Main content

IT-auditor

Het DigiD Assessment moet uitgevoerd worden door een Register EDP-auditor (RE-auditor). De assessmentrapportage en eventuele verbeterrapportage, moet door een RE-auditor worden opgesteld. Hou er bij de planning rekening mee dat expertise voor assessments en pentesten beperkt in de markt aanwezig is.

RE-auditors die DigiD en/of ENSIA Assessments uitvoeren zijn te vinden via de website van NOREA.

NOREA leidraad voor IT-auditors

Een uitleg over het assessment kunt u vinden in de handreiking op de website van NOREA. Let op: de handreiking betreft een leidraad voor IT-auditors onderling. Het geeft een bandbreedte aan voor de invulling aan de DigiD normen. Het oordeel is de verantwoordelijkheid van de IT-auditor.

Omvang van het assessment

Het DigiD Normenkader omschrijft de normen waaraan de DigiD aansluiting moet voldoen. Op de website van NOREA zijn de Handreiking DigiD-assessments 2.0 en de updates gepubliceerd. Hierin staat de omschrijving van de scope van de toetsing op de DigiD normen:

Het object van onderzoek van een ICT-beveiligingsassessment is een webapplicatie die gebruik maakt van DigiD voor de identificatie en authenticatie van (een deel van) de gebruikers. Specifiek zijn in scope de internet-facing webpagina’s, systeemkoppelingen en de infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het DigiD identificatie en authenticatieproces. Ook de verschillende vormen van beheer op de webapplicatie zijn in scope voor zover relevant voor de doelstelling van de audit.

Bij onduidelijkheid over de scope kunt u de RE-auditor benaderen.

Assessmentrapportage

De assessmentrapportage bestaat ten minste uit het auditrapport van de aansluithouder. Eventueel aangevuld met een assurancerapport van de Serviceorganisatie (zie hiervoor “Uitbesteding aan een Serviceorganisatie”). Per maatregel uit het DigiD Normenkader wordt in de rapportage aangegeven of deze voldoet of niet.

Ieder rapport heeft altijd een uniek kenmerk. Dit is nodig voor het vaststellen van de juiste en meest recente documentatie.

Het rapport en indien van toepassing de TPM moeten zijn ondertekend door de RE-auditor. Bij digitale aanlevering van de rapportage gaat de voorkeur uit naar een gekwalificeerde elektronische handtekening.

Uitbesteding aan een Serviceorganisatie

Een DigiD aansluithouder kan een deel van de DigiD omgeving of het beheer uitbesteden aan een Serviceorganisatie. De Serviceorganisatie valt hierdoor mogelijk ook binnen de scope van het DigiD assessment. Hierdoor wordt een deel van de normen niet meer bij de aansluithouder maar bij de Serviceorganisatie, of bij beide, getoetst. De auditor bepaalt hierbij hoe de verdeling van normen wordt. De aansluithouder blijft de verantwoordelijke voor het toetsen van het geheel en blijft het aanspreekpunt voor Logius.

Toetsen volgens de opnamemethode (inclusive)

Normaliter wordt de Serviceorganisatie getoetst volgens de uitsluitingsmethode (carve out) en is er sprake van een TPM. Dit hoeft echter niet. De aansluithouder en de Serviceorgansiatie(s) mogen ook als een geheel getoetst worden. De resultaten van deze audit worden dan als één geheel opgenomen in het DigiD Assessmentrapport van de aansluithouder. De Serviceorganisatie wordt hiermee volgens de opnamemethode (inclusive) getoetst.

Ook meerdere (sub)Serviceorganisaties kunnen als een geheel getoetst worden volgens de opnamemethode. Het resultaat is één auditrapportage in de vorm van een TPM welke volgens de uitsluitingsmethode gebruikt kan worden bij de toetsing van de aansluithouder.

TPM

Een Serviceorganisatie kan voor zijn gedeelte van de DigiD normen een DigiD Assessment uit laten voeren en het resultaat daarvan ter beschikking stellen aan de DigiD aansluithouder in de vorm van een TPM.

Een template “modelrapport TPM/Serviceprovider (2017)” voor het opstellen van een TPM is te vinden op de NOREA website. Deze is op bepaalde punten anders dan het template dat wordt gebruikt voor de gebruikersorganisatie. Zo is er een hoofdstuk “Verantwoordelijkheden gebruikersorganisatie” toegevoegd en bevat de template voor een TPM geen bijlage C. Deze mag wel worden toegevoegd in geval de Serviceorganisatie gebruikt maakt van een Sub-serviceorganisatie.

De auditor van de DigiD aansluithouder neemt de TPM van de Serviceorganisatie over en gebruikt bijlage C om hierin het totaaloverzicht weer te geven.

ISAE- of SOC-verklaring

Een ISAE- of SOC-verklaring kan ook dienen als auditverklaring voor de Serviceorganisatie. Gangbare internationale Assurance standaarden zijn ISAE3402, ISAE3000 en SOC2 of SOC3. De auditor bepaalt in hoeverre de verklaring van toepassing en bruikbaar is.

De oordelen uit de ISAE- of SOC-verklaring zijn niet altijd een-op-een te koppelen aan de normen van het DigiD Assessment. De auditor van de DigiD aansluithouder beoordeelt, aan de hand van de oordelen uit de ISAE- of SOC-verklaring, of en aan welke normen van het DigiD Assessment wordt voldaan. Ook beoordeelt de auditor of de aansluithouderorganisatie nog aanvullende maatregelen moet nemen.

De auditor van de DigiD aansluithouder neemt een verklaring op dat de toetsing van de ISAE- of SOC-normen tegen de DigiD normen is uitgevoerd, en toont het resultaat van deze toetsing in een aparte kolom in de tabel van bijlage C (zie het modelrapport van NOREA “modelrapport gebruikersorganisatie (2017)”) met een oordeel “voldoet” of “voldoet niet”.

Voorwaarden voor TPM en ISAE- of SOC-verklaring

Er zijn verschillende voorwaarden om het assessmentrapport van een Serviceorganisatie te kunnen gebruiken als onderdeel van het DigiD Assessment.

Meesturen ja of nee?
Een TPM maakt onderdeel uit van de totale assessmentrapportage en wordt samen met het assessmentrapport van de aansluithouder aan Logius toegestuurd.
Een internationale assuranceverklaring mag worden toegevoegd als bijlage aan de assessmentrapportage, mits dit is toegestaan door de Serviceorganisatie.

Maximale leeftijd
Zowel een TPM als een internationale assuranceverklaring mag niet ouder zijn dan 12 maanden ten opzichte van de datum van het assessmentrapport van de DigiD aansluithouder. Voor de datum van de TPM of assuranceverklaring wordt gekeken naar de onderzoeksdatum als deze afwijkt van de rapportdatum.
Soms verwijst een TPM of internationale assuranceverklaring via de uitsluitingsmethode naar een onderliggende TPM of internationale assuranceverklaring. Ook hiervoor geldt dat de desbetreffende getoetste norm(en) niet ouder mogen zijn dan een jaar ten opzichte van het assessmentrapport van de aansluithouder. Bepalend hierbij is de onderzoeksdatum in het assessmentrapport van de Serviceorganisatie.

Herhaald gebruik
De TPM of internationale assuranceverklaring mag maar één keer gebruikt worden voor het indienen van een DigiD Assessment op de betreffende aansluiting. Voor het assessment van het volgende jaar moet een nieuwe TMP of internationale assuranceverklaring worden gebruikt.

Opname in bijlage C
De TPM moet opgesteld en ondertekend zijn door een RE-auditor.
Een internationale assuranceverklaring is ondertekend door een (Nederlandse) RA. Indien de auditor een buitenlandse titel hanteert kan bij de Koninklijk Nederlandse Beroepsorganisatie van Accountants worden nagevraagd of deze gelijkwaardig is aan de titel van RA.

De auditor van de aansluithouder controleert of de TPM of internationale assuranceverklaring inhoudelijk klopt (geen wijzigingen op de serviceomgeving) en of de geldigheid van ondertekening en leeftijd valide is. De auditor noteert de conclusies betreffende de oordelen vanuit de TPM of de internationale verklaring in bijlage C met een oordeel “voldoet” of “voldoet niet”.

Een verwijzing naar een TPM of een internationale assurancerapportage moet altijd voldoen aan de volgende kenmerken:

  • de naam van de Serviceorganisatie

  • het unieke referentie- of rapportnummer

  • de datum van de verklaring

  • de naam van de afgevende (RE-)auditor

Zie hiervoor bijlage C van het “modelrapport gebruikersorganisatie (2017)” van NOREA.
Het is uiteindelijk aan het professionele oordeel van de RE-auditor om te bepalen of de rapportage van de auditor van de Serviceorganisatie valide is.

Mocht de auditor van de Serviceorganisatie van mening verschillen met de auditor van de DigiD aansluithouder, dan kan dit worden voorgelegd aan NOREA. Dit kan eventueel ook voor vakinhoudelijke specifieke auditvragen over het DigiD Assessment.

Soms maakt een DigiD aansluithouder voor verschillende diensten gebruik van dezelfde DigiD aansluiting. Dit wordt niet geadviseerd, maar is wel mogelijk. In dat geval moet de bijlage C voor iedere dienst apart worden opgenomen in de rapportage. Per dienst moet er dan worden verwezen naar de desbetreffende TPM en per dienst moet er inzicht gegeven worden in de verdeling van normen bij de DigiD aansluithouderorganisatie en de Serviceorganisatie.

Verantwoordelijkheid van de DigiD aansluithouder bij uitbesteding

Ook bij een uitbesteding blijft de DigiD aansluithouder verantwoordelijk voor het voldoen aan de DigiD normen voor het geheel, dat wil zeggen de toetsing van de normen bij de Serviceorganisatie én de toetsing bij de DigiD aansluithouder.

Er is altijd een aantal normen die de aansluithouderorganisatie zélf door een auditor moet laten toetsen.

ENSIA rapportage

Maakt een gemeente gebruik van ENSIA dan geldt een andere vorm voor de DigiD Assessmentrapportage. Een set ENSIA documenten bestaat uit een zelfevaluatie, een collegeverklaring, een door de RE-auditor afgegeven assurance rapport en indien van toepassing één of meerdere TPMs. Het geheel is als set gewaarmerkt door de auditor. Raadpleeg voor meer informatie over de ENSIA methodiek de ENSIA website.