Wat moet er in een ENSIA rapportage staan?
Een ENSIA rapportage is een gestandaardiseerd verantwoordingsdocument waarin overheidsorganisaties en hun IT-leveranciers aantonen dat zij voldoen aan de informatieveiligheidseisen voor elektronische gegevensuitwisseling met gemeenten. De rapportage bevat antwoorden op een verplichte vragenlijst over toegangsbeveiliging, logging, beheer, continuïteit en privacy. Gemeenten gebruiken deze rapportages om aan te tonen dat zij hun zorgplicht voor informatieveiligheid nakomen binnen de Planning & Control-cyclus. Dit artikel beantwoordt de belangrijkste vragen over de inhoud, structuur en voorbereiding van een kwalitatieve ENSIA rapportage.
Wat is een ENSIA rapportage precies?
Een ENSIA rapportage is het formele verantwoordingsdocument waarmee organisaties aantonen dat zij voldoen aan de eisen van ENSIA (Eenduidige Normatiek Single Information Audit). ENSIA zelf is een gestandaardiseerd systeem dat het verantwoordingsproces over informatieveiligheid voor gemeenten bundelt en stroomlijnt. De rapportage vormt het concrete bewijs dat een organisatie de Baseline Informatiebeveiliging Overheid (BIO) correct toepast bij elektronische gegevensuitwisseling.
De wettelijke basis ligt verankerd in de gemeentelijke verantwoordingsplicht voor informatieveiligheid. Gemeenten moeten jaarlijks verantwoording afleggen aan hun gemeenteraad over hoe zij omgaan met informatiebeveiliging. Deze verplichting geldt voor alle gemeenten die elektronische gegevensuitwisseling verzorgen, evenals voor hun IT-leveranciers die kritieke diensten leveren zoals burgerzakensystemen, sociaal domein applicaties of financiële systemen.
Het onderscheid tussen ENSIA als systeem en de ENSIA rapportage is belangrijk. ENSIA als systeem biedt het kader en de vragenlijst waarmee organisaties hun informatiebeveiliging kunnen beoordelen. De ENSIA rapportage is het concrete document dat uit deze beoordeling voortkomt, inclusief alle antwoorden, bewijsmateriaal en onderbouwing. Dit document dient als formele verantwoording richting de gemeenteraad en toezichthouders.
Voor informatieveiligheid bij overheidsorganisaties is deze rapportage cruciaal omdat zij transparantie en controleerbaarheid waarborgt. Zonder een gedegen ENSIA rapportage kunnen gemeenten niet aantonen dat zij hun zorgplicht nakomen, wat kan leiden tot compliance problemen en reputatieschade bij incidenten.
Welke onderdelen zijn verplicht in een ENSIA rapportage?
Een volledige ENSIA rapportage bestaat uit verplichte onderdelen die samen een compleet beeld geven van de informatiebeveiliging. De standaard ENSIA-vragenlijst vormt de ruggengraat en is onderverdeeld in vijf hoofdthema’s die elk specifieke beveiligingsaspecten behandelen.
- Toegangsbeveiliging: Hierin beschrijft u hoe toegang tot systemen en gegevens wordt beheerd. Dit omvat gebruikersbeheer, authenticatiemethoden, autorisatieprocessen en het toekennen van rechten op basis van functies. Concrete voorbeelden zijn het proces voor het aanmaken en verwijderen van accounts, het gebruik van tweefactorauthenticatie en de scheiding tussen beheerders en gebruikers.
- Logging en monitoring: Dit onderdeel beschrijft welke gebeurtenissen worden gelogd, hoe lang logs bewaard blijven en hoe deze worden geanalyseerd. U moet aantonen dat beveiligingsrelevante gebeurtenissen zoals inlogpogingen, wijzigingen in autorisaties en toegang tot persoonsgegevens systematisch worden vastgelegd en gemonitord.
- Beheer en onderhoud: Hier legt u uit hoe systemen worden beheerd, welke procedures gelden voor wijzigingen, hoe updates worden uitgevoerd en hoe incidenten worden afgehandeld. Dit omvat change management, patch management en het escalatieproces bij beveiligingsincidenten.
- Continuïteit en beschikbaarheid: Dit thema behandelt maatregelen voor backup, disaster recovery en business continuity. U beschrijft hoe gegevens worden geback-upt, hoe vaak herstelplannen worden getest en welke afspraken gelden over beschikbaarheid van systemen.
- Privacy en gegevensbescherming: Het laatste verplichte onderdeel richt zich op de verwerking van persoonsgegevens, verwerkersovereenkomsten, privacymaatregelen en naleving van de AVG. U moet aantonen hoe privacy by design is geïmplementeerd en welke technische en organisatorische maatregelen getroffen zijn.
Elk onderdeel moet worden ingevuld met concrete, verifieerbare antwoorden die ondersteund worden door bewijsmateriaal zoals procedures, screenshots, contracten of testresultaten. Een ENSIA assessment kan helpen om te verifiëren of alle onderdelen compleet en correct zijn ingevuld voordat de rapportage definitief wordt gemaakt.
Hoe verschilt een ENSIA rapportage van andere auditrapportages?
Een ENSIA rapportage heeft een specifieke focus die verschilt van andere compliance documenten. Waar een BIO-audit de volledige implementatie van de Baseline Informatiebeveiliging Overheid beoordeelt over alle aspecten van de organisatie, richt ENSIA zich specifiek op elektronische gegevensuitwisseling met gemeenten. De scope is dus smaller en gerichter op de systemen en processen die direct betrokken zijn bij deze uitwisseling.
Bij een ISAE 3402 verklaring ligt de nadruk op de beheersmaatregelen van een serviceorganisatie en de mate waarin het management in control is. Dit is vooral relevant voor IT-leveranciers die diensten leveren aan meerdere organisaties. Een ENSIA rapportage daarentegen richt zich op de specifieke informatieveiligheidseisen die voortvloeien uit de gemeentelijke context en de BIO-normering.
Het unieke aan ENSIA is de gestandaardiseerde vragenlijst die voor alle organisaties gelijk is. Dit maakt vergelijking en benchmarking mogelijk en zorgt voor uniforme verantwoording. Andere auditrapportages zoals BIO-audits of privacy audits hebben vaak een meer organisatiespecifieke scope en aanpak. De jaarlijkse rapportageverplichting bij ENSIA sluit aan op de gemeentelijke Planning & Control-cyclus, terwijl andere audits vaak een langere certificeringsperiode kennen.
Veel organisaties hebben meerdere rapportages nodig die elkaar aanvullen. Een gemeente die DigiD gebruikt voor haar digitale dienstverlening heeft naast een ENSIA rapportage ook een DigiD assessment nodig als aanvullende beveiligingseis. Deze assessments overlappen deels in scope maar hebben elk hun eigen specifieke focus en eisen. De ENSIA rapportage richt zich op de brede informatiebeveiliging bij gegevensuitwisseling, terwijl het DigiD assessment specifiek kijkt naar de beveiliging van het authenticatiemiddel en de toegang tot digitale overheidsdiensten.
Wat zijn de meest voorkomende fouten in ENSIA rapportages?
Organisaties maken regelmatig vergelijkbare fouten bij het opstellen van hun ENSIA rapportage, wat kan leiden tot afkeuring of verzoeken om aanvullende informatie. De meest voorkomende valkuilen zijn goed te voorkomen met de juiste voorbereiding.
Incomplete antwoorden vormen het grootste probleem. Organisaties beantwoorden vragen oppervlakkig of laten onderdelen open. Een antwoord als “wij hebben toegangsbeveiliging geregeld” is onvoldoende. De rapportage moet concreet beschrijven welke maatregelen getroffen zijn, hoe deze functioneren en wie verantwoordelijk is.
Ontbrekende onderbouwing is een tweede veelvoorkomende fout. Beweringen worden gedaan zonder verwijzing naar onderliggend bewijsmateriaal. Elke bewering over beveiligingsmaatregelen moet onderbouwd worden met procedures, testresultaten, screenshots of andere verificeerbare documentatie. Zonder deze onderbouwing is de rapportage niet controleerbaar.
Verkeerde interpretatie van vragen leidt tot antwoorden die niet aansluiten bij wat gevraagd wordt. De ENSIA-vragenlijst gebruikt specifieke terminologie die aansluit bij de BIO-normering. Organisaties die deze terminologie niet goed begrijpen, geven antwoorden die weliswaar correct lijken maar niet de gevraagde informatie bevatten.
Praktische tips om deze fouten te voorkomen:
- Lees elke vraag meerdere keren en zorg dat u begrijpt wat er precies gevraagd wordt voordat u antwoordt
- Verzamel eerst al het bewijsmateriaal voordat u begint met schrijven, zodat elk antwoord direct onderbouwd kan worden
- Laat conceptantwoorden reviewen door collega’s die niet direct betrokken zijn, zij zien vaak onduidelijkheden die u zelf over het hoofd ziet
- Gebruik concrete voorbeelden en verwijs naar specifieke procedures of systemen in plaats van algemene uitspraken
- Plan voldoende tijd in voor kwaliteitscontrole en revisie voordat de rapportage definitief wordt
Hoe bereid je een ENSIA rapportage effectief voor?
Een kwalitatieve ENSIA rapportage ontstaat niet in een paar dagen. Effectieve voorbereiding vraagt een gestructureerde aanpak waarbij verschillende onderdelen van de organisatie samenwerken. Het verzamelen van bewijsmateriaal vormt de basis. Inventariseer welke procedures, contracten, testresultaten en andere documenten nodig zijn om de antwoorden te onderbouwen. Begin hiermee minimaal twee maanden voor de deadline.
Het betrekken van de juiste stakeholders is cruciaal voor volledigheid en accuratesse. IT-beheer kent de technische maatregelen en systeemconfiguraties. Privacy officers kunnen de AVG-aspecten toelichten. Informatiebeveiligers overzien het totaalplaatje van risico’s en maatregelen. Contractmanagers beschikken over verwerkersovereenkomsten en SLA’s. Zorg dat deze partijen vanaf het begin betrokken zijn en weten wat er van hen verwacht wordt.
De tijdlijn planning bepaalt of de rapportage tijdig gereed komt. Werk backwards vanaf de deadline en plan concrete momenten in voor:
- Documentatie verzamelen en ordenen (6-8 weken voor deadline)
- Vragenlijst invullen met conceptantwoorden (4-6 weken voor deadline)
- Interne review en aanvullingen (3-4 weken voor deadline)
- Externe verificatie of pre-audit indien gewenst (2-3 weken voor deadline)
- Finalisering en formele goedkeuring (1 week voor deadline)
Hulpmiddelen en templates kunnen het proces versnellen. Gebruik de officiële ENSIA-vragenlijst als leidraad en maak een overzichtsdocument waarin u per vraag noteert welk bewijsmateriaal beschikbaar is en wie verantwoordelijk is voor het antwoord. Dit voorkomt dat zaken over het hoofd worden gezien.
Het documenteren van beveiligingsmaatregelen gedurende het jaar is de beste investering voor een soepel rapportageproces. Organisaties die hun procedures, testresultaten en incidentafhandeling continu bijhouden, kunnen hun ENSIA rapportage veel sneller opstellen dan organisaties die alles achteraf moeten reconstrueren. Maak dit onderdeel van de reguliere werkprocessen in plaats van een jaarlijkse exercitie.
Hoe BKBO helpt met ENSIA rapportages
Wij ondersteunen overheidsorganisaties en hun IT-leveranciers bij het opstellen en valideren van kwalitatieve ENSIA rapportages. Met onze jarenlange expertise in overheidsaudits en specifieke kennis van ENSIA-eisen helpen wij organisaties om compleet, onderbouwd en controleerbaar te verantwoorden over hun informatiebeveiliging.
Onze dienstverlening omvat:
- Grondige beoordeling van conceptrapportages waarbij wij controleren of alle verplichte onderdelen compleet en correct zijn ingevuld
- Identificatie van hiaten en risico’s die kunnen leiden tot afkeuring of verzoeken om aanvullende informatie
- Praktische aanbevelingen voor verbetering die direct implementeerbaar zijn en de kwaliteit van de rapportage verhogen
- Begeleiding bij het verzamelen en structureren van bewijsmateriaal zodat elk antwoord verifieerbaar onderbouwd is
- Voorbereiding op mogelijke controles door het oefenen van vraagstelling en het anticiperen op aandachtspunten
Wij hanteren een unieke ‘geen gekibbel garantie’ met vaste prijzen inclusief eventuele heraudits. Dit betekent dat u vooraf precies weet waar u aan toe bent, zonder verrassingen achteraf. Onze gestandaardiseerde en beproefde aanpak zorgt ervoor dat wij efficiknt werken en u optimaal ondersteunen.
Heeft u vragen over uw ENSIA rapportage of wilt u een assessment aanvragen? Neem contact met ons op voor een vrijblijvend adviesgesprek. Wij denken graag met u mee over de beste aanpak voor uw situatie en zorgen dat u tijdig en compleet kunt verantwoorden.
Een ENSIA rapportage is een gestandaardiseerd verantwoordingsdocument waarin overheidsorganisaties en hun IT-leveranciers aantonen dat zij voldoen aan de informatieveiligheidseisen voor elektronische gegevensuitwisseling met gemeenten. De rapportage bevat antwoorden op een verplichte vragenlijst over toegangsbeveiliging, logging, beheer, continuïteit en privacy. Gemeenten gebruiken deze rapportages om aan te tonen dat zij hun zorgplicht voor informatieveiligheid nakomen binnen de Planning & Control-cyclus. Dit artikel beantwoordt de belangrijkste vragen over de inhoud, structuur en voorbereiding van een kwalitatieve ENSIA rapportage.
Wat is een ENSIA rapportage precies?
Een ENSIA rapportage is het formele verantwoordingsdocument waarmee organisaties aantonen dat zij voldoen aan de eisen van ENSIA (Eenduidige Normatiek Single Information Audit). ENSIA zelf is een gestandaardiseerd systeem dat het verantwoordingsproces over informatieveiligheid voor gemeenten bundelt en stroomlijnt. De rapportage vormt het concrete bewijs dat een organisatie de Baseline Informatiebeveiliging Overheid (BIO) correct toepast bij elektronische gegevensuitwisseling.
De wettelijke basis ligt verankerd in de gemeentelijke verantwoordingsplicht voor informatieveiligheid. Gemeenten moeten jaarlijks verantwoording afleggen aan hun gemeenteraad over hoe zij omgaan met informatiebeveiliging. Deze verplichting geldt voor alle gemeenten die elektronische gegevensuitwisseling verzorgen, evenals voor hun IT-leveranciers die kritieke diensten leveren zoals burgerzakensystemen, sociaal domein applicaties of financiële systemen.
Het onderscheid tussen ENSIA als systeem en de ENSIA rapportage is belangrijk. ENSIA als systeem biedt het kader en de vragenlijst waarmee organisaties hun informatiebeveiliging kunnen beoordelen. De ENSIA rapportage is het concrete document dat uit deze beoordeling voortkomt, inclusief alle antwoorden, bewijsmateriaal en onderbouwing. Dit document dient als formele verantwoording richting de gemeenteraad en toezichthouders.
Voor informatieveiligheid bij overheidsorganisaties is deze rapportage cruciaal omdat zij transparantie en controleerbaarheid waarborgt. Zonder een gedegen ENSIA rapportage kunnen gemeenten niet aantonen dat zij hun zorgplicht nakomen, wat kan leiden tot compliance problemen en reputatieschade bij incidenten.
Welke onderdelen zijn verplicht in een ENSIA rapportage?
Een volledige ENSIA rapportage bestaat uit verplichte onderdelen die samen een compleet beeld geven van de informatiebeveiliging. De standaard ENSIA-vragenlijst vormt de ruggengraat en is onderverdeeld in vijf hoofdthema’s die elk specifieke beveiligingsaspecten behandelen.
- Toegangsbeveiliging: Hierin beschrijft u hoe toegang tot systemen en gegevens wordt beheerd. Dit omvat gebruikersbeheer, authenticatiemethoden, autorisatieprocessen en het toekennen van rechten op basis van functies. Concrete voorbeelden zijn het proces voor het aanmaken en verwijderen van accounts, het gebruik van tweefactorauthenticatie en de scheiding tussen beheerders en gebruikers.
- Logging en monitoring: Dit onderdeel beschrijft welke gebeurtenissen worden gelogd, hoe lang logs bewaard blijven en hoe deze worden geanalyseerd. U moet aantonen dat beveiligingsrelevante gebeurtenissen zoals inlogpogingen, wijzigingen in autorisaties en toegang tot persoonsgegevens systematisch worden vastgelegd en gemonitord.
- Beheer en onderhoud: Hier legt u uit hoe systemen worden beheerd, welke procedures gelden voor wijzigingen, hoe updates worden uitgevoerd en hoe incidenten worden afgehandeld. Dit omvat change management, patch management en het escalatieproces bij beveiligingsincidenten.
- Continuïteit en beschikbaarheid: Dit thema behandelt maatregelen voor backup, disaster recovery en business continuity. U beschrijft hoe gegevens worden geback-upt, hoe vaak herstelplannen worden getest en welke afspraken gelden over beschikbaarheid van systemen.
- Privacy en gegevensbescherming: Het laatste verplichte onderdeel richt zich op de verwerking van persoonsgegevens, verwerkersovereenkomsten, privacymaatregelen en naleving van de AVG. U moet aantonen hoe privacy by design is geïmplementeerd en welke technische en organisatorische maatregelen getroffen zijn.
Elk onderdeel moet worden ingevuld met concrete, verifieerbare antwoorden die ondersteund worden door bewijsmateriaal zoals procedures, screenshots, contracten of testresultaten. Een ENSIA assessment kan helpen om te verifiëren of alle onderdelen compleet en correct zijn ingevuld voordat de rapportage definitief wordt gemaakt.
Hoe verschilt een ENSIA rapportage van andere auditrapportages?
Een ENSIA rapportage heeft een specifieke focus die verschilt van andere compliance documenten. Waar een BIO-audit de volledige implementatie van de Baseline Informatiebeveiliging Overheid beoordeelt over alle aspecten van de organisatie, richt ENSIA zich specifiek op elektronische gegevensuitwisseling met gemeenten. De scope is dus smaller en gerichter op de systemen en processen die direct betrokken zijn bij deze uitwisseling.
Bij een ISAE 3402 verklaring ligt de nadruk op de beheersmaatregelen van een serviceorganisatie en de mate waarin het management in control is. Dit is vooral relevant voor IT-leveranciers die diensten leveren aan meerdere organisaties. Een ENSIA rapportage daarentegen richt zich op de specifieke informatieveiligheidseisen die voortvloeien uit de gemeentelijke context en de BIO-normering.
Het unieke aan ENSIA is de gestandaardiseerde vragenlijst die voor alle organisaties gelijk is. Dit maakt vergelijking en benchmarking mogelijk en zorgt voor uniforme verantwoording. Andere auditrapportages zoals BIO-audits of privacy audits hebben vaak een meer organisatiespecifieke scope en aanpak. De jaarlijkse rapportageverplichting bij ENSIA sluit aan op de gemeentelijke Planning & Control-cyclus, terwijl andere audits vaak een langere certificeringsperiode kennen.
Veel organisaties hebben meerdere rapportages nodig die elkaar aanvullen. Een gemeente die DigiD gebruikt voor haar digitale dienstverlening heeft naast een ENSIA rapportage ook een DigiD assessment nodig als aanvullende beveiligingseis. Deze assessments overlappen deels in scope maar hebben elk hun eigen specifieke focus en eisen. De ENSIA rapportage richt zich op de brede informatiebeveiliging bij gegevensuitwisseling, terwijl het DigiD assessment specifiek kijkt naar de beveiliging van het authenticatiemiddel en de toegang tot digitale overheidsdiensten.
Wat zijn de meest voorkomende fouten in ENSIA rapportages?
Organisaties maken regelmatig vergelijkbare fouten bij het opstellen van hun ENSIA rapportage, wat kan leiden tot afkeuring of verzoeken om aanvullende informatie. De meest voorkomende valkuilen zijn goed te voorkomen met de juiste voorbereiding.
Incomplete antwoorden vormen het grootste probleem. Organisaties beantwoorden vragen oppervlakkig of laten onderdelen open. Een antwoord als “wij hebben toegangsbeveiliging geregeld” is onvoldoende. De rapportage moet concreet beschrijven welke maatregelen getroffen zijn, hoe deze functioneren en wie verantwoordelijk is.
Ontbrekende onderbouwing is een tweede veelvoorkomende fout. Beweringen worden gedaan zonder verwijzing naar onderliggend bewijsmateriaal. Elke bewering over beveiligingsmaatregelen moet onderbouwd worden met procedures, testresultaten, screenshots of andere verificeerbare documentatie. Zonder deze onderbouwing is de rapportage niet controleerbaar.
Verkeerde interpretatie van vragen leidt tot antwoorden die niet aansluiten bij wat gevraagd wordt. De ENSIA-vragenlijst gebruikt specifieke terminologie die aansluit bij de BIO-normering. Organisaties die deze terminologie niet goed begrijpen, geven antwoorden die weliswaar correct lijken maar niet de gevraagde informatie bevatten.
Praktische tips om deze fouten te voorkomen:
- Lees elke vraag meerdere keren en zorg dat u begrijpt wat er precies gevraagd wordt voordat u antwoordt
- Verzamel eerst al het bewijsmateriaal voordat u begint met schrijven, zodat elk antwoord direct onderbouwd kan worden
- Laat conceptantwoorden reviewen door collega’s die niet direct betrokken zijn, zij zien vaak onduidelijkheden die u zelf over het hoofd ziet
- Gebruik concrete voorbeelden en verwijs naar specifieke procedures of systemen in plaats van algemene uitspraken
- Plan voldoende tijd in voor kwaliteitscontrole en revisie voordat de rapportage definitief wordt
Hoe bereid je een ENSIA rapportage effectief voor?
Een kwalitatieve ENSIA rapportage ontstaat niet in een paar dagen. Effectieve voorbereiding vraagt een gestructureerde aanpak waarbij verschillende onderdelen van de organisatie samenwerken. Het verzamelen van bewijsmateriaal vormt de basis. Inventariseer welke procedures, contracten, testresultaten en andere documenten nodig zijn om de antwoorden te onderbouwen. Begin hiermee minimaal twee maanden voor de deadline.
Het betrekken van de juiste stakeholders is cruciaal voor volledigheid en accuratesse. IT-beheer kent de technische maatregelen en systeemconfiguraties. Privacy officers kunnen de AVG-aspecten toelichten. Informatiebeveiligers overzien het totaalplaatje van risico’s en maatregelen. Contractmanagers beschikken over verwerkersovereenkomsten en SLA’s. Zorg dat deze partijen vanaf het begin betrokken zijn en weten wat er van hen verwacht wordt.
De tijdlijn planning bepaalt of de rapportage tijdig gereed komt. Werk backwards vanaf de deadline en plan concrete momenten in voor:
- Documentatie verzamelen en ordenen (6-8 weken voor deadline)
- Vragenlijst invullen met conceptantwoorden (4-6 weken voor deadline)
- Interne review en aanvullingen (3-4 weken voor deadline)
- Externe verificatie of pre-audit indien gewenst (2-3 weken voor deadline)
- Finalisering en formele goedkeuring (1 week voor deadline)
Hulpmiddelen en templates kunnen het proces versnellen. Gebruik de officiële ENSIA-vragenlijst als leidraad en maak een overzichtsdocument waarin u per vraag noteert welk bewijsmateriaal beschikbaar is en wie verantwoordelijk is voor het antwoord. Dit voorkomt dat zaken over het hoofd worden gezien.
Het documenteren van beveiligingsmaatregelen gedurende het jaar is de beste investering voor een soepel rapportageproces. Organisaties die hun procedures, testresultaten en incidentafhandeling continu bijhouden, kunnen hun ENSIA rapportage veel sneller opstellen dan organisaties die alles achteraf moeten reconstrueren. Maak dit onderdeel van de reguliere werkprocessen in plaats van een jaarlijkse exercitie.
Hoe BKBO helpt met ENSIA rapportages
Wij ondersteunen overheidsorganisaties en hun IT-leveranciers bij het opstellen en valideren van kwalitatieve ENSIA rapportages. Met onze jarenlange expertise in overheidsaudits en specifieke kennis van ENSIA-eisen helpen wij organisaties om compleet, onderbouwd en controleerbaar te verantwoorden over hun informatiebeveiliging.
Onze dienstverlening omvat:
- Grondige beoordeling van conceptrapportages waarbij wij controleren of alle verplichte onderdelen compleet en correct zijn ingevuld
- Identificatie van hiaten en risico’s die kunnen leiden tot afkeuring of verzoeken om aanvullende informatie
- Praktische aanbevelingen voor verbetering die direct implementeerbaar zijn en de kwaliteit van de rapportage verhogen
- Begeleiding bij het verzamelen en structureren van bewijsmateriaal zodat elk antwoord verifieerbaar onderbouwd is
- Voorbereiding op mogelijke controles door het oefenen van vraagstelling en het anticiperen op aandachtspunten
Wij hanteren een unieke ‘geen gekibbel garantie’ met vaste prijzen inclusief eventuele heraudits. Dit betekent dat u vooraf precies weet waar u aan toe bent, zonder verrassingen achteraf. Onze gestandaardiseerde en beproefde aanpak zorgt ervoor dat wij efficiknt werken en u optimaal ondersteunen.
Heeft u vragen over uw ENSIA rapportage of wilt u een assessment aanvragen? Neem contact met ons op voor een vrijblijvend adviesgesprek. Wij denken graag met u mee over de beste aanpak voor uw situatie en zorgen dat u tijdig en compleet kunt verantwoorden.