Main content

Het ICT-beveiligingsassessments DigiD hanteert verschillende voorwaarden voor nieuwe en bestaande aansluitingen.

Nieuwe aansluiting – artikel 5.6

In de Voorwaarden DigiD staat dat afnemers verplicht zijn om binnen twee maanden na activatie van de DigiD aansluiting een assessmentrapport in te leveren. Zodra de DigiD aansluiting door Logius is geactiveerd, wordt dit per e-mail bevestigd aan de DigiD aansluithouder. Hierna heeft de aansluithouder 2 maanden de tijd om een eerste DigiD Assessment in te leveren.

Ook als uit het assessment blijkt dat er niet aan de gestelde normen is voldaan moet de rapportage worden ingediend. Het DigiD assessment voor nieuwe aansluitingen is gelijk aan die voor bestaande aansluitingen, alleen de tijdslijnen lopen anders.

Wanneer wordt een nieuwe aansluiting een bestaande aansluiting?

Is het eerste assessment met goed gevolg doorlopen en wordt er aan alle normen voldaan, dan stelt Logius de aansluithouder per brief op de hoogte dat aan artikel 5.6 van de Voorwaarden DigiD is voldaan. Vanaf dat moment wordt er gesproken over een bestaande aansluiting.

Berekenen van de eerstvolgende inleverdeadline

In de brief waarin staat dat de DigiD aansluiting voldoet dat aan artikel 5.6 staat ook vermeld wanneer de eerstvolgende assessmentrapportage ingeleverd moet worden. De inleverdatum is niet eerder dan 12 maanden na de activatie. Indien de inleverdatum buiten de reguliere inleverperiode van 1 januari tot 1 mei valt, wordt het assessmentrapport ingeleverd in de inleverperiode van het jaar daarop.

Voorbeeld

Activatiedatum   Deadline initieel rapport Volgende inleverperiode Over het jaar
7 januari 2020 7 maart 2020 1 jan – 1 mei 2021 2020
23 maart 2020   23 mei 2020 1 jan – 1 mei 2021 2020
26 april 2020   26 juni 2020 1 jan – 1 mei 2021 2020
7 mei 2020  7 juli 2020  1 jan – 1 mei 2022 2021
7 oktober 2020 7 december 2020 1 jan – 1 mei 2022 2021

Bestaande aansluiting – artikel 5.5

Zodra de DigiD aansluiting moet voldoen aan artikel 5.5 van de Voorwaarden DigiD, beschouwt Logius het als een 'bestaande aansluiting'. Voor een bestaande aansluiting geldt een jaarlijkse assessmentplicht.

De jaarlijkse cyclus

Een DigiD aansluithouder moet jaarlijks tussen 1 januari en 1 mei een assessmentrapportage inleveren waarin verantwoording wordt afgelegd over het voorgaande jaar. De auditor toetst hiervoor niet eerder dan per 1 januari.

De aansluithouder krijgt van Logius een schriftelijke terugkoppeling over het resultaat van het assessment.

Wijziging in de DigiD omgeving

Op basis van de Voorwaarden DigiD of de Norm ICT-beveiligingsassessments DigiD eist Logius géén nieuw auditrapport als er wijzigingen in de DigiD omgeving worden doorgevoerd, die niet leiden tot een nieuw aansluitnummer. De wijzigingen worden meegenomen in het eerstvolgend jaarlijkse assessment. De DigiD aansluithouder blijft wel te allen tijde verantwoordelijk voor de veiligheid van de webapplicatie en de ICT-omgeving. Indien blijkt dat een ICT-omgeving gecompromitteerd is met mogelijk negatieve gevolgen voor de veiligheid en integriteit van DigiD, heeft Logius het recht om de DigiD aansluiting af te sluiten.

Een wijziging van de domeinnaam van de DigiD omgeving of een wijziging van koppelvlak heeft wel gevolgen voor het DigiD Assessment. Voor deze wijzigingen is een nieuw DigiD aansluitnummer vereist.

Het Logius Aansluitteam helpt bij de vraag of een wijziging een nieuw aansluitnummer tot gevolg heeft. Een nieuw DigiD aansluitnummer wordt gezien als een nieuwe aansluiting. Dit geldt voor een nieuw aansluitnummer voor zowel de rechtstreekse koppeling met DigiD, als voor een koppeling met de Routeringsvoorziening.

Volgens de Voorwaarden DigiD is het voor een nieuwe aansluiting verplicht om binnen twee maanden na activatie een assessmentrapport in te dienen.

Als het nieuwe aansluitnummer het gevolg is van een wijziging van koppelvlak kan uitstel verkregen worden voor het indienen van de assessmentrapportage. Dit is bijvoorbeeld het geval bij een wijziging van CGI naar SAML. Maar ook voor een wijziging van een rechtstreekse aansluiting op DigiD naar een aansluiting op de Routeringvoorziening kan uitstel worden aangevraagd. De DigiD aansluithouder vraagt het inleveren van de assessmentrapportage uit te stellen tot de eerstvolgende reguliere inleverperiode van 1 januari tot 1 mei. Logius kan uitstel verlenen als aan de volgende twee voorwaarden wordt voldaan:

  1. Voor de huidige ‘oude’ aansluiting is inmiddels een assessmentrapport ingediend, waarvan Logius heeft bevestigd dat deze voldoet aan de assessmentvoorwaarden;
  2. De auditor (RE) heeft een schriftelijke verklaring opgesteld en ondertekend, waarin staat dat, door de migratie van koppelvlak , security technisch niets is gewijzigd binnen de scope van het assessment. De auditor van de aansluithouder geeft aan of er ook een verklaring vanuit de leverancier noodzakelijk is. In dat geval dient onder identieke voorwaarden een auditverklaring opgesteld en ondertekend te worden door de auditor van de Serviceorganisatie.

Verder is het van belang dat de DigiD aansluithouder aangeeft welke ‘oude’ aansluiting (aansluitnummer en aansluitnaam) vervangen gaat worden en welke ‘nieuwe’ aansluiting (aansluitnummer en aansluitnaam) gebruikt gaat worden.

Het indienen van het uitstelverzoek moet op dezelfde manier als het indienen van een assessmentrapportage, dus via e-mail of post.

Wanneer er uitstel is verleend moet de assessmentrapportage tijdens de eerstvolgende reguliere inleverperiode (1 januari tot 1 mei) ingeleverd worden. Hiermee sluit het assessmentjaar voor de laatste goedgekeurde ‘oude’ aansluiting aan op het assessmentjaar voor de ‘nieuwe’ aansluiting.

Let op: Deactiveer na migratie de “oude” aansluiting via het Logius Aansluitteam om de assessmentplicht voor deze aansluiting te beëindigen.

Let op: door het verkrijgen van uitstel valt de nieuwe aansluiting onder artikel 5.5 van de Voorwaarden DigiD.

Wanneer vervalt de assessmentplicht?

Elke geactiveerde DigiD aansluiting moet voldoen aan de assessmentplicht. De aansluithouder moet zelf een verzoek indienen om een DigiD aansluiting te laten deactiveren als deze niet meer gebruikt wordt. Dit kan door het invullen van het wijzigingsformulier of door contact op te nemen met Logius. Pas als de aansluiting gedeactiveerd is, vervalt de assessmentplicht.

Let op: Indien de DigiD aansluiting bij de aansluithouder functioneel niet in gebruik is, maar wel als geactiveerd geregistreerd staat bij Logius, loopt de assessmentplicht gewoon door.