Wat is de beoordelingsperiode bij een hercontrole DigiD assessment?
De beoordelingsperiode bij een DigiD-hercontroleassessment omvat standaard de laatste 12 maanden voorafgaand aan de audit. Tijdens deze periode worden alle wijzigingen in webapplicaties, beveiligingsmaatregelen en procedures gecontroleerd om te bepalen of deze voldoen aan de eisen van toezichthouder Logius. Een DigiD-assessment moet jaarlijks worden uitgevoerd door alle organisaties die DigiD-inlogfunctionaliteit gebruiken.
Onvolledige documentatie tijdens de beoordelingsperiode kost je compliance-status
Veel organisaties onderschatten hoeveel documentatie er nodig is voor de beoordelingsperiode van 12 maanden bij een DigiD-hercontrole. Ontbrekende logbestanden, incomplete change records of ongedocumenteerde beveiligingsincidenten kunnen leiden tot een negatief auditresultaat en het verlies van je DigiD-certificering. Dit betekent dat je organisatie geen DigiD-diensten meer mag aanbieden totdat alle tekortkomingen zijn weggenomen. Bij een onvoldoende resultaat voeren wij kosteloos een heraudit uit. Begin daarom minimaal drie maanden voor de audit met het verzamelen en organiseren van alle benodigde documentatie uit de beoordelingsperiode.
Technische wijzigingen zonder impactassessment signaleren problemen in het risicomanagement
Wanneer er tijdens de beoordelingsperiode technische aanpassingen zijn doorgevoerd zonder voorafgaande beveiligingsimpactassessment, wijst dit op structurele problemen in je changemanagementproces. Auditors zien dit als een rode vlag, wat kan leiden tot aanvullende controles en langere audittijden. Implementeer een verplichte beveiligingscheck voor alle wijzigingen aan DigiD-gerelateerde systemen, ongeacht hoe klein ze lijken.
Wat is een beoordelingsperiode bij een DigiD-hercontrole?
Een beoordelingsperiode bij een DigiD-hercontrole is de tijdspanne waarin alle wijzigingen, incidenten en beveiligingsmaatregelen worden gecontroleerd. Deze periode beslaat standaard de laatste 12 maanden en vormt de basis voor het bepalen van de compliance-status van je DigiD-implementatie.
Tijdens de beoordelingsperiode kijkt de auditor naar alle relevante gebeurtenissen die invloed kunnen hebben gehad op de beveiliging van je DigiD-verbinding. Dit omvat technische wijzigingen aan webapplicaties, updates van beveiligingsbeleid, personele mutaties in het IT-team en eventuele beveiligingsincidenten. Ook worden nieuwe functionaliteiten die zijn toegevoegd aan je DigiD-gebruikende applicaties grondig gecontroleerd.
De auditor beoordeelt niet alleen wat er is gebeurd, maar ook hoe je organisatie heeft gereageerd op veranderingen en of alle wijzigingen volgens de juiste procedures zijn doorgevoerd. Dit geeft inzicht in de volwassenheid van je beveiligingsprocessen en risicomanagement.
Hoe lang duurt de beoordelingsperiode van een DigiD-heraudit?
De beoordelingsperiode van een DigiD-heraudit beslaat altijd 12 maanden, gerekend vanaf de datum van de vorige audit tot de startdatum van de nieuwe hercontrole. Deze vaste periode zorgt voor consistentie en volledigheid in de beoordeling van je DigiD-implementatie.
De periode van 12 maanden is vastgesteld door toezichthouder Logius om een representatief beeld te krijgen van hoe je organisatie omgaat met DigiD-beveiliging gedurende een volledig kalenderjaar. Dit betekent dat alle seizoensgebonden activiteiten, jaarlijkse updates en cyclische beveiligingsmaatregelen in de beoordeling worden meegenomen.
Het is belangrijk om te begrijpen dat deze periode niet kan worden verkort, ook niet als er weinig wijzigingen hebben plaatsgevonden. Auditors moeten altijd de volledige 12 maanden doorlopen om te kunnen vaststellen dat je organisatie gedurende een langere periode consistent voldoet aan de DigiD-beveiligingseisen.
Wanneer is een DigiD-hercontroleassessment verplicht?
Een DigiD-hercontroleassessment is verplicht binnen 12 maanden na je laatste succesvolle audit, ongeacht of er wijzigingen zijn geweest aan je DigiD-implementatie. Deze jaarlijkse verplichting geldt voor alle organisaties die DigiD-inlogfunctionaliteit aanbieden aan burgers.
Daarnaast kan een hercontrole eerder nodig zijn bij significante wijzigingen aan je webapplicatie, infrastructuur of beveiligingsmaatregelen. Voorbeelden hiervan zijn het toevoegen van nieuwe DigiD-functionaliteiten, migratie naar een nieuwe hostingomgeving of grote organisatorische veranderingen die impact hebben op je IT-beveiliging.
Ook na een beveiligingsincident dat invloed heeft gehad op je DigiD-omgeving kan Logius een tussentijdse hercontrole eisen. In dat geval moet je aantonen dat alle beveiligingslekken zijn gedicht en dat je processen zijn aangepast om herhaling te voorkomen.
Welke periode wordt precies beoordeeld tijdens een DigiD-heraudit?
Tijdens een DigiD-heraudit wordt de periode van 12 maanden voorafgaand aan de startdatum van de audit beoordeeld. Dit betekent dat als je audit op 15 maart 2024 start, de beoordelingsperiode loopt van 15 maart 2023 tot 15 maart 2024.
Binnen deze periode worden alle relevante gebeurtenissen en wijzigingen geanalyseerd. Dit omvat technische aanpassingen aan je webapplicatie, updates van beveiligingsbeleid, wijzigingen in toegangsrechten en eventuele beveiligingsincidenten. Ook worden reguliere beveiligingsactiviteiten zoals penetratietests, kwetsbaarheidsscans en beveiligingstrainingen voor medewerkers beoordeeld.
De auditor kijkt specifiek naar de documentatie van changemanagementprocessen, incidentresponseprocedures en de implementatie van beveiligingsmaatregelen. Alle wijzigingen moeten traceerbaar zijn en volgens vastgestelde procedures zijn uitgevoerd. Dit geeft de auditor inzicht in hoe goed je organisatie de DigiD-beveiliging beheerst gedurende een langere periode.
Hoe bereid je je voor op de beoordelingsperiode van een DigiD-hercontrole?
Bereid je voor op een DigiD-hercontrole door gedurende het hele jaar systematisch alle relevante documentatie bij te houden. Start minimaal drie maanden voor de geplande audit met het verzamelen en organiseren van alle benodigde documenten uit de beoordelingsperiode van 12 maanden.
Maak een overzicht van alle wijzigingen die zijn doorgevoerd aan je DigiD-implementatie, inclusief de bijbehorende impactassessments en goedkeuringsdocumenten. Zorg ervoor dat alle beveiligingsincidenten volledig zijn gedocumenteerd, met beschrijvingen van de oorzaak, getroffen maatregelen en preventieve acties.
Controleer of alle logbestanden uit de beoordelingsperiode beschikbaar en toegankelijk zijn. Dit omvat applicatielogs, beveiligingslogs en audittrails van wijzigingen. Organiseer ook de documentatie van uitgevoerde beveiligingstests, zoals penetratietests en kwetsbaarheidsscans, en zorg ervoor dat alle gevonden issues zijn opgelost of dat er een acceptabel risicoplan voor is.
Hoe BKBO helpt met DigiD-hercontroleassessments
Wij begeleiden je door het hele DigiD-hercontroleproces met onze bewezen expertise in overheids-IT-audits. Onze aanpak zorgt voor een soepele audit zonder verrassingen:
- Voorbereidingscheck van je documentatie uit de beoordelingsperiode
- Duidelijke planning en communicatie over het auditproces
- Vaste prijzen, gratis heraudits inbegrepen bij tekortkomingen
- Concrete, implementeerbare aanbevelingen voor verbeteringen
- Ondersteuning bij het oplossen van gevonden beveiligingsrisico’s
Met meer dan 1.843 afgeronde audits sinds 2018 begrijpen wij precies waar overheidsinstellingen tegenaan lopen bij DigiD-compliance. Onze gecertificeerde auditors zorgen ervoor dat je audit soepel verloopt en dat je organisatie voldoet aan alle eisen van Logius. Bij een onvoldoende resultaat voeren wij kosteloos een heraudit uit. Neem contact met ons op voor een vrijblijvend gesprek over je DigiD-hercontroleplanning.
Veelgestelde vragen
Wat gebeurt er als ik documentatie uit de beoordelingsperiode ben kwijtgeraakt?
Ontbrekende documentatie uit de 12-maanden beoordelingsperiode leidt meestal tot een negatief auditresultaat. Je kunt proberen om ontbrekende gegevens te reconstrueren via backups, systeemlogbestanden of externe leveranciers, maar dit is tijdrovend en niet altijd volledig mogelijk. Start daarom direct na je vorige audit met het systematisch archiveren van alle relevante documenten.
Kan de beoordelingsperiode worden verkort als er weinig wijzigingen zijn geweest?
Nee, de beoordelingsperiode van 12 maanden is vastgesteld door Logius en kan niet worden verkort, ongeacht het aantal wijzigingen. Auditors moeten altijd de volledige periode doorlopen om te kunnen beoordelen of je organisatie consistent voldoet aan de DigiD-beveiligingseisen gedurende een langere termijn.
Welke specifieke logbestanden moet ik bewaren voor de beoordelingsperiode?
Bewaar minimaal applicatielogs van je DigiD-integratie, beveiligingslogs van firewalls en intrusion detection systemen, audittrails van gebruikersbeheer en toegangswijzigingen, en logs van alle technische aanpassingen aan DigiD-gerelateerde systemen. Zorg ervoor dat deze logs gedurende de gehele 12-maanden periode beschikbaar en doorzoekbaar zijn.
Hoe documenteer ik kleine technische wijzigingen correct voor de audit?
Documenteer alle wijzigingen, ook kleine, met een change record dat de reden, impact op beveiliging, goedkeuringsprocedure en testresultaten bevat. Gebruik een vast sjabloon en zorg voor een beveiligingsimpactassessment, zelfs bij ogenschijnlijk onschuldige aanpassingen. Dit voorkomt dat auditors structurele problemen in je changemanagement signaleren.
Wat moet ik doen als er tijdens de beoordelingsperiode een beveiligingsincident heeft plaatsgevonden?
Documenteer het incident volledig met oorzaakanalyse, getroffen acute maatregelen, impact op DigiD-functionaliteit en preventieve acties om herhaling te voorkomen. Toon aan dat je volgens je incidentresponseprocedure hebt gehandeld en dat alle beveiligingslekken zijn gedicht. Transparantie over incidenten wordt door auditors gewaardeerd als teken van volwassen risicomanagement.
Hoe vaak moet ik beveiligingstests uitvoeren tijdens de beoordelingsperiode?
Voer minimaal jaarlijks een penetratietest en kwartaallijkse kwetsbaarheidsscans uit op je DigiD-omgeving. Bij significante wijzigingen aan de applicatie of infrastructuur zijn aanvullende tests vereist. Documenteer alle testresultaten, gevonden kwetsbaarheden en de manier waarop deze zijn opgelost binnen de beoordelingsperiode.
Kan ik de DigiD-hercontrole uitstellen als ik niet goed voorbereid ben?
Uitstel is mogelijk maar niet aan te raden, omdat je DigiD-certificering kan vervallen als de jaarlijkse hercontrole te lang wordt uitgesteld. Logius hanteert strikte deadlines voor hercontroles. Plan daarom ruim van tevoren en start minimaal drie maanden voor de geplande audit met de voorbereiding van je documentatie uit de beoordelingsperiode.
De beoordelingsperiode bij een DigiD-hercontroleassessment omvat standaard de laatste 12 maanden voorafgaand aan de audit. Tijdens deze periode worden alle wijzigingen in webapplicaties, beveiligingsmaatregelen en procedures gecontroleerd om te bepalen of deze voldoen aan de eisen van toezichthouder Logius. Een DigiD-assessment moet jaarlijks worden uitgevoerd door alle organisaties die DigiD-inlogfunctionaliteit gebruiken.
Onvolledige documentatie tijdens de beoordelingsperiode kost je compliance-status
Veel organisaties onderschatten hoeveel documentatie er nodig is voor de beoordelingsperiode van 12 maanden bij een DigiD-hercontrole. Ontbrekende logbestanden, incomplete change records of ongedocumenteerde beveiligingsincidenten kunnen leiden tot een negatief auditresultaat en het verlies van je DigiD-certificering. Dit betekent dat je organisatie geen DigiD-diensten meer mag aanbieden totdat alle tekortkomingen zijn weggenomen. Bij een onvoldoende resultaat voeren wij kosteloos een heraudit uit. Begin daarom minimaal drie maanden voor de audit met het verzamelen en organiseren van alle benodigde documentatie uit de beoordelingsperiode.
Technische wijzigingen zonder impactassessment signaleren problemen in het risicomanagement
Wanneer er tijdens de beoordelingsperiode technische aanpassingen zijn doorgevoerd zonder voorafgaande beveiligingsimpactassessment, wijst dit op structurele problemen in je changemanagementproces. Auditors zien dit als een rode vlag, wat kan leiden tot aanvullende controles en langere audittijden. Implementeer een verplichte beveiligingscheck voor alle wijzigingen aan DigiD-gerelateerde systemen, ongeacht hoe klein ze lijken.
Wat is een beoordelingsperiode bij een DigiD-hercontrole?
Een beoordelingsperiode bij een DigiD-hercontrole is de tijdspanne waarin alle wijzigingen, incidenten en beveiligingsmaatregelen worden gecontroleerd. Deze periode beslaat standaard de laatste 12 maanden en vormt de basis voor het bepalen van de compliance-status van je DigiD-implementatie.
Tijdens de beoordelingsperiode kijkt de auditor naar alle relevante gebeurtenissen die invloed kunnen hebben gehad op de beveiliging van je DigiD-verbinding. Dit omvat technische wijzigingen aan webapplicaties, updates van beveiligingsbeleid, personele mutaties in het IT-team en eventuele beveiligingsincidenten. Ook worden nieuwe functionaliteiten die zijn toegevoegd aan je DigiD-gebruikende applicaties grondig gecontroleerd.
De auditor beoordeelt niet alleen wat er is gebeurd, maar ook hoe je organisatie heeft gereageerd op veranderingen en of alle wijzigingen volgens de juiste procedures zijn doorgevoerd. Dit geeft inzicht in de volwassenheid van je beveiligingsprocessen en risicomanagement.
Hoe lang duurt de beoordelingsperiode van een DigiD-heraudit?
De beoordelingsperiode van een DigiD-heraudit beslaat altijd 12 maanden, gerekend vanaf de datum van de vorige audit tot de startdatum van de nieuwe hercontrole. Deze vaste periode zorgt voor consistentie en volledigheid in de beoordeling van je DigiD-implementatie.
De periode van 12 maanden is vastgesteld door toezichthouder Logius om een representatief beeld te krijgen van hoe je organisatie omgaat met DigiD-beveiliging gedurende een volledig kalenderjaar. Dit betekent dat alle seizoensgebonden activiteiten, jaarlijkse updates en cyclische beveiligingsmaatregelen in de beoordeling worden meegenomen.
Het is belangrijk om te begrijpen dat deze periode niet kan worden verkort, ook niet als er weinig wijzigingen hebben plaatsgevonden. Auditors moeten altijd de volledige 12 maanden doorlopen om te kunnen vaststellen dat je organisatie gedurende een langere periode consistent voldoet aan de DigiD-beveiligingseisen.
Wanneer is een DigiD-hercontroleassessment verplicht?
Een DigiD-hercontroleassessment is verplicht binnen 12 maanden na je laatste succesvolle audit, ongeacht of er wijzigingen zijn geweest aan je DigiD-implementatie. Deze jaarlijkse verplichting geldt voor alle organisaties die DigiD-inlogfunctionaliteit aanbieden aan burgers.
Daarnaast kan een hercontrole eerder nodig zijn bij significante wijzigingen aan je webapplicatie, infrastructuur of beveiligingsmaatregelen. Voorbeelden hiervan zijn het toevoegen van nieuwe DigiD-functionaliteiten, migratie naar een nieuwe hostingomgeving of grote organisatorische veranderingen die impact hebben op je IT-beveiliging.
Ook na een beveiligingsincident dat invloed heeft gehad op je DigiD-omgeving kan Logius een tussentijdse hercontrole eisen. In dat geval moet je aantonen dat alle beveiligingslekken zijn gedicht en dat je processen zijn aangepast om herhaling te voorkomen.
Welke periode wordt precies beoordeeld tijdens een DigiD-heraudit?
Tijdens een DigiD-heraudit wordt de periode van 12 maanden voorafgaand aan de startdatum van de audit beoordeeld. Dit betekent dat als je audit op 15 maart 2024 start, de beoordelingsperiode loopt van 15 maart 2023 tot 15 maart 2024.
Binnen deze periode worden alle relevante gebeurtenissen en wijzigingen geanalyseerd. Dit omvat technische aanpassingen aan je webapplicatie, updates van beveiligingsbeleid, wijzigingen in toegangsrechten en eventuele beveiligingsincidenten. Ook worden reguliere beveiligingsactiviteiten zoals penetratietests, kwetsbaarheidsscans en beveiligingstrainingen voor medewerkers beoordeeld.
De auditor kijkt specifiek naar de documentatie van changemanagementprocessen, incidentresponseprocedures en de implementatie van beveiligingsmaatregelen. Alle wijzigingen moeten traceerbaar zijn en volgens vastgestelde procedures zijn uitgevoerd. Dit geeft de auditor inzicht in hoe goed je organisatie de DigiD-beveiliging beheerst gedurende een langere periode.
Hoe bereid je je voor op de beoordelingsperiode van een DigiD-hercontrole?
Bereid je voor op een DigiD-hercontrole door gedurende het hele jaar systematisch alle relevante documentatie bij te houden. Start minimaal drie maanden voor de geplande audit met het verzamelen en organiseren van alle benodigde documenten uit de beoordelingsperiode van 12 maanden.
Maak een overzicht van alle wijzigingen die zijn doorgevoerd aan je DigiD-implementatie, inclusief de bijbehorende impactassessments en goedkeuringsdocumenten. Zorg ervoor dat alle beveiligingsincidenten volledig zijn gedocumenteerd, met beschrijvingen van de oorzaak, getroffen maatregelen en preventieve acties.
Controleer of alle logbestanden uit de beoordelingsperiode beschikbaar en toegankelijk zijn. Dit omvat applicatielogs, beveiligingslogs en audittrails van wijzigingen. Organiseer ook de documentatie van uitgevoerde beveiligingstests, zoals penetratietests en kwetsbaarheidsscans, en zorg ervoor dat alle gevonden issues zijn opgelost of dat er een acceptabel risicoplan voor is.
Hoe BKBO helpt met DigiD-hercontroleassessments
Wij begeleiden je door het hele DigiD-hercontroleproces met onze bewezen expertise in overheids-IT-audits. Onze aanpak zorgt voor een soepele audit zonder verrassingen:
- Voorbereidingscheck van je documentatie uit de beoordelingsperiode
- Duidelijke planning en communicatie over het auditproces
- Vaste prijzen, gratis heraudits inbegrepen bij tekortkomingen
- Concrete, implementeerbare aanbevelingen voor verbeteringen
- Ondersteuning bij het oplossen van gevonden beveiligingsrisico’s
Met meer dan 1.843 afgeronde audits sinds 2018 begrijpen wij precies waar overheidsinstellingen tegenaan lopen bij DigiD-compliance. Onze gecertificeerde auditors zorgen ervoor dat je audit soepel verloopt en dat je organisatie voldoet aan alle eisen van Logius. Bij een onvoldoende resultaat voeren wij kosteloos een heraudit uit. Neem contact met ons op voor een vrijblijvend gesprek over je DigiD-hercontroleplanning.
Veelgestelde vragen
Wat gebeurt er als ik documentatie uit de beoordelingsperiode ben kwijtgeraakt?
Ontbrekende documentatie uit de 12-maanden beoordelingsperiode leidt meestal tot een negatief auditresultaat. Je kunt proberen om ontbrekende gegevens te reconstrueren via backups, systeemlogbestanden of externe leveranciers, maar dit is tijdrovend en niet altijd volledig mogelijk. Start daarom direct na je vorige audit met het systematisch archiveren van alle relevante documenten.
Kan de beoordelingsperiode worden verkort als er weinig wijzigingen zijn geweest?
Nee, de beoordelingsperiode van 12 maanden is vastgesteld door Logius en kan niet worden verkort, ongeacht het aantal wijzigingen. Auditors moeten altijd de volledige periode doorlopen om te kunnen beoordelen of je organisatie consistent voldoet aan de DigiD-beveiligingseisen gedurende een langere termijn.
Welke specifieke logbestanden moet ik bewaren voor de beoordelingsperiode?
Bewaar minimaal applicatielogs van je DigiD-integratie, beveiligingslogs van firewalls en intrusion detection systemen, audittrails van gebruikersbeheer en toegangswijzigingen, en logs van alle technische aanpassingen aan DigiD-gerelateerde systemen. Zorg ervoor dat deze logs gedurende de gehele 12-maanden periode beschikbaar en doorzoekbaar zijn.
Hoe documenteer ik kleine technische wijzigingen correct voor de audit?
Documenteer alle wijzigingen, ook kleine, met een change record dat de reden, impact op beveiliging, goedkeuringsprocedure en testresultaten bevat. Gebruik een vast sjabloon en zorg voor een beveiligingsimpactassessment, zelfs bij ogenschijnlijk onschuldige aanpassingen. Dit voorkomt dat auditors structurele problemen in je changemanagement signaleren.
Wat moet ik doen als er tijdens de beoordelingsperiode een beveiligingsincident heeft plaatsgevonden?
Documenteer het incident volledig met oorzaakanalyse, getroffen acute maatregelen, impact op DigiD-functionaliteit en preventieve acties om herhaling te voorkomen. Toon aan dat je volgens je incidentresponseprocedure hebt gehandeld en dat alle beveiligingslekken zijn gedicht. Transparantie over incidenten wordt door auditors gewaardeerd als teken van volwassen risicomanagement.
Hoe vaak moet ik beveiligingstests uitvoeren tijdens de beoordelingsperiode?
Voer minimaal jaarlijks een penetratietest en kwartaallijkse kwetsbaarheidsscans uit op je DigiD-omgeving. Bij significante wijzigingen aan de applicatie of infrastructuur zijn aanvullende tests vereist. Documenteer alle testresultaten, gevonden kwetsbaarheden en de manier waarop deze zijn opgelost binnen de beoordelingsperiode.
Kan ik de DigiD-hercontrole uitstellen als ik niet goed voorbereid ben?
Uitstel is mogelijk maar niet aan te raden, omdat je DigiD-certificering kan vervallen als de jaarlijkse hercontrole te lang wordt uitgesteld. Logius hanteert strikte deadlines voor hercontroles. Plan daarom ruim van tevoren en start minimaal drie maanden voor de geplande audit met de voorbereiding van je documentatie uit de beoordelingsperiode.