Welke systemen vallen onder ENSIA?
Systemen die onder ENSIA vallen zijn alle informatiesystemen binnen overheidsorganisaties die gevoelige gegevens verwerken of essentieel zijn voor de bedrijfsvoering. Dit omvat primaire systemen zoals DigiD-infrastructuur, burgergegevensverwerking, documentmanagementsystemen en financiële administraties. Ook ketenpartners en externe leveranciers kunnen onder ENSIA-scope vallen wanneer zij in opdracht van de overheidsorganisatie persoonsgegevens of vertrouwelijke informatie verwerken.
Wat is ENSIA en waarom bepaalt dit welke systemen geaudit moeten worden?
ENSIA (Eenduidige Normatiek Single Information Audit) is het gestandaardiseerde raamwerk voor informatiebeveiliging binnen Nederlandse overheidsorganisaties. Het bepaalt welke systemen geaudit moeten worden op basis van hun rol in het verwerken van gevoelige overheidsgegevens en hun belang voor de continuïteit van publieke dienstverlening.
De ENSIA-systematiek is ontwikkeld om het verantwoordingsproces over informatieveiligheid te stroomlijnen. In plaats van meerdere losse audits voor verschillende toezichthouders, bundelt ENSIA het toezicht in één gestructureerde aanpak. Dit bespaart overheidsorganisaties tijd en middelen, terwijl het tegelijkertijd zorgt voor consistente kwaliteit in de beoordeling.
De juridische basis voor ENSIA ligt in de Baseline Informatiebeveiliging Overheid (BIO). Deze baseline stelt verplichte beveiligingseisen aan alle overheidsorganisaties en bepaalt welke systemen onder toezicht vallen. Systemen die persoonsgegevens, vertrouwelijke overheidsinformatie of bedrijfskritische processen verwerken, vallen automatisch binnen de ENSIA-scope.
Voor compliance officers is het begrijpen van de ENSIA-scope cruciaal. Het bepaalt namelijk welke systemen jaarlijks geaudit moeten worden en welke verantwoordingen afgelegd moeten worden aan gemeenteraden, toezichthouders en ketenpartners. Een onjuiste scope-bepaling kan leiden tot compliance-risico’s en mogelijke boetes.
Welke primaire systemen vallen altijd onder ENSIA?
Bepaalde systemen vallen altijd onder ENSIA-eisen vanwege hun kritieke rol in de overheidsprocessen. Deze kernsystemen verwerken gevoelige gegevens of zijn essentieel voor de dienstverlening aan burgers. Het herkennen van deze systemen is de eerste stap in het bepalen van je ENSIA-scope.
De volgende primaire systemen vallen altijd onder ENSIA:
- Identiteits- en toegangsmanagementsystemen zoals DigiD-infrastructuur en authenticatievoorzieningen die toegang geven tot digitale overheidsdiensten
- Burgergegevensverwerkingssystemen die persoonsgegevens van inwoners opslaan en verwerken voor gemeentelijke dienstverlening
- Documentmanagementsystemen (DMS) waarin vertrouwelijke documenten, besluiten en correspondentie worden bewaard
- Financiële administratiesystemen die belastinggelden, subsidies en andere financiële stromen beheren
- HR-systemen met gevoelige personeelsgegevens zoals salarisadministratie, beoordelingen en medische informatie
Deze systemen worden als hoog risico beschouwd omdat een beveiligingsincident direct impact heeft op burgers, medewerkers of de integriteit van overheidsprocessen. Een datalek in een burgergegevensysteem kan bijvoorbeeld leiden tot identiteitsfraude, terwijl een compromittering van de financiële administratie de rechtmatigheid van betalingen in gevaar brengt.
Herken je deze systemen in je organisatie door te kijken naar welke applicaties toegang hebben tot persoonsgegevens, welke systemen nodig zijn voor wettelijke taken, en welke uitval zou hebben op je dienstverlening. Dit vormt de basis van je ENSIA-inventarisatie.
Hoe bepaal je of ketenpartners en externe leveranciers onder ENSIA vallen?
Ketenpartners en externe leveranciers vallen onder ENSIA wanneer zij in opdracht van je organisatie persoonsgegevens of vertrouwelijke overheidsinformatie verwerken. De beslissende factor is of de leverancier toegang heeft tot systemen of gegevens die binnen jouw ENSIA-scope vallen, en welke mate van controle je organisatie heeft over de beveiliging.
Bij het beoordelen van externe partijen zijn drie criteria bepalend. Ten eerste de aard van de gegevensverwerking: verwerkt de leverancier daadwerkelijk persoonsgegevens of heeft deze alleen technische toegang tot infrastructuur? Ten tweede de verwerkersrelatie: is er sprake van een verwerkersovereenkomst waarbij de leverancier in opdracht handelt? Ten derde de kriticaliteit: zou een beveiligingsincident bij de leverancier directe impact hebben op jouw dienstverlening of gegevensbescherming?
Het shared responsibility model speelt hier een belangrijke rol. Bij cloud-diensten is de verantwoordelijkheid verdeeld tussen jouw organisatie en de cloudleverancier. Je blijft eindverantwoordelijk voor de beveiliging van de gegevens, maar de leverancier is verantwoordelijk voor de onderliggende infrastructuur. Dit betekent dat je moet aantonen dat de leverancier voldoende beveiligingsmaatregelen treft.
In de praktijk vraag je daarom vaak om assurance-rapporten zoals ISAE 3402 of ISO 27001-certificaten van leveranciers. Deze rapporten tonen aan dat een onafhankelijke auditor de beveiliging heeft beoordeeld. Voor SaaS-applicaties die burgergegevens verwerken, hostingproviders van kritieke systemen, en softwareleveranciers met beheertoegang tot je netwerk, zijn dergelijke verklaringen essentieel voor je ENSIA-verantwoording.
Wat is het verschil tussen ENSIA-plichtige en ENSIA-relevante systemen?
ENSIA-plichtige systemen zijn systemen waarvoor je verplicht bent om jaarlijks een ENSIA-rapportage op te stellen en in te dienen bij toezichthouders. ENSIA-relevante systemen zijn systemen die belangrijk zijn voor informatiebeveiliging, maar waarvoor geen afzonderlijke ENSIA-rapportage verplicht is. Het onderscheid bepaalt je rapportageverplichtingen en auditplanning.
De classificatie is gebaseerd op een risicoanalyse. ENSIA-plichtige systemen verwerken persoonsgegevens van burgers, bevatten staatsvertrouwelijke informatie, of zijn wettelijk aangewezen als rapportageplichtig. Denk aan systemen die vallen onder toezicht van het Inlichtingenbureau (IBD) voor Suwinet, of systemen die DigiD-toegang faciliteren.
ENSIA-relevante systemen ondersteunen de informatiebeveiliging maar hebben geen directe rapportageverplichting. Voorbeelden zijn interne netwerksystemen, kantoortoepassingen zonder persoonsgegevens, of ondersteunende infrastructuur. Deze systemen moet je wel beveiligen volgens de BIO-normen, maar ze vereisen geen aparte ENSIA-audit met externe rapportage.
Overheidsorganisaties hanteren vaak drempelcriteria om deze indeling te maken. Systemen die meer dan 1.000 burgerrecords bevatten, systemen met BIO-classificatie ‘hoog’ of ‘zeer hoog’, en systemen die vallen onder specifieke wetgeving zoals de Jeugdwet of Participatiewet, worden doorgaans als ENSIA-plichtig aangemerkt. Je kunt deze indeling vastleggen in een informatieregister met per systeem de classificatie en onderbouwing.
Welke specifieke overheidssystemen moet je opnemen in je ENSIA-rapportage?
De volgende systemen zijn verplicht voor opname in je ENSIA-rapportage vanwege hun wettelijke status of het type gegevens dat ze verwerken:
- Suwinet en socialezekerheidsgegevenssystemen die toegang geven tot inkomensgegevens, uitkeringsadministratie en arbeidsmarktinformatie. Deze systemen vallen onder toezicht van het IBD en vereisen jaarlijkse Suwinet-audits die deel uitmaken van je ENSIA-rapportage.
- DigiD-authenticatie-infrastructuur waarmee burgers inloggen op digitale diensten. Alle systemen die DigiD-authenticatie gebruiken moeten voldoen aan strenge beveiligingseisen en worden geaudit op naleving van het DigiD-normenkader.
- Basisregistratie Personen (BRP) systemen die de voormalige GBA hebben vervangen en persoonsgegevens van alle inwoners bevatten. Deze systemen vormen de ruggengraat van burgerdienstverlening en vereisen strikte toegangscontroles.
- WOZ-taxatiesystemen die eigendomsgegevens en waardebepaling van onroerend goed beheren. Deze systemen bevatten financieel gevoelige informatie en zijn bepalend voor belastingheffing.
- Sociaal domein applicaties voor Wmo (maatschappelijke ondersteuning), Jeugdwet (jeugdzorg) en Participatiewet (bijstand en re-integratie). Deze systemen verwerken zeer privacygevoelige informatie over kwetsbare burgers.
- Vergunningen- en handhavingssystemen voor omgevingsvergunningen, bouwvergunningen en APV-handhaving. Deze systemen bevatten bedrijfsgevoelige informatie en zijn essentieel voor de rechtszekerheid.
- Verkiezingssystemen die stemregistratie en verkiezingsuitslagen beheren. De integriteit van deze systemen is cruciaal voor het democratisch proces en vereist bijzondere beveiligingsmaatregelen.
Elk van deze systemen heeft specifieke compliance-uitdagingen. Suwinet-systemen vereisen bijvoorbeeld tweefactorauthenticatie en gedetailleerde logging, terwijl sociaal domein applicaties extra privacywaarborgen nodig hebben vanwege de gevoelige aard van de gegevens.
Hoe BKBO helpt met het bepalen van uw ENSIA-scope
Wij ondersteunen overheidsorganisaties bij het nauwkeurig bepalen welke systemen onder ENSIA vallen en hoe je aan je rapportageverplichtingen voldoet. Met onze ervaring in meer dan 1.800 audits begrijpen we de praktische uitdagingen die compliance officers tegenkomen bij scope-bepaling.
Onze ondersteuning bij ENSIA-scope omvat:
- Scope-bepaling workshops waarin we samen met je team alle systemen inventariseren en classificeren volgens ENSIA-criteria
- Systeeminventarisatie en classificatieondersteuning met praktische templates en checklists die je kunt blijven gebruiken
- Ketenpartnerbeoordelingsbegeleiding om te bepalen welke leveranciers assurance-rapporten moeten aanleveren
- ENSIA assessment uitvoering met vaste prijzen inclusief eventuele heraudits, zodat je geen verrassingen krijgt
- Nazorg en herstelondersteuning bij bevindingen, met concrete implementeerbare aanbevelingen
Onze aanpak kenmerkt zich door praktische toepasbaarheid en transparantie. We spreken je taal als overheidsorganisatie en begrijpen de specifieke context van gemeenten, ministeries en zorginstellingen. Met onze geen-gekibbel-garantie weet je precies waar je aan toe bent.
Wil je zekerheid over je ENSIA-scope of heb je vragen over welke systemen je moet laten auditen? Neem contact met ons op voor een vrijblijvend gesprek over je specifieke situatie. We helpen je graag met een heldere scope-bepaling en een efficiënte aanpak van je ENSIA-verplichtingen.
Systemen die onder ENSIA vallen zijn alle informatiesystemen binnen overheidsorganisaties die gevoelige gegevens verwerken of essentieel zijn voor de bedrijfsvoering. Dit omvat primaire systemen zoals DigiD-infrastructuur, burgergegevensverwerking, documentmanagementsystemen en financiële administraties. Ook ketenpartners en externe leveranciers kunnen onder ENSIA-scope vallen wanneer zij in opdracht van de overheidsorganisatie persoonsgegevens of vertrouwelijke informatie verwerken.
Wat is ENSIA en waarom bepaalt dit welke systemen geaudit moeten worden?
ENSIA (Eenduidige Normatiek Single Information Audit) is het gestandaardiseerde raamwerk voor informatiebeveiliging binnen Nederlandse overheidsorganisaties. Het bepaalt welke systemen geaudit moeten worden op basis van hun rol in het verwerken van gevoelige overheidsgegevens en hun belang voor de continuïteit van publieke dienstverlening.
De ENSIA-systematiek is ontwikkeld om het verantwoordingsproces over informatieveiligheid te stroomlijnen. In plaats van meerdere losse audits voor verschillende toezichthouders, bundelt ENSIA het toezicht in één gestructureerde aanpak. Dit bespaart overheidsorganisaties tijd en middelen, terwijl het tegelijkertijd zorgt voor consistente kwaliteit in de beoordeling.
De juridische basis voor ENSIA ligt in de Baseline Informatiebeveiliging Overheid (BIO). Deze baseline stelt verplichte beveiligingseisen aan alle overheidsorganisaties en bepaalt welke systemen onder toezicht vallen. Systemen die persoonsgegevens, vertrouwelijke overheidsinformatie of bedrijfskritische processen verwerken, vallen automatisch binnen de ENSIA-scope.
Voor compliance officers is het begrijpen van de ENSIA-scope cruciaal. Het bepaalt namelijk welke systemen jaarlijks geaudit moeten worden en welke verantwoordingen afgelegd moeten worden aan gemeenteraden, toezichthouders en ketenpartners. Een onjuiste scope-bepaling kan leiden tot compliance-risico’s en mogelijke boetes.
Welke primaire systemen vallen altijd onder ENSIA?
Bepaalde systemen vallen altijd onder ENSIA-eisen vanwege hun kritieke rol in de overheidsprocessen. Deze kernsystemen verwerken gevoelige gegevens of zijn essentieel voor de dienstverlening aan burgers. Het herkennen van deze systemen is de eerste stap in het bepalen van je ENSIA-scope.
De volgende primaire systemen vallen altijd onder ENSIA:
- Identiteits- en toegangsmanagementsystemen zoals DigiD-infrastructuur en authenticatievoorzieningen die toegang geven tot digitale overheidsdiensten
- Burgergegevensverwerkingssystemen die persoonsgegevens van inwoners opslaan en verwerken voor gemeentelijke dienstverlening
- Documentmanagementsystemen (DMS) waarin vertrouwelijke documenten, besluiten en correspondentie worden bewaard
- Financiële administratiesystemen die belastinggelden, subsidies en andere financiële stromen beheren
- HR-systemen met gevoelige personeelsgegevens zoals salarisadministratie, beoordelingen en medische informatie
Deze systemen worden als hoog risico beschouwd omdat een beveiligingsincident direct impact heeft op burgers, medewerkers of de integriteit van overheidsprocessen. Een datalek in een burgergegevensysteem kan bijvoorbeeld leiden tot identiteitsfraude, terwijl een compromittering van de financiële administratie de rechtmatigheid van betalingen in gevaar brengt.
Herken je deze systemen in je organisatie door te kijken naar welke applicaties toegang hebben tot persoonsgegevens, welke systemen nodig zijn voor wettelijke taken, en welke uitval zou hebben op je dienstverlening. Dit vormt de basis van je ENSIA-inventarisatie.
Hoe bepaal je of ketenpartners en externe leveranciers onder ENSIA vallen?
Ketenpartners en externe leveranciers vallen onder ENSIA wanneer zij in opdracht van je organisatie persoonsgegevens of vertrouwelijke overheidsinformatie verwerken. De beslissende factor is of de leverancier toegang heeft tot systemen of gegevens die binnen jouw ENSIA-scope vallen, en welke mate van controle je organisatie heeft over de beveiliging.
Bij het beoordelen van externe partijen zijn drie criteria bepalend. Ten eerste de aard van de gegevensverwerking: verwerkt de leverancier daadwerkelijk persoonsgegevens of heeft deze alleen technische toegang tot infrastructuur? Ten tweede de verwerkersrelatie: is er sprake van een verwerkersovereenkomst waarbij de leverancier in opdracht handelt? Ten derde de kriticaliteit: zou een beveiligingsincident bij de leverancier directe impact hebben op jouw dienstverlening of gegevensbescherming?
Het shared responsibility model speelt hier een belangrijke rol. Bij cloud-diensten is de verantwoordelijkheid verdeeld tussen jouw organisatie en de cloudleverancier. Je blijft eindverantwoordelijk voor de beveiliging van de gegevens, maar de leverancier is verantwoordelijk voor de onderliggende infrastructuur. Dit betekent dat je moet aantonen dat de leverancier voldoende beveiligingsmaatregelen treft.
In de praktijk vraag je daarom vaak om assurance-rapporten zoals ISAE 3402 of ISO 27001-certificaten van leveranciers. Deze rapporten tonen aan dat een onafhankelijke auditor de beveiliging heeft beoordeeld. Voor SaaS-applicaties die burgergegevens verwerken, hostingproviders van kritieke systemen, en softwareleveranciers met beheertoegang tot je netwerk, zijn dergelijke verklaringen essentieel voor je ENSIA-verantwoording.
Wat is het verschil tussen ENSIA-plichtige en ENSIA-relevante systemen?
ENSIA-plichtige systemen zijn systemen waarvoor je verplicht bent om jaarlijks een ENSIA-rapportage op te stellen en in te dienen bij toezichthouders. ENSIA-relevante systemen zijn systemen die belangrijk zijn voor informatiebeveiliging, maar waarvoor geen afzonderlijke ENSIA-rapportage verplicht is. Het onderscheid bepaalt je rapportageverplichtingen en auditplanning.
De classificatie is gebaseerd op een risicoanalyse. ENSIA-plichtige systemen verwerken persoonsgegevens van burgers, bevatten staatsvertrouwelijke informatie, of zijn wettelijk aangewezen als rapportageplichtig. Denk aan systemen die vallen onder toezicht van het Inlichtingenbureau (IBD) voor Suwinet, of systemen die DigiD-toegang faciliteren.
ENSIA-relevante systemen ondersteunen de informatiebeveiliging maar hebben geen directe rapportageverplichting. Voorbeelden zijn interne netwerksystemen, kantoortoepassingen zonder persoonsgegevens, of ondersteunende infrastructuur. Deze systemen moet je wel beveiligen volgens de BIO-normen, maar ze vereisen geen aparte ENSIA-audit met externe rapportage.
Overheidsorganisaties hanteren vaak drempelcriteria om deze indeling te maken. Systemen die meer dan 1.000 burgerrecords bevatten, systemen met BIO-classificatie ‘hoog’ of ‘zeer hoog’, en systemen die vallen onder specifieke wetgeving zoals de Jeugdwet of Participatiewet, worden doorgaans als ENSIA-plichtig aangemerkt. Je kunt deze indeling vastleggen in een informatieregister met per systeem de classificatie en onderbouwing.
Welke specifieke overheidssystemen moet je opnemen in je ENSIA-rapportage?
De volgende systemen zijn verplicht voor opname in je ENSIA-rapportage vanwege hun wettelijke status of het type gegevens dat ze verwerken:
- Suwinet en socialezekerheidsgegevenssystemen die toegang geven tot inkomensgegevens, uitkeringsadministratie en arbeidsmarktinformatie. Deze systemen vallen onder toezicht van het IBD en vereisen jaarlijkse Suwinet-audits die deel uitmaken van je ENSIA-rapportage.
- DigiD-authenticatie-infrastructuur waarmee burgers inloggen op digitale diensten. Alle systemen die DigiD-authenticatie gebruiken moeten voldoen aan strenge beveiligingseisen en worden geaudit op naleving van het DigiD-normenkader.
- Basisregistratie Personen (BRP) systemen die de voormalige GBA hebben vervangen en persoonsgegevens van alle inwoners bevatten. Deze systemen vormen de ruggengraat van burgerdienstverlening en vereisen strikte toegangscontroles.
- WOZ-taxatiesystemen die eigendomsgegevens en waardebepaling van onroerend goed beheren. Deze systemen bevatten financieel gevoelige informatie en zijn bepalend voor belastingheffing.
- Sociaal domein applicaties voor Wmo (maatschappelijke ondersteuning), Jeugdwet (jeugdzorg) en Participatiewet (bijstand en re-integratie). Deze systemen verwerken zeer privacygevoelige informatie over kwetsbare burgers.
- Vergunningen- en handhavingssystemen voor omgevingsvergunningen, bouwvergunningen en APV-handhaving. Deze systemen bevatten bedrijfsgevoelige informatie en zijn essentieel voor de rechtszekerheid.
- Verkiezingssystemen die stemregistratie en verkiezingsuitslagen beheren. De integriteit van deze systemen is cruciaal voor het democratisch proces en vereist bijzondere beveiligingsmaatregelen.
Elk van deze systemen heeft specifieke compliance-uitdagingen. Suwinet-systemen vereisen bijvoorbeeld tweefactorauthenticatie en gedetailleerde logging, terwijl sociaal domein applicaties extra privacywaarborgen nodig hebben vanwege de gevoelige aard van de gegevens.
Hoe BKBO helpt met het bepalen van uw ENSIA-scope
Wij ondersteunen overheidsorganisaties bij het nauwkeurig bepalen welke systemen onder ENSIA vallen en hoe je aan je rapportageverplichtingen voldoet. Met onze ervaring in meer dan 1.800 audits begrijpen we de praktische uitdagingen die compliance officers tegenkomen bij scope-bepaling.
Onze ondersteuning bij ENSIA-scope omvat:
- Scope-bepaling workshops waarin we samen met je team alle systemen inventariseren en classificeren volgens ENSIA-criteria
- Systeeminventarisatie en classificatieondersteuning met praktische templates en checklists die je kunt blijven gebruiken
- Ketenpartnerbeoordelingsbegeleiding om te bepalen welke leveranciers assurance-rapporten moeten aanleveren
- ENSIA assessment uitvoering met vaste prijzen inclusief eventuele heraudits, zodat je geen verrassingen krijgt
- Nazorg en herstelondersteuning bij bevindingen, met concrete implementeerbare aanbevelingen
Onze aanpak kenmerkt zich door praktische toepasbaarheid en transparantie. We spreken je taal als overheidsorganisatie en begrijpen de specifieke context van gemeenten, ministeries en zorginstellingen. Met onze geen-gekibbel-garantie weet je precies waar je aan toe bent.
Wil je zekerheid over je ENSIA-scope of heb je vragen over welke systemen je moet laten auditen? Neem contact met ons op voor een vrijblijvend gesprek over je specifieke situatie. We helpen je graag met een heldere scope-bepaling en een efficiënte aanpak van je ENSIA-verplichtingen.