DeepL publiceert SOC 2 Type II-rapport

February 22, 2024

SOC 2 Type II-rapporten in het kort:

Een SOC 2 Type II-rapport evalueert de informatiesystemen van een bedrijf met het oog op beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy.
Om te laten zien dat DeepL zijn beloftes op het gebied van gegevensbescherming en ‑beveiliging waarmaakt, hebben wij ook een SOC 2 Type II-rapport opgesteld.
Als u het volledige SOC 2 Type II-rapport van DeepL zelf wilt lezen, kunt u contact met ons opnemen voor toegang.

Stelt uw bedrijf specifieke beveiligingseisen aan alle tools en leveranciers waar u mee werkt? Dat is namelijk best belangrijk! Er zijn veel maatregelen voor gegevensbeveiliging en privacy waar men rekening mee moet houden. Zo kunt u bijvoorbeeld denken aan de Algemene verordening gegevensbescherming (AVG) of ISO 27001.

Onlangs heeft DeepL een nieuwe kwalificatie behaald die eveneens in dat rijtje past in de vorm van het zogenaamde SOC 2 Type II-rapport. De uitgebreide auditprocedure die tot deze kwalificatie leidt, levert een rapport op dat als bewijs dient dat een bedrijf aan bepaalde veiligheidseisen voldoet. Dit is bijvoorbeeld van belang voor beveiligingsbewuste organisaties die op zoek zijn naar een veilige tool of serviceprovider met wie zij in zee willen gaan.

Wilt u meer weten over het SOC 2 Type II-rapport van DeepL of het rapport misschien zelfs lezen? Dan bent u hier in deze blogpost aan het juiste adres.

Wat is een SOC 2 Type II-rapport?

een afbeelding van de vijf vertrouwensprincipes van Soc 2 type II

Het Service Organization Control (SOC) 2 Type II-rapport werd ontwikkeld door het American Institute of Certified Public Accountants (AICPA) als een manier om goed beheer van klantgegevens te definiëren op basis van de Trust Services Criteria (TSC).

Het doel van het SOC 2-rapport is het evalueren van informatiesystemen van een bedrijf of organisatie op basis van vijf "vertrouwensprincipes" ("trust service principles"), namelijk:

Beveiliging: dit principe is cruciaal voor alle bedrijven en organisaties die te maken hebben met gevoelige of vertrouwelijke informatie. Voor DeepL betekent dit dat we mechanismen in het leven hebben geroepen om onze systemen en gegevens te beschermen tegen diefstal, ongeautoriseerde toegang of ongeoorloofde vernietiging.
Beschikbaarheid: dit principe is van vitaal belang voor bedrijven die afhankelijk zijn van hun systemen en gegevens voor hun dagelijkse bedrijfsvoering. Voor DeepL betekent dit dat we er voortdurend voor zorgen dat onze systemen en gegevens consistent beschikbaar zijn.
Verwerkingsintegriteit: dit principe is cruciaal voor organisaties die op accurate gegevens vertrouwen om zakelijke beslissingen te nemen. Om aan dit principe te voldoen, moeten er maatregelen worden getroffen om de nauwkeurigheid en volledigheid van de gegevensverwerking te garanderen.
Vertrouwelijkheid: dit principe is noodzakelijk voor organisaties die gevoelige gegevens en informatie verwerken. Voor DeepL betekent dit dat we maatregelen hebben genomen om de vertrouwelijkheid van onze systemen en gegevens te waarborgen. De SOC 2 Type II-audit heeft bijvoorbeeld bewezen dat DeepL inderdaad nooit vertaalgegevens opslaat van gebruikers die zijn ingelogd op DeepL Pro, waardoor de volledige vertrouwelijkheid van deze gebruikersgegevens wordt gehandhaafd.
Privacy: dit principe is essentieel voor organisaties die persoonlijke informatie verzamelen, verwerken of opslaan. Het gaat hierbij om de controlemechanismen die zijn ingesteld om de privacy van persoonlijke gegevens te beschermen.

Volgens Maximilian Ehrlich, de Information Security Officer van DeepL, is het bovendien belangrijk om de volgende informatie voor ogen te houden: "elk SOC 2 Type II-rapport is uniek in de zin dat het de controlemechanismen weerspiegelt die een organisatie geïmplementeerd heeft om de bedrijfs-doelstellingen te kunnen behalen met zo min mogelijk risico's en in naleving van de vertrouwensprincipes".

Omdat het SOC 2 Type II-rapport vitale informatie verschaft over hoe klantgegevens worden beheerd, moet het worden opgesteld door een externe auditor. Het is de taak van deze auditor om te beoordelen hoe goed het bedrijf of de organisatie in kwestie de vijf hierboven gedefinieerde vertrouwensprincipes naleeft.

Het verschil tussen SOC 2 Type II en SOC 2 Type I

Het spreekt voor zich dat er alleen een SOC 2 Type II-rapport kan bestaan als er ook zoiets is als een SOC 2 Type I-rapport. Hoewel de namen zeer op elkaar lijken, zijn er echter enkele belangrijke verschillen tussen de twee.

Het belangrijkste verschil tussen het Type I- en Type II-rapport is dat een Type I-rapport de bestaande controlemechanismen van een bedrijf alleen beschrijft, terwijl een Type II-rapport vereist dat de beschreven controlemechanismen tevens gecontroleerd worden door een onafhankelijke auditor.

Volgens Ehrlich bewijst het Type II-rapport dat "het vooraf gedefinieerde beleid en de daarbij behorende procedures nauw zijn gevolgd gedurende een rapportageperiode van 12 maanden". Dit bewijs wordt geleverd door middel van een verificatie door een derde partij, wat ertoe leidt dat de bewijswaarde van een Type II-rapport vele malen hoger is dan die van een Type I-rapport.

Het belang van SOC 2 Type II-rapporten

Hoewel sommige bedrijven niet van hun partners en serviceproviders verlangen dat ze SOC 2 Type II hebben gehaald, doen de meeste beveiligingsbewuste organisaties dat wel.

Het succesvol afronden van de SOC 2 Type II-audit is een omvangrijk en uiterst rigoureus proces. Om deze reden is het rapport dat hieruit resulteert een duidelijk signaal aan alle potentiële partners, leveranciers en klanten dat het bedrijf gegevensbeveiliging en -privacy hoog in het vaandel heeft staan en dat het er werk van heeft gemaakt om dit te bewijzen.

Bij DeepL besteden we veel tijd en zorg aan gegevensbeveiliging, privacy en gegevensbescherming. Daarom zijn we dan ook ontzettend trots dat DeepL is geslaagd voor de onafhankelijke SOC 2 Type II-audit van de DeepL Pro-service die werd uitgevoerd door een Certified Public Accountant (CPA).

Ehrlich vatte onze vreugde perfect samen: "We zijn er trots op om ons SOC 2 Type II-rapport te kunnen presenteren als bewijs van DeepL's inspanningen op het gebied van beveiliging en als validatie van onze beveiligingsmaatregelen."

Het SOC 2 Type II-rapport van DeepL

Omslag van DeepL's SOC 2 type 2-rapport. SOC staat voor (service organization controls)

Nu ons SOC 2 Type II-rapport op papier staat, delen we het natuurlijk graag.

Om de auditverklaring te lezen (beschikbaar in het Engels), klikt u hier.
Voor toegang tot het volledige rapport kunt u contact opnemen met DeepL Sales.

En als u meer wilt weten over gegevensbeveiliging bij DeepL, kunt u terecht op onze pagina over onze beveiligingsmaatregelen of een kijkje nemen in deze blogpost.