Wat is een DigiD-assessment?
Een DigiD-assessment is een verplichte beveiligingstoets voor organisaties die DigiD-authenticatie gebruiken in hun dienstverlening. Het assessment beoordeelt of de technische beveiliging en werkprocessen voldoen aan de strenge eisen die Logius stelt voor de bescherming van burgergegevens. Overheidsorganisaties, zorginstellingen en hun IT-leveranciers moeten dit jaarlijks laten uitvoeren om te mogen blijven werken met DigiD-koppelingen. Deze toets voorkomt beveiligingsrisico’s en waarborgt dat gevoelige informatie van burgers adequaat beschermd blijft.
Wat is een DigiD-assessment precies en waarom is het nodig?
Een DigiD-assessment is een onafhankelijke beveiligingsbeoordeling die vaststelt of uw organisatie voldoet aan de beveiligingsrichtlijnen van het Nationaal Cyber Security Center en de daarop gebaseerde normen van Logius. Het assessment onderzoekt of uw systemen, procedures en technische maatregelen voldoende bescherming bieden aan burgergegevens die via DigiD-authenticatie toegankelijk zijn. Deze toets is wettelijk verplicht voor alle organisaties die een koppeling hebben naar systemen waar gevoelige informatie te verkrijgen is.
De noodzaak van dit assessment ligt in de bescherming van burgers. DigiD geeft toegang tot zeer persoonlijke informatie zoals medische gegevens, financiële situaties en uitkeringsgegevens. Een beveiligingslek kan ernstige gevolgen hebben voor de privacy en veiligheid van duizenden burgers. Daarom heeft Logius, als beheerder van DigiD, strikte beveiligingseisen opgesteld die jaarlijks gecontroleerd moeten worden.
Het assessment moet worden uitgevoerd door een gecertificeerde IT-auditor volgens Richtlijn 3000 van NOREA, die betrekking heeft op het verrichten van assurance-werkzaamheden. Dit waarborgt dat de beoordeling onafhankelijk, objectief en volgens professionele standaarden plaatsvindt. De auditor controleert niet alleen technische aspecten, maar ook organisatorische maatregelen zoals toegangscontroles en incidentmanagement.
Organisaties die het assessment niet of niet tijdig laten uitvoeren, riskeren afsluiting van hun DigiD-koppeling. Dit betekent dat burgers geen gebruik meer kunnen maken van digitale diensten, wat grote operationele en reputatieschade veroorzaakt. Het assessment is dus niet alleen een wettelijke verplichting, maar ook essentieel voor de continuïteit van uw dienstverlening.
Welke organisaties moeten een DigiD-assessment laten uitvoeren?
Alle organisaties die gebruikmaken van een DigiD-koppeling moeten jaarlijks een beveiligingsassessment laten uitvoeren. Dit omvat gemeenten, ministeries, agentschappen, waterschappen en andere overheidsorganisaties die online diensten aanbieden waarbij burgers inloggen met DigiD. Ook zorginstellingen zoals ziekenhuizen, GGZ-instellingen, GGD’s en andere zorgaanbieders die patiëntenportalen of digitale zorgtoepassingen hebben met DigiD-authenticatie vallen onder deze verplichting.
De verplichting geldt ook voor IT-leveranciers en hostingpartijen die namens hun klanten DigiD-koppelingen beheren. Zij kunnen echter kiezen voor een Third Party Mededeling (TPM-verklaring), waarbij één assessment wordt uitgevoerd dat geldt voor al hun klanten. Dit voorkomt dat elke individuele klant een apart assessment moet laten uitvoeren, wat tijd en kosten bespaart.
Het assessment moet worden uitgevoerd voordat een nieuwe DigiD-koppeling live gaat. Dit betekent dat organisaties die een nieuw digitaal portaal of online dienst ontwikkelen, eerst een goedgekeurd assessment moeten hebben voordat burgers er daadwerkelijk gebruik van kunnen maken. Na de eerste goedkeuring volgt een jaarlijkse hertoetsing om te waarborgen dat de beveiliging op peil blijft.
Bij uitbestede systemen ligt de verantwoordelijkheid voor het assessment bij de organisatie die de dienst aan burgers aanbiedt, niet bij de leverancier. Een gemeente blijft dus verantwoordelijk, ook als het systeem door een externe partij wordt beheerd. Wel kan de gemeente steunen op een TPM-verklaring van de leverancier voor het technische deel, waardoor het assessment bij de gemeente zelf beperkt kan blijven tot de organisatorische aspecten.
Organisaties die niet voldoen aan de assessmentverplichting ontvangen eerst een waarschuwing van Logius. Als de situatie niet binnen de gestelde termijn wordt hersteld, volgt afsluiting van de DigiD-koppeling. Dit heeft directe gevolgen voor burgers die geen toegang meer hebben tot digitale diensten, wat kan leiden tot klachten, reputatieschade en extra werkdruk door terugval op handmatige processen.
Hoe werkt het proces van een DigiD-assessment?
Het DigiD-assessment begint met een intake en scopebepaling. De auditor bespreekt met uw organisatie welke systemen en applicaties worden onderzocht, welke DigiD-koppelingen actief zijn en wat de planning wordt. Deze fase zorgt voor helderheid over wat er verwacht wordt en voorkomt misverstanden later in het proces. U ontvangt een documentatieverzoek waarmee u overzichtelijk in kaart brengt welke procedures, beleidsregels en technische documentatie beschikbaar zijn.
Na de voorbereidende fase volgt de documentatiebeoordeling. De auditor controleert of uw beveiligingsbeleid, toegangscontroleprocedures, incidentresponsplannen en technische architectuurdocumentatie compleet en actueel zijn. Deze documenten moeten aantonen dat uw organisatie de beveiliging van DigiD-koppelingen serieus neemt en dat er duidelijke verantwoordelijkheden zijn belegd. Ontbrekende of verouderde documentatie leidt vaak tot bevindingen die eerst opgelost moeten worden.
Het technische onderzoek omvat penetratietesten en vulnerabilityscans die de daadwerkelijke beveiliging van uw systemen toetsen. Gecertificeerde pentesters proberen kwetsbaarheden te vinden in webapplicaties, systeemkoppelingen en webomgevingen. Deze tests worden zorgvuldig met u afgestemd om operationele verstoringen te voorkomen. Als uw leverancier beschikt over een geldige TPM-verklaring, kunnen deze technische tests vaak vervallen omdat de auditor daarop kan steunen.
Tijdens het assessment voert de auditor interviews met sleutelfiguren zoals IT-beheerders, informatiebeveiligingsfunctionarissen en proceseigenaren. Deze gesprekken geven inzicht in hoe procedures in de praktijk worden toegepast en of medewerkers zich bewust zijn van hun verantwoordelijkheden. De auditor controleert ook praktische zaken zoals logregistratie, toegangsrechten en wijzigingsbeheer.
De bevindingen worden vastgelegd in een conceptrapportage waarin per beveiligingsmaatregel wordt aangegeven of deze voldoet. De rapportage bevat concrete aanbevelingen om tekortkomingen op te heffen. In een afsluitend gesprek licht de auditor de bevindingen toe en beantwoordt vragen. Na eventuele verbeteringen en een hertest wordt de definitieve rapportage opgesteld, die u naar Logius verstuurt als bewijs van compliance. Het hele proces duurt doorgaans enkele weken, afhankelijk van de complexiteit van uw omgeving en de snelheid waarmee verbetermaatregelen kunnen worden doorgevoerd.
Wat zijn de kosten van een DigiD-assessment?
De kosten van een DigiD-assessment variëren aanzienlijk, afhankelijk van verschillende factoren. De omvang van uw organisatie speelt een belangrijke rol: een kleine gemeente met één eenvoudige DigiD-koppeling heeft een minder omvangrijk assessment nodig dan een groot ziekenhuis met meerdere complexe patiëntenportalen en zorgtoepassingen. Ook het aantal systemen en applicaties dat moet worden onderzocht beïnvloedt de prijs direct.
De complexiteit van uw DigiD-implementatie is een cruciale kostenfactor. Als u gebruikmaakt van standaardsoftware met een TPM-verklaring van de leverancier, kan het assessment beperkt blijven tot organisatorische aspecten. Dit bespaart aanzienlijk op de audituren en testactiviteiten. Bij maatwerk-applicaties of complexe integraties zijn uitgebreide penetratietesten nodig, wat de kosten verhoogt.
Typische kostencomponenten zijn de audituren voor documentatiebeoordeling en interviews, de technische testactiviteiten zoals penetratietesten en vulnerabilityscans, en de rapportage. Veel organisaties onderschatten de voorbereidingstijd die nodig is om documentatie op orde te brengen en systemen test-gereed te maken. Deze interne uren komen bovenop de externe auditkosten.
Naast de initiële assessmentkosten moet u rekening houden met mogelijke kosten voor remediatie en hertoetsing. Als het assessment tekortkomingen aan het licht brengt, moet u eerst verbetermaatregelen doorvoeren voordat een positieve verklaring kan worden afgegeven. Een hertest om te verifiëren dat de verbeteringen effectief zijn, brengt extra kosten met zich mee. Sommige auditbureaus hanteren vaste prijzen inclusief hertest, wat budgetzekerheid biedt.
Bij het budgetteren is het verstandig om te kiezen tussen vaste prijzen en uurtarieven. Vaste prijzen geven zekerheid en voorkomen discussies over meerwerk, maar vereisen wel een heldere scopeafbakening vooraf. Uurtarieven kunnen voordeliger zijn bij zeer eenvoudige koppelingen, maar bieden minder zekerheid over de totale investering. Vraag altijd een gedetailleerde offerte aan waarin duidelijk staat wat wel en niet is inbegrepen, inclusief eventuele hertests en reiskosten.
Hoe bereid je je organisatie voor op een DigiD-assessment?
Goede voorbereiding op een DigiD-assessment bespaart tijd, voorkomt verrassingen en verhoogt de slagingskans aanzienlijk. Begin met het verzamelen van essentiële documentatie: uw informatiebeveiligingsbeleid, technische architectuurdocumentatie van systemen met DigiD-koppelingen, toegangscontroleprocedures en incidentresponsplannen. Deze documenten moeten actueel en compleet zijn, want verouderde of ontbrekende documentatie leidt vrijwel altijd tot bevindingen.
Zorg dat u inzicht heeft in alle actieve DigiD-koppelingen binnen uw organisatie. Het komt regelmatig voor dat organisaties vergeten koppelingen hebben of dat afdelingen onafhankelijk van elkaar DigiD-integraties hebben gerealiseerd. Maak een compleet overzicht van alle systemen, applicaties en diensten die DigiD gebruiken, inclusief de verantwoordelijke beheerders en proceseigenaren.
Een veelgemaakte voorbereidingsfout is het te laat betrekken van de juiste mensen. Het assessment vereist input van IT-beheerders, informatiebeveiligingsfunctionarissen en het management. Plan tijdig interviews en zorg dat deze personen beschikbaar zijn tijdens het assessment. Betrek ook uw IT-leveranciers vroeg in het proces, vooral als zij verantwoordelijk zijn voor technische aspecten van de DigiD-koppeling.
Voer een interne pre-assessment uit voordat de formele audit plaatsvindt. Doorloop zelf de beveiligingsrichtlijnen en controleer of uw organisatie aan de belangrijkste eisen voldoet. Veel auditbureaus bieden vragenlijsten of zelfonderzoeken aan waarmee u uw situatie vooraf in kaart kunt brengen. Dit helpt om grote problemen vroegtijdig te identificeren en op te lossen, voordat de officiële auditor ze constateert.
Controleer praktische zaken zoals logregistratie, back-upprocedures en toegangsrechten. Worden alle relevante gebeurtenissen gelogd? Zijn de logs beschikbaar en kunnen ze worden geanalyseerd? Hebben alleen geautoriseerde medewerkers toegang tot systemen met DigiD-koppelingen? Zijn er duidelijke procedures voor het toekennen en intrekken van toegangsrechten? Deze operationele aspecten worden tijdens het assessment gecontroleerd en kunnen eenvoudig vooraf op orde worden gebracht.
Maak gebruik van bestaande verklaringen en certificaten. Als uw organisatie beschikt over een NEN 7510-certificaat of ISO 27001-certificering, kan de auditor daarop steunen voor algemene beveiligingsaspecten. Als u werkt met leveranciers die een TPM-verklaring hebben, verzamel deze documenten dan vooraf. Dit kan het assessment aanzienlijk verkorten en de kosten verlagen, omdat bepaalde technische tests dan kunnen vervallen.
Plan voldoende tijd in voor het hele traject. Een DigiD-assessment is geen formaliteit die in een paar dagen is afgerond. Reken op enkele weken voor voorbereiding, uitvoering en eventuele verbetermaatregelen. Start daarom tijdig, zeker als uw huidige verklaring bijna verloopt of als u een nieuwe DigiD-koppeling live wilt laten gaan. Een goede voorbereiding zorgt voor een soepel verloop en een positief resultaat zonder onnodige vertraging of extra kosten.
Een DigiD-assessment is een verplichte beveiligingstoets voor organisaties die DigiD-authenticatie gebruiken in hun dienstverlening. Het assessment beoordeelt of de technische beveiliging en werkprocessen voldoen aan de strenge eisen die Logius stelt voor de bescherming van burgergegevens. Overheidsorganisaties, zorginstellingen en hun IT-leveranciers moeten dit jaarlijks laten uitvoeren om te mogen blijven werken met DigiD-koppelingen. Deze toets voorkomt beveiligingsrisico’s en waarborgt dat gevoelige informatie van burgers adequaat beschermd blijft.
Wat is een DigiD-assessment precies en waarom is het nodig?
Een DigiD-assessment is een onafhankelijke beveiligingsbeoordeling die vaststelt of uw organisatie voldoet aan de beveiligingsrichtlijnen van het Nationaal Cyber Security Center en de daarop gebaseerde normen van Logius. Het assessment onderzoekt of uw systemen, procedures en technische maatregelen voldoende bescherming bieden aan burgergegevens die via DigiD-authenticatie toegankelijk zijn. Deze toets is wettelijk verplicht voor alle organisaties die een koppeling hebben naar systemen waar gevoelige informatie te verkrijgen is.
De noodzaak van dit assessment ligt in de bescherming van burgers. DigiD geeft toegang tot zeer persoonlijke informatie zoals medische gegevens, financiële situaties en uitkeringsgegevens. Een beveiligingslek kan ernstige gevolgen hebben voor de privacy en veiligheid van duizenden burgers. Daarom heeft Logius, als beheerder van DigiD, strikte beveiligingseisen opgesteld die jaarlijks gecontroleerd moeten worden.
Het assessment moet worden uitgevoerd door een gecertificeerde IT-auditor volgens Richtlijn 3000 van NOREA, die betrekking heeft op het verrichten van assurance-werkzaamheden. Dit waarborgt dat de beoordeling onafhankelijk, objectief en volgens professionele standaarden plaatsvindt. De auditor controleert niet alleen technische aspecten, maar ook organisatorische maatregelen zoals toegangscontroles en incidentmanagement.
Organisaties die het assessment niet of niet tijdig laten uitvoeren, riskeren afsluiting van hun DigiD-koppeling. Dit betekent dat burgers geen gebruik meer kunnen maken van digitale diensten, wat grote operationele en reputatieschade veroorzaakt. Het assessment is dus niet alleen een wettelijke verplichting, maar ook essentieel voor de continuïteit van uw dienstverlening.
Welke organisaties moeten een DigiD-assessment laten uitvoeren?
Alle organisaties die gebruikmaken van een DigiD-koppeling moeten jaarlijks een beveiligingsassessment laten uitvoeren. Dit omvat gemeenten, ministeries, agentschappen, waterschappen en andere overheidsorganisaties die online diensten aanbieden waarbij burgers inloggen met DigiD. Ook zorginstellingen zoals ziekenhuizen, GGZ-instellingen, GGD’s en andere zorgaanbieders die patiëntenportalen of digitale zorgtoepassingen hebben met DigiD-authenticatie vallen onder deze verplichting.
De verplichting geldt ook voor IT-leveranciers en hostingpartijen die namens hun klanten DigiD-koppelingen beheren. Zij kunnen echter kiezen voor een Third Party Mededeling (TPM-verklaring), waarbij één assessment wordt uitgevoerd dat geldt voor al hun klanten. Dit voorkomt dat elke individuele klant een apart assessment moet laten uitvoeren, wat tijd en kosten bespaart.
Het assessment moet worden uitgevoerd voordat een nieuwe DigiD-koppeling live gaat. Dit betekent dat organisaties die een nieuw digitaal portaal of online dienst ontwikkelen, eerst een goedgekeurd assessment moeten hebben voordat burgers er daadwerkelijk gebruik van kunnen maken. Na de eerste goedkeuring volgt een jaarlijkse hertoetsing om te waarborgen dat de beveiliging op peil blijft.
Bij uitbestede systemen ligt de verantwoordelijkheid voor het assessment bij de organisatie die de dienst aan burgers aanbiedt, niet bij de leverancier. Een gemeente blijft dus verantwoordelijk, ook als het systeem door een externe partij wordt beheerd. Wel kan de gemeente steunen op een TPM-verklaring van de leverancier voor het technische deel, waardoor het assessment bij de gemeente zelf beperkt kan blijven tot de organisatorische aspecten.
Organisaties die niet voldoen aan de assessmentverplichting ontvangen eerst een waarschuwing van Logius. Als de situatie niet binnen de gestelde termijn wordt hersteld, volgt afsluiting van de DigiD-koppeling. Dit heeft directe gevolgen voor burgers die geen toegang meer hebben tot digitale diensten, wat kan leiden tot klachten, reputatieschade en extra werkdruk door terugval op handmatige processen.
Hoe werkt het proces van een DigiD-assessment?
Het DigiD-assessment begint met een intake en scopebepaling. De auditor bespreekt met uw organisatie welke systemen en applicaties worden onderzocht, welke DigiD-koppelingen actief zijn en wat de planning wordt. Deze fase zorgt voor helderheid over wat er verwacht wordt en voorkomt misverstanden later in het proces. U ontvangt een documentatieverzoek waarmee u overzichtelijk in kaart brengt welke procedures, beleidsregels en technische documentatie beschikbaar zijn.
Na de voorbereidende fase volgt de documentatiebeoordeling. De auditor controleert of uw beveiligingsbeleid, toegangscontroleprocedures, incidentresponsplannen en technische architectuurdocumentatie compleet en actueel zijn. Deze documenten moeten aantonen dat uw organisatie de beveiliging van DigiD-koppelingen serieus neemt en dat er duidelijke verantwoordelijkheden zijn belegd. Ontbrekende of verouderde documentatie leidt vaak tot bevindingen die eerst opgelost moeten worden.
Het technische onderzoek omvat penetratietesten en vulnerabilityscans die de daadwerkelijke beveiliging van uw systemen toetsen. Gecertificeerde pentesters proberen kwetsbaarheden te vinden in webapplicaties, systeemkoppelingen en webomgevingen. Deze tests worden zorgvuldig met u afgestemd om operationele verstoringen te voorkomen. Als uw leverancier beschikt over een geldige TPM-verklaring, kunnen deze technische tests vaak vervallen omdat de auditor daarop kan steunen.
Tijdens het assessment voert de auditor interviews met sleutelfiguren zoals IT-beheerders, informatiebeveiligingsfunctionarissen en proceseigenaren. Deze gesprekken geven inzicht in hoe procedures in de praktijk worden toegepast en of medewerkers zich bewust zijn van hun verantwoordelijkheden. De auditor controleert ook praktische zaken zoals logregistratie, toegangsrechten en wijzigingsbeheer.
De bevindingen worden vastgelegd in een conceptrapportage waarin per beveiligingsmaatregel wordt aangegeven of deze voldoet. De rapportage bevat concrete aanbevelingen om tekortkomingen op te heffen. In een afsluitend gesprek licht de auditor de bevindingen toe en beantwoordt vragen. Na eventuele verbeteringen en een hertest wordt de definitieve rapportage opgesteld, die u naar Logius verstuurt als bewijs van compliance. Het hele proces duurt doorgaans enkele weken, afhankelijk van de complexiteit van uw omgeving en de snelheid waarmee verbetermaatregelen kunnen worden doorgevoerd.
Wat zijn de kosten van een DigiD-assessment?
De kosten van een DigiD-assessment variëren aanzienlijk, afhankelijk van verschillende factoren. De omvang van uw organisatie speelt een belangrijke rol: een kleine gemeente met één eenvoudige DigiD-koppeling heeft een minder omvangrijk assessment nodig dan een groot ziekenhuis met meerdere complexe patiëntenportalen en zorgtoepassingen. Ook het aantal systemen en applicaties dat moet worden onderzocht beïnvloedt de prijs direct.
De complexiteit van uw DigiD-implementatie is een cruciale kostenfactor. Als u gebruikmaakt van standaardsoftware met een TPM-verklaring van de leverancier, kan het assessment beperkt blijven tot organisatorische aspecten. Dit bespaart aanzienlijk op de audituren en testactiviteiten. Bij maatwerk-applicaties of complexe integraties zijn uitgebreide penetratietesten nodig, wat de kosten verhoogt.
Typische kostencomponenten zijn de audituren voor documentatiebeoordeling en interviews, de technische testactiviteiten zoals penetratietesten en vulnerabilityscans, en de rapportage. Veel organisaties onderschatten de voorbereidingstijd die nodig is om documentatie op orde te brengen en systemen test-gereed te maken. Deze interne uren komen bovenop de externe auditkosten.
Naast de initiële assessmentkosten moet u rekening houden met mogelijke kosten voor remediatie en hertoetsing. Als het assessment tekortkomingen aan het licht brengt, moet u eerst verbetermaatregelen doorvoeren voordat een positieve verklaring kan worden afgegeven. Een hertest om te verifiëren dat de verbeteringen effectief zijn, brengt extra kosten met zich mee. Sommige auditbureaus hanteren vaste prijzen inclusief hertest, wat budgetzekerheid biedt.
Bij het budgetteren is het verstandig om te kiezen tussen vaste prijzen en uurtarieven. Vaste prijzen geven zekerheid en voorkomen discussies over meerwerk, maar vereisen wel een heldere scopeafbakening vooraf. Uurtarieven kunnen voordeliger zijn bij zeer eenvoudige koppelingen, maar bieden minder zekerheid over de totale investering. Vraag altijd een gedetailleerde offerte aan waarin duidelijk staat wat wel en niet is inbegrepen, inclusief eventuele hertests en reiskosten.
Hoe bereid je je organisatie voor op een DigiD-assessment?
Goede voorbereiding op een DigiD-assessment bespaart tijd, voorkomt verrassingen en verhoogt de slagingskans aanzienlijk. Begin met het verzamelen van essentiële documentatie: uw informatiebeveiligingsbeleid, technische architectuurdocumentatie van systemen met DigiD-koppelingen, toegangscontroleprocedures en incidentresponsplannen. Deze documenten moeten actueel en compleet zijn, want verouderde of ontbrekende documentatie leidt vrijwel altijd tot bevindingen.
Zorg dat u inzicht heeft in alle actieve DigiD-koppelingen binnen uw organisatie. Het komt regelmatig voor dat organisaties vergeten koppelingen hebben of dat afdelingen onafhankelijk van elkaar DigiD-integraties hebben gerealiseerd. Maak een compleet overzicht van alle systemen, applicaties en diensten die DigiD gebruiken, inclusief de verantwoordelijke beheerders en proceseigenaren.
Een veelgemaakte voorbereidingsfout is het te laat betrekken van de juiste mensen. Het assessment vereist input van IT-beheerders, informatiebeveiligingsfunctionarissen en het management. Plan tijdig interviews en zorg dat deze personen beschikbaar zijn tijdens het assessment. Betrek ook uw IT-leveranciers vroeg in het proces, vooral als zij verantwoordelijk zijn voor technische aspecten van de DigiD-koppeling.
Voer een interne pre-assessment uit voordat de formele audit plaatsvindt. Doorloop zelf de beveiligingsrichtlijnen en controleer of uw organisatie aan de belangrijkste eisen voldoet. Veel auditbureaus bieden vragenlijsten of zelfonderzoeken aan waarmee u uw situatie vooraf in kaart kunt brengen. Dit helpt om grote problemen vroegtijdig te identificeren en op te lossen, voordat de officiële auditor ze constateert.
Controleer praktische zaken zoals logregistratie, back-upprocedures en toegangsrechten. Worden alle relevante gebeurtenissen gelogd? Zijn de logs beschikbaar en kunnen ze worden geanalyseerd? Hebben alleen geautoriseerde medewerkers toegang tot systemen met DigiD-koppelingen? Zijn er duidelijke procedures voor het toekennen en intrekken van toegangsrechten? Deze operationele aspecten worden tijdens het assessment gecontroleerd en kunnen eenvoudig vooraf op orde worden gebracht.
Maak gebruik van bestaande verklaringen en certificaten. Als uw organisatie beschikt over een NEN 7510-certificaat of ISO 27001-certificering, kan de auditor daarop steunen voor algemene beveiligingsaspecten. Als u werkt met leveranciers die een TPM-verklaring hebben, verzamel deze documenten dan vooraf. Dit kan het assessment aanzienlijk verkorten en de kosten verlagen, omdat bepaalde technische tests dan kunnen vervallen.
Plan voldoende tijd in voor het hele traject. Een DigiD-assessment is geen formaliteit die in een paar dagen is afgerond. Reken op enkele weken voor voorbereiding, uitvoering en eventuele verbetermaatregelen. Start daarom tijdig, zeker als uw huidige verklaring bijna verloopt of als u een nieuwe DigiD-koppeling live wilt laten gaan. Een goede voorbereiding zorgt voor een soepel verloop en een positief resultaat zonder onnodige vertraging of extra kosten.