Hoe werkt een heraudit na een ‘voldoet niet’ oordeel bij DigiD?

Hoe werkt een heraudit na een 'voldoet niet' oordeel bij DigiD?
Hoe werkt een heraudit na een ‘voldoet niet’ oordeel bij DigiD?

Een heraudit na een ‘voldoet niet’-oordeel bij een DigiD-beveiligingsassessment is een vervolgonderzoek waarbij je de geconstateerde tekortkomingen moet hebben opgelost. Je kunt deze heraudit aanvragen zodra alle beveiligingsmaatregelen zijn geïmplementeerd en gedocumenteerd. De heraudit volgt hetzelfde proces als het oorspronkelijke DigiD-assessment, maar richt zich specifiek op de eerder geïdentificeerde knelpunten.

Onduidelijke deadlines zorgen voor onnodige stress en risico’s

Veel organisaties raken in paniek na een negatief DigiD-oordeel omdat ze niet weten hoeveel tijd ze hebben om de problemen op te lossen. Deze onzekerheid leidt tot haastige beslissingen, ondoordachte oplossingen en vaak hogere kosten. Het gebrek aan een duidelijk tijdpad zorgt ervoor dat teams overwerken, externe consultants inhuren tegen hoge tarieven of zelfs tijdelijk hun DigiD-diensten moeten stopzetten. Plan je heraudit strategisch door eerst alle vereiste wijzigingen grondig door te nemen en een realistische planning op te stellen.

De deadline van 1 mei geldt voor de oorspronkelijke DigiD-audit. Wanneer een organisatie niet aan de audit voldoet, kan een heraudit worden opgelegd. De termijn hiervoor verschilt per organisatie en situatie. Logius beoordeelt de rapportages individueel en bepaalt op basis daarvan de ernst en de bijbehorende hersteltermijn. Deze kan bijvoorbeeld variëren van twee tot zes maanden. Er bestaat daarom geen uniforme deadline voor heraudits.

Wat gebeurt er precies bij een ‘voldoet niet’ oordeel na een DigiD audit?

Bij een ‘voldoet niet’-oordeel ontvang je een gedetailleerd rapport met alle geconstateerde tekortkomingen en de specifieke maatregelen die je moet nemen. Je DigiD-verbinding blijft actief, maar je moet binnen een bepaalde termijn aantonen dat alle problemen zijn opgelost.

Het auditrapport bevat een overzicht van alle bevindingen. Elke bevinding wordt toegelicht met concrete voorbeelden en aanbevelingen voor verbetering.

Ben je niet voor alles geslaagd? Logius, de toezichthouder voor DigiD, wordt geïnformeerd over het negatieve oordeel. Zij monitoren of je tijdig actie onderneemt om de problemen op te lossen. In extreme gevallen kunnen zij besluiten je DigiD-toegang tijdelijk op te schorten totdat alle beveiligingsmaatregelen op orde zijn.

Wat zijn de kosten van een DigiD heraudit?

Bij BKBO B.V. worden heraudits pro deo uitgevoerd als onderdeel van onze “geen gekibbel garantie”. Mocht je assessment niet direct worden goedgekeurd, dan voeren wij een heraudit uit zodra alle bevindingen zijn opgelost.

Bij een heraudit hoeft niet altijd het complete assessment opnieuw te worden uitgevoerd. De auditor richt zich specifiek op de eerder geconstateerde tekortkomingen en controleert of deze adequaat zijn opgelost. Dit betekent dat de heraudit meestal minder tijd kost dan de oorspronkelijke audit.

Welke documenten en bewijsmateriaal heb je nodig voor een succesvolle heraudit?

Niet iedere heraudit is hetzelfde; daarom bestaat er geen uniforme norm. Wat opnieuw moet worden aangeleverd, hangt af van de punten waarop de organisatie tijdens de oorspronkelijke audit niet voldeed.

Start met een gedetailleerde checklist van alle bevindingen uit het oorspronkelijke auditrapport. Voor elke bevinding moet je kunnen aantonen hoe het probleem is opgelost. Dit kan bestaan uit screenshots van nieuwe configuraties, logbestanden die de correcte werking bewijzen of mogelijk aangepaste beleidsdocumenten.

Technische documentatie moet up-to-date zijn en overeenkomen met de werkelijke situatie. Zorg ervoor dat alle wijzigingen zijn gedocumenteerd en dat de documentatie is goedgekeurd door de juiste personen binnen je organisatie.

Hoe BKBO B.V. helpt met DigiD-heraudits

Wij begeleiden organisaties door het complete herauditproces met onze gestructureerde aanpak en jarenlange ervaring met DigiD-assessments. Ons team zorgt ervoor dat je goed voorbereid bent en alle vereiste documentatie op orde hebt.

Onze aanpak omvat:

  • Analyse van het oorspronkelijke auditrapport en prioritering van bevindingen
  • Begeleiding bij het implementeren van de juiste beveiligingsmaatregelen
  • Directe communicatie met ervaren IT-auditors die de overheidscontext begrijpen

Met onze “geen-gekibbelgarantie” en meer dan 2.500 afgeronde audits weten we precies waar organisaties tegenaan lopen bij DigiD-heraudits. Neem contact op voor een vrijblijvende offerte over jouw specifieke situatie en hoe we je kunnen helpen bij een succesvolle heraudit.

Veelgestelde vragen

Kan ik tijdens de heraudit nog steeds DigiD-diensten aanbieden aan mijn klanten?

Ja, je DigiD-verbinding blijft actief tijdens het herauditproces. Je kunt gewoon doorgaan met het aanbieden van DigiD-diensten aan je klanten. Alleen bij zeer kritieke beveiligingsproblemen kan Logius besluiten de toegang tijdelijk op te schorten.

Wat gebeurt er als ik ook de heraudit niet haal?

Bij een tweede afwijzing wordt het toezicht van Logius strenger en kunnen er sancties volgen, zoals tijdelijke opschorting van je DigiD-toegang. Het is daarom cruciaal om de heraudit grondig voor te bereiden en alle bevindingen volledig op te lossen voordat je deze aanvraagt.

Hoe weet ik zeker dat alle problemen uit het oorspronkelijke rapport zijn opgelost?

Maak een gedetailleerde checklist van alle bevindingen en werk deze systematisch af. Laat elke oplossing valideren door je ICT-team en documenteer alle wijzigingen. Voer een interne pre-audit uit waarbij je alle punten doorneemt alsof het de echte heraudit betreft.

Moet ik dezelfde auditor gebruiken voor de heraudit als voor het oorspronkelijke assessment?

Nee, je kunt kiezen voor een ander erkend auditbureau voor de heraudit. Sommige organisaties doen dit bewust om een frisse blik te krijgen. Zorg er wel voor dat het nieuwe auditbureau toegang krijgt tot het oorspronkelijke auditrapport.

Hoeveel tijd moet ik inplannen tussen het oplossen van problemen en het aanvragen van de heraudit?

Plan minimaal 1-2 weken in na het implementeren van alle wijzigingen voordat je de heraudit aanvraagt. Deze tijd heb je nodig om alle oplossingen te testen, documentatie bij te werken en een interne controle uit te voeren om zeker te zijn dat alles correct werkt.

Welke meest voorkomende fouten moet ik vermijden bij een heraudit?

De grootste fouten zijn: onvolledige documentatie, het niet testen van wijzigingen in de praktijk, en het aanvragen van een heraudit terwijl niet alle problemen zijn opgelost. Zorg ook dat alle teamleden op de hoogte zijn van nieuwe procedures en dat je back-ups hebt van alle bewijsmateriaal.

Kan ik de heraudit uitstellen als ik meer tijd nodig heb?

Er is geen verplichte deadline voor het aanvragen van een heraudit, dus je kunt de tijd nemen die je nodig hebt. Het is beter om de heraudit uit te stellen en goed voor te bereiden dan om haastig een heraudit aan te vragen die je waarschijnlijk niet zult halen.