Hoofdinhoud

Het meervoudig assessment is een andere vorm van het ICT-assessment voor DigiD. Het kan gebruikt worden in situaties waarin meerdere aansluithouders gebruik maken van één identieke dienst. De Serviceorganisatie levert de dienst en ontzorgt de aansluithouders in het aansluiten op de clusteraansluiting. Ook doet de Serviceorganisatie de verantwoording met een meervoudig assessment voor alle aansluithouders. Het wijkt hiermee af van de reguliere enkelvoudige assessmentmethodiek waarbij één aansluithouder zelf verantwoordelijk is voor het aansluiten en de verantwoording.

Bij de enkelvoudige assessmentmethodiek is de aansluithouder altijd eindverantwoordelijk voor de DigiD-aansluiting. Dit geldt ook voor de aansluithouders die gebruik maken van de meervoudig assessmentmethodiek.

Let op: de meervoudige assessmentmethodiek kan alleen worden toegepast als de aansluithouders aansluiten op een clusteraansluiting. TVS is momenteel de enige aanbieder van clusteraansluitingen. Daarom kan een clusteraansluiting alleen worden aangevraagd voor aanbieders binnen het zorgdomein. 

Enkelvoudig of meervoudig assessment?

Aansluithouders die in aanmerking komen voor de meervoudig assessmentmethodiek kunnen zelf bepalen of dit voordelen biedt ten opzichte van de enkelvoudige assessmentmethodiek.

Voordelen van een meervoudig assessment zijn:

  • Eén audit voor alle op de unieke dienst van de Serviceorganisatie aangesloten Aansluithouders.
    • Het meervoudig assessment wordt door de Register EDP-auditor bij de Serviceorganisatie van de dienst uitgevoerd. Op dezelfde locatie wordt ook de administratie over alle aangesloten aansluithouders beoordeeld.
    • Het assessmentrapport is van toepassing op alle aangesloten en geregistreerde aansluithouders die gebruik maken van de identieke dienst.
    • Na het succesvol afronden van het meervoudig assessment mag de Serviceorganisatie nieuwe aansluithouders aansluiten. Deze aansluithouders kunnen hierbij meeliften op de afgegeven verklaring tot aan het volgende jaarlijkse assessment. In dat assessment worden alle aansluithouders opgenomen.
  • De Serviceorganisatie ontzorgt de aansluithouder in het aansluiten op DigiD.
    • De leverancier zorgt ervoor dat de aansluithouder zowel technisch als administratief ontzorgd wordt bij het tot stand komen van de aansluiting op DigiD.

Extra eisen

Het meervoudig assessment biedt voordelen maar er zijn ook extra eisen, zowel voor de Serviceorganisatie als voor de aansluithouders.

  • Alle aangesloten aansluithouders maken gebruik van dezelfde dienst van de Serviceorganisatie en dezelfde functionaliteit (maatwerk is niet toegestaan);
  • De Serviceorganisatie (i.e. Leverancier Meervoudig Assessment, LMA) is door Logius geaccrediteerd om gebruik te mogen maken van de meervoudig assessmentmethodiek. Hiervoor wordt de ‘Overeenkomst Meervoudig Assessment DigiD’ opgesteld, deze vindt u bij de documentatie. Voor het aanvragen van de overeenkomst zie de kop “Aanvragen DigiD meervoudig assessment overeenkomst Logius en LMA” hieronder.
  • De Serviceorganisatie neemt een extra bijlage op in het contract met aansluithouders waarin de Verplichtingen tussen LMA en aansluithouder zijn overeengekomen en vastgelegd.
  • De Serviceorganisatie toont tijdens het assessment aan dat het aansluiten van een nieuwe aansluithouder volgens een standaard en herhaalbaar proces verloopt met voorspelbaar en vereist resultaat op juridisch, organisatorisch en technisch vlak.
  • De Serviceorganisatie richt technische controls in voor de normen die bij een aansluithouder getoetst moeten worden. De ‘NOREA Handreiking ICT-beveiligingsassessment DigiD’ geeft voor de auditor een toelichting op de toetsing volgens de meervoudig assessmentmethodiek. De handreiking staat op de website van NOREA.

Aandachtspunten meervoudig assessment

  • De Serviceorganisatie ziet erop toe dat de aansluithouder zich houdt  aan de gestelde eisen. Het niet naleven van deze eisen betekent dat de Serviceorganisatie zelfstandig de dienstverlening stopt. Op deze manier behoudt de Serviceorganisatie de dienstverlening.
  • Als de Serviceorganisatie geen of geen positieve auditverklaring afgeeft dan kan Logius de dienstverlening (tijdelijk) beëindigen voor de gehele dienst.
  • Logius kan een toezichtbezoek brengen aan de Serviceorganisatie.

Aanvragen accreditatie voor het DigiD meervoudig assessment

Een Serviceorganisatie die de meervoudig assessmentmethodiek wil gebruiken heeft een accreditatie nodig. Hiervoor sluit de Serviceorganisatie met Logius een overeenkomst . Volg hiervoor de volgende stappen:

  • Neem vroegtijdig contact op met Logius voor een informatief intakegesprek om te bepalen of accreditatie haalbaar is.
  • Gebruik het e-mailformat en vul de velden in tussen de [vierkante haken]
  • Voeg aan de e-mail een uittreksel Handelsregister toe in het bestandsformat PDF type a.
  • Stuur de ingevulde e-mail op naar DigiDassessment@Logius.nl.
  • Uw verzoek wordt verwerkt tot een ingevuld contract in PDF-format. Logius mailt u dit ingevulde contract binnen 10 werkdagen op het e-mailadres waarmee de aanvraag is gedaan.
  • Het ingevulde contract wijzigt u niet zelf. Bij eventuele invulfouten neemt u contract op met Logius.
  • Het ingevulde contract print u uit en laat u binnen uw organisatie ondertekenen. Het ondertekende contract scant u vervolgens weer in en stuurt u op naar DigiDassessment@Logius.nl.
  • Als Logius geen bezwaar heeft, ondertekent ook Logius het contract. Binnen 4 weken stuurt Logius het contract per e-mail aan u op.

Contact

Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.