Skip to the content

ENSIA 2018 - lessons learned

Terugblik tweede ENSIA auditjaar

Sinds 2018 moeten gemeenten zich verantwoorden via de Eenduidige Normatiek Single Information Audit (ENSIA). De introductie van ENSIA vorig jaar ging niet zonder slag of stoot en leidde tot veel kritiek vanuit zowel gemeenten als auditors over de werkwijze en de tooling. De VNG en de NOREA zijn hier mee aan de slag gegaan en hebben diverse aanpassingen gedaan in handreikingen, formats en tooling. Ondertussen is de deadline voor de ENSIA audit over 2018 (1 mei 2019) ruim een maand verstreken. Tijd om terug te blikken op het tweede ENSIA auditjaar.

Wat is veranderd aan ENSIA?

In de tabel hieronder is inzichtelijk gemaakt wat de verschillen (en daarmee wat de belangrijkste veranderingen) zijn ten opzichte van het eerste auditjaar. Let op: hierbij hebben wij ons puur gericht op de verticale verantwoording omdat deze relevant is voor de IT-audit.

Onderwerp

2017

2018

Scope

DigiD en Suwinet

DigiD en Suwinet

Type audit

Opzet en bestaan

Opzet en bestaan

Norm DigiD

Handreiking 2.0

Handreiking 2.0 met een extra toelichting / verduidelijking van een aantal normen.

Norm Suwinet

·         Selectie uit specifiek normenkader voor afnemers;

·         Aanvullende kaderstellende norm;

·         Afhankelijk van gebruik Suwinet (Suwinet-inkijk / Suwinet-inlezen) normen wel of niet van toepassing.

·         Selectie uit specifiek normenkader voor afnemers;

·         Kaderstellende norm is vervallen;

·         AP (Autoriteit Persoonsgegevens) norm is toegevoegd;

·         Scope per norm (van toepassing op Suwinet-inkijk of -inlezen) verduidelijkt.

Proces

·         Inleveren vragenlijst voor 31 december

·         Opstellen collegeverklaring

·         Uitvoeren IT-audit

·         Uiterlijk 1 mei inleveren verantwoordingsstukken

Geen wijzigingen ten opzichte van vorig jaar.

Formats

Beschikbaar vanuit zowel NOREA als VNG (met verschillen), nog wijzigingen laat in het proces.

Consistentie in formats vanuit NOREA en VNG, duidelijke communicatie vanuit beide partijen.

IT-audit handreiking

Definitieve versie beschikbaar op 31 januari 2018.

Definitieve versie beschikbaar op 31 oktober 2018. Daarnaast een aanvullende Excel-tool beschikbaar als hulpmiddel voor het invullen van de Suwinet vragenlijsten.

ENSIA-tooling

ENSIA vragenlijsten gebaseerd op de BIG, alleen voor DigiD een specifieke vragenlijst.

Geen (grote) wijzigingen ten opzichte van vorig jaar, met de hiervoor genoemde Excel-tool is getracht het invullen van de Suwinet vragenlijsten eenvoudiger te maken.

De belangrijkste feedback op basis van het eerste jaar was dat de formats niet eenduidig waren en nog laat in het proces gewijzigd werden. Daarnaast hoorden wij vanuit gemeenten veel kritiek op (de toepasbaarheid van) de ENSIA-tooling. Het eerste punt hebben de VNG en de NOREA zich duidelijk aangetrokken en dat is flink verbeterd ten opzichte van het eerste jaar. Dit jaar zijn de formats éénmalig opgesteld en duidelijk gecommuniceerd door beide partijen. Dit zien wij als een sterke verbetering.

Inzake de ENSIA-tooling hebben wij over het gebruik geen ervaring opgedaan buiten het controleren van de stukken. Wel hebben wij van gemeenten wederom gehoord dat voor hen het gebruik nog te wensen over laat. Wij adviseren gemeenten om dit soort feedback altijd terug te koppelen naar de VNG. Inhoudelijk vinden wij nog steeds dat de vragenlijsten in de ENSIA-tooling niet goed aansluiten op de specifieke normenkaders voor met name Suwinet. Dit wordt vaak ook beaamd door gemeenten. De Excel-tool is verder niet of nauwelijks gebruikt door gemeenten bij ENSIA audits.

Onze ENSIA ervaringen

Op basis van alle ENSIA audits die wij hebben mogen uitvoeren kunnen wij concluderen dat met name op het gebied van de formats en communicatie flinke verbeterslagen zijn doorgevoerd. Voor wat betreft de timing vinden wij dat de handreiking aan de late kant was. Het zou beter zijn als de handreiking uitvoering ENSIA al einde van de zomer beschikbaar is zodat gemeenten tijdig kunnen worden geïnformeerd over op handen zijnde wijzigingen.

Daarnaast kiezen veel gemeenten voor een pré-audit, maar vaak pas in het voorjaar. Onze ervaring is dat veel gemeenten daardoor toch herstelacties nodig hebben omdat in eerste instantie niet aan alle eisen wordt voldaan. Wij adviseren daarom om een eventuele pré-audit al aan het einde van het kalenderjaar te laten uitvoeren zodat u tijdig op de hoogte bent van eventuele tekortkomingen en deze eenvoudig kunt herstellen.

Als laatste vinden veel gemeenten het nog steeds lastig om een goed, zelfstandig leesbaar dossier op te stellen. Hier valt ons inziens nog veel te halen in efficiency voor de ENSIA audit (en met name voor de gemeente zelf). Dit betreft hoofdzakelijk drie zaken:

  1. Welke stukken horen bij welke norm: veel gemeenten hebben moeite om de juiste stukken bij een norm te plaatsen. Lees hiervoor goed de handreiking van met name de NOREA want daarin staat duidelijk wat in de norm verwacht wordt. En daarnaast, voer tijdig een pré-audit uit en stem zaken af met uw IT-auditor.
  2. Zeg wat je doet en doe wat je zegt: veel gemeenten vinden het moeilijk om een procedure te beschrijven. Dit leidt vaak tot procedures waarin zaken staan die in werkelijkheid niet zo gaan en waarin bijvoorbeeld controles worden beschreven die dan vervolgens niet worden uitgevoerd. Zorg daarom altijd dat een procedure beschrijft hoe binnen úw gemeente wordt gewerkt en leef deze procedure ook na!
  3. Overzichtelijkheid dossier: wij krijgen vaak een veelvoud aan bestanden aangeleverd in meerdere batches en vaak zonder goede inhoudsopgave. Zorg voor een overzichtelijk dossier met een duidelijke koppeling tussen normen en bewijsstukken en met alléén relevante stukken.

Wij hebben dit ook als feedback teruggekoppeld naar de NOREA en wij gaan vanaf komend jaar klanten voorzien van handvatten om dit efficiënter te kunnen doen. Houd hiervoor onze blog in de gaten.

Toekomst audits

Wat de toekomst gaat brengen voor het komende auditjaar is helaas op dit moment nog niet duidelijk. De introductie van de BIO gaat naar verwachting behoorlijk wat wijzigen in de ENSIA-tooling en mogelijk ook de manier van verantwoorden. Of dat dit jaar al gaat gebeuren is onbekend.

Daarnaast gaan al geruime tijd geruchten over het toetsten van de werking voor een selectie van DigiD normen. Ook hiervan is nog geen definitieve uitspraak bekend. Wij houden alle ontwikkelingen nauwlettend in de gaten en zullen zodra wij iets nieuws weten hier over publiceren of hier een seminar voor organiseren.

Audit ondersteuning gemeenten

Onze auditors beschikken over zeer ruime ervaring in het afnemen van beveiligingsassessments en voeren jaarlijks voor vele verschillende gemeenten de ENSIA audit uit. Bent u nog op zoek naar een ENSIA auditor voor de audit over 2019? Bekijk dan hier ons ENSIA audit aanbod.

Voor meer informatie over onze hulp bij een ENSIA audit, kunt u direct contact met ons opnemen via het telefoonnummer 076-50 194 70 of u kunt uw gegevens achterlaten in onderstaand contactformulier. Wij nemen dan zo spoedig mogelijk contact met u op.

Kom in contact met onze ENSIA-specialisten!

Wij nemen uw privacy serieus (zie onze privacyverklaring). De gegevens die u hier achterlaat gebruiken wij enkel om contact met u op te nemen, tenzij u expliciet aangeeft dat u zich ook inschrijft voor de nieuwsbrief. 

'Voornaam' is een verplicht veld
'Achternaam' is een verplicht veld
Vul een geldig e-mailadres in

2-Control B.V.

Haagsemarkt 1
4813 BA Breda
T: +31 (0) 76 50 194 70
info@2-control.nl

Contact

Vragen over onze IT-audit diensten of autorisatiesoftware voor Dynamics? Wij beantwoorden ze graag.