Wat is een TPM-verklaring voor DigiD?
Een TPM-verklaring voor DigiD is een formele complianceverklaring waarin een onafhankelijke auditor bevestigt dat de technische en procedurele maatregelen van een organisatie voldoen aan de beveiligingseisen van Logius voor DigiD-koppelingen. Deze verklaring beschermt authenticatiegegevens van burgers en toont aan dat systemen en processen aan de verplichte veiligheidsnormen voldoen. De TPM-verklaring is een cruciaal onderdeel van het bredere DigiD-beveiligingslandschap voor organisaties die digitale dienstverlening via DigiD aanbieden.
Wat houdt een TPM-verklaring voor DigiD precies in?
Een TPM-verklaring (Technische Proceduremaatregel) is een formele bevestiging dat uw organisatie voldoet aan de beveiligingseisen die Logius stelt voor het gebruik van DigiD. De verklaring certificeert dat zowel uw technische systemen als uw organisatorische procedures adequaat zijn ingericht om de authenticatiegegevens van burgers te beschermen.
De TPM-verklaring speelt een specifieke rol binnen het DigiD-beveiligingsraamwerk. Waar het reguliere DigiD assessment zich richt op de betrouwbaarheid van uw webapplicatie en digitale loket, gaat de TPM-verklaring dieper in op de onderliggende infrastructuur en procedurele waarborgen. Dit onderscheid is belangrijk omdat burgers via DigiD toegang krijgen tot gevoelige persoonsgegevens en overheidsdiensten.
Organisaties die een TPM-verklaring nodig hebben zijn meestal softwareleveranciers, hostingproviders en organisaties met on-premise webapplicaties die DigiD-koppelingen faciliteren. Als u een SAAS-applicatie gebruikt, kan uw leverancier een TPM-verklaring (ook wel Third Party Memorandum genoemd) aan u verstrekken, waardoor u zelf minder uitgebreid getoetst hoeft te worden tijdens uw eigen DigiD audit.
Waarom is een TPM-verklaring verplicht voor DigiD-koppelingen?
De TPM-verklaring is verplicht omdat DigiD toegang geeft tot vertrouwelijke burgergegevens en overheidssystemen. Logius draagt als toezichthouder de verantwoordelijkheid voor de betrouwbaarheid van het hele DigiD-stelsel en stelt daarom strenge eisen aan alle partijen die DigiD-koppelingen implementeren. De verklaring beschermt tegen identiteitsfraude en ongeautoriseerde toegang tot gevoelige systemen.
Zonder geldige TPM-verklaring opereert u in strijd met de voorwaarden van Logius. Dit brengt juridische aansprakelijkheid met zich mee wanneer er een beveiligingsincident plaatsvindt. Uw organisatie loopt het risico op sancties, waaronder het opschorten van uw DigiD-koppeling, wat directe gevolgen heeft voor uw digitale dienstverlening aan burgers.
De verplichting geldt met name voor leveranciers die de technische infrastructuur verzorgen. Als hostingprovider of softwareleverancier moet u kunnen aantonen dat uw systemen en processen de authenticatiegegevens adequaat beschermen. Voor afnemende organisaties betekent een geldige TPM-verklaring van hun leverancier dat zij kunnen vertrouwen op de onderliggende beveiliging, wat hun eigen DigiD assessment vereenvoudigt.
Hoe verschilt een TPM-verklaring van andere DigiD-assessments?
Een TPM-verklaring richt zich specifiek op de technische en procedurele maatregelen van de infrastructuur en hostingomgeving, terwijl het reguliere DigiD beveiligingsassessment de volledige webapplicatie en het digitale loket toetst. Het DigiD assessment controleert of burgers veilig kunnen inloggen en of uw portaal aan alle beveiligingseisen voldoet, inclusief penetratietesten op de webapplicatie zelf.
De TPM-verklaring kijkt een laag dieper naar de onderliggende systemen. Het onderzoekt de hosting-infrastructuur, netwerkbeveiliging, systeemkoppelingen en de organisatorische processen die de technische omgeving ondersteunen. Deze verklaring wordt meestal afgegeven door of voor leveranciers die de technische basis verzorgen waarop DigiD-applicaties draaien.
Binnen het complete DigiD-compliancelandschap werken beide assessments samen. Wanneer u als organisatie beschikt over een geldige TPM-verklaring van uw SAAS-leverancier, beperkt uw eigen jaarlijkse DigiD assessment zich vaak tot uw contracten, procedures en beveiligingsorganisatie. De uitgebreide penetratietesten op infrastructuurniveau zijn dan niet meer nodig, omdat de TPM-verklaring deze al dekt. Een initikle DigiD-koppeling vereist altijd een volledig assessment, terwijl wijzigingsassessments alleen nodig zijn bij significante aanpassingen aan uw systemen of DigiD-implementatie.
Wat wordt er precies getoetst tijdens een TPM-assessment?
Een TPM-assessment evalueert meerdere beveiligingslagen tegelijkertijd. De technische beveiligingsmaatregelen omvatten encryptie van gegevens tijdens transport en opslag, authenticatiemechanismen voor systeemtoegang, en logging van alle relevante beveiligingsgebeurtenissen. Auditors voeren zowel blackbox als greybox penetratietesten uit om kwetsbaarheden in webapplicaties en systeemkoppelingen bloot te leggen.
De procedurele maatregelen krijgen evenveel aandacht. Hierbij wordt getoetst of uw incidentresponsprocessen adequaat zijn ingericht, hoe u toegangsbeheer organiseert, en of uw wijzigingsbeheer waarborgt dat beveiligingseisen bij systeemwijzigingen geborgd blijven. De auditor beoordeelt contracten met onderaannemers, de inrichting van uw beveiligingsorganisatie, en de toewijzing van verantwoordelijkheden.
De infrastructuurbeveiliging wordt grondig onderzocht, waarbij zowel de interne als externe infrastructuur beoordeeld wordt. Dit omvat netwerkscheidingen, firewallconfiguraties, en de beveiliging van de hostingomgeving. Alle bevindingen moeten voldoen aan de technische eisen die Logius stelt voor DigiD-koppelingen.
De assessmentmethodologie volgt de Richtlijn 3000 van NOREA voor assurance-werkzaamheden. Dit betekent dat gecertificeerde Register IT-auditors het onderzoek uitvoeren met strikte eisen aan herleidbaarheid en documentatie. U moet relevante configuratie-instellingen en privileges beschikbaar stellen, wat volledige medewerking van uw IT-personeel en leveranciers vereist.
Hoe lang duurt het proces om een TPM-verklaring te verkrijgen?
Het verkrijgen van een TPM-verklaring doorloopt verschillende fases met een totale doorlooptijd van gemiddeld zes tot tien weken. De voorbereidingsfase neemt ongeveer twee tot drie weken in beslag, waarin u documentatie verzamelt en een quick scan plaatsvindt om uw situatie in kaart te brengen. Een vragenlijst helpt bij het identificeren van welke systemen en processen onderzocht moeten worden.
De daadwerkelijke assessmentuitvoering duurt doorgaans twee tot vier weken. In deze periode voeren gecertificeerde pentesters de penetratietesten uit, waarbij eerst een blackbox test nagaat of ongeautoriseerde toegang mogelijk is, gevolgd door greybox testen op de achterliggende systemen. Tegelijkertijd beoordeelt de auditor uw contracten, procedures en beveiligingsorganisatie ter plaatse.
Wanneer het assessment afwijkingen oplevert, heeft u tijd nodig voor remediatie. Deze fase varieert sterk, van enkele dagen voor kleine aanpassingen tot meerdere weken voor substantikle verbeteringen. Na implementatie van de verbetermaatregelen volgt een hertest om te bevestigen dat de tekortkomingen zijn opgelost. De definitieve TPM-verklaring wordt daarna binnen een week opgeleverd.
Factoren die de tijdlijn beïnvloeden zijn uw organisatiegereedheid, de complexiteit van uw DigiD-implementatie, en de beschikbaarheid van documentatie. Organisaties met goed gedocumenteerde processen en een sterke beveiligingsbasis doorlopen het proces sneller. Plan bij initiële assessments ruimer, en houd bij hernieuwingen rekening met eventuele systeemwijzigingen die extra onderzoek vereisen.
Wanneer moet een TPM-verklaring worden vernieuwd of geactualiseerd?
De geldigheidsduur van een TPM-verklaring hangt af van de afspraken met Logius en de aard van uw dienstverlening. Veel TPM-verklaringen hebben een geldigheidsduur van kn tot drie jaar, maar significante wijzigingen in uw systemen kunnen tussentijdse hertoetsing noodzakelijk maken. Dit voorkomt dat u met een formeel geldige maar feitelijk verouderde verklaring opereert.
Verschillende omstandigheden triggeren de noodzaak voor hertoetsing. Belangrijke infrastructuurwijzigingen, zoals migratie naar een nieuwe hostingomgeving of aanpassingen aan uw netwerkarchitectuur, vereisen een nieuw assessment. Ook wijzigingen in de scope van uw DigiD-integratie, bijvoorbeeld het toevoegen van nieuwe betrouwbaarheidsniveaus of diensten, maken actualisatie nodig.
Tussen formele assessments door blijft u verantwoordelijk voor het handhaven van de beveiligingsmaatregelen. Implementeer een systematische aanpak voor wijzigingsbeheer waarbij beveiligingsimpact altijd wordt beoordeeld. Documenteer alle relevante systeemwijzigingen zodat u bij het volgende assessment direct kunt aantonen welke aanpassingen zijn doorgevoerd.
Voor effectief TPM-levenscyclusbeheer integreert u de vernieuwingsmomenten in uw meerjarige planning en budgetcyclus. Plan hertoetsingen ruim van tevoren in, zodat u niet onder tijdsdruk komt te staan. Veel organisaties kiezen voor een abonnementsvorm waarbij jaarlijkse controles geborgd zijn, wat continuiteit in compliance waarborgt en voorkomt dat verklaringen onverwacht verlopen.
De TPM-verklaring vormt samen met uw jaarlijkse DigiD assessment een compleet beveiligingsraamwerk voor uw digitale dienstverlening. Door beide verklaringen actueel te houden, toont u aan dat zowel uw applicatielaag als uw onderliggende infrastructuur continu voldoen aan de strenge eisen die Logius stelt. Dit beschermt niet alleen de privacy van burgers, maar geeft uw organisatie ook de zekerheid dat u compliant blijft opereren binnen het DigiD-stelsel.
Een TPM-verklaring voor DigiD is een formele complianceverklaring waarin een onafhankelijke auditor bevestigt dat de technische en procedurele maatregelen van een organisatie voldoen aan de beveiligingseisen van Logius voor DigiD-koppelingen. Deze verklaring beschermt authenticatiegegevens van burgers en toont aan dat systemen en processen aan de verplichte veiligheidsnormen voldoen. De TPM-verklaring is een cruciaal onderdeel van het bredere DigiD-beveiligingslandschap voor organisaties die digitale dienstverlening via DigiD aanbieden.
Wat houdt een TPM-verklaring voor DigiD precies in?
Een TPM-verklaring (Technische Proceduremaatregel) is een formele bevestiging dat uw organisatie voldoet aan de beveiligingseisen die Logius stelt voor het gebruik van DigiD. De verklaring certificeert dat zowel uw technische systemen als uw organisatorische procedures adequaat zijn ingericht om de authenticatiegegevens van burgers te beschermen.
De TPM-verklaring speelt een specifieke rol binnen het DigiD-beveiligingsraamwerk. Waar het reguliere DigiD assessment zich richt op de betrouwbaarheid van uw webapplicatie en digitale loket, gaat de TPM-verklaring dieper in op de onderliggende infrastructuur en procedurele waarborgen. Dit onderscheid is belangrijk omdat burgers via DigiD toegang krijgen tot gevoelige persoonsgegevens en overheidsdiensten.
Organisaties die een TPM-verklaring nodig hebben zijn meestal softwareleveranciers, hostingproviders en organisaties met on-premise webapplicaties die DigiD-koppelingen faciliteren. Als u een SAAS-applicatie gebruikt, kan uw leverancier een TPM-verklaring (ook wel Third Party Memorandum genoemd) aan u verstrekken, waardoor u zelf minder uitgebreid getoetst hoeft te worden tijdens uw eigen DigiD audit.
Waarom is een TPM-verklaring verplicht voor DigiD-koppelingen?
De TPM-verklaring is verplicht omdat DigiD toegang geeft tot vertrouwelijke burgergegevens en overheidssystemen. Logius draagt als toezichthouder de verantwoordelijkheid voor de betrouwbaarheid van het hele DigiD-stelsel en stelt daarom strenge eisen aan alle partijen die DigiD-koppelingen implementeren. De verklaring beschermt tegen identiteitsfraude en ongeautoriseerde toegang tot gevoelige systemen.
Zonder geldige TPM-verklaring opereert u in strijd met de voorwaarden van Logius. Dit brengt juridische aansprakelijkheid met zich mee wanneer er een beveiligingsincident plaatsvindt. Uw organisatie loopt het risico op sancties, waaronder het opschorten van uw DigiD-koppeling, wat directe gevolgen heeft voor uw digitale dienstverlening aan burgers.
De verplichting geldt met name voor leveranciers die de technische infrastructuur verzorgen. Als hostingprovider of softwareleverancier moet u kunnen aantonen dat uw systemen en processen de authenticatiegegevens adequaat beschermen. Voor afnemende organisaties betekent een geldige TPM-verklaring van hun leverancier dat zij kunnen vertrouwen op de onderliggende beveiliging, wat hun eigen DigiD assessment vereenvoudigt.
Hoe verschilt een TPM-verklaring van andere DigiD-assessments?
Een TPM-verklaring richt zich specifiek op de technische en procedurele maatregelen van de infrastructuur en hostingomgeving, terwijl het reguliere DigiD beveiligingsassessment de volledige webapplicatie en het digitale loket toetst. Het DigiD assessment controleert of burgers veilig kunnen inloggen en of uw portaal aan alle beveiligingseisen voldoet, inclusief penetratietesten op de webapplicatie zelf.
De TPM-verklaring kijkt een laag dieper naar de onderliggende systemen. Het onderzoekt de hosting-infrastructuur, netwerkbeveiliging, systeemkoppelingen en de organisatorische processen die de technische omgeving ondersteunen. Deze verklaring wordt meestal afgegeven door of voor leveranciers die de technische basis verzorgen waarop DigiD-applicaties draaien.
Binnen het complete DigiD-compliancelandschap werken beide assessments samen. Wanneer u als organisatie beschikt over een geldige TPM-verklaring van uw SAAS-leverancier, beperkt uw eigen jaarlijkse DigiD assessment zich vaak tot uw contracten, procedures en beveiligingsorganisatie. De uitgebreide penetratietesten op infrastructuurniveau zijn dan niet meer nodig, omdat de TPM-verklaring deze al dekt. Een initikle DigiD-koppeling vereist altijd een volledig assessment, terwijl wijzigingsassessments alleen nodig zijn bij significante aanpassingen aan uw systemen of DigiD-implementatie.
Wat wordt er precies getoetst tijdens een TPM-assessment?
Een TPM-assessment evalueert meerdere beveiligingslagen tegelijkertijd. De technische beveiligingsmaatregelen omvatten encryptie van gegevens tijdens transport en opslag, authenticatiemechanismen voor systeemtoegang, en logging van alle relevante beveiligingsgebeurtenissen. Auditors voeren zowel blackbox als greybox penetratietesten uit om kwetsbaarheden in webapplicaties en systeemkoppelingen bloot te leggen.
De procedurele maatregelen krijgen evenveel aandacht. Hierbij wordt getoetst of uw incidentresponsprocessen adequaat zijn ingericht, hoe u toegangsbeheer organiseert, en of uw wijzigingsbeheer waarborgt dat beveiligingseisen bij systeemwijzigingen geborgd blijven. De auditor beoordeelt contracten met onderaannemers, de inrichting van uw beveiligingsorganisatie, en de toewijzing van verantwoordelijkheden.
De infrastructuurbeveiliging wordt grondig onderzocht, waarbij zowel de interne als externe infrastructuur beoordeeld wordt. Dit omvat netwerkscheidingen, firewallconfiguraties, en de beveiliging van de hostingomgeving. Alle bevindingen moeten voldoen aan de technische eisen die Logius stelt voor DigiD-koppelingen.
De assessmentmethodologie volgt de Richtlijn 3000 van NOREA voor assurance-werkzaamheden. Dit betekent dat gecertificeerde Register IT-auditors het onderzoek uitvoeren met strikte eisen aan herleidbaarheid en documentatie. U moet relevante configuratie-instellingen en privileges beschikbaar stellen, wat volledige medewerking van uw IT-personeel en leveranciers vereist.
Hoe lang duurt het proces om een TPM-verklaring te verkrijgen?
Het verkrijgen van een TPM-verklaring doorloopt verschillende fases met een totale doorlooptijd van gemiddeld zes tot tien weken. De voorbereidingsfase neemt ongeveer twee tot drie weken in beslag, waarin u documentatie verzamelt en een quick scan plaatsvindt om uw situatie in kaart te brengen. Een vragenlijst helpt bij het identificeren van welke systemen en processen onderzocht moeten worden.
De daadwerkelijke assessmentuitvoering duurt doorgaans twee tot vier weken. In deze periode voeren gecertificeerde pentesters de penetratietesten uit, waarbij eerst een blackbox test nagaat of ongeautoriseerde toegang mogelijk is, gevolgd door greybox testen op de achterliggende systemen. Tegelijkertijd beoordeelt de auditor uw contracten, procedures en beveiligingsorganisatie ter plaatse.
Wanneer het assessment afwijkingen oplevert, heeft u tijd nodig voor remediatie. Deze fase varieert sterk, van enkele dagen voor kleine aanpassingen tot meerdere weken voor substantikle verbeteringen. Na implementatie van de verbetermaatregelen volgt een hertest om te bevestigen dat de tekortkomingen zijn opgelost. De definitieve TPM-verklaring wordt daarna binnen een week opgeleverd.
Factoren die de tijdlijn beïnvloeden zijn uw organisatiegereedheid, de complexiteit van uw DigiD-implementatie, en de beschikbaarheid van documentatie. Organisaties met goed gedocumenteerde processen en een sterke beveiligingsbasis doorlopen het proces sneller. Plan bij initiële assessments ruimer, en houd bij hernieuwingen rekening met eventuele systeemwijzigingen die extra onderzoek vereisen.
Wanneer moet een TPM-verklaring worden vernieuwd of geactualiseerd?
De geldigheidsduur van een TPM-verklaring hangt af van de afspraken met Logius en de aard van uw dienstverlening. Veel TPM-verklaringen hebben een geldigheidsduur van kn tot drie jaar, maar significante wijzigingen in uw systemen kunnen tussentijdse hertoetsing noodzakelijk maken. Dit voorkomt dat u met een formeel geldige maar feitelijk verouderde verklaring opereert.
Verschillende omstandigheden triggeren de noodzaak voor hertoetsing. Belangrijke infrastructuurwijzigingen, zoals migratie naar een nieuwe hostingomgeving of aanpassingen aan uw netwerkarchitectuur, vereisen een nieuw assessment. Ook wijzigingen in de scope van uw DigiD-integratie, bijvoorbeeld het toevoegen van nieuwe betrouwbaarheidsniveaus of diensten, maken actualisatie nodig.
Tussen formele assessments door blijft u verantwoordelijk voor het handhaven van de beveiligingsmaatregelen. Implementeer een systematische aanpak voor wijzigingsbeheer waarbij beveiligingsimpact altijd wordt beoordeeld. Documenteer alle relevante systeemwijzigingen zodat u bij het volgende assessment direct kunt aantonen welke aanpassingen zijn doorgevoerd.
Voor effectief TPM-levenscyclusbeheer integreert u de vernieuwingsmomenten in uw meerjarige planning en budgetcyclus. Plan hertoetsingen ruim van tevoren in, zodat u niet onder tijdsdruk komt te staan. Veel organisaties kiezen voor een abonnementsvorm waarbij jaarlijkse controles geborgd zijn, wat continuiteit in compliance waarborgt en voorkomt dat verklaringen onverwacht verlopen.
De TPM-verklaring vormt samen met uw jaarlijkse DigiD assessment een compleet beveiligingsraamwerk voor uw digitale dienstverlening. Door beide verklaringen actueel te houden, toont u aan dat zowel uw applicatielaag als uw onderliggende infrastructuur continu voldoen aan de strenge eisen die Logius stelt. Dit beschermt niet alleen de privacy van burgers, maar geeft uw organisatie ook de zekerheid dat u compliant blijft opereren binnen het DigiD-stelsel.