Welke beveiligingstesten zijn verplicht voor DigiD?
Organisaties die DigiD-koppelingen gebruiken, zijn verplicht om jaarlijks specifieke beveiligingstesten uit te voeren. Deze DigiD-beveiligingsassessments controleren of webapplicaties, infrastructuur en procedures voldoen aan de strenge eisen van toezichthouder Logius. De tests omvatten technische penetratietesten, vulnerability assessments en procedurele controles. Organisaties moeten deze assessments vóór 1 mei elk jaar rapporteren om hun DigiD-koppeling te behouden.
Wat is een DigiD-beveiligingsassessment en waarom is het verplicht?
Een DigiD-beveiligingsassessment is een verplichte jaarlijkse controle die de betrouwbaarheid toetst van webapplicaties die gebruikmaken van DigiD-authenticatie. Deze assessments worden uitgevoerd volgens de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC en controleren of organisaties voldoen aan alle beveiligingsnormen die Logius heeft vastgesteld.
De wettelijke basis voor deze verplichting ligt in de verantwoordelijkheid van Logius als beheerder van DigiD om de veiligheid van het systeem te waarborgen. Elke organisatie die toegang wil tot DigiD-diensten, moet aantonen dat haar systemen en processen voldoende beveiligd zijn. Dit voorkomt dat kwetsbaarheden in aangesloten systemen de gehele DigiD-infrastructuur in gevaar brengen.
De assessments zijn essentieel omdat DigiD toegang biedt tot gevoelige persoonsgegevens en overheidsdiensten. Een beveiligingslek bij één aangesloten organisatie kan de privacy van miljoenen Nederlandse burgers bedreigen. Door jaarlijkse controles te verplichten, zorgt Logius ervoor dat alle aangesloten partijen hun beveiligingsniveau op peil houden.
Welke organisaties moeten verplicht DigiD-beveiligingstesten uitvoeren?
Alle organisaties die DigiD-koppelingen gebruiken voor authenticatie, zijn verplicht om jaarlijks beveiligingstesten uit te voeren. Dit omvat een breed scala aan publieke en private organisaties die diensten verlenen waarbij DigiD-inloggegevens worden gebruikt voor identiteitsverificatie.
De volgende categorieën organisaties vallen onder deze verplichting:
- Overheidsinstanties: gemeenten, provincies, ministeries, agentschappen en uitvoeringsorganisaties zoals UWV en SVB
- Zorgverleners: ziekenhuizen, ggz-instellingen, GGD’en en andere zorginstellingen die patiëntportalen aanbieden
- Onderwijsinstellingen: scholen en universiteiten die DigiD gebruiken voor toegang tot onderwijsportalen
- Nutsbedrijven en woningcorporaties: organisaties die DigiD integreren in klantportalen
- IT-leveranciers en hostingproviders: bedrijven die DigiD-diensten leveren aan andere organisaties
Ook serviceorganisaties die DigiD-gerelateerde diensten uitvoeren voor andere partijen, moeten regelmatig assessments ondergaan. Dit geldt bijvoorbeeld voor SaaS-leveranciers die DigiD-functionaliteit aanbieden aan hun klanten.
Wat wordt er precies getest tijdens een DigiD-beveiligingsassessment?
Een DigiD-beveiligingsassessment test zowel technische beveiligingsmaatregelen als organisatorische processen. De testaanpak is gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC, waarbij elke norm onafhankelijk wordt getoetst op opzet, bestaan en, sinds 2025, ook op werking.
De technische tests omvatten onder andere:
- Penetratietesten: ethische hackers proberen kwetsbaarheden te vinden in webapplicaties en infrastructuur
- Vulnerability assessments: geautomatiseerde scans naar bekende beveiligingslekken
- Toegangscontrole (U.TV.01): verificatie van gebruikersrechten en authenticatiemechanismen
- Beveiliging en wijzigingsbeheer (C.07, C.08, C.09): controle van changemanagementprocessen
- Netwerkbeveiliging: analyse van firewalls, encryptie en netwerkarchitectuur
De organisatorische aspecten die worden beoordeeld, zijn incidentbeheer (U.WA.02), beveiligingsbeleid, awareness-training en documentatie van procedures. Vanaf 2025 worden vijf kernnormen ook getoetst op werking, wat betekent dat auditors controleren of de maatregelen daadwerkelijk functioneren zoals bedoeld.
De controleperiode moet minimaal zes maanden duren, waarbij de laatste dag maximaal twee maanden vóór de oordeelsdatum ligt. Dit zorgt voor consistente rapportage en actuele beveiligingsinformatie.
Hoe vaak moeten DigiD-beveiligingstesten worden uitgevoerd?
DigiD-beveiligingstesten moeten jaarlijks worden uitgevoerd, met rapportage aan Logius vóór 1 mei van elk jaar. Deze jaarlijkse cyclus zorgt ervoor dat beveiligingsmaatregelen regelmatig worden gecontroleerd en dat nieuwe bedreigingen tijdig worden geïdentificeerd.
Naast de reguliere jaarlijkse assessments zijn nieuwe tests vereist bij significante wijzigingen in de IT-omgeving. Dit geldt voor situaties zoals:
- implementatie van nieuwe DigiD-functionaliteiten of -diensten
- grote infrastructuurwijzigingen of migraties
- wijzigingen in serviceorganisaties of leveranciers
- uitbreiding van de DigiD-koppeling naar nieuwe applicaties
De geldigheidsduur van DigiD-certificaten is gekoppeld aan de rapportagecyclus. Organisaties die niet tijdig rapporteren, riskeren dat hun DigiD-koppeling wordt opgeschort. Voor organisaties die gebruikmaken van een DigiD-assessment is het belangrijk om de planning goed af te stemmen op interne processen.
Bij gebruik van serviceorganisaties kunnen SOC-rapporten worden gebruikt als onderdeel van de carve-outmethode, maar deze rapporten moeten recent zijn en de exacte dienst dekken die wordt gebruikt. Verouderde rapporten vereisen aanvullende brugdocumenten om de actualiteit te waarborgen.
Wat gebeurt er als je organisatie niet voldoet aan de DigiD-beveiligingseisen?
Organisaties die niet voldoen aan de DigiD-beveiligingseisen, kunnen hun toegang tot DigiD-diensten verliezen. Logius heeft de bevoegdheid om DigiD-koppelingen op te schorten of definitief te beëindigen wanneer beveiligingsnormen niet worden gehaald of assessments niet tijdig worden uitgevoerd.
De mogelijke consequenties zijn:
- Opschorting van DigiD-toegang: tijdelijke blokkering van de koppeling totdat problemen zijn opgelost
- Definitieve beëindiging: permanent verlies van DigiD-functionaliteit bij ernstige of herhaalde overtredingen
- Reputatieschade: verlies van vertrouwen bij burgers en stakeholders
- Operationele impact: onderbreking van digitale dienstverlening aan burgers
- Financiële gevolgen: kosten voor herstelmaatregelen en mogelijk omzetverlies
Het proces van herstelmaatregelen begint meestal met een formele waarschuwing waarin specifieke tekortkomingen worden benoemd. Organisaties krijgen een bepaalde termijn om geconstateerde problemen op te lossen en aanvullende bewijsvoering te leveren. In sommige gevallen is een heraudit nodig om aan te tonen dat alle beveiligingseisen weer worden nageleefd.
Voor kritieke beveiligingslekken kan Logius besluiten tot onmiddellijke opschorting om schade te voorkomen. Organisaties moeten dan snel handelen om hun DigiD-toegang te herstellen en verdere escalatie te voorkomen.
Hoe BKBO B.V. helpt met DigiD-beveiligingsassessments
BKBO B.V. ondersteunt organisaties volledig bij het uitvoeren van DigiD-beveiligingsassessments met onze gespecialiseerde kennis van overheidssystemen en beveiligingsnormen. Wij beschikken over gecertificeerde register IT-auditors en lead-auditors die ervaring hebben met alle aspecten van DigiD-compliance.
Onze dienstverlening omvat:
- Volledige assessmentuitvoering: van technische penetratietesten tot organisatorische controles
- Expertise in nieuwe 2025-eisen: inclusief toetsing op werking voor de vijf kernnormen
- Carve-outondersteuning: professionele beoordeling van SOC-rapporten en serviceorganisaties
- Rapportage met EUTL-handtekeningen: volledig compliant met Logius-vereisten
- Geen-gekibbelgarantie: vaste prijzen inclusief eventuele heraudits
- Praktische aanbevelingen: concrete stappen voor het oplossen van geconstateerde tekortkomingen
Met meer dan 1.843 afgeronde audits sinds 2018 hebben wij bewezen expertise in het begeleiden van organisaties door het complexe DigiD-assessmentproces. Onze aanpak zorgt ervoor dat u niet alleen voldoet aan de huidige eisen, maar ook voorbereid bent op toekomstige ontwikkelingen in DigiD-beveiliging.
Wilt u meer weten over hoe wij uw organisatie kunnen helpen met DigiD-compliance? Neem contact met ons op voor een vrijblijvend gesprek over uw specifieke situatie en behoeften.
Organisaties die DigiD-koppelingen gebruiken, zijn verplicht om jaarlijks specifieke beveiligingstesten uit te voeren. Deze DigiD-beveiligingsassessments controleren of webapplicaties, infrastructuur en procedures voldoen aan de strenge eisen van toezichthouder Logius. De tests omvatten technische penetratietesten, vulnerability assessments en procedurele controles. Organisaties moeten deze assessments vóór 1 mei elk jaar rapporteren om hun DigiD-koppeling te behouden.
Wat is een DigiD-beveiligingsassessment en waarom is het verplicht?
Een DigiD-beveiligingsassessment is een verplichte jaarlijkse controle die de betrouwbaarheid toetst van webapplicaties die gebruikmaken van DigiD-authenticatie. Deze assessments worden uitgevoerd volgens de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC en controleren of organisaties voldoen aan alle beveiligingsnormen die Logius heeft vastgesteld.
De wettelijke basis voor deze verplichting ligt in de verantwoordelijkheid van Logius als beheerder van DigiD om de veiligheid van het systeem te waarborgen. Elke organisatie die toegang wil tot DigiD-diensten, moet aantonen dat haar systemen en processen voldoende beveiligd zijn. Dit voorkomt dat kwetsbaarheden in aangesloten systemen de gehele DigiD-infrastructuur in gevaar brengen.
De assessments zijn essentieel omdat DigiD toegang biedt tot gevoelige persoonsgegevens en overheidsdiensten. Een beveiligingslek bij één aangesloten organisatie kan de privacy van miljoenen Nederlandse burgers bedreigen. Door jaarlijkse controles te verplichten, zorgt Logius ervoor dat alle aangesloten partijen hun beveiligingsniveau op peil houden.
Welke organisaties moeten verplicht DigiD-beveiligingstesten uitvoeren?
Alle organisaties die DigiD-koppelingen gebruiken voor authenticatie, zijn verplicht om jaarlijks beveiligingstesten uit te voeren. Dit omvat een breed scala aan publieke en private organisaties die diensten verlenen waarbij DigiD-inloggegevens worden gebruikt voor identiteitsverificatie.
De volgende categorieën organisaties vallen onder deze verplichting:
- Overheidsinstanties: gemeenten, provincies, ministeries, agentschappen en uitvoeringsorganisaties zoals UWV en SVB
- Zorgverleners: ziekenhuizen, ggz-instellingen, GGD’en en andere zorginstellingen die patiëntportalen aanbieden
- Onderwijsinstellingen: scholen en universiteiten die DigiD gebruiken voor toegang tot onderwijsportalen
- Nutsbedrijven en woningcorporaties: organisaties die DigiD integreren in klantportalen
- IT-leveranciers en hostingproviders: bedrijven die DigiD-diensten leveren aan andere organisaties
Ook serviceorganisaties die DigiD-gerelateerde diensten uitvoeren voor andere partijen, moeten regelmatig assessments ondergaan. Dit geldt bijvoorbeeld voor SaaS-leveranciers die DigiD-functionaliteit aanbieden aan hun klanten.
Wat wordt er precies getest tijdens een DigiD-beveiligingsassessment?
Een DigiD-beveiligingsassessment test zowel technische beveiligingsmaatregelen als organisatorische processen. De testaanpak is gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC, waarbij elke norm onafhankelijk wordt getoetst op opzet, bestaan en, sinds 2025, ook op werking.
De technische tests omvatten onder andere:
- Penetratietesten: ethische hackers proberen kwetsbaarheden te vinden in webapplicaties en infrastructuur
- Vulnerability assessments: geautomatiseerde scans naar bekende beveiligingslekken
- Toegangscontrole (U.TV.01): verificatie van gebruikersrechten en authenticatiemechanismen
- Beveiliging en wijzigingsbeheer (C.07, C.08, C.09): controle van changemanagementprocessen
- Netwerkbeveiliging: analyse van firewalls, encryptie en netwerkarchitectuur
De organisatorische aspecten die worden beoordeeld, zijn incidentbeheer (U.WA.02), beveiligingsbeleid, awareness-training en documentatie van procedures. Vanaf 2025 worden vijf kernnormen ook getoetst op werking, wat betekent dat auditors controleren of de maatregelen daadwerkelijk functioneren zoals bedoeld.
De controleperiode moet minimaal zes maanden duren, waarbij de laatste dag maximaal twee maanden vóór de oordeelsdatum ligt. Dit zorgt voor consistente rapportage en actuele beveiligingsinformatie.
Hoe vaak moeten DigiD-beveiligingstesten worden uitgevoerd?
DigiD-beveiligingstesten moeten jaarlijks worden uitgevoerd, met rapportage aan Logius vóór 1 mei van elk jaar. Deze jaarlijkse cyclus zorgt ervoor dat beveiligingsmaatregelen regelmatig worden gecontroleerd en dat nieuwe bedreigingen tijdig worden geïdentificeerd.
Naast de reguliere jaarlijkse assessments zijn nieuwe tests vereist bij significante wijzigingen in de IT-omgeving. Dit geldt voor situaties zoals:
- implementatie van nieuwe DigiD-functionaliteiten of -diensten
- grote infrastructuurwijzigingen of migraties
- wijzigingen in serviceorganisaties of leveranciers
- uitbreiding van de DigiD-koppeling naar nieuwe applicaties
De geldigheidsduur van DigiD-certificaten is gekoppeld aan de rapportagecyclus. Organisaties die niet tijdig rapporteren, riskeren dat hun DigiD-koppeling wordt opgeschort. Voor organisaties die gebruikmaken van een DigiD-assessment is het belangrijk om de planning goed af te stemmen op interne processen.
Bij gebruik van serviceorganisaties kunnen SOC-rapporten worden gebruikt als onderdeel van de carve-outmethode, maar deze rapporten moeten recent zijn en de exacte dienst dekken die wordt gebruikt. Verouderde rapporten vereisen aanvullende brugdocumenten om de actualiteit te waarborgen.
Wat gebeurt er als je organisatie niet voldoet aan de DigiD-beveiligingseisen?
Organisaties die niet voldoen aan de DigiD-beveiligingseisen, kunnen hun toegang tot DigiD-diensten verliezen. Logius heeft de bevoegdheid om DigiD-koppelingen op te schorten of definitief te beëindigen wanneer beveiligingsnormen niet worden gehaald of assessments niet tijdig worden uitgevoerd.
De mogelijke consequenties zijn:
- Opschorting van DigiD-toegang: tijdelijke blokkering van de koppeling totdat problemen zijn opgelost
- Definitieve beëindiging: permanent verlies van DigiD-functionaliteit bij ernstige of herhaalde overtredingen
- Reputatieschade: verlies van vertrouwen bij burgers en stakeholders
- Operationele impact: onderbreking van digitale dienstverlening aan burgers
- Financiële gevolgen: kosten voor herstelmaatregelen en mogelijk omzetverlies
Het proces van herstelmaatregelen begint meestal met een formele waarschuwing waarin specifieke tekortkomingen worden benoemd. Organisaties krijgen een bepaalde termijn om geconstateerde problemen op te lossen en aanvullende bewijsvoering te leveren. In sommige gevallen is een heraudit nodig om aan te tonen dat alle beveiligingseisen weer worden nageleefd.
Voor kritieke beveiligingslekken kan Logius besluiten tot onmiddellijke opschorting om schade te voorkomen. Organisaties moeten dan snel handelen om hun DigiD-toegang te herstellen en verdere escalatie te voorkomen.
Hoe BKBO B.V. helpt met DigiD-beveiligingsassessments
BKBO B.V. ondersteunt organisaties volledig bij het uitvoeren van DigiD-beveiligingsassessments met onze gespecialiseerde kennis van overheidssystemen en beveiligingsnormen. Wij beschikken over gecertificeerde register IT-auditors en lead-auditors die ervaring hebben met alle aspecten van DigiD-compliance.
Onze dienstverlening omvat:
- Volledige assessmentuitvoering: van technische penetratietesten tot organisatorische controles
- Expertise in nieuwe 2025-eisen: inclusief toetsing op werking voor de vijf kernnormen
- Carve-outondersteuning: professionele beoordeling van SOC-rapporten en serviceorganisaties
- Rapportage met EUTL-handtekeningen: volledig compliant met Logius-vereisten
- Geen-gekibbelgarantie: vaste prijzen inclusief eventuele heraudits
- Praktische aanbevelingen: concrete stappen voor het oplossen van geconstateerde tekortkomingen
Met meer dan 1.843 afgeronde audits sinds 2018 hebben wij bewezen expertise in het begeleiden van organisaties door het complexe DigiD-assessmentproces. Onze aanpak zorgt ervoor dat u niet alleen voldoet aan de huidige eisen, maar ook voorbereid bent op toekomstige ontwikkelingen in DigiD-beveiliging.
Wilt u meer weten over hoe wij uw organisatie kunnen helpen met DigiD-compliance? Neem contact met ons op voor een vrijblijvend gesprek over uw specifieke situatie en behoeften.