Wanneer moet een DigiD audit worden ingediend?
Een DigiD-audit moet jaarlijks vóór 1 mei worden ingediend door alle organisaties die DigiD gebruiken voor authenticatie. Deze verplichte beveiligingsassessment controleert of webapplicaties, infrastructuur en procedures voldoen aan de eisen van toezichthouder Logius. De audit geldt voor overheidsinstanties, zorginstellingen, onderwijsorganisaties en hun IT-leveranciers die DigiD-diensten aanbieden.
Wat is een DigiD-audit en waarom is deze verplicht?
Een DigiD-audit is een verplichte jaarlijkse beveiligingscontrole van webapplicaties die DigiD gebruiken voor authenticatie van burgers. Deze assessment toetst of de technische en organisatorische maatregelen voldoen aan de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC.
De wettelijke basis voor deze verplichting ligt in de verantwoordelijkheid van organisaties om de betrouwbaarheid van hun DigiD-aansluiting te waarborgen. Logius, als beheerder van DigiD, stelt strenge eisen aan organisaties die toegang verlenen tot persoonsgegevens en overheidsdiensten via DigiD-authenticatie.
De audit is essentieel omdat:
- zij de privacy en veiligheid van burgergegevens beschermt
- zij compliance met overheidsrichtlijnen garandeert
- zij kwetsbaarheden in webapplicaties en infrastructuur identificeert
- zij het vertrouwen in digitale overheidsdiensten waarborgt
Wanneer moet u uw eerste DigiD-audit indienen?
Nieuwe DigiD-aangesloten organisaties moeten hun eerste audit indienen binnen 12 maanden na aansluiting op DigiD, maar uiterlijk vóór 1 mei van het daaropvolgende jaar. Dit betekent dat de timing van uw aansluiting bepalend is voor de eerste auditdeadline.
Voor organisaties die bijvoorbeeld in september aansluiten, geldt de deadline van 1 mei van het volgende jaar. Dit geeft voldoende tijd om de systemen te implementeren en de benodigde beveiligingsmaatregelen in te richten voordat de eerste audit plaatsvindt.
De controleperiode voor de eerste audit moet minimaal zes maanden bedragen. Dit is belangrijk omdat bepaalde aspecten van de audit, zoals de toetsing van de werking van beveiligingsmaatregelen, alleen kunnen worden beoordeeld over een langere periode.
Organisaties moeten tijdens deze voorbereidingsperiode:
- hun webapplicatie en infrastructuur inrichten volgens NCSC-richtlijnen
- beveiligingsprocessen implementeren en documenteren
- een gecertificeerde IT-auditor selecteren
- de audit plannen zodat deze ruim voor de deadline gereed is
Hoe vaak moet een DigiD-audit worden herhaald?
Een DigiD-audit moet jaarlijks worden herhaald, met de vaste deadline van 1 mei voor alle organisaties. Deze jaarlijkse cyclus zorgt voor continue monitoring van de beveiligingsstatus van DigiD-aangesloten systemen.
De herhalingsaudit volgt dezelfde uitgebreide methodiek als de eerste audit, inclusief penetratietesten en vulnerability assessments voor technische normen. De controleperiode moet minimaal zes maanden bedragen om een adequate beoordeling van de werking van beveiligingsmaatregelen mogelijk te maken.
Tussentijdse audits kunnen noodzakelijk zijn bij:
- significante wijzigingen in de webapplicatie of infrastructuur
- beveiligingsincidenten die de DigiD-aansluiting hebben beïnvloed
- wijzigingen in de organisatiestructuur of processen
- nieuwe eisen van Logius of wijzigingen in de richtlijnen
Voor organisaties die gebruikmaken van serviceorganisaties geldt dat ook wijzigingen bij deze partijen kunnen leiden tot aanvullende assessments of updates van de audit.
Welke organisaties moeten een DigiD-beveiligingsassessment uitvoeren?
Alle organisaties die DigiD gebruiken voor authenticatie van burgers zijn verplicht tot het uitvoeren van een jaarlijks DigiD-beveiligingsassessment. Dit betreft een breed scala aan organisaties in de publieke sector en hun IT-leveranciers.
Verplichte organisatietypen omvatten:
- Overheidsinstanties: gemeenten, provincies, ministeries, agentschappen, waterschappen
- Zorgverleners: ziekenhuizen, GGD’s, GGZ-instellingen, huisartspraktijken
- Onderwijsinstellingen: scholen, universiteiten, onderwijskoepelorganisaties
- Sociale zekerheid: UWV, SVB, pensioenfondsen
- Woningcorporaties die digitale diensten aanbieden
Ook IT-leveranciers en serviceorganisaties die DigiD-diensten faciliteren voor deze organisaties vallen onder de auditplicht. Bij gebruik van externe dienstverleners kan de carve-outmethode worden toegepast, waarbij SOC-rapporten van serviceorganisaties worden gebruikt als onderdeel van het assessment.
Voor clusteraansluitingen, waarbij meerdere organisaties dezelfde DigiD-dienst gebruiken, kan een Leverancier Meervoudig Assessment (LMA) worden uitgevoerd. Dit verbetert de efficiëntie van het auditproces voor alle betrokken organisaties.
Wat gebeurt er als u de DigiD-auditdeadline mist?
Het missen van de deadline van 1 mei voor uw DigiD-audit kan ernstige consequenties hebben voor uw organisatie. Logius kan sancties opleggen die variëren van waarschuwingen tot het opschorten van uw DigiD-aansluiting.
Mogelijke gevolgen van een gemiste deadline:
- Formele waarschuwing van Logius met een hersteltermijn
- Opschorting van de DigiD-aansluiting totdat de audit is voltooid
- Reputatieschade en verlies van vertrouwen bij burgers
- Operationele problemen door uitval van digitale dienstverlening
Om compliance te herstellen na een gemiste deadline moet u:
- direct contact opnemen met Logius om de situatie toe te lichten
- een gecertificeerde auditor inschakelen voor een spoedassessment
- de audit zo snel mogelijk laten uitvoeren en rapporteren
- maatregelen implementeren om toekomstige deadlines te waarborgen
Het is daarom cruciaal om ruim voor de deadline te beginnen met de auditvoorbereiding en een betrouwbare auditor te selecteren die ervaring heeft met DigiD-assessments.
Hoe BKBO B.V. helpt met DigiD-audits
BKBO B.V. biedt complete ondersteuning voor uw DigiD-audit met gecertificeerde register IT-auditors die gespecialiseerd zijn in overheids- en zorgsystemen. Wij zorgen ervoor dat u tijdig voldoet aan alle eisen van Logius en de NCSC-richtlijnen.
Onze DigiD-auditdiensten omvatten:
- volledige assessment van webapplicaties en infrastructuur
- penetratietesten en vulnerability assessments
- toetsing van organisatorische beveiligingsmaatregelen
- rapportage met EUTL-handtekening voor betrouwbaarheid
- ondersteuning bij de carve-outmethodiek en SOC-rapporten
- begeleiding bij Meervoudige Assessments voor clusteraansluitingen
Met onze “geen-gekibbelgarantie” bieden wij vaste prijzen, inclusief eventuele heraudits. Dit geeft u zekerheid over de kosten en waarborgt dat u tijdig compliant bent. Onze ervaring met meer dan 1.843 afgeronde audits en onze specialisatie in overheidssystemen maken ons de ideale partner voor uw DigiD-assessment.
Neem vandaag nog contact met ons op voor een vrijblijvend gesprek over uw DigiD-audit en zorg ervoor dat u de deadline van 1 mei haalt.
Een DigiD-audit moet jaarlijks vóór 1 mei worden ingediend door alle organisaties die DigiD gebruiken voor authenticatie. Deze verplichte beveiligingsassessment controleert of webapplicaties, infrastructuur en procedures voldoen aan de eisen van toezichthouder Logius. De audit geldt voor overheidsinstanties, zorginstellingen, onderwijsorganisaties en hun IT-leveranciers die DigiD-diensten aanbieden.
Wat is een DigiD-audit en waarom is deze verplicht?
Een DigiD-audit is een verplichte jaarlijkse beveiligingscontrole van webapplicaties die DigiD gebruiken voor authenticatie van burgers. Deze assessment toetst of de technische en organisatorische maatregelen voldoen aan de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC.
De wettelijke basis voor deze verplichting ligt in de verantwoordelijkheid van organisaties om de betrouwbaarheid van hun DigiD-aansluiting te waarborgen. Logius, als beheerder van DigiD, stelt strenge eisen aan organisaties die toegang verlenen tot persoonsgegevens en overheidsdiensten via DigiD-authenticatie.
De audit is essentieel omdat:
- zij de privacy en veiligheid van burgergegevens beschermt
- zij compliance met overheidsrichtlijnen garandeert
- zij kwetsbaarheden in webapplicaties en infrastructuur identificeert
- zij het vertrouwen in digitale overheidsdiensten waarborgt
Wanneer moet u uw eerste DigiD-audit indienen?
Nieuwe DigiD-aangesloten organisaties moeten hun eerste audit indienen binnen 12 maanden na aansluiting op DigiD, maar uiterlijk vóór 1 mei van het daaropvolgende jaar. Dit betekent dat de timing van uw aansluiting bepalend is voor de eerste auditdeadline.
Voor organisaties die bijvoorbeeld in september aansluiten, geldt de deadline van 1 mei van het volgende jaar. Dit geeft voldoende tijd om de systemen te implementeren en de benodigde beveiligingsmaatregelen in te richten voordat de eerste audit plaatsvindt.
De controleperiode voor de eerste audit moet minimaal zes maanden bedragen. Dit is belangrijk omdat bepaalde aspecten van de audit, zoals de toetsing van de werking van beveiligingsmaatregelen, alleen kunnen worden beoordeeld over een langere periode.
Organisaties moeten tijdens deze voorbereidingsperiode:
- hun webapplicatie en infrastructuur inrichten volgens NCSC-richtlijnen
- beveiligingsprocessen implementeren en documenteren
- een gecertificeerde IT-auditor selecteren
- de audit plannen zodat deze ruim voor de deadline gereed is
Hoe vaak moet een DigiD-audit worden herhaald?
Een DigiD-audit moet jaarlijks worden herhaald, met de vaste deadline van 1 mei voor alle organisaties. Deze jaarlijkse cyclus zorgt voor continue monitoring van de beveiligingsstatus van DigiD-aangesloten systemen.
De herhalingsaudit volgt dezelfde uitgebreide methodiek als de eerste audit, inclusief penetratietesten en vulnerability assessments voor technische normen. De controleperiode moet minimaal zes maanden bedragen om een adequate beoordeling van de werking van beveiligingsmaatregelen mogelijk te maken.
Tussentijdse audits kunnen noodzakelijk zijn bij:
- significante wijzigingen in de webapplicatie of infrastructuur
- beveiligingsincidenten die de DigiD-aansluiting hebben beïnvloed
- wijzigingen in de organisatiestructuur of processen
- nieuwe eisen van Logius of wijzigingen in de richtlijnen
Voor organisaties die gebruikmaken van serviceorganisaties geldt dat ook wijzigingen bij deze partijen kunnen leiden tot aanvullende assessments of updates van de audit.
Welke organisaties moeten een DigiD-beveiligingsassessment uitvoeren?
Alle organisaties die DigiD gebruiken voor authenticatie van burgers zijn verplicht tot het uitvoeren van een jaarlijks DigiD-beveiligingsassessment. Dit betreft een breed scala aan organisaties in de publieke sector en hun IT-leveranciers.
Verplichte organisatietypen omvatten:
- Overheidsinstanties: gemeenten, provincies, ministeries, agentschappen, waterschappen
- Zorgverleners: ziekenhuizen, GGD’s, GGZ-instellingen, huisartspraktijken
- Onderwijsinstellingen: scholen, universiteiten, onderwijskoepelorganisaties
- Sociale zekerheid: UWV, SVB, pensioenfondsen
- Woningcorporaties die digitale diensten aanbieden
Ook IT-leveranciers en serviceorganisaties die DigiD-diensten faciliteren voor deze organisaties vallen onder de auditplicht. Bij gebruik van externe dienstverleners kan de carve-outmethode worden toegepast, waarbij SOC-rapporten van serviceorganisaties worden gebruikt als onderdeel van het assessment.
Voor clusteraansluitingen, waarbij meerdere organisaties dezelfde DigiD-dienst gebruiken, kan een Leverancier Meervoudig Assessment (LMA) worden uitgevoerd. Dit verbetert de efficiëntie van het auditproces voor alle betrokken organisaties.
Wat gebeurt er als u de DigiD-auditdeadline mist?
Het missen van de deadline van 1 mei voor uw DigiD-audit kan ernstige consequenties hebben voor uw organisatie. Logius kan sancties opleggen die variëren van waarschuwingen tot het opschorten van uw DigiD-aansluiting.
Mogelijke gevolgen van een gemiste deadline:
- Formele waarschuwing van Logius met een hersteltermijn
- Opschorting van de DigiD-aansluiting totdat de audit is voltooid
- Reputatieschade en verlies van vertrouwen bij burgers
- Operationele problemen door uitval van digitale dienstverlening
Om compliance te herstellen na een gemiste deadline moet u:
- direct contact opnemen met Logius om de situatie toe te lichten
- een gecertificeerde auditor inschakelen voor een spoedassessment
- de audit zo snel mogelijk laten uitvoeren en rapporteren
- maatregelen implementeren om toekomstige deadlines te waarborgen
Het is daarom cruciaal om ruim voor de deadline te beginnen met de auditvoorbereiding en een betrouwbare auditor te selecteren die ervaring heeft met DigiD-assessments.
Hoe BKBO B.V. helpt met DigiD-audits
BKBO B.V. biedt complete ondersteuning voor uw DigiD-audit met gecertificeerde register IT-auditors die gespecialiseerd zijn in overheids- en zorgsystemen. Wij zorgen ervoor dat u tijdig voldoet aan alle eisen van Logius en de NCSC-richtlijnen.
Onze DigiD-auditdiensten omvatten:
- volledige assessment van webapplicaties en infrastructuur
- penetratietesten en vulnerability assessments
- toetsing van organisatorische beveiligingsmaatregelen
- rapportage met EUTL-handtekening voor betrouwbaarheid
- ondersteuning bij de carve-outmethodiek en SOC-rapporten
- begeleiding bij Meervoudige Assessments voor clusteraansluitingen
Met onze “geen-gekibbelgarantie” bieden wij vaste prijzen, inclusief eventuele heraudits. Dit geeft u zekerheid over de kosten en waarborgt dat u tijdig compliant bent. Onze ervaring met meer dan 1.843 afgeronde audits en onze specialisatie in overheidssystemen maken ons de ideale partner voor uw DigiD-assessment.
Neem vandaag nog contact met ons op voor een vrijblijvend gesprek over uw DigiD-audit en zorg ervoor dat u de deadline van 1 mei haalt.