De jaarlijkse DigiD-audit: zo werkt het.
Organisaties die DigiD gebruiken moeten jaarlijks een ICT-beveiligingsassessment doen. Hiermee houdt Logius toezicht op de DigiD-aansluitingen. Zodat het gebruik van DigiD veilig blijft. Webleveranciers die online formulieren met DigiD aanbieden aan meerdere klanten, werken vaak met een TPM-verklaring (Third Party Memorandum) waarin een onafhankelijke IT-editor (RE) verklaart dat de organisatie voldoet aan de normen. Zo hoeft niet voor elke klant dezelfde audit te worden uitgevoerd en met een TPM-verklaring kun je als leverancier de kwaliteit van de ICT-beheersorganisatie en dienstverlening inzichtelijk maken voor zowel bestaande als nieuwe klanten.
Hoe werkt de DigiD-audit?
Jaarlijks gaan we in het najaar aan de slag met een onafhankelijke RE IT-editor voor het beveiligingsassessment voor DigiD. Dit gebeurt volgens een aantal stappen.
1. Afstemmen normenkader
In een gezamenlijke sessie stemmen we het te hanteren normenkader definitief af met de auditor. Hiermee wordt ook een duidelijke afbakening van het object van onderzoek vastgelegd zodat duidelijk is wat de scope is van de TPM.
2. Pre-audit
De auditor voert vervolgens een pre-audit uit op basis waarvan we inzicht krijgen in de stand van zaken ten opzichte van het gehanteerde normenkader.
3. Audit
Hierna is de audit. De auditor toetst of CARE in opzet en bestaan voldoet aan de gestelde normen en overeenkomsten zoals afgesproken in de hiervoor genoemde richtlijnen.
4. Rapportage
Als we voldoen aan de audit, stelt de auditor voor ons de assurance-rapportages op. We krijgen een specifieke rapportage per klant waar nodig. Vervolgens versturen we de rapportages naar onze klanten.
DigiD-audit 2024
Begin oktober kwamen de auditors van 2Control weer bij ons en bij onze hostingpartner True langs voor de jaarlijkse beoordeling of onze systemen en processen volledig voldoen aan alle eisen voor DigiD. Dit jaar was dit een uitgebreidere audit dan voorgaande jaren, omdat een aantal normen sinds dit jaar getoetst wordt op werking (in plaats van alleen een steekproef). Ook dit jaar zijn we weer goed door de audit gekomen, zoals voorgaande jaren. Ondertussen hebben onze DigiD-klanten de TPM-verklaring ontvangen, die nodig is voor de ENSIA-audit aan de kant van de gemeente.