25 maart 2025

Eerste ervaringen met ENSIA 2025: Gemeenten worstelen met invulling collegeverklaring

De afgelopen maanden hebben wij bij 2-Control een groot aantal ENSIA-audits uitgevoerd. Dit jaar is voor het eerst de beoordeling van de werking van een aantal DigiD- normen verplicht gesteld, wat zorgt voor een belangrijke verandering in het auditproces. Gemeenten zijn druk bezig met het opstellen van de collegeverklaring en bijbehorende bijlagen, en we merken dat dit in de praktijk voor veel vragen en onduidelijkheid zorgt. 

De templates voor de collegeverklaring zijn aangepast en de bijlagen voor DigiD en Suwi zijn aanzienlijk uitgebreider geworden. De verantwoordelijkheid voor het opstellen van de collegeverklaring en de bijlagen ligt bij de gemeenten zelf. Deze verklaring met bijlagen moet vervolgens worden voorgelegd aan het college van B&W. Onze rol als auditor is uiteindelijk het geven van een oordeel over de juistheid van de collegeverklaring, inclusief de bijlagen. 

 In de praktijk blijkt het met name in de bijlage 1 DigiD mis te gaan.  Vanuit Logius en diverse auditoren zijn hier op grote schaal fouten in gesignaleerd. VNG heeft hier recent ook een alert over gedeeld met alle ENSIA-coƶrdinatoren. 

 De meest voorkomende fouten die wij tegenkomen: 

  • Het ten onrechte op 'voldoet' zetten van alle normen, ook als die niet bij de gemeente zijn getoetst; 

  • Onjuiste vermelding van de beoordelingsdatum (vaak wordt de rapportdatum van het assurance rapport (AR) van de leverancier gevuld, maar dat dient de auditdatum te zijn); 

  • Onjuiste vermelding van de toetsingsperiode (bijv. 'n.v.t.'); 

  • Het onjuist verwerken van meerdere assurance rapporten van de zelfde leverancier; 

  • Het ten onrechte vermelden van Logius als Identity Provider. 

 We adviseren gemeenten om deze punten nogmaals kritisch te controleren. De juiste invulling voorkomt bevindingen tijdens de audit en draagt bij aan een efficiĆ«nt proces richting het college en Logius. Bij 2-Control denken we uiteraard graag mee en ondersteunen we gemeenten bij een correcte en tijdige oplevering van alle ENSIA-documentatie. 

Heb je vragen of wil je weten hoe jouw gemeente ervoor staat? Neem gerust contact met ons op. 

Jeroen de Klerk
RE CISA IT-auditor / Consultant

Benieuwd wat wij voor u kunnen betekenen? Neem dan gerust contact met mij op.