Is Digid gratis te verkrijgen?
DigiD is gratis voor burgers om aan te vragen en te gebruiken. Voor organisaties die DigiD willen koppelen aan hun webapplicaties zijn er echter wel kosten verbonden aan de verplichte beveiligingsassessments en de technische implementatie. Deze kosten variëren afhankelijk van de complexiteit van de organisatie en de gekozen auditpartner.
Onderschatting van DigiD-kosten leidt tot budgetoverschrijdingen
Veel organisaties richten zich alleen op de gratis DigiD-koppeling zelf en vergeten de verplichte jaarlijkse beveiligingsassessments mee te nemen in de begroting. Dit leidt tot onverwachte kosten van enkele duizenden euro’s per jaar, plus eenmalige implementatiekosten. Neem deze uitgaven vanaf het begin op in het budget om budgetproblemen te voorkomen en kies een ervaren auditpartner die transparante tarieven hanteert.
Verkeerde timing van assessments veroorzaakt compliance-problemen
Organisaties die te laat starten met hun DigiD-assessment riskeren hun koppeling te verliezen en kunnen hun dienstverlening niet meer aanbieden. De deadline van 1 mei is hard: uitstel betekent dat burgers geen toegang meer hebben tot jullie online diensten. Begin minimaal drie maanden voor de deadline met de voorbereiding en zorg dat alle documentatie op orde is.
Wat is DigiD en waarom hebben organisaties het nodig?
DigiD is het Nederlandse digitale identiteitssysteem waarmee burgers zich veilig kunnen aanmelden bij overheidsorganisaties en zorginstellingen. Organisaties hebben DigiD nodig om hun online dienstverlening toegankelijk en veilig te maken voor burgers, waarbij de identiteit van gebruikers betrouwbaar wordt geverifieerd.
Het systeem werd ontwikkeld na beveiligingsincidenten in 2011, waarbij kwetsbaarheden in gemeentelijke websites werden ontdekt. Sindsdien stelt het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties strenge eisen aan organisaties die DigiD gebruiken. Logius houdt toezicht op de naleving van deze beveiligingsnormen.
Organisaties in de publieke sector, zoals gemeenten, ministeries, zorgverleners en hun IT-leveranciers, zijn vaak verplicht om DigiD te implementeren voor hun online diensten. Dit zorgt voor een uniform en veilig inlogsysteem voor alle Nederlandse burgers.
Is DigiD gratis voor burgers en organisaties?
DigiD is volledig gratis voor burgers om aan te vragen en te gebruiken. Voor organisaties die DigiD willen koppelen, zijn er wel kosten verbonden aan de verplichte beveiligingsassessments, de technische implementatie en de jaarlijkse audits die nodig zijn om de koppeling te behouden.
Burgers betalen nooit voor hun DigiD-account of het gebruik ervan bij verschillende organisaties. De kosten worden gedragen door de organisaties die het systeem implementeren. Dit past bij het principe dat digitale overheidsdiensten toegankelijk moeten zijn voor alle burgers, ongeacht hun financiële situatie.
Organisaties moeten wel rekening houden met verschillende kostenposten:
- Technische implementatie en koppeling van webapplicaties
- Jaarlijkse beveiligingsassessments door gecertificeerde auditors
- Eventuele aanpassingen aan IT-infrastructuur en beveiligingsmaatregelen
- Interne projectkosten voor implementatie en onderhoud
Welke kosten zijn er verbonden aan DigiD-beveiligingsassessments?
DigiD-beveiligingsassessments kosten tussen de 2.500 en 15.000 euro, afhankelijk van de complexiteit van de organisatie, het aantal webapplicaties en de gekozen auditpartner. Deze assessments zijn jaarlijks verplicht voor alle organisaties die DigiD gebruiken en moeten worden uitgevoerd door gecertificeerde IT-auditors.
De kosten worden beïnvloed door verschillende factoren. Kleinere organisaties met één webapplicatie betalen meestal aan de onderkant van het spectrum, terwijl grote organisaties met complexe IT-landschappen en meerdere DigiD-koppelingen meer betalen. Ook de mate waarin de organisatie al voldoet aan de beveiligingseisen speelt een rol in de auditduur en daarmee de kosten.
Naast de directe auditkosten kunnen er extra uitgaven zijn voor:
- Het oplossen van beveiligingslekken die tijdens het assessment worden gevonden
- Heraudits als de eerste beoordeling negatief uitvalt
- Aanpassingen aan procedures en documentatie
- Training van personeel in beveiligingsprotocollen
Hoe lang duurt het om een DigiD-koppeling te realiseren?
Het realiseren van een DigiD-koppeling duurt gemiddeld 3 tot 6 maanden, afhankelijk van de complexiteit van de webapplicatie en de mate waarin de organisatie al voldoet aan de beveiligingseisen. Dit omvat zowel de technische implementatie als het doorlopen van het verplichte beveiligingsassessment.
De implementatie bestaat uit verschillende fases die elkaar kunnen overlappen. De technische koppeling zelf kan binnen enkele weken worden gerealiseerd door ervaren ontwikkelaars. Het grootste deel van de tijd gaat zitten in het op orde brengen van de beveiliging en het doorlopen van het assessment.
Het proces verloopt meestal volgens deze tijdlijn:
- Voorbereiding en analyse van de huidige situatie (2-4 weken)
- Technische implementatie van de DigiD-koppeling (2-3 weken)
- Implementatie van beveiligingsmaatregelen (4-8 weken)
- Uitvoering van het beveiligingsassessment (2-3 weken)
- Eventuele aanpassingen en heraudit (1-4 weken)
Wat zijn de vereisten voor een DigiD-beveiligingsassessment?
Een DigiD-beveiligingsassessment moet worden uitgevoerd door een gecertificeerde IT-auditor volgens de NOREA Handreiking 2025. Het assessment toetst webapplicaties, IT-infrastructuur en beveiligingsprocedures op naleving van de ICT-beveiligingsrichtlijnen van het NCSC en moet resulteren in een assurance-rapport onder Richtlijn 3000D.
De auditor moet beschikken over specifieke certificeringen en ervaring met DigiD-assessments. Vanaf 2025 worden vijf kernnormen ook getoetst op werking, naast de gebruikelijke toetsing op opzet en bestaan. Deze normen betreffen toegangscontrole, incidentbeheer en wijzigingsbeheer.
De belangrijkste vereisten voor het assessment zijn:
- Minimale controleperiode van 6 maanden voor toetsing op werking
- Penetratietesten en vulnerability assessments voor technische normen
- EUTL-handtekening op het assurance-rapport voor betrouwbaarheid
- Toetsing van alle DigiD-beheersmaatregelen, zoals toegangscontrole en incidentbeheer
- Beoordeling van serviceorganisaties via SOC-rapporten bij gebruik van externe diensten
Wanneer moet je een DigiD-beveiligingsassessment laten uitvoeren?
DigiD-beveiligingsassessments moeten jaarlijks vóór 1 mei worden gerapporteerd aan toezichthouder Logius. Organisaties moeten het assessment minimaal drie maanden voor deze deadline starten om voldoende tijd te hebben voor eventuele aanpassingen en heraudits. Bij nieuwe DigiD-koppelingen is een assessment vereist voordat de koppeling live mag gaan.
De timing is cruciaal, omdat organisaties die de deadline missen hun DigiD-koppeling kunnen verliezen. Dit betekent dat burgers geen toegang meer hebben tot hun online diensten, wat grote gevolgen heeft voor de dienstverlening. Logius hanteert de deadline strikt en geeft geen uitstel.
Plan het assessment op deze momenten:
- Bij een nieuwe DigiD-implementatie: start het assessment zodra de technische koppeling gereed is
- Jaarlijkse assessments: begin in januari om ruim voor 1 mei klaar te zijn
- Na grote wijzigingen: voer een tussentijds assessment uit bij significante aanpassingen aan de IT-omgeving
- Bij servicewijzigingen: wanneer externe leveranciers of cloudservices worden gewijzigd
Hoe BKBO helpt met DigiD-beveiligingsassessments
Wij bieden complete DigiD-beveiligingsassessments met een “geen-gekibbelgarantie” en vaste prijzen, inclusief eventuele heraudits. Met meer dan 1.843 afgeronde audits sinds 2018 en gecertificeerde register-IT-auditors zorgen we voor een soepel proces dat voldoet aan alle eisen van Logius en de NOREA Handreiking 2025.
Onze aanpak kenmerkt zich door:
- Transparante prijsstelling zonder verrassingen achteraf
- Ervaring met alle typen organisaties in de publieke sector
- Praktische begeleiding bij het oplossen van beveiligingslekken
- Tijdige rapportage ruim voor de deadline van 1 mei
Neem contact met ons op voor een vrijblijvende offerte voor uw DigiD-beveiligingsassessment. We plannen graag een kennismakingsgesprek om uw specifieke situatie te bespreken en een passend voorstel te doen.
DigiD is gratis voor burgers om aan te vragen en te gebruiken. Voor organisaties die DigiD willen koppelen aan hun webapplicaties zijn er echter wel kosten verbonden aan de verplichte beveiligingsassessments en de technische implementatie. Deze kosten variëren afhankelijk van de complexiteit van de organisatie en de gekozen auditpartner.
Onderschatting van DigiD-kosten leidt tot budgetoverschrijdingen
Veel organisaties richten zich alleen op de gratis DigiD-koppeling zelf en vergeten de verplichte jaarlijkse beveiligingsassessments mee te nemen in de begroting. Dit leidt tot onverwachte kosten van enkele duizenden euro’s per jaar, plus eenmalige implementatiekosten. Neem deze uitgaven vanaf het begin op in het budget om budgetproblemen te voorkomen en kies een ervaren auditpartner die transparante tarieven hanteert.
Verkeerde timing van assessments veroorzaakt compliance-problemen
Organisaties die te laat starten met hun DigiD-assessment riskeren hun koppeling te verliezen en kunnen hun dienstverlening niet meer aanbieden. De deadline van 1 mei is hard: uitstel betekent dat burgers geen toegang meer hebben tot jullie online diensten. Begin minimaal drie maanden voor de deadline met de voorbereiding en zorg dat alle documentatie op orde is.
Wat is DigiD en waarom hebben organisaties het nodig?
DigiD is het Nederlandse digitale identiteitssysteem waarmee burgers zich veilig kunnen aanmelden bij overheidsorganisaties en zorginstellingen. Organisaties hebben DigiD nodig om hun online dienstverlening toegankelijk en veilig te maken voor burgers, waarbij de identiteit van gebruikers betrouwbaar wordt geverifieerd.
Het systeem werd ontwikkeld na beveiligingsincidenten in 2011, waarbij kwetsbaarheden in gemeentelijke websites werden ontdekt. Sindsdien stelt het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties strenge eisen aan organisaties die DigiD gebruiken. Logius houdt toezicht op de naleving van deze beveiligingsnormen.
Organisaties in de publieke sector, zoals gemeenten, ministeries, zorgverleners en hun IT-leveranciers, zijn vaak verplicht om DigiD te implementeren voor hun online diensten. Dit zorgt voor een uniform en veilig inlogsysteem voor alle Nederlandse burgers.
Is DigiD gratis voor burgers en organisaties?
DigiD is volledig gratis voor burgers om aan te vragen en te gebruiken. Voor organisaties die DigiD willen koppelen, zijn er wel kosten verbonden aan de verplichte beveiligingsassessments, de technische implementatie en de jaarlijkse audits die nodig zijn om de koppeling te behouden.
Burgers betalen nooit voor hun DigiD-account of het gebruik ervan bij verschillende organisaties. De kosten worden gedragen door de organisaties die het systeem implementeren. Dit past bij het principe dat digitale overheidsdiensten toegankelijk moeten zijn voor alle burgers, ongeacht hun financiële situatie.
Organisaties moeten wel rekening houden met verschillende kostenposten:
- Technische implementatie en koppeling van webapplicaties
- Jaarlijkse beveiligingsassessments door gecertificeerde auditors
- Eventuele aanpassingen aan IT-infrastructuur en beveiligingsmaatregelen
- Interne projectkosten voor implementatie en onderhoud
Welke kosten zijn er verbonden aan DigiD-beveiligingsassessments?
DigiD-beveiligingsassessments kosten tussen de 2.500 en 15.000 euro, afhankelijk van de complexiteit van de organisatie, het aantal webapplicaties en de gekozen auditpartner. Deze assessments zijn jaarlijks verplicht voor alle organisaties die DigiD gebruiken en moeten worden uitgevoerd door gecertificeerde IT-auditors.
De kosten worden beïnvloed door verschillende factoren. Kleinere organisaties met één webapplicatie betalen meestal aan de onderkant van het spectrum, terwijl grote organisaties met complexe IT-landschappen en meerdere DigiD-koppelingen meer betalen. Ook de mate waarin de organisatie al voldoet aan de beveiligingseisen speelt een rol in de auditduur en daarmee de kosten.
Naast de directe auditkosten kunnen er extra uitgaven zijn voor:
- Het oplossen van beveiligingslekken die tijdens het assessment worden gevonden
- Heraudits als de eerste beoordeling negatief uitvalt
- Aanpassingen aan procedures en documentatie
- Training van personeel in beveiligingsprotocollen
Hoe lang duurt het om een DigiD-koppeling te realiseren?
Het realiseren van een DigiD-koppeling duurt gemiddeld 3 tot 6 maanden, afhankelijk van de complexiteit van de webapplicatie en de mate waarin de organisatie al voldoet aan de beveiligingseisen. Dit omvat zowel de technische implementatie als het doorlopen van het verplichte beveiligingsassessment.
De implementatie bestaat uit verschillende fases die elkaar kunnen overlappen. De technische koppeling zelf kan binnen enkele weken worden gerealiseerd door ervaren ontwikkelaars. Het grootste deel van de tijd gaat zitten in het op orde brengen van de beveiliging en het doorlopen van het assessment.
Het proces verloopt meestal volgens deze tijdlijn:
- Voorbereiding en analyse van de huidige situatie (2-4 weken)
- Technische implementatie van de DigiD-koppeling (2-3 weken)
- Implementatie van beveiligingsmaatregelen (4-8 weken)
- Uitvoering van het beveiligingsassessment (2-3 weken)
- Eventuele aanpassingen en heraudit (1-4 weken)
Wat zijn de vereisten voor een DigiD-beveiligingsassessment?
Een DigiD-beveiligingsassessment moet worden uitgevoerd door een gecertificeerde IT-auditor volgens de NOREA Handreiking 2025. Het assessment toetst webapplicaties, IT-infrastructuur en beveiligingsprocedures op naleving van de ICT-beveiligingsrichtlijnen van het NCSC en moet resulteren in een assurance-rapport onder Richtlijn 3000D.
De auditor moet beschikken over specifieke certificeringen en ervaring met DigiD-assessments. Vanaf 2025 worden vijf kernnormen ook getoetst op werking, naast de gebruikelijke toetsing op opzet en bestaan. Deze normen betreffen toegangscontrole, incidentbeheer en wijzigingsbeheer.
De belangrijkste vereisten voor het assessment zijn:
- Minimale controleperiode van 6 maanden voor toetsing op werking
- Penetratietesten en vulnerability assessments voor technische normen
- EUTL-handtekening op het assurance-rapport voor betrouwbaarheid
- Toetsing van alle DigiD-beheersmaatregelen, zoals toegangscontrole en incidentbeheer
- Beoordeling van serviceorganisaties via SOC-rapporten bij gebruik van externe diensten
Wanneer moet je een DigiD-beveiligingsassessment laten uitvoeren?
DigiD-beveiligingsassessments moeten jaarlijks vóór 1 mei worden gerapporteerd aan toezichthouder Logius. Organisaties moeten het assessment minimaal drie maanden voor deze deadline starten om voldoende tijd te hebben voor eventuele aanpassingen en heraudits. Bij nieuwe DigiD-koppelingen is een assessment vereist voordat de koppeling live mag gaan.
De timing is cruciaal, omdat organisaties die de deadline missen hun DigiD-koppeling kunnen verliezen. Dit betekent dat burgers geen toegang meer hebben tot hun online diensten, wat grote gevolgen heeft voor de dienstverlening. Logius hanteert de deadline strikt en geeft geen uitstel.
Plan het assessment op deze momenten:
- Bij een nieuwe DigiD-implementatie: start het assessment zodra de technische koppeling gereed is
- Jaarlijkse assessments: begin in januari om ruim voor 1 mei klaar te zijn
- Na grote wijzigingen: voer een tussentijds assessment uit bij significante aanpassingen aan de IT-omgeving
- Bij servicewijzigingen: wanneer externe leveranciers of cloudservices worden gewijzigd
Hoe BKBO helpt met DigiD-beveiligingsassessments
Wij bieden complete DigiD-beveiligingsassessments met een “geen-gekibbelgarantie” en vaste prijzen, inclusief eventuele heraudits. Met meer dan 1.843 afgeronde audits sinds 2018 en gecertificeerde register-IT-auditors zorgen we voor een soepel proces dat voldoet aan alle eisen van Logius en de NOREA Handreiking 2025.
Onze aanpak kenmerkt zich door:
- Transparante prijsstelling zonder verrassingen achteraf
- Ervaring met alle typen organisaties in de publieke sector
- Praktische begeleiding bij het oplossen van beveiligingslekken
- Tijdige rapportage ruim voor de deadline van 1 mei
Neem contact met ons op voor een vrijblijvende offerte voor uw DigiD-beveiligingsassessment. We plannen graag een kennismakingsgesprek om uw specifieke situatie te bespreken en een passend voorstel te doen.