Veel digitale dienstverleners maken gebruik van DigiD voor het veilig authenticeren van burgers op webapplicaties. Het komt dan ook zeer regelmatig voor dat een nieuw project wordt gestart waarbij op enig moment wordt besloten om gebruik te gaan maken van DigiD. Helaas komt het óók zeer regelmatig voor dat men niet of niet tijdig signaleert wat voor impact dit heeft en welke verplichtingen hierbij horen.
Sinds 2013 moeten alle organisaties die DigiD gebruiken jaarlijks verplicht vóór 1 mei een DigiD ICT-beveiligingsassessment laten uitvoeren om te voldoen aan gestelde beveiligingseisen. In geval van een nieuwe aansluiting geldt echter dat dit binnen twee maanden na activering van de DigiD-aansluiting bij Logius moet plaatsvinden. Veel organisaties weten dit niet en komen voor onaangename verrassingen te staan kort voor of na de livegang van het mooie nieuwe project.
◊ Zoekt u nog een ENSIA auditor? Bekijk hier ons ENSIA audit 2019 aanbod. ◊
Logius & DigiD-aansluitingen
Het is daarom goed om op de hoogte te zijn van de regels die toezichthouder Logius heeft gesteld, zodat u onaangename verrassingen kunt voorkomen:
- Voor bestaande aansluitingen geldt dat een DigiD audit altijd gaat over het voorgaande jaar. De inleverperiode voor het assessment is 1 januari tot 1 mei van het opvolgende jaar;
- Voor nieuwe aansluitingen geldt:
- Binnen 2 maanden nadat de aansluiting is geactiveerd moet een assessmentrapportage worden ingediend;
- De datum vanaf wanneer de aansluiting daadwerkelijk door uw organisatie wordt gebruikt speelt hierbij geen rol;
- Hierna moet u jaarlijks een assessmentrapport inleveren volgens het reguliere assessmentschema;
- In de eerste 12 maanden na activatie hoeft u geen volgend assessmentrapport in te leveren.
Zie ook https://www.logius.nl/diensten/digid/beveiligingsassessments/veelgestelde-vragen voor andere nuttige informatie.
Deadline DigiD audit
Een concreet rekenvoorbeeld: stel dat u een nieuwe aansluiting heeft geactiveerd op 10 april 2021, dan is de deadline voor uw eerste assessmentrapport 10 juni 2021. Aangezien de activeringsdatum vóór 1 mei valt, heeft u géén vrijstelling voor de normale assessmentperiode van 1 mei 2022 en moet u dus gewoon uiterlijk 1 mei 2022 een volgend assessmentrapport op te leveren.
Als u uw nieuwe aansluiting heeft geactiveerd op 2 mei 2021 dan is uw deadline voor uw eerste assessmentrapport 2 juli 2021. Aangezien activeringsdatum ná 1 mei valt heeft u vrijstelling voor de volgende assessmentperiode en moet u 1 mei 2023 een volgend assessmentrapport opleveren. Zie ook: Hoe werkt het toezicht voor DigiD aansluithouders voor meer rekenvoorbeelden en toelichting.
Verantwoordelijkheid leveranciers DigiD-aansluiting
Als u gebruik maakt van leveranciers voor bijvoorbeeld hosting of softwareontwikkeling, dan zijn zij ook verantwoordelijk voor (een deel van) de normen en moeten zij zich hierover verantwoorden aan u. Dit kan op twee manieren: u kunt uw eigen auditor langs sturen of de leverancier levert u een Third Party Memorandum (TPM). Het is daarom zeer belangrijk dat zij tijdig worden geïnformeerd en worden meegenomen in dit traject zodat ook aan de kant van de leveranciers alles tijdig geregeld is.
Aanpak 2-Control bij DigiD-aansluiting
Onze auditors beschikken over zeer ruime ervaring in het afnemen van beveiligingsassessments en voeren jaarlijkse voor vele verschillende gemeenten, andere (semi-)overheidsinstellingen en serviceorganisaties het DigiD ICT-beveiligingsassessment uit. Wij helpen u graag met het tijdig voldoen aan de gestelde eisen en informeren u ook graag nader over alle regels waar u aan moet voldoen.
Meer weten of benieuwd naar onze aanpak? U kunt direct contact met ons opnemen via het telefoonnummer 076-50 194 70 of u kunt uw gegevens achterlaten in onderstaand contactformulier. Wij nemen dan zo spoedig mogelijk contact met u op.