Hoe werkt een her-audit na een 'voldoet niet' oordeel bij DigiD?
Een heraudit na een ‘voldoet niet’-oordeel bij een DigiD-beveiligingsassessment is een vervolgcontrole waarbij je de geconstateerde tekortkomingen moet hebben opgelost. Je kunt deze hercontrole aanvragen zodra alle beveiligingsmaatregelen zijn geïmplementeerd en gedocumenteerd. De heraudit volgt hetzelfde proces als het oorspronkelijke DigiD-assessment, maar richt zich specifiek op de eerder geïdentificeerde knelpunten.
Onduidelijke deadlines zorgen voor onnodige stress en risico’s
Veel organisaties raken in paniek na een negatief DigiD-oordeel omdat ze niet weten hoeveel tijd ze hebben om de problemen op te lossen. Deze onzekerheid leidt tot haastige beslissingen, ondoordachte oplossingen en vaak hogere kosten. Het gebrek aan een duidelijk tijdpad zorgt ervoor dat teams overwerken, externe consultants inhuren tegen hoge tarieven of zelfs tijdelijk hun DigiD-diensten moeten stopzetten. Plan je heraudit strategisch door eerst alle vereiste wijzigingen grondig door te nemen en een realistische planning op te stellen.
Onvolledige documentatie leidt tot herhaalde afwijzingen
De meeste organisaties die een tweede keer worden afgekeurd, hebben niet al het benodigde bewijsmateriaal volledig aangeleverd. Ze denken dat technische aanpassingen voldoende zijn, maar vergeten dat auditors concrete documentatie nodig hebben om compliance aan te tonen. Dit resulteert in extra auditrondes en vertraging van je DigiD-dienstverlening. Zorg ervoor dat je niet alleen de technische problemen oplost, maar ook alle processen, procedures en bewijsstukken op orde hebt voordat je de heraudit aanvraagt.
Wat gebeurt er precies bij een ‘voldoet niet’ oordeel na een DigiD audit?
Bij een ‘voldoet niet’-oordeel ontvang je een gedetailleerd rapport met alle geconstateerde tekortkomingen en de specifieke maatregelen die je moet nemen. Je DigiD-verbinding blijft actief, maar je moet binnen een bepaalde termijn aantonen dat alle problemen zijn opgelost.
Het auditrapport bevat een overzicht van alle bevindingen, onderverdeeld naar ernst en prioriteit. Kritieke beveiligingsproblemen krijgen de hoogste prioriteit en moeten vaak binnen 30 dagen worden aangepakt. Minder kritieke punten hebben meestal een langere oplostermijn. Elke bevinding wordt toegelicht met concrete voorbeelden en aanbevelingen voor verbetering.
Logius, de toezichthouder voor DigiD, wordt geïnformeerd over het negatieve oordeel. Zij monitoren of je tijdig actie onderneemt om de problemen op te lossen. In extreme gevallen kunnen zij besluiten je DigiD-toegang tijdelijk op te schorten totdat alle beveiligingsmaatregelen op orde zijn.
Hoe lang duurt het voordat je een heraudit kunt aanvragen?
Je kunt een heraudit aanvragen zodra alle geconstateerde tekortkomingen zijn opgelost en je over de benodigde documentatie beschikt. Er is geen verplichte wachttijd, maar zorg ervoor dat alle maatregelen daadwerkelijk zijn geïmplementeerd en getest.
De meeste organisaties hebben tussen de 4 en 8 weken nodig om alle bevindingen adequaat aan te pakken. Dit hangt af van de complexiteit van de geconstateerde problemen. Eenvoudige configuratiewijzigingen kunnen binnen enkele dagen worden doorgevoerd, terwijl structurele aanpassingen aan procedures of infrastructuur meer tijd vergen.
Het is verstandig om intern eerst een grondige controle uit te voeren voordat je de officiële heraudit aanvraagt. Veel organisaties laten hun ICT-afdeling of een externe consultant de wijzigingen valideren om te voorkomen dat er nog steeds problemen bestaan. Een mislukte heraudit kan leiden tot strengere toezichtmaatregelen.
Wat zijn de kosten van een DigiD heraudit?
Bij BKBO zijn heraudits kosteloos inbegrepen in onze “geen gekibbel garantie”. Mocht je assessment niet direct worden goedgekeurd, dan voeren wij gratis een heraudit uit zodra alle bevindingen zijn opgelost.
Bij een heraudit hoeft niet altijd het complete assessment opnieuw te worden uitgevoerd. De auditor richt zich specifiek op de eerder geconstateerde tekortkomingen en controleert of deze adequaat zijn opgelost. Dit betekent dat de heraudit meestal minder tijd kost dan de oorspronkelijke audit.
Andere auditbureaus rekenen vaak tussen € 2.500 en € 5.000 voor een heraudit, afhankelijk van de omvang van je organisatie en het aantal systemen dat opnieuw moet worden gecontroleerd. Let bij andere aanbieders op eventuele meerkosten voor aanvullende controles als tijdens de heraudit blijkt dat er nieuwe problemen zijn ontstaan.
Welke documenten en bewijsmateriaal heb je nodig voor een succesvolle heraudit?
Voor een succesvolle heraudit heb je bijgewerkte technische documentatie, bewijs van geïmplementeerde beveiligingsmaatregelen, aangepaste procedures en testresultaten nodig die aantonen dat alle eerder geconstateerde problemen zijn opgelost.
Start met een gedetailleerde checklist van alle bevindingen uit het oorspronkelijke auditrapport. Voor elke bevinding moet je kunnen aantonen hoe het probleem is opgelost. Dit kan bestaan uit screenshots van nieuwe configuraties, logbestanden die de correcte werking bewijzen of aangepaste beleidsdocumenten.
Technische documentatie moet up-to-date zijn en overeenkomen met de werkelijke situatie. Dit omvat netwerkdiagrammen, beveiligingsprocedures, gebruikershandleidingen en incidentresponsprocedures. Zorg ervoor dat alle wijzigingen zijn gedocumenteerd en dat de documentatie is goedgekeurd door de juiste personen binnen je organisatie.
Hoe vergroot je de slaagkans bij je DigiD heraudit?
Vergroot je slaagkans door systematisch alle bevindingen af te werken, grondige interne controles uit te voeren en ervoor te zorgen dat alle teamleden op de hoogte zijn van de nieuwe procedures voordat de heraudit plaatsvindt.
Maak een projectplan met duidelijke deadlines en verantwoordelijkheden voor elk geconstateerd probleem. Wijs een projectleider aan die de voortgang monitort en zorgt voor goede communicatie tussen alle betrokken afdelingen. Test alle wijzigingen grondig in een testomgeving voordat je ze implementeert in de productieomgeving.
Organiseer een interne pre-audit waarbij je alle wijzigingen doorneemt alsof het de echte heraudit betreft. Laat verschillende teamleden de documentatie controleren en test alle procedures in de praktijk. Dit helpt om eventuele resterende problemen te identificeren voordat de officiële auditor langskomt.
Hoe BKBO helpt met DigiD-hercontroles
Wij begeleiden organisaties door het complete herauditproces met onze gestructureerde aanpak en jarenlange ervaring met DigiD-assessments. Ons team zorgt ervoor dat je goed voorbereid bent en alle vereiste documentatie op orde hebt.
Onze aanpak omvat:
- Grondige analyse van het oorspronkelijke auditrapport en prioritering van bevindingen
- Begeleiding bij het implementeren van de juiste beveiligingsmaatregelen
- Controle van alle documentatie en het bewijsmateriaal vooraf
- Vaste prijzen, inclusief kosteloos heraudits, zodat je geen verrassingen krijgt
- Directe communicatie met ervaren IT-auditors die de overheidscontext begrijpen
Met onze “geen-gekibbelgarantie” en meer dan 1.843 afgeronde audits sinds 2018 weten we precies waar organisaties tegenaan lopen bij DigiD-hercontroles. Bij een onvoldoende resultaat voeren wij kosteloos een heraudit uit. Neem contact op voor een vrijblijvend gesprek over jouw specifieke situatie en hoe we je kunnen helpen bij een succesvolle heraudit.
Veelgestelde vragen
Kan ik tijdens de heraudit nog steeds DigiD-diensten aanbieden aan mijn klanten?
Ja, je DigiD-verbinding blijft actief tijdens het herauditproces. Je kunt gewoon doorgaan met het aanbieden van DigiD-diensten aan je klanten. Alleen bij zeer kritieke beveiligingsproblemen kan Logius besluiten de toegang tijdelijk op te schorten.
Wat gebeurt er als ik ook de heraudit niet haal?
Bij een tweede afwijzing wordt het toezicht van Logius strenger en kunnen er sancties volgen, zoals tijdelijke opschorting van je DigiD-toegang. Het is daarom cruciaal om de heraudit grondig voor te bereiden en alle bevindingen volledig op te lossen voordat je deze aanvraagt.
Hoe weet ik zeker dat alle problemen uit het oorspronkelijke rapport zijn opgelost?
Maak een gedetailleerde checklist van alle bevindingen en werk deze systematisch af. Laat elke oplossing valideren door je ICT-team en documenteer alle wijzigingen. Voer een interne pre-audit uit waarbij je alle punten doorneemt alsof het de echte heraudit betreft.
Moet ik dezelfde auditor gebruiken voor de heraudit als voor het oorspronkelijke assessment?
Nee, je kunt kiezen voor een ander erkend auditbureau voor de heraudit. Sommige organisaties doen dit bewust om een 'fresh pair of eyes' te krijgen. Zorg er wel voor dat het nieuwe auditbureau toegang krijgt tot het oorspronkelijke auditrapport.
Hoeveel tijd moet ik inplannen tussen het oplossen van problemen en het aanvragen van de heraudit?
Plan minimaal 1-2 weken in na het implementeren van alle wijzigingen voordat je de heraudit aanvraagt. Deze tijd heb je nodig om alle oplossingen te testen, documentatie bij te werken en een interne controle uit te voeren om zeker te zijn dat alles correct werkt.
Welke meest voorkomende fouten moet ik vermijden bij een heraudit?
De grootste fouten zijn: onvolledige documentatie, het niet testen van wijzigingen in de praktijk, en het aanvragen van een heraudit terwijl niet alle problemen zijn opgelost. Zorg ook dat alle teamleden op de hoogte zijn van nieuwe procedures en dat je back-ups hebt van alle bewijsmateriaal.
Kan ik de heraudit uitstellen als ik meer tijd nodig heb?
Er is geen verplichte deadline voor het aanvragen van een heraudit, dus je kunt de tijd nemen die je nodig hebt. Het is beter om de heraudit uit te stellen en goed voor te bereiden dan om haastig een heraudit aan te vragen die je waarschijnlijk niet zult halen.
Een heraudit na een ‘voldoet niet’-oordeel bij een DigiD-beveiligingsassessment is een vervolgcontrole waarbij je de geconstateerde tekortkomingen moet hebben opgelost. Je kunt deze hercontrole aanvragen zodra alle beveiligingsmaatregelen zijn geïmplementeerd en gedocumenteerd. De heraudit volgt hetzelfde proces als het oorspronkelijke DigiD-assessment, maar richt zich specifiek op de eerder geïdentificeerde knelpunten.
Onduidelijke deadlines zorgen voor onnodige stress en risico’s
Veel organisaties raken in paniek na een negatief DigiD-oordeel omdat ze niet weten hoeveel tijd ze hebben om de problemen op te lossen. Deze onzekerheid leidt tot haastige beslissingen, ondoordachte oplossingen en vaak hogere kosten. Het gebrek aan een duidelijk tijdpad zorgt ervoor dat teams overwerken, externe consultants inhuren tegen hoge tarieven of zelfs tijdelijk hun DigiD-diensten moeten stopzetten. Plan je heraudit strategisch door eerst alle vereiste wijzigingen grondig door te nemen en een realistische planning op te stellen.
Onvolledige documentatie leidt tot herhaalde afwijzingen
De meeste organisaties die een tweede keer worden afgekeurd, hebben niet al het benodigde bewijsmateriaal volledig aangeleverd. Ze denken dat technische aanpassingen voldoende zijn, maar vergeten dat auditors concrete documentatie nodig hebben om compliance aan te tonen. Dit resulteert in extra auditrondes en vertraging van je DigiD-dienstverlening. Zorg ervoor dat je niet alleen de technische problemen oplost, maar ook alle processen, procedures en bewijsstukken op orde hebt voordat je de heraudit aanvraagt.
Wat gebeurt er precies bij een ‘voldoet niet’ oordeel na een DigiD audit?
Bij een ‘voldoet niet’-oordeel ontvang je een gedetailleerd rapport met alle geconstateerde tekortkomingen en de specifieke maatregelen die je moet nemen. Je DigiD-verbinding blijft actief, maar je moet binnen een bepaalde termijn aantonen dat alle problemen zijn opgelost.
Het auditrapport bevat een overzicht van alle bevindingen, onderverdeeld naar ernst en prioriteit. Kritieke beveiligingsproblemen krijgen de hoogste prioriteit en moeten vaak binnen 30 dagen worden aangepakt. Minder kritieke punten hebben meestal een langere oplostermijn. Elke bevinding wordt toegelicht met concrete voorbeelden en aanbevelingen voor verbetering.
Logius, de toezichthouder voor DigiD, wordt geïnformeerd over het negatieve oordeel. Zij monitoren of je tijdig actie onderneemt om de problemen op te lossen. In extreme gevallen kunnen zij besluiten je DigiD-toegang tijdelijk op te schorten totdat alle beveiligingsmaatregelen op orde zijn.
Hoe lang duurt het voordat je een heraudit kunt aanvragen?
Je kunt een heraudit aanvragen zodra alle geconstateerde tekortkomingen zijn opgelost en je over de benodigde documentatie beschikt. Er is geen verplichte wachttijd, maar zorg ervoor dat alle maatregelen daadwerkelijk zijn geïmplementeerd en getest.
De meeste organisaties hebben tussen de 4 en 8 weken nodig om alle bevindingen adequaat aan te pakken. Dit hangt af van de complexiteit van de geconstateerde problemen. Eenvoudige configuratiewijzigingen kunnen binnen enkele dagen worden doorgevoerd, terwijl structurele aanpassingen aan procedures of infrastructuur meer tijd vergen.
Het is verstandig om intern eerst een grondige controle uit te voeren voordat je de officiële heraudit aanvraagt. Veel organisaties laten hun ICT-afdeling of een externe consultant de wijzigingen valideren om te voorkomen dat er nog steeds problemen bestaan. Een mislukte heraudit kan leiden tot strengere toezichtmaatregelen.
Wat zijn de kosten van een DigiD heraudit?
Bij BKBO zijn heraudits kosteloos inbegrepen in onze “geen gekibbel garantie”. Mocht je assessment niet direct worden goedgekeurd, dan voeren wij gratis een heraudit uit zodra alle bevindingen zijn opgelost.
Bij een heraudit hoeft niet altijd het complete assessment opnieuw te worden uitgevoerd. De auditor richt zich specifiek op de eerder geconstateerde tekortkomingen en controleert of deze adequaat zijn opgelost. Dit betekent dat de heraudit meestal minder tijd kost dan de oorspronkelijke audit.
Andere auditbureaus rekenen vaak tussen € 2.500 en € 5.000 voor een heraudit, afhankelijk van de omvang van je organisatie en het aantal systemen dat opnieuw moet worden gecontroleerd. Let bij andere aanbieders op eventuele meerkosten voor aanvullende controles als tijdens de heraudit blijkt dat er nieuwe problemen zijn ontstaan.
Welke documenten en bewijsmateriaal heb je nodig voor een succesvolle heraudit?
Voor een succesvolle heraudit heb je bijgewerkte technische documentatie, bewijs van geïmplementeerde beveiligingsmaatregelen, aangepaste procedures en testresultaten nodig die aantonen dat alle eerder geconstateerde problemen zijn opgelost.
Start met een gedetailleerde checklist van alle bevindingen uit het oorspronkelijke auditrapport. Voor elke bevinding moet je kunnen aantonen hoe het probleem is opgelost. Dit kan bestaan uit screenshots van nieuwe configuraties, logbestanden die de correcte werking bewijzen of aangepaste beleidsdocumenten.
Technische documentatie moet up-to-date zijn en overeenkomen met de werkelijke situatie. Dit omvat netwerkdiagrammen, beveiligingsprocedures, gebruikershandleidingen en incidentresponsprocedures. Zorg ervoor dat alle wijzigingen zijn gedocumenteerd en dat de documentatie is goedgekeurd door de juiste personen binnen je organisatie.
Hoe vergroot je de slaagkans bij je DigiD heraudit?
Vergroot je slaagkans door systematisch alle bevindingen af te werken, grondige interne controles uit te voeren en ervoor te zorgen dat alle teamleden op de hoogte zijn van de nieuwe procedures voordat de heraudit plaatsvindt.
Maak een projectplan met duidelijke deadlines en verantwoordelijkheden voor elk geconstateerd probleem. Wijs een projectleider aan die de voortgang monitort en zorgt voor goede communicatie tussen alle betrokken afdelingen. Test alle wijzigingen grondig in een testomgeving voordat je ze implementeert in de productieomgeving.
Organiseer een interne pre-audit waarbij je alle wijzigingen doorneemt alsof het de echte heraudit betreft. Laat verschillende teamleden de documentatie controleren en test alle procedures in de praktijk. Dit helpt om eventuele resterende problemen te identificeren voordat de officiële auditor langskomt.
Hoe BKBO helpt met DigiD-hercontroles
Wij begeleiden organisaties door het complete herauditproces met onze gestructureerde aanpak en jarenlange ervaring met DigiD-assessments. Ons team zorgt ervoor dat je goed voorbereid bent en alle vereiste documentatie op orde hebt.
Onze aanpak omvat:
- Grondige analyse van het oorspronkelijke auditrapport en prioritering van bevindingen
- Begeleiding bij het implementeren van de juiste beveiligingsmaatregelen
- Controle van alle documentatie en het bewijsmateriaal vooraf
- Vaste prijzen, inclusief kosteloos heraudits, zodat je geen verrassingen krijgt
- Directe communicatie met ervaren IT-auditors die de overheidscontext begrijpen
Met onze “geen-gekibbelgarantie” en meer dan 1.843 afgeronde audits sinds 2018 weten we precies waar organisaties tegenaan lopen bij DigiD-hercontroles. Bij een onvoldoende resultaat voeren wij kosteloos een heraudit uit. Neem contact op voor een vrijblijvend gesprek over jouw specifieke situatie en hoe we je kunnen helpen bij een succesvolle heraudit.
Veelgestelde vragen
Kan ik tijdens de heraudit nog steeds DigiD-diensten aanbieden aan mijn klanten?
Ja, je DigiD-verbinding blijft actief tijdens het herauditproces. Je kunt gewoon doorgaan met het aanbieden van DigiD-diensten aan je klanten. Alleen bij zeer kritieke beveiligingsproblemen kan Logius besluiten de toegang tijdelijk op te schorten.
Wat gebeurt er als ik ook de heraudit niet haal?
Bij een tweede afwijzing wordt het toezicht van Logius strenger en kunnen er sancties volgen, zoals tijdelijke opschorting van je DigiD-toegang. Het is daarom cruciaal om de heraudit grondig voor te bereiden en alle bevindingen volledig op te lossen voordat je deze aanvraagt.
Hoe weet ik zeker dat alle problemen uit het oorspronkelijke rapport zijn opgelost?
Maak een gedetailleerde checklist van alle bevindingen en werk deze systematisch af. Laat elke oplossing valideren door je ICT-team en documenteer alle wijzigingen. Voer een interne pre-audit uit waarbij je alle punten doorneemt alsof het de echte heraudit betreft.
Moet ik dezelfde auditor gebruiken voor de heraudit als voor het oorspronkelijke assessment?
Nee, je kunt kiezen voor een ander erkend auditbureau voor de heraudit. Sommige organisaties doen dit bewust om een 'fresh pair of eyes' te krijgen. Zorg er wel voor dat het nieuwe auditbureau toegang krijgt tot het oorspronkelijke auditrapport.
Hoeveel tijd moet ik inplannen tussen het oplossen van problemen en het aanvragen van de heraudit?
Plan minimaal 1-2 weken in na het implementeren van alle wijzigingen voordat je de heraudit aanvraagt. Deze tijd heb je nodig om alle oplossingen te testen, documentatie bij te werken en een interne controle uit te voeren om zeker te zijn dat alles correct werkt.
Welke meest voorkomende fouten moet ik vermijden bij een heraudit?
De grootste fouten zijn: onvolledige documentatie, het niet testen van wijzigingen in de praktijk, en het aanvragen van een heraudit terwijl niet alle problemen zijn opgelost. Zorg ook dat alle teamleden op de hoogte zijn van nieuwe procedures en dat je back-ups hebt van alle bewijsmateriaal.
Kan ik de heraudit uitstellen als ik meer tijd nodig heb?
Er is geen verplichte deadline voor het aanvragen van een heraudit, dus je kunt de tijd nemen die je nodig hebt. Het is beter om de heraudit uit te stellen en goed voor te bereiden dan om haastig een heraudit aan te vragen die je waarschijnlijk niet zult halen.