Main content

IT-auditor

Het DigiD Assessment moet uitgevoerd worden door een Register EDP-auditor (RE-auditor). De assessmentrapportage en eventuele verbeterrapportage, moet door een RE-auditor worden opgesteld. Hou er bij de planning rekening mee dat expertise voor assessments en pentesten beperkt in de markt aanwezig is.

RE-auditors die DigiD en/of ENSIA Assessments uitvoeren zijn te vinden via de website van NOREA.

NOREA leidraad voor IT-auditors

Een uitleg over het assessment kunt u vinden in de handreiking op de website van NOREA. Let op: de handreiking betreft een leidraad voor IT-auditors onderling. Het geeft een bandbreedte aan voor de invulling aan de DigiD normen. Het oordeel is de verantwoordelijkheid van de IT-auditor.

Omvang van het assessment

Het DigiD-Normenkader omschrijft de normen waaraan de DigiD-aansluiting moet voldoen. Op de website van NOREA zijn de ‘NOREA-Handreiking DigiD-assessments 3.0’ en de FAQ gepubliceerd. Hierin staat de omschrijving van de scope van de toetsing op de DigiD-normen:

Contact

Vragen over het ICT-beveiligingsassessment DigiD kunt u mailen naar DigiDassessment@logius.nl.

"Het perspectief van de burger die inlogt met DigiD en zijn verwachting dat hetgeen daarna gebeurt onder hetzelfde (strenge) beveiligingsregime van het DigiD assessment valt, bepaalt feitelijk de scope en de objecten van onderzoek bij een DigiD assessment. Dit zijn, samengevat, de internet-facing webpagina’s waarmee de interactie naar de gebruiker plaatsvindt nadat deze is geïdentificeerd en geauthentiseerd via DigiD, de systeemkoppelingen en de infrastructuur die met DigiD gekoppeld is en betrekking heeft op het DigiD identificatie en authenticatieproces. Ook de verschillende vormen van beheer op de webapplicatie zijn in scope voor zover relevant voor de doelstelling van de audit."

"De URL www.digid.nl, de token uitwisseling tussen Logius en de webserver, de systemen die gegevens leveren of ophalen uit de webapplicatie, zoals backoffice informatiesystemen vallen buiten de scope. Subsystemen en koppelvlakken zijn in scope indien de primaire authenticatie van het systeem op basis van DigiD tot stand is gekomen."

Voor de originele tekst of vragen betreffende de scope kunt u de NOREA website of uw RE-auditor benaderen.

Assessmentrapportage

De assessmentrapportage bestaat ten minste uit het auditrapport van de aansluithouder. Het is eventueel aangevuld met een assurancerapport van de serviceorganisatie (bijvoorbeeld een TPM zie hiervoor 'Uitbesteden aan een serviceorganisatie' en dan 'Toetsen van de serviceorganisatie'). Per maatregel uit het DigiD Normenkader wordt in de rapportage een oordeel gegeven met ‘voldoet’ of ‘voldoet niet’.

Ieder rapport heeft altijd een uniek kenmerk. Dit is nodig voor het vaststellen van de juiste en meest recente documentatie.

Het rapport, en indien van toepassing de TPM, moeten zijn ondertekend door een RE-auditor. De eisen aan de handtekening bij digitale aanlevering of bij aanlevering via post leest u hieronder:

Betrouwbaarheidseisen aan de handtekening van een RE-auditor

Met ingang van het jaar 2023 accepteert Logius twee vormen van elektronische handtekeningen in assessmentrapporten: 

  • De gekwalificeerde elektronische handtekening met een EUTL-certificaat. 
  • De geavanceerde elektronische handtekening met een EUTL-certificaat

EUTL staat voor European Union Trusted List en is een Europees middel dat wordt gebruikt om de identiteit van de uitgever van de elektronische handtekening te verifiëren. In de eigenschappen van de elektronische handtekening is voor iedereen te zien of de uitgever van het certificaat op de EUTL staat. Dit geeft een hoge betrouwbaarheid. 

Met ingang van het jaar 2023 accepteert Logius voor op papier aangeleverde documenten alleen de ‘natte’ handtekening van de RE-auditor.

Tot 2023 is het nog mogelijk om documenten aan te leveren met een gescande handtekening, jpg-handtekening of ‘scribble’. Kenmerkend voor deze handtekeningen is dat ze persoonlijk door de RE-auditor zijn gezet. Een naam uitgeschreven met een computerlettertype, ook wanneer die handgeschreven lijkt, wordt daarom niet geaccepteerd.

Ook een document met een natte handtekening dat gescand wordt ingeleverd wordt tot 2023 nog geaccepteerd.

Let op: TPM’s die worden uitgegeven in het najaar van 2022, ten behoeve van de inleverperiode van 1 januari tot 1 mei 2023, moeten zijn voorzien van een elektronische handtekening met een EUTL-certificaat, of moeten op papier worden ingeleverd met een ‘natte’ handtekening.

Een uitleg over elektronische handtekeningen vindt u in De elektronische handtekening en de Dienstenrichtlijn. De verwijzingen in deze fact sheet zijn verouderd, de uitleg over elektronische handtekeningen klopt wel.

Uitbesteding aan een Serviceorganisatie

Een DigiD aansluithouder kan een deel van de DigiD omgeving of het beheer uitbesteden aan een Serviceorganisatie. De Serviceorganisatie valt hierdoor mogelijk ook binnen de scope van het DigiD assessment. Hierdoor wordt een deel van de normen niet meer bij de aansluithouder maar bij de Serviceorganisatie, of bij beide, getoetst. De auditor bepaalt hierbij hoe de verdeling van normen wordt. De aansluithouder blijft de verantwoordelijke voor het toetsen van het geheel en blijft het aanspreekpunt voor Logius.

Toetsen volgens de opnamemethode (inclusive)

Normaliter wordt de Serviceorganisatie getoetst volgens de uitsluitingsmethode (carve out) en is er sprake van een TPM. Dit hoeft echter niet. De aansluithouder en de Serviceorgansiatie(s) mogen ook als een geheel getoetst worden. De resultaten van deze audit worden dan als één geheel opgenomen in het DigiD Assessmentrapport van de aansluithouder. De Serviceorganisatie wordt hiermee volgens de opnamemethode (inclusive) getoetst.

Ook meerdere (sub)Serviceorganisaties kunnen als een geheel getoetst worden volgens de opnamemethode. Het resultaat is één auditrapportage in de vorm van een TPM welke volgens de uitsluitingsmethode gebruikt kan worden bij de toetsing van de aansluithouder.

TPM

Een Serviceorganisatie kan voor zijn gedeelte van de DigiD normen een DigiD Assessment uit laten voeren en het resultaat daarvan ter beschikking stellen aan de DigiD aansluithouder in de vorm van een TPM.

Een template “modelrapport TPM/Serviceprovider (2017)” voor het opstellen van een TPM is te vinden op de NOREA website. Deze is op bepaalde punten anders dan het template dat wordt gebruikt voor de gebruikersorganisatie. Zo is er een hoofdstuk “Verantwoordelijkheden gebruikersorganisatie” toegevoegd en bevat de template voor een TPM geen bijlage C. Deze mag wel worden toegevoegd in geval de Serviceorganisatie gebruikt maakt van een Sub-serviceorganisatie.

De auditor van de DigiD aansluithouder neemt de TPM van de Serviceorganisatie over en gebruikt bijlage C om hierin het totaaloverzicht weer te geven.

ISAE- of SOC-verklaring

Een ISAE- of SOC-verklaring, anders dan in de vorm van een TPM, kan ook dienen als auditverklaring voor de serviceorganisatie. Gangbare internationale assurance standaarden zijn ISAE3402, ISAE3000 en SOC2 of SOC3. De RE-auditor bepaalt in hoeverre de verklaring van toepassing en bruikbaar is.

De oordelen uit de ISAE- of SOC-verklaring zijn niet altijd een-op-een te koppelen aan de normen van het DigiD-assessment. De RE-auditor van de DigiD-aansluithouder beoordeelt, aan de hand van de oordelen uit de ISAE- of SOC-verklaring, of en aan welke normen van het DigiD-assessment wordt voldaan. Ook beoordeelt de RE-auditor of de aansluithouderorganisatie nog aanvullende maatregelen moet nemen.

De RE-auditor van de DigiD-aansluithouder neemt een verklaring op dat de toetsing van de ISAE- of SOC-normen tegen de DigiD-normen is uitgevoerd, en toont het resultaat van deze toetsing aan in een aparte kolom in de tabel van bijlage C (zie het modelrapport van NOREA ‘modelrapport gebruikersorganisatie (2017)’) met een oordeel ‘voldoet’ of ‘voldoet niet’.

Voorwaarden voor TPM en ISAE- of SOC-verklaring

Er zijn verschillende voorwaarden om het assessmentrapport van een serviceorganisatie te kunnen gebruiken als onderdeel van het DigiD-assessment.

Meesturen van TPM, ISAE- of SOC-verklaring?

Een TPM, ISAE- of SOC-verklaring maakt onderdeel uit van de totale assessmentrapportage en wordt samen met het assessmentrapport van de aansluithouder aan Logius toegestuurd.

Alleen als de resultaten van de TPM, ISAE- of SOC-verklaring door de RE-auditor van de aansluithouder wordt opgenomen in de paragraaf 1.5 “Oordelen”, verandert de uitsluitingsmethode (carve-out) naar de opnamemethode (inclusive). Zie hiervoor: “Toetsen volgens de opnamemethode (inclusive)”. Dit is voor een TPM wel, maar voor de internationale verklaringen niet altijd mogelijk, en de RE-auditor zal de richtlijnen van NOREA volgen.

Alleen als er gebruik wordt gemaakt van de opnamemethode (inclusive) hoeft de TPM, ISAE- of SOC-verklaring niet te worden meegestuurd. In dat geval hoeft bijlage C ook niet meer te verwijzen naar de inclusive opgenomen assuranceverklaring.

Maximale leeftijd

Zowel een TPM als een internationale assuranceverklaring mag niet ouder zijn dan twaalf maanden ten opzichte van de datum van het assessmentrapport van de DigiD-aansluithouder. Voor vaststelling van de datum van de TPM of assuranceverklaring is de onderzoeksdatum leidend.

Soms verwijst een TPM of internationale assuranceverklaring via de uitsluitingsmethode naar een onderliggende TPM of internationale assuranceverklaring. Ook hiervoor geldt dat de desbetreffende getoetste norm(en) niet ouder mogen zijn dan een jaar ten opzichte van het assessmentrapport van de aansluithouder. Bepalend hierbij is de onderzoeksdatum in het assessmentrapport van de serviceorganisatie.

Herhaald gebruik

De TPM of internationale assuranceverklaring mag maar één keer gebruikt worden voor het indienen van een DigiD-assessment op de betreffende aansluiting. Voor het assessment van het volgende jaar moet een nieuwe TMP of internationale assuranceverklaring worden gebruikt.

Opname in bijlage C

De TPM moet opgesteld en ondertekend zijn door een Register EDP-auditor (RE-auditor).
Een internationale assuranceverklaring is ondertekend door een (Nederlandse) Register Accountant (RA). Indien de RE-auditor een buitenlandse titel hanteert kan bij de Koninklijk Nederlandse Beroepsorganisatie van Accountants worden nagevraagd of deze gelijkwaardig is aan de titel van RA.

De RE-auditor van de aansluithouder controleert of de TPM of internationale assuranceverklaring klopt op het object van onderzoek (tijdens de uitgifte van de TPM en de toepassing bij de aansluithouder kunnen wijzigingen zijn opgetreden op de serviceomgeving) en of de ondertekening geldig is, en de leeftijd valide. De RE-auditor noteert de conclusies betreffende de oordelen vanuit de TPM of de internationale verklaring in bijlage C met een oordeel ‘voldoet’ of ‘voldoet niet’.

Een verwijzing naar een TPM of een internationaal assurancerapport moet de volgende informatie bevatten:

  • De naam van de serviceorganisatie;
  • Het unieke referentie- of rapportnummer;
  • De datum van de verklaring;
  • De naam van de afgevende RE-auditor;

Zie hiervoor bijlage C van het ‘modelrapport gebruikersorganisatie (2017)’ van NOREA.
Het is uiteindelijk aan het professionele oordeel van de RE-auditor om te bepalen of de rapportage van de RE-auditor van de serviceorganisatie valide is.

Mocht de RE-auditor van de serviceorganisatie van mening verschillen met de RE-auditor van de DigiD-aansluithouder, dan kan dit worden voorgelegd aan NOREA. Dit kan eventueel ook voor vakinhoudelijke specifieke auditvragen over het DigiD-assessment.

Soms maakt een DigiD aansluithouder voor verschillende diensten gebruik van dezelfde DigiD aansluiting. Dit wordt niet geadviseerd, maar is wel mogelijk. In dat geval moet de bijlage C voor iedere dienst apart worden opgenomen in de rapportage. Per dienst moet er dan worden verwezen naar de desbetreffende TPM en per dienst moet er inzicht gegeven worden in de verdeling van normen bij de DigiD aansluithouderorganisatie en de Serviceorganisatie.

Verantwoordelijkheid van de DigiD aansluithouder bij uitbesteding

Ook bij een uitbesteding blijft de DigiD aansluithouder verantwoordelijk voor het voldoen aan de DigiD normen voor het geheel, dat wil zeggen de toetsing van de normen bij de Serviceorganisatie én de toetsing bij de DigiD aansluithouder.

Er is altijd een aantal normen die de aansluithouderorganisatie zélf door een auditor moet laten toetsen.

ENSIA rapportage

Maakt een gemeente gebruik van ENSIA dan geldt een andere vorm voor de DigiD-assessmentrapportage. Een set ENSIA-documenten bestaat uit een zelfevaluatie, een collegeverklaring, een door de RE-auditor afgegeven assurance rapport en - indien van toepassing - één of meerdere TPM’s.

De betrouwbaarheidseisen aan de handtekening van een RE-auditor, zoals hierboven te vinden zijn ook van toepassing op alle ENSIA-documenten. 

Een digitale handtekening met EUTL-certificaat wordt eenmalig geplaatst op de collegeverklaring en op de zelfevaluatie. Hiermee vervalt het paraferen van iedere bladzijde van de collegeverklaring en de zelfevaluatie. Raadpleeg voor meer informatie over de ENSIA-methodiek de ENSIA website.