Skip to the content

Help, een nieuwe DigiD-aansluiting! Wat nu?

Een nieuwe DigiD-aansluiting. Wat nu?

Veel digitale dienstverleners maken gebruik van DigiD voor het veilig authenticeren van burgers op webapplicaties. Het komt dan ook zeer regelmatig voor dat een nieuw project wordt gestart waarbij op enig moment wordt besloten om gebruik te gaan maken van DigiD. Helaas komt het óók zeer regelmatig voor dat men niet of niet tijdig signaleert wat voor impact dit heeft en welke verplichtingen hierbij horen.

Sinds 2013 moeten alle organisaties die DigiD gebruiken jaarlijks verplicht vóór 1 mei een DigiD ICT-beveiligingsassessment laten uitvoeren om te voldoen aan gestelde beveiligingseisen. In geval van een nieuwe aansluiting geldt echter dat dit binnen twee maanden na activering van de DigiD-aansluiting bij Logius moet plaatsvinden. Veel organisaties weten dit niet en komen voor onaangename verrassingen te staan kort voor of na de livegang van het mooie nieuwe project.

Logius & DigiD-aansluitingen

Het is daarom goed om op de hoogte te zijn van de regels die toezichthouder Logius heeft gesteld, zodat u onaangename verrassingen kunt voorkomen:

  1. Voor bestaande aansluitingen geldt dat een DigiD audit altijd gaat over het voorgaande jaar. De inleverperiode voor het assessment is 1 januari tot 1 mei van het opvolgende jaar;
  2. Voor nieuwe aansluitingen geldt:
    1. Binnen 2 maanden nadat de aansluiting is geactiveerd moet een assessmentrapportage worden ingediend;
    2. De datum vanaf wanneer de aansluiting daadwerkelijk door uw organisatie wordt gebruikt speelt hierbij geen rol;  
    3. Hierna moet u jaarlijks een assessmentrapport inleveren volgens het reguliere assessmentschema;
    4. In de eerste 12 maanden na activatie hoeft u geen volgend assessmentrapport in te leveren.

Zie ook https://www.logius.nl/diensten/digid/beveiligingsassessments/veelgestelde-vragen voor andere nuttige informatie.

Met name die laatste zin is interessant. Logius zegt daar in een nadere toelichting over: Indien daardoor uw verplichting tot het inleveren van een eerstvolgend assessmentrapport buiten de reguliere inleverperiode van 1 januari tot 1 mei valt, levert u het assessmentrapport in tijdens de inleverperiode van het jaar daarop. Oftewel, als uw deadline voor het inleveren van uw eerste assessmentrapport voor uw nieuwe aansluiting 1 mei valt heeft u vrijstelling voor de eerstvolgende audit. Het is dus zinvol om goed na te denken over het juiste moment van activeren.

Deadline DigiD audit 

Een concreet rekenvoorbeeld: stel dat u een nieuwe aansluiting heeft geactiveerd op 10 april 2019, dan is de deadline voor uw eerste assessmentrapport 10 juni 2019. Aangezien 10 juni ná 1 mei valt, heeft u daardoor vrijstelling voor de normale assessmentperiode van 1 mei 2020 en hoeft u pas uiterlijk 1 mei 2021 een volgend assessmentrapport op te leveren.

Als u uw nieuwe aansluiting heeft geactiveerd op 28 februari 2019 dan is uw deadline voor uw eerste assessmentrapport 28 april 2019. Aangezien die datum vóór 1 mei valt heeft u géén vrijstelling voor de volgende assessmentperiode en moet u 1 mei 2020 een volgend assessmentrapport opleveren.

Verantwoordelijkheid leveranciers DigiD-aansluiting

Als u gebruik maakt van leveranciers voor bijvoorbeeld hosting of softwareontwikkeling, dan zijn zij ook verantwoordelijk voor (een deel van) de normen en moeten zij zich hierover verantwoorden aan u. Dit kan op twee manieren: u kunt uw eigen auditor langs sturen of de leverancier levert u een Third Party Memorandum (TPM). Het is daarom zeer belangrijk dat zij tijdig worden geïnformeerd en worden meegenomen in dit traject zodat ook aan de kant van de leveranciers alles tijdig geregeld is.

Aanpak 2-Control bij DigiD-aansluiting

Onze auditors beschikken over zeer ruime ervaring in het afnemen van beveiligingsassessments en voeren jaarlijkse voor vele verschillende gemeenten, andere (semi-)overheidsinstellingen en serviceorganisaties het DigiD ICT-beveiligingsassessment uit. Wij helpen u graag met het tijdig voldoen aan de gestelde eisen en informeren u ook graag nader over alle regels waar u aan moet voldoen.

Meer weten of benieuwd naar onze aanpak? U kunt direct contact met ons opnemen via het telefoonnummer 076-50 194 70 of u kunt uw gegevens achterlaten in onderstaand contactformulier. Wij nemen dan zo spoedig mogelijk contact met u op.

Kom in contact met onze DigiD-specialisten!

Wij nemen uw privacy serieus (zie onze privacyverklaring). De gegevens die u hier achterlaat gebruiken wij enkel om contact met u op te nemen, tenzij u expliciet aangeeft dat u zich ook inschrijft voor de nieuwsbrief. 

'Voornaam' is een verplicht veld
'Achternaam' is een verplicht veld
Vul een geldig e-mailadres in

2-Control B.V.

Haagsemarkt 1
4813 BA Breda
T: +31 (0) 76 50 194 70
info@2-control.nl

Contact

Vragen over onze IT-audit diensten of autorisatiesoftware voor Dynamics? Wij beantwoorden ze graag.