Kan Logius een heraudit eisen bij non-occurrence op bestaan?
Ja, Logius kan een heraudit eisen wanneer een DigiD-beveiligingsassessment non-occurrencebevindingen op bestaan oplevert. Dit gebeurt wanneer de auditor niet kan vaststellen dat bepaalde beveiligingsmaatregelen daadwerkelijk aanwezig zijn of functioneren. Een DigiD-hercontrole wordt dan verplicht om compliance aan te tonen.
Onduidelijke bewijsvoering kost je kostbare tijd en middelen
Wanneer je organisatie tijdens een DigiD-assessment onvoldoende documentatie of bewijs kan leveren, ontstaan non-occurrencebevindingen die kunnen leiden tot heraudits. Dit betekent extra werkdruk voor je team en vertraging in je complianceproces. Je kunt dit voorkomen door vooraf een grondige inventarisatie te maken van alle beveiligingsmaatregelen en bijbehorende documentatie, zodat je tijdens de audit alles direct kunt aantonen.
Uitgestelde heraudits verhogen het risico op sancties
Het negeren of uitstellen van een door Logius geëiste heraudit kan leiden tot het intrekken van je DigiD-koppeling en mogelijke sancties. Dit betekent dat burgers geen gebruik meer kunnen maken van je digitale diensten, wat je organisatie direct schaadt. Begin daarom onmiddellijk na een non-occurrencebevinding met het implementeren van de benodigde maatregelen en plan de heraudit zo snel mogelijk in.
Wat betekent non-occurrence op bestaan bij een audit?
Non-occurrence op bestaan betekent dat de auditor tijdens een DigiD-assessment niet kan vaststellen dat een beveiligingsmaatregel daadwerkelijk bestaat of functioneert. Dit ontstaat wanneer documentatie ontbreekt, procedures niet aantoonbaar zijn uitgevoerd of technische maatregelen niet kunnen worden geverifieerd.
Deze bevindingen ontstaan vaak door onvolledige documentatie, ontbrekende logbestanden of het niet kunnen aantonen van uitgevoerde beveiligingscontroles. Bijvoorbeeld: als je organisatie beweert maandelijkse toegangsrechtencontroles uit te voeren, maar geen rapportages of logbestanden kan overleggen, resulteert dit in een non-occurrencebevinding.
Het verschil met andere bevindingstypen is cruciaal: bij non-occurrence kan de auditor niet beoordelen of de maatregel effectief is, omdat het bestaan ervan niet kan worden aangetoond. Dit maakt het een ernstige bevinding die altijd follow-up vereist.
Wanneer eist Logius een heraudit na non-occurrencebevindingen?
Logius eist altijd een heraudit wanneer non-occurrencebevindingen betrekking hebben op kritieke beveiligingsmaatregelen die essentieel zijn voor de DigiD-koppeling. Dit geldt vooral voor maatregelen rond toegangsbeheer, logging, monitoring en incidentrespons.
De timing van de heraudit hangt af van de ernst van de bevindingen. Bij kritieke non-occurrencebevindingen moet binnen vaak twee tot drie maanden een heraudit plaatsvinden. Het komt ook voor dat de heraudit binnen zes maanden moet plaatsvinden. Het termijn waarin de heraudit moet plaatsvinden, is terug te lezen in de brief van Logius.
Logius beoordeelt per geval of een heraudit noodzakelijk is. Factoren die meewegen zijn de impact op de beveiliging, het aantal bevindingen en de kwaliteit van je verbeterplan. Een enkele non-occurrencebevinding op een ondersteunend proces leidt niet automatisch tot een heraudit, maar meerdere bevindingen op kernprocessen wel.
Wat zijn de gevolgen als je geen heraudit laat uitvoeren?
Het niet uitvoeren van een door Logius geëiste heraudit kan leiden tot het opschorten of intrekken van je DigiD-koppeling. Dit betekent dat burgers geen toegang meer hebben tot je digitale diensten via DigiD, wat direct impact heeft op je dienstverlening.
Daarnaast riskeert je organisatie formele sancties van Logius als toezichthouder. Dit kan variëren van waarschuwingen tot boetes, afhankelijk van de ernst van de situatie en de duur van non-compliance. Voor overheidsorganisaties betekent dit ook mogelijke politieke en reputatieschade.
De operationele gevolgen zijn vaak het meest direct voelbaar: burgers kunnen geen gebruik meer maken van je online diensten, wat leidt tot meer telefonische en fysieke contacten. Dit verhoogt je werkdruk en kosten aanzienlijk, terwijl je tegelijkertijd moet werken aan het oplossen van de beveiligingsissues.
Hoe bereid je je voor op een succesvolle heraudit?
Begin met het systematisch adresseren van alle non-occurrencebevindingen uit het oorspronkelijke auditrapport. Implementeer de ontbrekende maatregelen volledig en zorg voor adequate documentatie die het bestaan en functioneren van elke maatregel aantoont.
Maak een gedetailleerd verbeterplan waarin je per bevinding beschrijft welke acties je hebt ondernomen. Verzamel alle bewijsstukken, zoals beleidsdocumenten, procedures, logbestanden en rapportages. Zorg ervoor dat deze documenten actueel zijn en daadwerkelijk de uitgevoerde maatregelen weerspiegelen.
Test je maatregelen vooraf intern om te verifiëren dat ze correct functioneren. Voer bijvoorbeeld testscenario’s uit voor incidentresponsprocedures of controleer of je logging daadwerkelijk de juiste informatie vastlegt. Plan voldoende tijd in tussen implementatie en heraudit om eventuele kinderziektes op te lossen.
Hoe BKBO helpt met DigiD-hercontroles
Wij begeleiden je organisatie door het complete herauditproces, van het analyseren van non-occurrencebevindingen tot het succesvol afronden van de heraudit.
Onze dienstverlening omvat:
- Grondige analyse van alle non-occurrencebevindingen uit je oorspronkelijke rapport
- Concreet implementatieadvies voor ontbrekende beveiligingsmaatregelen
- Geen gekibbel garantie: wij voeren de heraudit kosteloos uit
Met onze ervaring in meer dan 1.800 DigiD-assessments weten we precies waar Logius op let en hoe je non-occurrencebevindingen definitief kunt oplossen. Neem contact op voor een vrijblijvende offerte!
Veelgestelde vragen
Hoe lang duurt het gemiddeld om non-occurrencebevindingen op te lossen voordat een heraudit kan plaatsvinden?
De doorlooptijd varieert van 4-12 weken, afhankelijk van de complexiteit van de bevindingen. Eenvoudige documentatiekwesties kunnen binnen enkele weken worden opgelost, terwijl het implementeren van nieuwe technische maatregelen of procedures meer tijd vergt. Plan minimaal 6 weken in voor grondige voorbereiding en interne testing.
Kan ik tijdens een heraudit nieuwe bevindingen krijgen die niet in het oorspronkelijke rapport stonden?
Ja, een heraudit is een volledige controle van de aangekaarte beveiligingsmaatregelen. Als tijdens de heraudit blijkt dat gerelateerde maatregelen ook tekortkomingen hebben, kunnen nieuwe bevindingen ontstaan. Daarom is het belangrijk om niet alleen de specifieke non-occurrencebevindingen aan te pakken, maar ook gerelateerde processen grondig te controleren.
Welke documenten moet ik minimaal verzamelen om non-occurrencebevindingen op te lossen?
Verzamel actuele beleidsdocumenten, uitvoeringsrapportages, logbestanden van minimaal 3 maanden, procedurebeschrijvingen met uitvoeringsdatums, en bewijsstukken van uitgevoerde controles. Zorg ervoor dat alle documenten gedateerd zijn en aantonen dat maatregelen daadwerkelijk functioneren, niet alleen op papier bestaan.
Wat gebeurt er als mijn organisatie de heraudit niet binnen de gestelde termijn van 3 maanden kan realiseren?
Neem onmiddellijk contact op met Logius om uitstel aan te vragen met een onderbouwde reden en realistisch tijdpad. Zonder goedkeuring riskeert je organisatie opschorting van de DigiD-koppeling. Logius kan in uitzonderlijke gevallen uitstel verlenen, maar verwacht wel een gedetailleerd verbeterplan en tussentijdse voortgangsrapportages.
Hoe kan ik voorkomen dat mijn volgende jaarlijkse DigiD-assessment opnieuw non-occurrencebevindingen oplevert?
Implementeer een structureel documentatieproces waarbij alle beveiligingsmaatregelen standaard worden gelogd en gerapporteerd. Voer maandelijks interne controles uit op kritieke processen en bewaar alle bewijsstukken systematisch. Plan jaarlijks een interne pre-audit om eventuele lacunes tijdig te identificeren en op te lossen.
Zijn er specifieke beveiligingsmaatregelen die vaker leiden tot non-occurrencebevindingen?
Ja, toegangsbeheercontroles, logmonitoring, incidentresponsprocedures en periodieke beveiligingsreviews leiden het vaakst tot non-occurrencebevindingen. Deze processen vereisen continue documentatie en uitvoering, wat organisaties vaak onvoldoende bijhouden. Focus extra aandacht op deze gebieden tijdens je voorbereiding.
Ja, Logius kan een heraudit eisen wanneer een DigiD-beveiligingsassessment non-occurrencebevindingen op bestaan oplevert. Dit gebeurt wanneer de auditor niet kan vaststellen dat bepaalde beveiligingsmaatregelen daadwerkelijk aanwezig zijn of functioneren. Een DigiD-hercontrole wordt dan verplicht om compliance aan te tonen.
Onduidelijke bewijsvoering kost je kostbare tijd en middelen
Wanneer je organisatie tijdens een DigiD-assessment onvoldoende documentatie of bewijs kan leveren, ontstaan non-occurrencebevindingen die kunnen leiden tot heraudits. Dit betekent extra werkdruk voor je team en vertraging in je complianceproces. Je kunt dit voorkomen door vooraf een grondige inventarisatie te maken van alle beveiligingsmaatregelen en bijbehorende documentatie, zodat je tijdens de audit alles direct kunt aantonen.
Uitgestelde heraudits verhogen het risico op sancties
Het negeren of uitstellen van een door Logius geëiste heraudit kan leiden tot het intrekken van je DigiD-koppeling en mogelijke sancties. Dit betekent dat burgers geen gebruik meer kunnen maken van je digitale diensten, wat je organisatie direct schaadt. Begin daarom onmiddellijk na een non-occurrencebevinding met het implementeren van de benodigde maatregelen en plan de heraudit zo snel mogelijk in.
Wat betekent non-occurrence op bestaan bij een audit?
Non-occurrence op bestaan betekent dat de auditor tijdens een DigiD-assessment niet kan vaststellen dat een beveiligingsmaatregel daadwerkelijk bestaat of functioneert. Dit ontstaat wanneer documentatie ontbreekt, procedures niet aantoonbaar zijn uitgevoerd of technische maatregelen niet kunnen worden geverifieerd.
Deze bevindingen ontstaan vaak door onvolledige documentatie, ontbrekende logbestanden of het niet kunnen aantonen van uitgevoerde beveiligingscontroles. Bijvoorbeeld: als je organisatie beweert maandelijkse toegangsrechtencontroles uit te voeren, maar geen rapportages of logbestanden kan overleggen, resulteert dit in een non-occurrencebevinding.
Het verschil met andere bevindingstypen is cruciaal: bij non-occurrence kan de auditor niet beoordelen of de maatregel effectief is, omdat het bestaan ervan niet kan worden aangetoond. Dit maakt het een ernstige bevinding die altijd follow-up vereist.
Wanneer eist Logius een heraudit na non-occurrencebevindingen?
Logius eist altijd een heraudit wanneer non-occurrencebevindingen betrekking hebben op kritieke beveiligingsmaatregelen die essentieel zijn voor de DigiD-koppeling. Dit geldt vooral voor maatregelen rond toegangsbeheer, logging, monitoring en incidentrespons.
De timing van de heraudit hangt af van de ernst van de bevindingen. Bij kritieke non-occurrencebevindingen moet binnen vaak twee tot drie maanden een heraudit plaatsvinden. Het komt ook voor dat de heraudit binnen zes maanden moet plaatsvinden. Het termijn waarin de heraudit moet plaatsvinden, is terug te lezen in de brief van Logius.
Logius beoordeelt per geval of een heraudit noodzakelijk is. Factoren die meewegen zijn de impact op de beveiliging, het aantal bevindingen en de kwaliteit van je verbeterplan. Een enkele non-occurrencebevinding op een ondersteunend proces leidt niet automatisch tot een heraudit, maar meerdere bevindingen op kernprocessen wel.
Wat zijn de gevolgen als je geen heraudit laat uitvoeren?
Het niet uitvoeren van een door Logius geëiste heraudit kan leiden tot het opschorten of intrekken van je DigiD-koppeling. Dit betekent dat burgers geen toegang meer hebben tot je digitale diensten via DigiD, wat direct impact heeft op je dienstverlening.
Daarnaast riskeert je organisatie formele sancties van Logius als toezichthouder. Dit kan variëren van waarschuwingen tot boetes, afhankelijk van de ernst van de situatie en de duur van non-compliance. Voor overheidsorganisaties betekent dit ook mogelijke politieke en reputatieschade.
De operationele gevolgen zijn vaak het meest direct voelbaar: burgers kunnen geen gebruik meer maken van je online diensten, wat leidt tot meer telefonische en fysieke contacten. Dit verhoogt je werkdruk en kosten aanzienlijk, terwijl je tegelijkertijd moet werken aan het oplossen van de beveiligingsissues.
Hoe bereid je je voor op een succesvolle heraudit?
Begin met het systematisch adresseren van alle non-occurrencebevindingen uit het oorspronkelijke auditrapport. Implementeer de ontbrekende maatregelen volledig en zorg voor adequate documentatie die het bestaan en functioneren van elke maatregel aantoont.
Maak een gedetailleerd verbeterplan waarin je per bevinding beschrijft welke acties je hebt ondernomen. Verzamel alle bewijsstukken, zoals beleidsdocumenten, procedures, logbestanden en rapportages. Zorg ervoor dat deze documenten actueel zijn en daadwerkelijk de uitgevoerde maatregelen weerspiegelen.
Test je maatregelen vooraf intern om te verifiëren dat ze correct functioneren. Voer bijvoorbeeld testscenario’s uit voor incidentresponsprocedures of controleer of je logging daadwerkelijk de juiste informatie vastlegt. Plan voldoende tijd in tussen implementatie en heraudit om eventuele kinderziektes op te lossen.
Hoe BKBO helpt met DigiD-hercontroles
Wij begeleiden je organisatie door het complete herauditproces, van het analyseren van non-occurrencebevindingen tot het succesvol afronden van de heraudit.
Onze dienstverlening omvat:
- Grondige analyse van alle non-occurrencebevindingen uit je oorspronkelijke rapport
- Concreet implementatieadvies voor ontbrekende beveiligingsmaatregelen
- Geen gekibbel garantie: wij voeren de heraudit kosteloos uit
Met onze ervaring in meer dan 1.800 DigiD-assessments weten we precies waar Logius op let en hoe je non-occurrencebevindingen definitief kunt oplossen. Neem contact op voor een vrijblijvende offerte!
Veelgestelde vragen
Hoe lang duurt het gemiddeld om non-occurrencebevindingen op te lossen voordat een heraudit kan plaatsvinden?
De doorlooptijd varieert van 4-12 weken, afhankelijk van de complexiteit van de bevindingen. Eenvoudige documentatiekwesties kunnen binnen enkele weken worden opgelost, terwijl het implementeren van nieuwe technische maatregelen of procedures meer tijd vergt. Plan minimaal 6 weken in voor grondige voorbereiding en interne testing.
Kan ik tijdens een heraudit nieuwe bevindingen krijgen die niet in het oorspronkelijke rapport stonden?
Ja, een heraudit is een volledige controle van de aangekaarte beveiligingsmaatregelen. Als tijdens de heraudit blijkt dat gerelateerde maatregelen ook tekortkomingen hebben, kunnen nieuwe bevindingen ontstaan. Daarom is het belangrijk om niet alleen de specifieke non-occurrencebevindingen aan te pakken, maar ook gerelateerde processen grondig te controleren.
Welke documenten moet ik minimaal verzamelen om non-occurrencebevindingen op te lossen?
Verzamel actuele beleidsdocumenten, uitvoeringsrapportages, logbestanden van minimaal 3 maanden, procedurebeschrijvingen met uitvoeringsdatums, en bewijsstukken van uitgevoerde controles. Zorg ervoor dat alle documenten gedateerd zijn en aantonen dat maatregelen daadwerkelijk functioneren, niet alleen op papier bestaan.
Wat gebeurt er als mijn organisatie de heraudit niet binnen de gestelde termijn van 3 maanden kan realiseren?
Neem onmiddellijk contact op met Logius om uitstel aan te vragen met een onderbouwde reden en realistisch tijdpad. Zonder goedkeuring riskeert je organisatie opschorting van de DigiD-koppeling. Logius kan in uitzonderlijke gevallen uitstel verlenen, maar verwacht wel een gedetailleerd verbeterplan en tussentijdse voortgangsrapportages.
Hoe kan ik voorkomen dat mijn volgende jaarlijkse DigiD-assessment opnieuw non-occurrencebevindingen oplevert?
Implementeer een structureel documentatieproces waarbij alle beveiligingsmaatregelen standaard worden gelogd en gerapporteerd. Voer maandelijks interne controles uit op kritieke processen en bewaar alle bewijsstukken systematisch. Plan jaarlijks een interne pre-audit om eventuele lacunes tijdig te identificeren en op te lossen.
Zijn er specifieke beveiligingsmaatregelen die vaker leiden tot non-occurrencebevindingen?
Ja, toegangsbeheercontroles, logmonitoring, incidentresponsprocedures en periodieke beveiligingsreviews leiden het vaakst tot non-occurrencebevindingen. Deze processen vereisen continue documentatie en uitvoering, wat organisaties vaak onvoldoende bijhouden. Focus extra aandacht op deze gebieden tijdens je voorbereiding.