De jaarlijkse DigiD-audit: Hoe ziet dat proces er van start tot eind uit?
De DigiD-audit is een jaarlijkse controle verplicht voor organisaties die een DigiD-aansluiting hebben. Deze audit toetst of jouw organisatie voldoet aan de beveiligingsrichtlijnen die Logius voorschrijft. Maar waarom zijn deze vereisten überhaupt relevant? Simpel gezegd: omdat het vertrouwen in digitale diensten staat of valt met hoe goed je informatie beveiligt. In deze blog nemen we je mee door alle fases van dit assessment, zodat je precies weet wat je kunt verwachten en hoe je jouw organisatie optimaal kunt voorbereiden.
Hulp nodig met DigiD audit?
Onze consultants helpen je graag verder.
Wettelijke basis en doelstelling
Elk jaar moeten organisaties die een DigiD-aansluiting hebben verplicht een Digid-audit uitvoeren. Dit is geen vrijblijvend assessment, maar een wettelijke eis. De audit wordt uitgevoerd volgens het Normenkader 3.0 van Logius, dat bestaat uit 21 beveiligingsregels. De rol van Logius hierin? Zij bewaken dat iedereen volgens dezelfde regels speelt en houden toezicht op deze audits.
Stap 1 Intake & scope-bepaling
Een goed begin is het halve werk. Dat geldt zeker voor het DigiD-assessment. Tijdens de intake bepaal je samen met de auditor welke aansluiting(en) onderdeel zijn van de audit. We brengen ook alvast databases en interfaces in kaart. Ervaring leert dat een kick-off met alle betrokken interne (en indien relevant externe) partijen het proces versoepelt en borgt dat iedereen weet waar ze aan toe zijn.
Stap 2: Pre-audit als voorbereiding
De pre-audit is als een generale repetitie voor de ‘officiële’ DigiD audit. Tijdens deze stap voer je een zelf-assessment uit, eventueel met begeleiding van de auditor. Zo krijg je direct zicht op mogelijke pijnpunten. Zie het als een medische check-up voordat je aan een zware sportwedstrijd begint: eventuele problemen komen vroeg naar boven en je kunt meteen maatregelen nemen om ze op te lossen.
Het grote voordeel? Tijdens de formele audit kom je niet voor verrassingen te staan, en je kunt eventuele kwetsbaarheden al vooraf aanpakken. Dit bespaart je niet alleen tijd en geld, maar verhoogt ook aanzienlijk de kans op een positief eindresultaat. Daarnaast zorgt dit er ook voor dat de documentatie al voorgesorteerd is, en verhoogd daarmee de efficiëntie van de audit – kortere doorlooptijden dus!
Stap 3: Dé DigiD-audit!
Aan de hand van het normenkader van NOREA toetsen de auditors de opzet, bestaan en werking van de getroffen maatregelen. De onafhankelijke auditor is geregistreerd bij de NOREA (RE-titel). Hierbij inspecteren ze documenten, houden ze interviews en observeren ze systeemconfiguraties. Deze werkzaamheden worden netjes vastgelegd in een audittool of uitwerkingentemplate.
Tijdens de DigiD audit worden de 21 specifieke beveiligingsrichtlijnen van Logius één voor één gecontroleerd. Denk aan toegangsbeheer, het veilig configureren van systemen en de beveiliging van contracten met derde partijen.
Als onderdeel van de DigiD audit worden er ook technische penetratietests uitgevoerd op de DigiD-omgeving. Hiervoor hebben sommige auditfirms hun eigen pentesters in dienst, of werken ze samen met een externe partij. Deze pentests zijn niet alleen verplicht vanuit Logius, ze leveren vooral waardevolle inzichten op. Zo voorkom je dat aanvallers zwakke plekken ontdekken voordat jij dat doet. De resultaten worden meegenomen in het formele auditrapport, en helpen je organisatie om sterker en veiliger te worden.
Stap 4: Rapportage & certificering
Na afronding van de audit ontvang je het DigiD-auditrapport. Dit rapport geeft een oordeel over de naleving van de normen van Logius. Dit auditrapport wordt vervolgens ingediend bij Logius. Zodra je het rapport hebt ingediend, beoordeelt Logius zorgvuldig of alles volgens het boekje is verlopen. Soms komen er nog aanvullende vragen, maar uiteindelijk krijg je terugkoppeling waarmee je officieel bevestigt dat jouw organisatie voldoet aan de DigiD-vereisten.
TPM-verklaring DigiD
Sommige organisaties werken met gedeelde DigiD-aansluitingen of externe leveranciers van DigiD-diensten. In die gevallen is er vaak een TPM-verklaring nodig (Third Party Memorandum). Deze verklaring kun je zien als een soort kwaliteitskeurmerk voor leveranciers die namens andere organisaties diensten leveren.
Een TPM-verklaring maakt het leven van je organisatie een stuk makkelijker. Je hoeft namelijk niet steeds opnieuw dezelfde audit uit te voeren voor verschillende klanten. Eén gedegen audit is voldoende, waardoor je flink bespaart op tijd en kosten. Zo toon je bovendien duidelijk aan partners dat je diensten betrouwbaar zijn.
Stap 5: Nazorg & support
Mogelijk zijn er tijdens de audit bevindingen naar boven gekomen ten opzichte van de beveiligingsnormen van Logius, waardoor verbeteringen doorgevoerd moeten worden alvorens de goedkeurende verklaring kan worden afgegeven. Zodra je de verbeteringen hebt doorgevoerd, vindt een extra controle plaats door middel van een retest. De auditor controleert hierbij of alle eerdere bevindingen daadwerkelijk zijn opgelost.
DigiD-support en monitoring
Een goede compliance-strategie betekent continu aandacht geven aan je beveiliging. Daarom is support en monitoring belangrijk. Het is net als het onderhoud aan je auto: als je alleen naar de garage gaat wanneer er iets kapot gaat, kom je uiteindelijk veel duurder uit dan wanneer je regelmatig onderhoud laat uitvoeren.
DigiD-support en monitoring zorgen ervoor dat jouw beveiliging altijd up-to-date blijft. Incidenten worden snel opgemerkt en direct aangepakt. Bovendien zorg je zo voor een soepele voorbereiding van toekomstige audits. Dit scheelt je niet alleen stress, maar ook onverwachte kosten en downtime.
Jaarlijkse cyclus
De DigiD-assessments keren jaarlijks terug. Daarmee wordt periodiek geborgd dat de beveiligingsrichtlijnen netjes worden nageleefd. Het jaarlijks-terugkerende karakter van de DigiD-audits maakt dat het vaak efficiënt is om een aantal jaar dezelfde auditor te hebben – veelal is de investering in het eerste jaar hoger dan de opeenvolgende jaren.
De jaarlijkse DigiD-audit kan een terugkerend hoofdpijndossier zijn, maar het kan ook anders! Meer weten? Neem contact met ons op!