Wat is het verschil tussen een her-audit en een nieuwe DigiD audit?

Wat is het verschil tussen een her-audit en een nieuwe DigiD audit?
Wat is het verschil tussen een her-audit en een nieuwe DigiD audit?

Een heraudit bij DigiD is een verkorte controle die plaatsvindt wanneer er bij de vorige DigiD-audit bevindingen waren, terwijl een nieuwe audit een volledige beoordeling is van alle aspecten van je DigiD-implementatie. Het verschil zit in de scope, de duur en de aanpak van de controle.

Onvoldoende voorbereiding op heraudits kost je extra tijd

Veel organisaties onderschatten de voorbereiding die nodig is voor een DigiD-heraudit en denken dat het een formaliteit is. Dit leidt tot situaties waarin de heraudit niet wordt gehaald, waardoor je alsnog een volledige nieuwe audit moet laten uitvoeren. Dit betekent extra tijdsdruk en mogelijk problemen met je jaarlijkse rapportage aan Logius. Zorg ervoor dat je alle bevindingen uit de vorige audit volledig hebt weggenomen voordat je de heraudit plant.

Verkeerde timing van je heraudit verstoort je complianceplanning

Organisaties plannen hun DigiD-heraudit vaak te laat in het jaar, waardoor er onvoldoende tijd is voor eventuele correcties als de heraudit niet wordt gehaald. Dit zorgt voor stress rond de deadline van 1 mei en kan leiden tot een onvolledige rapportage aan Logius. Plan je heraudit vroeg in het jaar, zodat je nog tijd hebt voor aanpassingen en eventueel een nieuwe volledige audit als dat nodig blijkt.

Wanneer heb je een heraudit nodig bij DigiD?

Je hebt een DigiD-heraudit nodig wanneer je vorige audit bevindingen bevatte die moesten worden weggenomen. De heraudit controleert specifiek of deze bevindingen daadwerkelijk zijn opgelost en of je systeem nu volledig voldoet aan de DigiD-eisen.

Een heraudit is alleen mogelijk als de bevindingen uit je vorige audit niet kritisch waren. Bij kritieke bevindingen moet altijd een volledige nieuwe audit worden uitgevoerd. De heraudit richt zich uitsluitend op de punten die in de vorige audit als onvoldoende werden beoordeeld.

Het is belangrijk om te weten dat een heraudit alleen kan plaatsvinden binnen een bepaalde termijn na de oorspronkelijke audit. Na deze termijn moet je altijd een nieuwe volledige audit laten uitvoeren, ongeacht of je de bevindingen hebt weggenomen.

Hoe lang duurt een heraudit in vergelijking met een nieuwe DigiD-audit?

Een DigiD-heraudit duurt doorgaans 1 tot 2 dagen, terwijl een volledige nieuwe audit 3 tot 5 dagen in beslag neemt. De exacte duur hangt af van het aantal bevindingen dat moet worden gecontroleerd en de complexiteit van je systeem.

De kortere doorlooptijd van een heraudit komt doordat de auditor zich alleen richt op de specifieke punten die in de vorige audit onvoldoende waren. Er hoeft geen volledige beoordeling plaats te vinden van alle DigiD-aspecten.

Voor de planning is het belangrijk om rekening te houden met eventuele voorbereidingstijd. Ook bij een heraudit moet je documentatie actualiseren en eventuele wijzigingen in je systeem documenteren sinds de vorige audit.

Welke documentatie heb je nodig voor een heraudit?

Voor een DigiD-heraudit heb je bewijs nodig dat alle bevindingen uit de vorige audit zijn weggenomen. Dit omvat aangepaste procedures, technische wijzigingen, nieuwe configuraties en bijgewerkte documentatie die specifiek betrekking hebben op de geconstateerde tekortkomingen.

Zorg ervoor dat je een duidelijke mapping maakt tussen elke bevinding uit de vorige audit en de maatregelen die je hebt genomen. Dit versnelt het auditproces en toont aan dat je systematisch aan de verbeteringen hebt gewerkt.

Daarnaast moet je eventuele wijzigingen in je systeem of organisatie sinds de vorige audit documenteren. Ook al richt de heraudit zich op specifieke bevindingen, de auditor moet kunnen beoordelen of nieuwe ontwikkelingen invloed hebben op de DigiD-compliance.

Hoe BKBO helpt met DigiD-heraudits

Wij maken het verschil tussen heraudits en nieuwe audits helder en begeleiden je naar de juiste keuze voor jouw situatie. Onze aanpak zorgt ervoor dat je geen tijd verspilt aan onnodige procedures:

  • Duidelijke beoordeling of een heraudit mogelijk is of dat een nieuwe audit nodig is
  • Heraudits worden pro deo uitgevoerd, zodat je niet voor verrassingen komt te staan
  • Snelle planning en uitvoering van heraudits binnen 1 tot 2 werkdagen
  • Concrete begeleiding bij het wegwerken van bevindingen uit eerdere audits
  • Tijdige rapportage, zodat je ruim voor de deadline van 1 mei klaar bent

Met onze ervaring van meer dan 2.500 afgeronde audits weten we precies wat er nodig is voor een succesvolle DigiD-heraudit. Bij een onvoldoende resultaat voeren wij pro deo een heraudit uit. Neem contact op voor een vrijblijvende offerte.

Veelgestelde vragen

Hoe weet ik zeker dat alle bevindingen uit mijn vorige audit volledig zijn weggenomen?

Maak een checklist van alle bevindingen en documenteer per punt welke concrete maatregelen je hebt genomen. Test je wijzigingen grondig en laat ze indien mogelijk door een collega controleren. Bewaar alle bewijsstukken zoals aangepaste procedures, screenshots van nieuwe configuraties en testresultaten.

Wat gebeurt er als mijn heraudit niet wordt gehaald?

Dan moet je alsnog een volledige nieuwe DigiD-audit laten uitvoeren. Daarnaast loop je het risico dat je de deadline van 1 mei niet haalt voor je jaarrapportage aan Logius. Plan daarom altijd voldoende tijd in voor eventuele correcties.

Binnen welke termijn moet een heraudit plaatsvinden na de oorspronkelijke audit?

Een heraudit moet binnen een bepaalde termijn na de oorspronkelijke audit plaatsvinden, maar de exacte termijn verschilt per situatie. Logius beoordeelt rapportages individueel en bepaalt op basis daarvan de ernst en de bijbehorende hersteltermijn. Neem direct na je audit contact op met je auditor om de mogelijkheden en termijnen te bespreken.

Kan ik zelf beoordelen of mijn bevindingen kritiek zijn of dat een heraudit mogelijk is?

Kritieke bevindingen worden altijd duidelijk aangegeven in je auditrapport. Bij twijfel kun je contact opnemen met je auditor voor verduidelijking. Kritieke bevindingen betreffen meestal fundamentele veiligheidsproblemen die een volledige nieuwe beoordeling vereisen.

Welke voorbereiding is minimaal nodig voor een succesvolle heraudit?

Zorg dat alle bevindingen daadwerkelijk zijn opgelost, niet alleen op papier. Update je documentatie, test alle wijzigingen grondig en zorg voor duidelijke bewijsvoering per bevinding. Plan ook tijd in om eventuele nieuwe ontwikkelingen sinds de vorige audit te documenteren.

Wat als er sinds mijn vorige audit wijzigingen zijn in mijn systeem of organisatie?

Documenteer alle wijzigingen sinds de vorige audit, ook als ze niet direct gerelateerd zijn aan de bevindingen. De auditor moet kunnen beoordelen of deze wijzigingen invloed hebben op je DigiD-compliance. Transparantie hierover voorkomt verrassingen tijdens de heraudit.

Is het verstandig om een heraudit uit te stellen tot later in het jaar?

Nee, plan je heraudit juist vroeg in het jaar. Dit geeft je voldoende tijd voor eventuele correcties als de heraudit niet wordt gehaald, en voorkomt stress rond de deadline van 1 mei. Een vroege planning geeft je meer flexibiliteit en zekerheid.