Hoofdinhoud

Niet op tijd indienen

In gevallen waarbij een assessmentrapportage niet op tijd is aangeleverd zal Logius overgaan tot het opschorten van de DigiD dienstverlening.

Het proces bij niet of niet tijdig indienen van de rapportage

Bij overschrijding van de deadline voor het aanleveren van een assessmentrapportage stuurt Logius een aanmaning per aangetekende brief. In deze aanmaning wordt de DigiD dienstverlener door Logius in gebreke gesteld. De DigiD dienstverlener krijgt nog één mogelijkheid om alsnog te voldoen aan de assessmentplicht. Bij overschrijding van deze deadline volgt een aangetekende brief waarin wordt aangegeven dat Logius overgaat tot deactivatie van de DigiD aansluiting. In deze brief is ook de deactivatiedatum opgenomen, die wordt gehanteerd indien geen assessmentrapportage wordt opgeleverd.

Logius stuurt deze aanmaningen altijd aangetekend naar het hoogste bestuur binnen de organisatie, bijvoorbeeld het college of de directie.

Voor het opnieuw activeren van een gedeactiveerde aansluiting kan een verzoek worden ingediend bij Logius. Logius beoordeelt het verzoek tot heractivatie en afhankelijk van de situatie worden hier aanvullende voorwaarden aan gesteld.

Indienen

Voor iedere actieve DigiD aansluiting moet een dienstverlener een assessmentrapportage indienen. Hierin moet de aansluitnaam en het aansluitnummer vermeld staan.

Eén rapportage voor meerdere DigiD-aansluitingen

Zolang er in de rapportage duidelijk onderscheid wordt gemaakt tussen de aansluitingen mag een dienstverlener met meerdere DigiD aansluitingen assessmentrapportages samenvoegen. Onder voorwaarde dat voor iedere aansluiting de TPM of assuranceverklaring van de Serviceorganisatie hetzelfde is, en de oordelen in het hoofdstuk ‘Oordelen’ van het assessmentrapport hetzelfde zijn.

Indienen via het aanleverformulier of e-mail

Iedere DigiD dienstverlener kan rapportages indienen met het aanleverformulier of per e-mail. De aanlevermethoden zijn hier beschreven. Daarnaast zijn er regels waar de digitale documenten aan moeten voldoen.

Iedere dienstverlener kan rapportages opsturen met het aanleverformulier. Het aanleverformulier met daarin de documenten wordt versleuteld verstuurd naar Logius. Het is daarmee veiliger dan het niet-versleuteld versturen van documenten via e-mail. 
Houd rekening met het volgende als u het aanleverformulier gebruikt: 

  • Voeg alleen PDF/A -bestanden toe. Een bestand dat niet in PDF/A-formaat is, telt niet mee als deel van de assessmentrapportage (dus ook geen zip-files).
  • Elk bestand mag niet groter zijn dan 8MB.
  • Voeg maximaal 3 PDF/A-bestanden toe van bij elkaar maximaal 20MB.
  • Geef een e-mailadres op binnen de organisatie van de DigiD-dienstverlener

Bij meer dan 3 bestanden of als uw bestanden bij elkaar meer dan 20MB zijn kunt u de bestanden verspreiden door meerdere keren het aanleverformulier te gebruiken.

Bij gebruik van het aanleverformulier is het toevoegen van een begeleidend schrijven niet nodig. Logius gebruikt de opgegeven gegevens in het aanleverformulier voor een reactie per post.

Het e-mailadres waar u digitale assessmentrapportages aanlevert is: DigiDassessment@logius.nl.

De dienstverlener geeft in de e-mail op:

  • aansluitnummer
  • aansluitnaam
  • contactgegevens, waaronder een postadres.

Deze gegevens gebruikt Logius voor de reactie per post.

E-mailadres vanuit de organisatie

Logius moet uit het gebruikte e-mailadres kunnen afleiden dat het assessment is verstuurd vanuit de organisatie van de DigiD dienstverlener.

Vertrouwelijkheid

De vertrouwelijkheid van de berichten is niet gegarandeerd bij het opsturen van uw assessmentrapportage via e-mail. Logius adviseert daarom het gebruik van het aanleverformulier (te gebruiken door alle dienstverleners). 

ZIP-bestanden

Alleen per e-mail mag u meerdere PDF/A-bestanden sturen in een zip-file. Hieraan zijn twee voorwaarden verbonden:

  • Het bestandsformaat is .zip;
  • De zip-file is niet versleuteld met een wachtwoord

Voldoet de aanlevering per e-mail niet aan deze regels, dan neemt Logius de assessmentrapportage formeel niet in behandeling.

Aan de digitale documenten zijn een paar regels verbonden. Zie hiervoor de kopjes ‘Uniek kenmerk’, ‘PDF/A’ en ‘Elektronische handtekening’ op de pagina IT-assessmentrapportage voor DigiD.

Schriftelijke reactie van Logius

Na de beoordeling van de assessmentrapportages informeert Logius de DigiD dienstverlener per brief over de bevindingen. Standaard zijn er drie mogelijke reacties op de ingediende DigiD assessmentrapportage.

De rapportage wordt niet in behandeling genomen

Als de rapportage niet in behandeling wordt genomen staat er in de brief altijd een reden vermeld. De DigiD dienstverlener stuurt voor de in de brief vermelde deadline de ontbrekende of gecorrigeerde documenten op. Documenten die al correct waren hoeven niet nogmaals opgestuurd te worden.

De rapportage is beoordeeld en er wordt niet aan alle normen voldaan

Per norm waaraan niet wordt voldaan bepaalt Logius een oplostermijn en vermeldt deze in de brief. Die normen moeten opnieuw getoetst worden door de RE-auditor. De dienstverlener stuurt binnen de oplostermijn het herassessmentrapport aan Logius.

Normen waar al aan is voldaan hoeven niet nogmaals getoetst te worden. Een uitzondering hierop is het Verscherpt Toezicht dat kan worden toegepast als ook aan het einde van de oplostermijn nog niet kan worden voldaan aan de toets op werking. Zie hiervoor de kop ‘Verscherpt Toezicht’.

Logius adviseert een DigiD dienstverlener bij constatering van een norm die niet voldoet direct te starten met het oplossen en niet te wachten op de beoordeling en de oplostermijn van Logius.

Dit geldt ook als de tekortkoming wordt geconstateerd bij de Serviceorganisatie. De DigiD dienstverlener, niet de Serviceorganisatie, is te allen tijde eindverantwoordelijke voor de informatieveiligheid van de gehele DigiD omgeving.

Na het indienen van het herassessmentrapport wordt de documentatie wederom beoordeeld. Logius geeft hierop opnieuw per brief een schriftelijke reactie.

De rapportage is beoordeeld en er wordt aan alle normen voldaan

Logius informeert de DigiD dienstverlener per brief dat voor het betreffende assessmentjaar aan de Voorwaarden DigiD is voldaan. Zolang de DigiD aansluiting bij Logius als geactiveerd geregistreerd staat, blijft de jaarlijkse assessmentplicht van toepassing.

Let op: Logius is gerechtigd om in gevallen waar er sprake is van een acuut en serieus beveiligingsrisico met gevolgen voor DigiD, direct over te gaan tot het afsluiten van de DigiD koppeling in kwestie, zonder daarover eerst schriftelijk te communiceren.

Contact

Wilt u een rapportage aanleveren of heeft u vragen over het ICT-beveiligingsassessment DigiD? Dan kunt u dit indienen met het vragen- en aanleverformulier.

Verscherpt Toezicht

Dienstverleners die na de oplostermijn nog niet voldoen aan de toets op werking worden in gebreke gesteld. Zij kunnen onder verscherpt toezicht de DigiD-dienst toch voortzetten. Dan moet aan het einde van de oplostermijn en iedere volgende 2 maanden aangetoond worden dat de norm aan opzet en bestaan voldoet.

Voorwaarden voor verscherpt toezicht

  • Uit een herassessment (niet eerder dan twee weken voorafgaand aan de oplostermijn voor het aantonen van werking) blijkt dat aan de norm opnieuw wordt voldaan voor opzet en bestaan;
  • Dit herassessmentrapport wordt ingeleverd vóór het einde van de gegeven oplostermijn voor werking. Als een herassessmentrapport niet of niet op tijd wordt opgeleverd dan wordt de standaard escalatieprocedure gestart. Binnen de escalatieprocedure bestaat alsnog beperkt de mogelijkheid om het herassessmentrapport in te leveren om afsluiting te voorkomen.

Ingang en uitvoering van verscherpt toezicht

Als Logius verscherpt toezicht toekent dan moet de dienstverlener iedere twee maanden aantonen dat aan opzet en bestaan is voldaan. Dat ziet er als volgt uit: 

  • Logius stuurt als reactie op het ingestuurde herassessmentrapport een brief aan de dienstverlener waarin de dienstverlener in gebreke wordt gesteld én verscherpt toezicht wordt ingesteld. 
  • Deze brief bevat een opsomming van tweemaandelijks vastgestelde datums.
  • Iedere twee maanden: 
    • stuurt de dienstverlener vóór de eerstgenoemde datum een herassessmentrapport aan Logius met een ‘voldoet’ op opzet en bestaan voor de desbetreffende norm. De oordeelsdatum voor opzet en bestaan is maximaal twee weken vroeger dan de eerstgenoemde datum.
    • stuurt Logius een reactie op dit rapport aan de dienstverlener.

Bij een positieve reactie (geen afkeuring) op het rapport, geldt automatisch de volgende vastgestelde datum als nieuwe uiterste inleverdatum voor het volgende herassessmentrapport met een nieuwe toets op opzet en bestaan. 

Beëindiging van verscherpt toezicht

Het verscherpt toezicht kan ieder moment worden beëindigd door een herassessmentrapport op te sturen waaruit blijkt dat de norm voldoet aan de toets op werking. Zolang de werking niet is aangetoond blijft het verscherpt toezicht in stand.

Jaarlijks assessment

Het verscherpt toezicht staat los van het jaarlijks assessment. Ook een dienstverlener onder verscherpt toezicht heeft jaarlijks een assessment over alle 21 normen in te leveren vóór 1 mei.  Wel kan het jaarlijks assessment worden gebruikt om aan te tonen dat de toets op werking voldoet en daarmee het verscherpt toezicht te beëindigen of als tweemaandelijkse rapportage onder het verscherpt toezicht met een toets op bestaan. Hou in dat geval rekening met het opgegeven interval waarbinnen de oordeelsdatum mag vallen.