Welke procedures worden getoetst bij DigiD beveiligingsassessment?
Een DigiD-beveiligingsassessment toetst of webapplicaties en de bijbehorende infrastructuur voldoen aan de beveiligingseisen van toezichthouder Logius. Dit jaarlijkse assessment controleert technische beveiligingsmaatregelen, organisatorische procedures en compliance met relevante normenkaders. Organisaties die DigiD implementeren, moeten jaarlijks vóór 1 mei rapporteren over hun betrouwbaarheid.
Wat is een DigiD-beveiligingsassessment en waarom is het verplicht?
Een DigiD-beveiligingsassessment is een verplichte jaarlijkse controle van de betrouwbaarheid van webapplicaties die DigiD gebruiken. Het assessment toetst of webapplicaties, webinfrastructuur en procedures voldoen aan de eisen van toezichthouder Logius.
De verplichting komt voort uit de kritieke rol die DigiD speelt in de Nederlandse digitale overheid. Organisaties die toegang verlenen tot overheidsdiensten via DigiD, moeten aantonen dat zij de identiteitsgegevens van burgers adequaat beschermen. Het assessment waarborgt dat alleen betrouwbare organisaties DigiD mogen implementeren.
Organisaties moeten jaarlijks vóór 1 mei rapporteren aan Logius over hun beveiligingsstatus. Zonder geldig assessment kunnen organisaties hun DigiD-koppeling verliezen, wat directe gevolgen heeft voor hun dienstverlening aan burgers.
Welke technische beveiligingsprocedures worden gecontroleerd tijdens het assessment?
Het assessment controleert uitgebreide technische beveiligingsmaatregelen op basis van de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC. De nadruk ligt op penetratietesten en vulnerability assessments voor alle technische normen.
De belangrijkste technische controles omvatten:
- Encryptie en cryptografie – controle op juiste implementatie van versleuteling voor data in transit en at rest
- Authenticatie en autorisatie – verificatie van toegangscontroles en gebruikersrechten
- Netwerkbeveiliging – beoordeling van firewalls, netwerksegmentatie en beveiligde verbindingen
- Logging en monitoring – controle op adequate registratie van beveiligingsgebeurtenissen
- Dataopslag en -verwerking – beoordeling van beveiligde opslag en verwerking van persoonsgegevens
- Kwetsbaarhedenbeheer – controle op tijdige patching en vulnerability management
Elke norm wordt onafhankelijk getoetst door middel van technische tests. Dit betekent dat organisaties op alle fronten moeten voldoen aan de gestelde beveiligingseisen.
Hoe worden organisatorische procedures en processen beoordeeld?
Organisatorische procedures vormen een essentieel onderdeel van het DigiD-beveiligingsassessment. Deze beoordeling richt zich op het beveiligingsbeleid, incidentmanagement, toegangsbeheer, training van medewerkers en documentatie van procedures.
De organisatorische aspecten die worden geëvalueerd, zijn:
- Beveiligingsbeleid en governance – controle op actuele beveiligingsbeleidsdocumenten en vastgelegde verantwoordelijkheden
- Incidentmanagement – beoordeling van procedures voor detectie, respons en herstel bij beveiligingsincidenten
- Toegangsbeheer – controle op processen voor het verlenen, wijzigen en intrekken van toegangsrechten
- Personeelsbeveiliging – verificatie van screening, training en bewustwording van medewerkers
- Change management – beoordeling van procedures voor het beheren van wijzigingen in systemen
- Leveranciersbeheer – controle op beveiligingseisen voor externe partijen
Auditors controleren niet alleen of procedures bestaan, maar ook of deze daadwerkelijk worden uitgevoerd en effectief zijn. Dit gebeurt onder meer door interviews met medewerkers en controle van registraties.
Wat zijn de compliance-eisen en normenkaders die getoetst worden?
Het DigiD-beveiligingsassessment toetst compliance met verschillende wet- en regelgevingskaders. De belangrijkste normenkaders zijn de Baseline Informatiebeveiliging Overheid (BIO), AVG-compliance en specifieke DigiD-eisen van Logius.
De compliance-eisen omvatten verschillende gebieden:
Wettelijke vereisten:
- Algemene verordening gegevensbescherming (AVG) – bescherming van persoonsgegevens
- Baseline Informatiebeveiliging Overheid (BIO) – minimale beveiligingseisen voor overheidsinformatie
- Wet digitale overheid (Wdo) – kaders voor digitale dienstverlening
Technische normenkaders:
- ICT-beveiligingsrichtlijnen voor webapplicaties (NCSC)
- DigiD-specifieke beveiligingseisen van Logius
- ISO 27001/27002-beveiligingsmaatregelen waar van toepassing
Voor 2025 zijn belangrijke wijzigingen doorgevoerd, waaronder een aanscherping van de carve-outmethode en nieuwe toetsing op werking voor vijf kernnormen. Ook zijn EUTL-handtekeningen verplicht vanaf 1 januari 2024.
Welke documentatie en bewijsvoering is vereist voor het assessment?
Organisaties moeten uitgebreide documentatie en bewijsvoering aanleveren voor een succesvolle beoordeling. Deze documentatie moet aantonen dat alle beveiligingsmaatregelen correct zijn geïmplementeerd en functioneren.
De vereiste documentatie omvat:
Beleidsdocumentatie:
- Actueel informatiebeveiligingsbeleid
- Procedures voor incidentmanagement
- Toegangsbeheerbeleid en -procedures
- Privacy impact assessments (PIA’s)
Technische specificaties:
- Netwerkdiagrammen en architectuurdocumentatie
- Configuratiebestanden van beveiligingscomponenten
- Certificaten en cryptografische configuraties
- Vulnerabilityscanrapporten en penetratietestresultaten
Operationele bewijsvoering:
- Logbestanden van beveiligingsgebeurtenissen
- Registraties van uitgevoerde beveiligingsmaatregelen
- Trainingsregistraties van medewerkers
- SOC-rapporten van serviceorganisaties (indien van toepassing)
Bij gebruik van serviceorganisaties kunnen SOC-rapporten worden gebruikt via de carve-outmethode, mits de scope overeenkomt met de vereisten van het DigiD-assessment.
Hoe BKBO B.V. helpt met DigiD-beveiligingsassessments
BKBO B.V. ondersteunt organisaties volledig bij het voorbereiden en doorlopen van DigiD-beveiligingsassessments. Wij bieden een praktische, resultaatgerichte aanpak met gecertificeerde register-IT-auditors die gespecialiseerd zijn in overheidsaudits.
Onze dienstverlening omvat:
- Voorbereidende gap-analyses om tekortkomingen tijdig te identificeren
- Uitvoering van het volledige DigiD-beveiligingsassessment
- Concrete, implementeerbare aanbevelingen voor verbeteringen
- Ondersteuning bij het opstellen van vereiste documentatie
- Begeleiding bij eventuele heraudits zonder extra kosten
Wij hanteren vaste prijzen, inclusief eventuele heraudits, en bieden een “geen-gekibbelgarantie” voor transparantie en zekerheid. Onze diepgaande kennis van overheidssystemen en jarenlange ervaring met meer dan 1.843 afgeronde audits zorgt voor een soepel assessmentproces.
Heeft u vragen over DigiD-beveiligingsassessments of wilt u een assessment plannen? Neem contact met ons op voor een vrijblijvend gesprek over uw specifieke situatie. Wij helpen u graag bij het waarborgen van uw DigiD-compliance.
Een DigiD-beveiligingsassessment toetst of webapplicaties en de bijbehorende infrastructuur voldoen aan de beveiligingseisen van toezichthouder Logius. Dit jaarlijkse assessment controleert technische beveiligingsmaatregelen, organisatorische procedures en compliance met relevante normenkaders. Organisaties die DigiD implementeren, moeten jaarlijks vóór 1 mei rapporteren over hun betrouwbaarheid.
Wat is een DigiD-beveiligingsassessment en waarom is het verplicht?
Een DigiD-beveiligingsassessment is een verplichte jaarlijkse controle van de betrouwbaarheid van webapplicaties die DigiD gebruiken. Het assessment toetst of webapplicaties, webinfrastructuur en procedures voldoen aan de eisen van toezichthouder Logius.
De verplichting komt voort uit de kritieke rol die DigiD speelt in de Nederlandse digitale overheid. Organisaties die toegang verlenen tot overheidsdiensten via DigiD, moeten aantonen dat zij de identiteitsgegevens van burgers adequaat beschermen. Het assessment waarborgt dat alleen betrouwbare organisaties DigiD mogen implementeren.
Organisaties moeten jaarlijks vóór 1 mei rapporteren aan Logius over hun beveiligingsstatus. Zonder geldig assessment kunnen organisaties hun DigiD-koppeling verliezen, wat directe gevolgen heeft voor hun dienstverlening aan burgers.
Welke technische beveiligingsprocedures worden gecontroleerd tijdens het assessment?
Het assessment controleert uitgebreide technische beveiligingsmaatregelen op basis van de ICT-beveiligingsrichtlijnen voor webapplicaties van het NCSC. De nadruk ligt op penetratietesten en vulnerability assessments voor alle technische normen.
De belangrijkste technische controles omvatten:
- Encryptie en cryptografie – controle op juiste implementatie van versleuteling voor data in transit en at rest
- Authenticatie en autorisatie – verificatie van toegangscontroles en gebruikersrechten
- Netwerkbeveiliging – beoordeling van firewalls, netwerksegmentatie en beveiligde verbindingen
- Logging en monitoring – controle op adequate registratie van beveiligingsgebeurtenissen
- Dataopslag en -verwerking – beoordeling van beveiligde opslag en verwerking van persoonsgegevens
- Kwetsbaarhedenbeheer – controle op tijdige patching en vulnerability management
Elke norm wordt onafhankelijk getoetst door middel van technische tests. Dit betekent dat organisaties op alle fronten moeten voldoen aan de gestelde beveiligingseisen.
Hoe worden organisatorische procedures en processen beoordeeld?
Organisatorische procedures vormen een essentieel onderdeel van het DigiD-beveiligingsassessment. Deze beoordeling richt zich op het beveiligingsbeleid, incidentmanagement, toegangsbeheer, training van medewerkers en documentatie van procedures.
De organisatorische aspecten die worden geëvalueerd, zijn:
- Beveiligingsbeleid en governance – controle op actuele beveiligingsbeleidsdocumenten en vastgelegde verantwoordelijkheden
- Incidentmanagement – beoordeling van procedures voor detectie, respons en herstel bij beveiligingsincidenten
- Toegangsbeheer – controle op processen voor het verlenen, wijzigen en intrekken van toegangsrechten
- Personeelsbeveiliging – verificatie van screening, training en bewustwording van medewerkers
- Change management – beoordeling van procedures voor het beheren van wijzigingen in systemen
- Leveranciersbeheer – controle op beveiligingseisen voor externe partijen
Auditors controleren niet alleen of procedures bestaan, maar ook of deze daadwerkelijk worden uitgevoerd en effectief zijn. Dit gebeurt onder meer door interviews met medewerkers en controle van registraties.
Wat zijn de compliance-eisen en normenkaders die getoetst worden?
Het DigiD-beveiligingsassessment toetst compliance met verschillende wet- en regelgevingskaders. De belangrijkste normenkaders zijn de Baseline Informatiebeveiliging Overheid (BIO), AVG-compliance en specifieke DigiD-eisen van Logius.
De compliance-eisen omvatten verschillende gebieden:
Wettelijke vereisten:
- Algemene verordening gegevensbescherming (AVG) – bescherming van persoonsgegevens
- Baseline Informatiebeveiliging Overheid (BIO) – minimale beveiligingseisen voor overheidsinformatie
- Wet digitale overheid (Wdo) – kaders voor digitale dienstverlening
Technische normenkaders:
- ICT-beveiligingsrichtlijnen voor webapplicaties (NCSC)
- DigiD-specifieke beveiligingseisen van Logius
- ISO 27001/27002-beveiligingsmaatregelen waar van toepassing
Voor 2025 zijn belangrijke wijzigingen doorgevoerd, waaronder een aanscherping van de carve-outmethode en nieuwe toetsing op werking voor vijf kernnormen. Ook zijn EUTL-handtekeningen verplicht vanaf 1 januari 2024.
Welke documentatie en bewijsvoering is vereist voor het assessment?
Organisaties moeten uitgebreide documentatie en bewijsvoering aanleveren voor een succesvolle beoordeling. Deze documentatie moet aantonen dat alle beveiligingsmaatregelen correct zijn geïmplementeerd en functioneren.
De vereiste documentatie omvat:
Beleidsdocumentatie:
- Actueel informatiebeveiligingsbeleid
- Procedures voor incidentmanagement
- Toegangsbeheerbeleid en -procedures
- Privacy impact assessments (PIA’s)
Technische specificaties:
- Netwerkdiagrammen en architectuurdocumentatie
- Configuratiebestanden van beveiligingscomponenten
- Certificaten en cryptografische configuraties
- Vulnerabilityscanrapporten en penetratietestresultaten
Operationele bewijsvoering:
- Logbestanden van beveiligingsgebeurtenissen
- Registraties van uitgevoerde beveiligingsmaatregelen
- Trainingsregistraties van medewerkers
- SOC-rapporten van serviceorganisaties (indien van toepassing)
Bij gebruik van serviceorganisaties kunnen SOC-rapporten worden gebruikt via de carve-outmethode, mits de scope overeenkomt met de vereisten van het DigiD-assessment.
Hoe BKBO B.V. helpt met DigiD-beveiligingsassessments
BKBO B.V. ondersteunt organisaties volledig bij het voorbereiden en doorlopen van DigiD-beveiligingsassessments. Wij bieden een praktische, resultaatgerichte aanpak met gecertificeerde register-IT-auditors die gespecialiseerd zijn in overheidsaudits.
Onze dienstverlening omvat:
- Voorbereidende gap-analyses om tekortkomingen tijdig te identificeren
- Uitvoering van het volledige DigiD-beveiligingsassessment
- Concrete, implementeerbare aanbevelingen voor verbeteringen
- Ondersteuning bij het opstellen van vereiste documentatie
- Begeleiding bij eventuele heraudits zonder extra kosten
Wij hanteren vaste prijzen, inclusief eventuele heraudits, en bieden een “geen-gekibbelgarantie” voor transparantie en zekerheid. Onze diepgaande kennis van overheidssystemen en jarenlange ervaring met meer dan 1.843 afgeronde audits zorgt voor een soepel assessmentproces.
Heeft u vragen over DigiD-beveiligingsassessments of wilt u een assessment plannen? Neem contact met ons op voor een vrijblijvend gesprek over uw specifieke situatie. Wij helpen u graag bij het waarborgen van uw DigiD-compliance.