14 augustus 2024

Update: toetsen van werking bij DigiD-audits

Op 1 juli is voor de aansluithouders die via ENSIA verantwoording afleggen over hun DigiD-aansluitingen de controleperiode van start gegaan, waar dit jaar voor het eerst werking over wordt getoetst. In een vorige blog zijn we al ingegaan wat het inhoudt en hoe dit per norm getoetst wordt. In deze blog lichten we de laatste ontwikkelingen toe ter voorbereiding op dit nieuwe onderdeel.

Wat verandert er ook al weer?

De focus van de DigiD-audit beperkte zich tot dusver tot opzet en bestaan: het ontwerp en de uitvoering. De opzet is een ontwerp van een stelsel van maatregelen en wordt getoetst op basis van (o.a.) beleid, procedures, procesbeschrijvingen en werkinstructies. Het toetsen van bestaan verloopt aan de hand van één of enkele voorgedragen voorbeeld(en) waarin duidelijk wordt dat beleid of procedure juist gevolgd is rond een bepaalde peildatum. Om betere zekerheid te geven aan het feit dat procedure of beleid wordt gevolgd, wordt werking voor een select aantal normen aan de toetsing toegevoegd.

Werking gaat verder dan bestaan en geeft zekerheid over het functioneren van de opzet over de gehele periode. Het toetsen van werken zal voornamelijk plaatsvinden aan de hand van (willekeurige) steekproeven of samples nemen uit de totaalpopulatie. De auditor kiest willekeurige uitwerkingen die gecontroleerd zullen worden op basis van de procedure.

Bij de laatste DigiD-audit kon vrijblijvend op werking worden getoetst zonder dat dit impact had op het oordeel. Onduidelijkheden en opgedane ervaringen hieruit zijn toegelicht in een FAQ en in een nieuwe versie van de handreiking ICT-beveiligingsassessment DigiD. De belangrijkste aandachtspunten zijn hieronder uiteengezet.

Periode

De toetsing op werking wordt verplicht vanaf de inleverperiode 1 januari t/m 1 mei 2025. Werking zal getoetst dienen te worden over de periode van tenminste 6 maanden aaneengesloten voorafgaand aan de oordeelsdatum. Voor ENSIA is de oordeelsdatum 31 december 2024 zodat de controleperiode automatisch 1 juli t/m 31 december 2024 betreft.  De controleperiode voor serviceorganisaties en aansluithouders die niet via ENSIA verantwoording afleggen is ook minimaal 6 maanden voorafgaand aan de oordeelsdatum. Deze auditperiode kan dus afwijken.

Hoe werking toetsen?

Werking wordt getoetst op basis (totaal)overzichten waarop steekproeven of deelwaarnemingen worden uitgevoerd. De auditor kiest op basis van deze overzichten meerdere uitwerkingen uit. Hierna worden de onderliggende bewijslast, zoals tickets, bekeken van de procesuitwerking. Het grote verschil met het toetsen van bestaan is dat willekeurige voorbeelden worden gekozen door de auditor uit een totaaloverzicht in tegenstelling tot de aansluithouder die zelf een voorbeeld kan aanleveren.

Qua bewijslast kan hierbij gedacht worden aan een uitdraai van alle beveiligingsincidenten en datalekken uit het ticketsysteem voor U/WA.02 of een overzicht van alle in- en uitdiensttredingen voor U/TV.01.

Wat als er geen voorbeelden zijn?

Anders dan bij de toetsing van bestaan, waar een non-occurence kan worden opgelost door de scope aan te passen naar een ander vergelijkbaar proces, is het niet mogelijk om af te wijken van de scope voor het toetsen van werking. Bij een non-occurence wordt er geen oordeel gegeven over de werking en wordt dit toegelicht in het assurance rapport dat er wel maatregelen zijn ontworpen maar de we de werking ervan niet hebben kunnen vaststellen.

Verbijzonderde interne controle

In het normenkader wordt om aan werking te voldoen voor normen U/TV.01, U/WA.02, C.07 C.08 een verbijzonderde interne controle voorgeschreven. Dit houdt in dat de organisatie zelf aantoonbaar een interne 2-lijns controle uitvoert of het proces voldoende gecontroleerd ingericht is geweest. Dit onderdeel zal bij de audit nog een wenselijkheid zijn en geen verplichting. Afwijkingen die door de organisatie zelf zijn opgemerkt (bijv. via een interne controle) en van een risicobeperkende maatregel zijn voorzien worden door de auditor niet als uitzondering gerapporteerd. Wel dient de risicobeperkende maatregel door de auditor te worden getoetst.

Nieuwe aansluitingen

Voor nieuwe aansluithouders is werking nog niet van toepassing, omdat werking pas kan worden getoetst na de activatie van de aansluiting. Vanaf de volgende controleperiode zal werking van toepassing zijn.

Hoe nu verder?

De toevoeging van werking op de DigiD-audit zal zorgen voor optimalisatie van de processen en meer zekerheid dat de uitvoering correct is uitgevoerd. De sprong van bestaan naar werking kan in eerste instantie groot lijken, maar met een goede opzet van proces en procedures en het uitvoeren daarvan zal werking niet een enorme verandering zijn op het huidige proces.

---

Vragen over deze blog, DigiD-audits of IT-audits in het algemeen? Lees meer over onze auditdiensten of neem contact op met een van onze auditors via ons contactformulier. Zie ook een van onze andere Blogs op onze website.

Naar overzicht
DigiD audit ENSIA audit

2-Control B.V.

Haagsemarkt 1
4813 BA Breda
Nederland
+31 (0)76 5019470

BTW NL866595934B01
KVK 93995814