Wijziging: ENSIA methodiek komt voor DigiD-vervallen

Wijziging: ENSIA methodiek komt voor DigiD-vervallen

DigiD-assessmentbericht d.d. 26 juni 2025

Sinds de invoering van Ensia in 2017 verantwoorden Gemeenten zich via de ‘Attest’ methodiek over hun DigiD-aansluitingen. Het College geeft hierbij met een collegeverklaring een verantwoording af, die de auditor bekrachtigt met een assuranceverklaring. In de praktijk is gebleken dat deze methodiek arbeidsintensief en foutgevoelig is. In het Strategisch overleg van 19 juni j.l. is het besluit genomen om deze ‘Attest’ methodiek uit te faseren en weer terug te gaan naar de reguliere verantwoordingsmethodiek, de ‘3000D’. Deze beproefde methode wordt ook door andere DigiD-dienstverleners (niet-gemeenten) gebruikt. Hierdoor zal de auditor weer penvoerder worden van de gehele rapportage en wordt de collegeverklaring losgekoppeld van de assuranceverklaring.

De invoering van deze transitie ziet er als volgt uit:

  • Vanaf inleverperiode 1 januari -1 mei 2026 (over het voorgaande jaar 2025) hebben de Gemeenten de keuze om zich te verantwoorden via de ENSIA-methodiek óf via de 3000D-methodiek.
  • Vanaf inleverperiode 1 januari -1 mei 2027 (over het voorgaande jaar 2026) moeten Gemeenten zich verantwoorden via de 3000D-methodiek.

Gevolgen voor de DigiD-verantwoording

Op drie gebieden heeft deze beslissing invloed op het DigiD-assessment:

  • De afspraken met de auditor
  • Het opstellen van de rapportage
  • Het indienen van de rapportage

De afspraken met de auditor

De toetsmethodiek 3000D wordt vooraf afgesproken met de auditor. In het keuzejaar mag de ‘Attest’ methodiek nog worden afgesproken. Maar het is niet toegestaan om tijdens de uitvoering van de audit dit nog te wijzigen naar 3000D.

Het opstellen van rapportage

De auditor zal in het vervolg de auditrapportage opstellen. Het template dat hiervoor wordt gebruikt is hetzelfde als voor niet-gemeenten. We noemen dit het RDV (rapport van de dienstverlener). De  documenten uit de ‘Attest’-methodiek (CollegeVerklaring, Bijlage 1 en de 3000A-verklaring) worden dan ook niet meer gebruikt voor de DigiD-verantwoording aan Logius.

Aan het proces waarop de rapportage van de serviceorganisatie (RSO, voorheen TPM) wordt opgesteld verandert niets. Hiervoor wordt al de 3000D-methodiek toegepast.

De gemeente is nog steeds verantwoordelijk voor het indienen van de totale rapportage, bestaande uit het RDV en één of meerdere RSO’s.

Het indienen van de rapportage

Voor de gemeenten zijn er 2 manieren om in te dienen. Dit staat beschreven op de webpagina ‘IT-auditrapportage voor DigiD: indienen en vervolgstappen’:

Hierbij maakt het niet uit welke rapportagevorm is gebruikt.

Gevolgen voor de interne gemeentelijke verantwoording.

Voor de DigiD-verantwoording aan Logius (die uitvoert namens BZK) is er geen koppeling meer met de collegeverklaring. Daardoor staat de interne gemeentelijke verantwoording los van de verantwoording aan Logius.

De interne verantwoording is aan de gemeente om in te richten. De uitkomst van de DigiD-audit en de brief die Logius stuurt kan hiervoor gebruikt worden. Een goede interne verantwoording gaat niet alleen over de eerste audit maar zal, net als bij de verantwoording aan Logius, ook gaan over de eventuele her-audits.