Kan Logius een heraudit eisen bij non-occurrence op bestaan?
Ja, Logius kan een heraudit eisen wanneer een DigiD-beveiligingsassessment non-occurrencebevindingen op bestaan oplevert. Dit gebeurt wanneer de auditor niet kan vaststellen dat bepaalde beveiligingsmaatregelen daadwerkelijk aanwezig zijn of functioneren. Een DigiD-hercontrole wordt dan verplicht om compliance aan te tonen.
Onduidelijke bewijsvoering kost je kostbare tijd en middelen
Wanneer je organisatie tijdens een DigiD-assessment onvoldoende documentatie of bewijs kan leveren, ontstaan non-occurrencebevindingen die leiden tot heraudits. Dit betekent extra werkdruk voor je team en vertraging in je complianceproces. Je kunt dit voorkomen door vooraf een grondige inventarisatie te maken van alle beveiligingsmaatregelen en bijbehorende documentatie, zodat je tijdens de audit alles direct kunt aantonen.
Uitgestelde heraudits verhogen het risico op sancties
Het negeren of uitstellen van een door Logius geëiste heraudit kan leiden tot het intrekken van je DigiD-koppeling en mogelijke sancties. Dit betekent dat burgers geen gebruik meer kunnen maken van je digitale diensten, wat je organisatie direct schaadt. Begin daarom onmiddellijk na een non-occurrencebevinding met het implementeren van de benodigde maatregelen en plan de heraudit zo snel mogelijk in.
Wat betekent non-occurrence op bestaan bij een Logius-audit?
Non-occurrence op bestaan betekent dat de auditor tijdens een DigiD-assessment niet kan vaststellen dat een beveiligingsmaatregel daadwerkelijk bestaat of functioneert. Dit ontstaat wanneer documentatie ontbreekt, procedures niet aantoonbaar zijn uitgevoerd of technische maatregelen niet kunnen worden geverifieerd.
Deze bevindingen ontstaan vaak door onvolledige documentatie, ontbrekende logbestanden of het niet kunnen aantonen van uitgevoerde beveiligingscontroles. Bijvoorbeeld: als je organisatie beweert maandelijkse toegangsrechtencontroles uit te voeren, maar geen rapportages of logbestanden kan overleggen, resulteert dit in een non-occurrencebevinding.
Het verschil met andere bevindingstypen is cruciaal: bij non-occurrence kan de auditor niet beoordelen of de maatregel effectief is, omdat het bestaan ervan niet kan worden aangetoond. Dit maakt het een ernstige bevinding die altijd follow-up vereist.
Wanneer eist Logius een heraudit na non-occurrencebevindingen?
Logius eist altijd een heraudit wanneer non-occurrencebevindingen betrekking hebben op kritieke beveiligingsmaatregelen die essentieel zijn voor de DigiD-koppeling. Dit geldt vooral voor maatregelen rond toegangsbeheer, logging, monitoring en incidentrespons.
De timing van de heraudit hangt af van de ernst van de bevindingen. Bij kritieke non-occurrencebevindingen moet binnen drie maanden een heraudit plaatsvinden. Voor minder kritieke bevindingen kan dit worden uitgesteld tot de volgende jaarlijkse assessment, mits je organisatie een adequaat verbeterplan indient.
Logius beoordeelt per geval of een heraudit noodzakelijk is. Factoren die meewegen zijn de impact op de beveiliging, het aantal bevindingen en de kwaliteit van je verbeterplan. Een enkele non-occurrencebevinding op een ondersteunend proces leidt niet automatisch tot een heraudit, maar meerdere bevindingen op kernprocessen wel.
Wat zijn de gevolgen als je geen heraudit laat uitvoeren?
Het niet uitvoeren van een door Logius geëiste heraudit kan leiden tot het opschorten of intrekken van je DigiD-koppeling. Dit betekent dat burgers geen toegang meer hebben tot je digitale diensten via DigiD, wat direct impact heeft op je dienstverlening.
Daarnaast riskeert je organisatie formele sancties van Logius als toezichthouder. Dit kan variëren van waarschuwingen tot boetes, afhankelijk van de ernst van de situatie en de duur van non-compliance. Voor overheidsorganisaties betekent dit ook mogelijke politieke en reputatieschade.
De operationele gevolgen zijn vaak het meest direct voelbaar: burgers kunnen geen gebruik meer maken van je online diensten, wat leidt tot meer telefonische en fysieke contacten. Dit verhoogt je werkdruk en kosten aanzienlijk, terwijl je tegelijkertijd moet werken aan het oplossen van de beveiligingsissues.
Hoe bereid je je voor op een succesvolle Logius-heraudit?
Begin met het systematisch adresseren van alle non-occurrencebevindingen uit het oorspronkelijke auditrapport. Implementeer de ontbrekende maatregelen volledig en zorg voor adequate documentatie die het bestaan en functioneren van elke maatregel aantoont.
Maak een gedetailleerd verbeterplan waarin je per bevinding beschrijft welke acties je hebt ondernomen. Verzamel alle bewijsstukken, zoals beleidsdocumenten, procedures, logbestanden en rapportages. Zorg ervoor dat deze documenten actueel zijn en daadwerkelijk de uitgevoerde maatregelen weerspiegelen.
Test je maatregelen vooraf intern om te verifiëren dat ze correct functioneren. Voer bijvoorbeeld testscenario’s uit voor incidentresponsprocedures of controleer of je logging daadwerkelijk de juiste informatie vastlegt. Plan voldoende tijd in tussen implementatie en heraudit om eventuele kinderziektes op te lossen.
Welke kosten zijn verbonden aan een Logius-heraudit?
De kosten voor een DigiD-hercontrole variëren tussen € 2.500 en € 7.500, afhankelijk van de scope en complexiteit van de bevindingen die moeten worden gecontroleerd. Dit komt bovenop de kosten van de oorspronkelijke assessment.
Naast de directe auditkosten moet je rekening houden met interne kosten voor het implementeren van maatregelen en het verzamelen van documentatie. Dit kan enkele dagen tot weken aan interne capaciteit vergen, afhankelijk van de omvang van de bevindingen.
Indirecte kosten ontstaan door mogelijke onderbrekingen in de dienstverlening als de heraudit niet tijdig wordt uitgevoerd. Het verlies van DigiD-functionaliteit kan leiden tot hogere operationele kosten door alternatieve identificatiemethoden en extra klantenservice. Deze kosten overtreffen vaak de directe auditkosten aanzienlijk.
Hoe BKBO helpt met DigiD-hercontroles
Wij begeleiden je organisatie door het complete herauditproces, van het analyseren van non-occurrencebevindingen tot het succesvol afronden van de hercontrole. Onze aanpak zorgt ervoor dat je de heraudit in één keer doorstaat.
Onze dienstverlening omvat:
- Grondige analyse van alle non-occurrencebevindingen uit je oorspronkelijke rapport
- Concreet implementatieadvies voor ontbrekende beveiligingsmaatregelen
- Ondersteuning bij het verzamelen en structureren van bewijsmateriaal
- Voorbereiding en uitvoering van de heraudit tegen vaste prijzen
- Geen gekibbel garantie: bij een onvoldoende resultaat voeren wij kosteloos een heraudit uit
Met onze ervaring in meer dan 1.800 DigiD-assessments weten we precies waar Logius op let en hoe je non-occurrencebevindingen definitief kunt oplossen. Neem contact op voor een vrijblijvend gesprek over je specifieke situatie en hoe wij je kunnen helpen met een succesvolle heraudit.
Veelgestelde vragen
Hoe lang duurt het gemiddeld om non-occurrencebevindingen op te lossen voordat een heraudit kan plaatsvinden?
De doorlooptijd varieert van 4-12 weken, afhankelijk van de complexiteit van de bevindingen. Eenvoudige documentatiekwesties kunnen binnen enkele weken worden opgelost, terwijl het implementeren van nieuwe technische maatregelen of procedures meer tijd vergt. Plan minimaal 6 weken in voor grondige voorbereiding en interne testing.
Kan ik tijdens een heraudit nieuwe bevindingen krijgen die niet in het oorspronkelijke rapport stonden?
Ja, een heraudit is een volledige controle van de aangekaarte beveiligingsmaatregelen. Als tijdens de heraudit blijkt dat gerelateerde maatregelen ook tekortkomingen hebben, kunnen nieuwe bevindingen ontstaan. Daarom is het belangrijk om niet alleen de specifieke non-occurrencebevindingen aan te pakken, maar ook gerelateerde processen grondig te controleren.
Welke documenten moet ik minimaal verzamelen om non-occurrencebevindingen op te lossen?
Verzamel actuele beleidsdocumenten, uitvoeringsrapportages, logbestanden van minimaal 3 maanden, procedurebeschrijvingen met uitvoeringsdatums, en bewijsstukken van uitgevoerde controles. Zorg ervoor dat alle documenten gedateerd zijn en aantonen dat maatregelen daadwerkelijk functioneren, niet alleen op papier bestaan.
Wat gebeurt er als mijn organisatie de heraudit niet binnen de gestelde termijn van 3 maanden kan realiseren?
Neem onmiddellijk contact op met Logius om uitstel aan te vragen met een onderbouwde reden en realistisch tijdpad. Zonder goedkeuring riskeert je organisatie opschorting van de DigiD-koppeling. Logius kan in uitzonderlijke gevallen uitstel verlenen, maar verwacht wel een gedetailleerd verbeterplan en tussentijdse voortgangsrapportages.
Hoe kan ik voorkomen dat mijn volgende jaarlijkse DigiD-assessment opnieuw non-occurrencebevindingen oplevert?
Implementeer een structureel documentatieproces waarbij alle beveiligingsmaatregelen standaard worden gelogd en gerapporteerd. Voer maandelijks interne controles uit op kritieke processen en bewaar alle bewijsstukken systematisch. Plan jaarlijks een interne pre-audit om eventuele lacunes tijdig te identificeren en op te lossen.
Zijn er specifieke beveiligingsmaatregelen die vaker leiden tot non-occurrencebevindingen?
Ja, toegangsbeheercontroles, logmonitoring, incidentresponsprocedures en periodieke beveiligingsreviews leiden het vaakst tot non-occurrencebevindingen. Deze processen vereisen continue documentatie en uitvoering, wat organisaties vaak onvoldoende bijhouden. Focus extra aandacht op deze gebieden tijdens je voorbereiding.
Ja, Logius kan een heraudit eisen wanneer een DigiD-beveiligingsassessment non-occurrencebevindingen op bestaan oplevert. Dit gebeurt wanneer de auditor niet kan vaststellen dat bepaalde beveiligingsmaatregelen daadwerkelijk aanwezig zijn of functioneren. Een DigiD-hercontrole wordt dan verplicht om compliance aan te tonen.
Onduidelijke bewijsvoering kost je kostbare tijd en middelen
Wanneer je organisatie tijdens een DigiD-assessment onvoldoende documentatie of bewijs kan leveren, ontstaan non-occurrencebevindingen die leiden tot heraudits. Dit betekent extra werkdruk voor je team en vertraging in je complianceproces. Je kunt dit voorkomen door vooraf een grondige inventarisatie te maken van alle beveiligingsmaatregelen en bijbehorende documentatie, zodat je tijdens de audit alles direct kunt aantonen.
Uitgestelde heraudits verhogen het risico op sancties
Het negeren of uitstellen van een door Logius geëiste heraudit kan leiden tot het intrekken van je DigiD-koppeling en mogelijke sancties. Dit betekent dat burgers geen gebruik meer kunnen maken van je digitale diensten, wat je organisatie direct schaadt. Begin daarom onmiddellijk na een non-occurrencebevinding met het implementeren van de benodigde maatregelen en plan de heraudit zo snel mogelijk in.
Wat betekent non-occurrence op bestaan bij een Logius-audit?
Non-occurrence op bestaan betekent dat de auditor tijdens een DigiD-assessment niet kan vaststellen dat een beveiligingsmaatregel daadwerkelijk bestaat of functioneert. Dit ontstaat wanneer documentatie ontbreekt, procedures niet aantoonbaar zijn uitgevoerd of technische maatregelen niet kunnen worden geverifieerd.
Deze bevindingen ontstaan vaak door onvolledige documentatie, ontbrekende logbestanden of het niet kunnen aantonen van uitgevoerde beveiligingscontroles. Bijvoorbeeld: als je organisatie beweert maandelijkse toegangsrechtencontroles uit te voeren, maar geen rapportages of logbestanden kan overleggen, resulteert dit in een non-occurrencebevinding.
Het verschil met andere bevindingstypen is cruciaal: bij non-occurrence kan de auditor niet beoordelen of de maatregel effectief is, omdat het bestaan ervan niet kan worden aangetoond. Dit maakt het een ernstige bevinding die altijd follow-up vereist.
Wanneer eist Logius een heraudit na non-occurrencebevindingen?
Logius eist altijd een heraudit wanneer non-occurrencebevindingen betrekking hebben op kritieke beveiligingsmaatregelen die essentieel zijn voor de DigiD-koppeling. Dit geldt vooral voor maatregelen rond toegangsbeheer, logging, monitoring en incidentrespons.
De timing van de heraudit hangt af van de ernst van de bevindingen. Bij kritieke non-occurrencebevindingen moet binnen drie maanden een heraudit plaatsvinden. Voor minder kritieke bevindingen kan dit worden uitgesteld tot de volgende jaarlijkse assessment, mits je organisatie een adequaat verbeterplan indient.
Logius beoordeelt per geval of een heraudit noodzakelijk is. Factoren die meewegen zijn de impact op de beveiliging, het aantal bevindingen en de kwaliteit van je verbeterplan. Een enkele non-occurrencebevinding op een ondersteunend proces leidt niet automatisch tot een heraudit, maar meerdere bevindingen op kernprocessen wel.
Wat zijn de gevolgen als je geen heraudit laat uitvoeren?
Het niet uitvoeren van een door Logius geëiste heraudit kan leiden tot het opschorten of intrekken van je DigiD-koppeling. Dit betekent dat burgers geen toegang meer hebben tot je digitale diensten via DigiD, wat direct impact heeft op je dienstverlening.
Daarnaast riskeert je organisatie formele sancties van Logius als toezichthouder. Dit kan variëren van waarschuwingen tot boetes, afhankelijk van de ernst van de situatie en de duur van non-compliance. Voor overheidsorganisaties betekent dit ook mogelijke politieke en reputatieschade.
De operationele gevolgen zijn vaak het meest direct voelbaar: burgers kunnen geen gebruik meer maken van je online diensten, wat leidt tot meer telefonische en fysieke contacten. Dit verhoogt je werkdruk en kosten aanzienlijk, terwijl je tegelijkertijd moet werken aan het oplossen van de beveiligingsissues.
Hoe bereid je je voor op een succesvolle Logius-heraudit?
Begin met het systematisch adresseren van alle non-occurrencebevindingen uit het oorspronkelijke auditrapport. Implementeer de ontbrekende maatregelen volledig en zorg voor adequate documentatie die het bestaan en functioneren van elke maatregel aantoont.
Maak een gedetailleerd verbeterplan waarin je per bevinding beschrijft welke acties je hebt ondernomen. Verzamel alle bewijsstukken, zoals beleidsdocumenten, procedures, logbestanden en rapportages. Zorg ervoor dat deze documenten actueel zijn en daadwerkelijk de uitgevoerde maatregelen weerspiegelen.
Test je maatregelen vooraf intern om te verifiëren dat ze correct functioneren. Voer bijvoorbeeld testscenario’s uit voor incidentresponsprocedures of controleer of je logging daadwerkelijk de juiste informatie vastlegt. Plan voldoende tijd in tussen implementatie en heraudit om eventuele kinderziektes op te lossen.
Welke kosten zijn verbonden aan een Logius-heraudit?
De kosten voor een DigiD-hercontrole variëren tussen € 2.500 en € 7.500, afhankelijk van de scope en complexiteit van de bevindingen die moeten worden gecontroleerd. Dit komt bovenop de kosten van de oorspronkelijke assessment.
Naast de directe auditkosten moet je rekening houden met interne kosten voor het implementeren van maatregelen en het verzamelen van documentatie. Dit kan enkele dagen tot weken aan interne capaciteit vergen, afhankelijk van de omvang van de bevindingen.
Indirecte kosten ontstaan door mogelijke onderbrekingen in de dienstverlening als de heraudit niet tijdig wordt uitgevoerd. Het verlies van DigiD-functionaliteit kan leiden tot hogere operationele kosten door alternatieve identificatiemethoden en extra klantenservice. Deze kosten overtreffen vaak de directe auditkosten aanzienlijk.
Hoe BKBO helpt met DigiD-hercontroles
Wij begeleiden je organisatie door het complete herauditproces, van het analyseren van non-occurrencebevindingen tot het succesvol afronden van de hercontrole. Onze aanpak zorgt ervoor dat je de heraudit in één keer doorstaat.
Onze dienstverlening omvat:
- Grondige analyse van alle non-occurrencebevindingen uit je oorspronkelijke rapport
- Concreet implementatieadvies voor ontbrekende beveiligingsmaatregelen
- Ondersteuning bij het verzamelen en structureren van bewijsmateriaal
- Voorbereiding en uitvoering van de heraudit tegen vaste prijzen
- Geen gekibbel garantie: bij een onvoldoende resultaat voeren wij kosteloos een heraudit uit
Met onze ervaring in meer dan 1.800 DigiD-assessments weten we precies waar Logius op let en hoe je non-occurrencebevindingen definitief kunt oplossen. Neem contact op voor een vrijblijvend gesprek over je specifieke situatie en hoe wij je kunnen helpen met een succesvolle heraudit.
Veelgestelde vragen
Hoe lang duurt het gemiddeld om non-occurrencebevindingen op te lossen voordat een heraudit kan plaatsvinden?
De doorlooptijd varieert van 4-12 weken, afhankelijk van de complexiteit van de bevindingen. Eenvoudige documentatiekwesties kunnen binnen enkele weken worden opgelost, terwijl het implementeren van nieuwe technische maatregelen of procedures meer tijd vergt. Plan minimaal 6 weken in voor grondige voorbereiding en interne testing.
Kan ik tijdens een heraudit nieuwe bevindingen krijgen die niet in het oorspronkelijke rapport stonden?
Ja, een heraudit is een volledige controle van de aangekaarte beveiligingsmaatregelen. Als tijdens de heraudit blijkt dat gerelateerde maatregelen ook tekortkomingen hebben, kunnen nieuwe bevindingen ontstaan. Daarom is het belangrijk om niet alleen de specifieke non-occurrencebevindingen aan te pakken, maar ook gerelateerde processen grondig te controleren.
Welke documenten moet ik minimaal verzamelen om non-occurrencebevindingen op te lossen?
Verzamel actuele beleidsdocumenten, uitvoeringsrapportages, logbestanden van minimaal 3 maanden, procedurebeschrijvingen met uitvoeringsdatums, en bewijsstukken van uitgevoerde controles. Zorg ervoor dat alle documenten gedateerd zijn en aantonen dat maatregelen daadwerkelijk functioneren, niet alleen op papier bestaan.
Wat gebeurt er als mijn organisatie de heraudit niet binnen de gestelde termijn van 3 maanden kan realiseren?
Neem onmiddellijk contact op met Logius om uitstel aan te vragen met een onderbouwde reden en realistisch tijdpad. Zonder goedkeuring riskeert je organisatie opschorting van de DigiD-koppeling. Logius kan in uitzonderlijke gevallen uitstel verlenen, maar verwacht wel een gedetailleerd verbeterplan en tussentijdse voortgangsrapportages.
Hoe kan ik voorkomen dat mijn volgende jaarlijkse DigiD-assessment opnieuw non-occurrencebevindingen oplevert?
Implementeer een structureel documentatieproces waarbij alle beveiligingsmaatregelen standaard worden gelogd en gerapporteerd. Voer maandelijks interne controles uit op kritieke processen en bewaar alle bewijsstukken systematisch. Plan jaarlijks een interne pre-audit om eventuele lacunes tijdig te identificeren en op te lossen.
Zijn er specifieke beveiligingsmaatregelen die vaker leiden tot non-occurrencebevindingen?
Ja, toegangsbeheercontroles, logmonitoring, incidentresponsprocedures en periodieke beveiligingsreviews leiden het vaakst tot non-occurrencebevindingen. Deze processen vereisen continue documentatie en uitvoering, wat organisaties vaak onvoldoende bijhouden. Focus extra aandacht op deze gebieden tijdens je voorbereiding.