleen de gewijzigde stap opnieuw op. Verandert een stap, dan wordt die stap opnieuw opgenomen. De bibliotheek blijft actueel zonder documentatiesprint. De methode werkt over teams heen: Bram, staff engineer bij een observability-platform, verving zijn README's stuk voor stuk door opgenomen stappen die in twee minuten ververst werden.

De tool die in dit project werd gebruikt, was een Chrome-extensie die klikken en schermen automatisch vastlegt. Andere tools werken ook, het operationele model telt zwaarder dan de tool. Wat nooit werkt zijn monolithische Notion-pagina's zonder eigenaar.

04 · Sectie

Bewijs vastleggen terwijl je werkt

Het patroon hierboven produceert SOP's. De vraag in de auditweek is de SOP plus het bewijs van recente uitvoering. De truc is dat het hetzelfde artefact wordt.

Drie patronen om bewijs in-flight vast te leggen.

1. Tijdstempel de uitvoering. Elke opname levert een gedateerd artefact. Wanneer de toegangsreview in Q1 loopt, neemt de eigenaar de sessie op. Dezelfde opname dient als SOP voor Q2 en als bewijs voor Q1. Auditeurs waarderen dit, omdat de SOP en het bewijs hetzelfde object zijn, traceerbaar naar een datum. Pieter, IT-lead bij een Mollie-partner, heeft die discipline ingebouwd in elke kwartaalreview: de opname loopt mee terwijl hij klikt.

2. Leg vast wat de operator op het scherm zag, niet welke stappen hij nam. Het bewijs dat de auditeur wil, is de data die de operator zag, niet de stappen die de operator nam. Een opname van de toegangsreview legt de gebruikerslijst vast zoals weergegeven in de IDP, de roltoekenningen en de deprovisioning. Dat is het bewijs. De klikvolgorde is de SOP.

3. Exporteer als merkpresentatie-PDF voor het bewijspakket. De meeste auditplatformen verwerken PDF of HTML. Capture en vergelijkbare tools exporteren PDF's met timestamps, het aantal kliks en stap-voor-stap schermafbeeldingen. De eigenaar exporteert elke gids als PDF en uploadt naar de auditmap. Geen aparte bewijscompilatie. Volgens Nielsen Norman Group hechten scannende lezers meer waarde aan een geordende bewijsstructuur dan aan een vloeiend verhaal, wat precies aansluit op hoe een auditeur een bewijspakket doorloopt.

Het cumulatieve effect is de verrassing. De eerste audit kost meer werk omdat de bibliotheek wordt gebouwd. De tweede kost een fractie van de tijd: de bibliotheek bestaat, de eigenaren kennen het opnamegebaar, het bewijspakket bouwt zichzelf op vanuit de live SOP-set.

Heeft het team de tool voor de SOC 2-inspanning nog niet gekozen, dan dekt de vergelijking van de beste Scribe-alternatieven 2026 de zeven kandidaten die auditeurs het vaakst in bewijspakketten zien. Begin de implementatie bij de SOC 2-controles, niet bij de klantkant. Wie de klantkant later oppakt, kan het patroon kopiëren uit de klant-onboarding-documentatiegids.

05 · Sectie

De checklist voor de auditweek

Tegen de auditweek beantwoordt de bibliotheek elke standaardvraag van de auditeur zonder dat senior leiderschap nieuwe inhoud schrijft. De onderstaande checklist is wat de audit twee weken eerder afsluit.

  1. Elke controle heeft een genoemde eigenaar in de SOP-metadata. De auditeur vraagt "wie draait dit", het antwoord staat in het artefact, niet in iemands hoofd.
  2. Elke SOP is in de afgelopen zes maanden opnieuw opgenomen of ververst. Zes maanden is de versheid die de auditeur verwacht. Ouder dan dat en hij drukt door.
  3. De recentste run is getimestampt en valt binnen de auditperiode. Een Q1-toegangsreview die in Q2 is opgenomen, prima. Een opname uit januari zonder Q3-update niet.
  4. De SOP en het bewijs zijn hetzelfde artefact. De PDF in het bewijspakket is dezelfde gids die het team gebruikt om het proces uit te voeren. Geen kloof tussen beleid en praktijk.
  5. Opnamemetadata zijn auditbaar. Het aantal kliks, timestamps en optioneel verteller-audio zijn exporteerbaar. De auditeur kan verifiëren dat de opname uit het systeem komt en geen reconstructie is.
  6. De SOP-bibliotheek heeft één indexpagina. "Begin hier" is een echte pagina met eenentwintig items. De auditeur vraagt om de masterlijst, het team stuurt één URL.

Ter vergelijking: de auditweek die niet op tijd sluit, mist minstens vier van deze punten. Meestal punten 3 en 4 (versheid en gelijkheid SOP/bewijs).

De drie regels die de COO uit dit project gebruikte om de SOC 2-inspanning af te bakenen: eigenaarschap is auditbaar, schermbewijs is auditbaar, en één opnieuw opgenomen stap is sneller dan een wikipagina herschrijven. Drie regels, eenentwintig controles, een audit die twee weken vóór de geplande datum sloot. Voor de aangrenzende AVG-thema's (verwerkingsregister, sub-processors) houdt dezelfde logica stand bij de Autoriteit Persoonsgegevens.

Het schoonste SOC 2-bewijs dat ik dit jaar heb gezien. Een getimestampte gids is bewijs. Een Notion-pagina is een intentie.
SOC 2-auditeur, opdracht B2B-fintech Series A
FAQ

Veelgestelde vragen.

Werkt deze aanpak voor SOC 2 Type 1 of alleen Type 2?

Beide. Type 1 is een momentopname, dus de SOP's moeten zijn opgenomen op de testdatum. Type 2 is een periodetest, en daar kapitaliseert het patroon: elke kwartaalrun wordt het bewijs voor de vorige periode en de SOP voor de volgende. De meeste teams bouwen de bibliotheek voor Type 2, omdat de investering per controle zich over de hele auditperiode amortiseert.

Hoe verschilt dit van het gebruik van Vanta, Drata of Secureframe?

De compliance-platformen (Vanta, Drata, Secureframe) regelen de beleidstemplates, de controle-monitoring en de bewijsverzameling uit gekoppelde systemen (cloud, IDP, ticketing). Ze genereren de SOP's zelf niet. De opname-eerst-methode dicht precies dat gat. Teams draaien doorgaans een compliance-platform voor monitoring en een gidsentool voor SOP's, en samen leveren die twee het audit-klare pakket.

Hoe zit het met ISO 27001, AVG of HIPAA?

Hetzelfde patroon werkt. ISO 27001 is documentatie-zwaarder dan SOC 2, wat de eigenaar-opname-aanpak nog waardevoller maakt: de documentatielast schaalt met het aantal controles. HIPAA heeft een smallere scope maar hetzelfde principe van uitvoeringsbewijs. Voor de AVG verwacht de Autoriteit Persoonsgegevens hetzelfde: het verwerkingsregister en het bewijs van de uitgevoerde toegangscontroles wegen zwaarder dan een lange beleidsnota. De opname-eerst-methode is framework-agnostisch.

Hoe gaan we om met SOP's die gevoelige data raken (PII, financieel)?

Twee benaderingen. Eerste: redactie. De meeste gidsentools ondersteunen het vervagen of maskeren van schermzones. Met Capture zet de eigenaar een masker over de PII-zone vóór publicatie. Tweede: sandbox. De SOP wordt opgenomen in een staging-omgeving met synthetische data. Auditeurs accepteren beide, mits de SOP overeenkomt met het productieproces en de redactie of sandbox is gedocumenteerd. Voor Mollie- en Adyen-werkstromen, waar betalingsdata in beeld komen, kiezen teams meestal voor sandbox.

Hoe lang duurt het om de bibliotheek vanaf nul op te bouwen?

De Nederlandse fintech van 38 mensen produceerde eenentwintig SOP's in zes weken, met één eigenaar per SOP en één opnamesessie per eigenaar per week. Het patroon schaalt: een team van 60 mensen met dertig SOP's sluit dezelfde zesweekse periode af, omdat het werk parallel loopt over de eigenaren. De bottleneck is de beschikbaarheid van de eigenaren, niet de opnametijd. De opname zelf duurt vijfentwintig minuten voor de eerste SOP en zakt tegen de derde naar tien minuten.

Volgende stap

Klaar om SOP's op te nemen die meteen auditbewijs zijn?

Capture neemt de SOP op, legt het schermbewijs vast en exporteert een PDF met merkstijl voor het auditpakket. Gratis Chrome-extensie, geen aanmelding. Elke eigenaar neemt eenmaal op, de bibliotheek werkt stap voor stap bij.

Installeer de Chrome-extensie
Verder lezen
Workflow-documentatie · Vergelijking

Tango-alternatief voor IT Operations-teams in 2026

Een IT-team van een Nederlandse scale-up van 220 mensen heeft de twintig meest terugkerende tickets omgezet in Capture-gidsen. Het Tier-1-volume zakte 35 % in acht weken. De rest is rekenwerk per zetel.

Workflow-documentatie · Praktische gids

Hoe documenteer je een klant-onboarding-workflow in 2026

De meeste onboarding-documentatie is na acht weken verouderd, omdat niemand ze opnieuw opneemt wanneer de UI een update krijgt. De oplossing zijn geen betere schrijvers. Het is een recording-first methode die tien minuten per refresh kost.

Workflow-documentatie · Kader

De 12-stappen-regel: waarom lengte falen voorspelt

De meeste documentatie-teams schrijven langer dan ze zouden moeten. Lengte werkt tegen je, en 12 stappen is het operationele plafond waarboven de voltooiing instort.

Probeer het

Neem één workflow op.

Gratis Chrome-extensie. Geen registratie nodig.

Aan Chrome toevoegen Meer artikelen