Hoofdinhoud

IT-auditor

Het DigiD Assessment moet uitgevoerd worden door een Register EDP-auditor (RE-auditor). De initiele assessmentrapportage en eventuele herassessmentrapportage, moet door een RE-auditor worden opgesteld.

RE-auditors die DigiD Assessments uitvoeren zijn te vinden via de website van NOREA.

NOREA leidraad voor IT-auditors

Een uitleg over het assessment kunt u vinden in de handreiking op de website van NOREA. Let op: de handreiking betreft een leidraad voor IT-auditors onderling. Het geeft een bandbreedte aan voor de invulling aan de DigiD normen. Het oordeel is de verantwoordelijkheid van de IT-auditor.

Omvang van het assessment

Het DigiD-Normenkader omschrijft de normen waaraan de DigiD-aansluiting moet voldoen. Op de website van NOREA zijn de ‘NOREA Handreiking ICT-beveiligingsassessment DigiD’ en de FAQ gepubliceerd. Hierin staat de omschrijving van de scope van de toetsing op de DigiD-normen:

Contact

Wilt u een rapportage aanleveren of heeft u vragen over het ICT-beveiligingsassessment DigiD? Dan kunt u dit indienen met het vragen- en aanleverformulier.

"Het perspectief van de burger die inlogt met DigiD en zijn verwachting dat hetgeen daarna gebeurt onder hetzelfde (strenge) beveiligingsregime van het DigiD assessment valt, bepaalt feitelijk de scope en de objecten van onderzoek bij een DigiD assessment. Dit zijn, samengevat, de internet-facing webpagina’s waarmee de interactie naar de gebruiker plaatsvindt nadat deze is geïdentificeerd en geauthentiseerd via DigiD, de systeemkoppelingen en de infrastructuur die met DigiD gekoppeld is en betrekking heeft op het DigiD identificatie en authenticatieproces. Ook de verschillende vormen van beheer op de webapplicatie zijn in scope voor zover relevant voor de doelstelling van de audit."

"De URL www.digid.nl, de token uitwisseling tussen Logius en de webserver, de systemen die gegevens leveren of ophalen uit de webapplicatie, zoals backoffice informatiesystemen vallen buiten de scope. Subsystemen en koppelvlakken zijn in scope indien de primaire authenticatie van het systeem op basis van DigiD tot stand is gekomen."

Voor de originele tekst of vragen betreffende de scope kunt u de NOREA website of uw RE-auditor benaderen.

Assessmentrapportage

De assessmentrapportage bestaat ten minste uit het assessmentrapport van de dienstverlener (RDV). Het is eventueel aangevuld met een assessmentrapport van de serviceorganisatie (RSO zie hiervoor 'Uitbesteden aan een serviceorganisatie' en dan 'Toetsen van de serviceorganisatie'). Per maatregel uit het DigiD Normenkader wordt in de rapportage een oordeel gegeven met ‘voldoet’ of ‘voldoet niet’.

Regels voor digitale documenten

Uniek kenmerk

Ieder rapport heeft altijd een uniek kenmerk (in geval van opeenvolgende rapporten eventueel in combinatie met een versienummer of een rapportdatum). Dit is nodig voor het vaststellen van de juiste en meest recente documentatie.

PDF/A

Ieder document is in het bestandsformaat PDF type A. Als het kan kies dan voor de optie PDF/A-1a of PDF/A-2a.

Elektronische handtekening

Het rapport, en indien van toepassing het RSO, moet zijn ondertekend door een RE-auditor. De eisen aan de handtekening leest u hieronder:

Betrouwbaarheidseisen aan de handtekening van een RE-auditor

Digitaal

Logius accepteert alleen de zogenoemde EUTL-handtekening als elektronische handtekening voor alle documenten in de assessmentrapportage.

Een EUTL-handtekening is een gekwalificeerde elektronische handtekening met een certificaat dat herleidbaar is naar een uitgevende instantie die vermeld is op de EUTL. De handtekening zorgt voor een hoge betrouwbaarheid. Daarnaast is de controle van de handtekening eenvoudig en snel. Een EUTL-handtekening is persoonsgebonden aan de RE-auditor die een document in de assessmentrapportage ondertekent.

Voor meer informatie over de elektronische handtekening zie ‘De elektronische handtekening’ op de pagina Mededelingen ICT-beveiligingsassessment DigiD.

Papier

Assessmentrapportages die op papier worden aangeleverd voldoen niet aan de eisen van de EUTL-handtekening. Op deze aanleveringen zal Logius geen reactie sturen. De ontvangen papieren rapportages worden vernietigd.

Uitbesteding aan een Serviceorganisatie

Een DigiD dienstverlener kan een deel van de DigiD omgeving of het beheer uitbesteden aan een Serviceorganisatie. De Serviceorganisatie valt dan ook binnen de scope van het DigiD assessment. Hierdoor wordt een deel van de normen niet meer bij de dienstverlener maar bij de Serviceorganisatie, of bij beide, getoetst. De auditor bepaalt hierbij hoe de verdeling van normen wordt. De dienstverlener blijft de eindverantwoordelijke en het aanspreekpunt voor Logius. De dienstverlener verzamelt de assessmentrapporten van zichzelf en van serviceorganisatie(s) en levert dit aan.

Toetsen volgens de opnamemethode (inclusive)

In de meeste gevallen wordt de Serviceorganisatie getoetst volgens de uitsluitingsmethode (carve out) en is er sprake van een RSO (zie hieronder bij kopje RSO). Dit hoeft echter niet. De dienstverlener en de Serviceorganisatie(s) mogen ook als een geheel getoetst worden. De resultaten van dit assessment worden dan als één geheel opgenomen in het DigiD Assessmentrapport van de dienstverlener. De Serviceorganisatie wordt hiermee volgens de opnamemethode (inclusive) getoetst.

Ook meerdere (sub)Serviceorganisaties, zonder de dienstverlener organisatie, kunnen als een geheel getoetst worden volgens de opnamemethode. Het resultaat is één assessmentrapportage in de vorm van een RSO welke volgens de uitsluitingsmethode gebruikt kan worden bij de toetsing van de dienstverlener.

RSO volgens de uitsluitingsmethode (carve out)

Een Serviceorganisatie kan voor zijn gedeelte van de DigiD normen een DigiD Assessment uit laten voeren en het resultaat daarvan ter beschikking stellen aan de DigiD dienstverlener in de vorm van een RSO (Rapport van de serviceorganisatie).

Een template voor het opstellen van een RSO is te vinden op de NOREA website. Deze is op bepaalde punten anders dan het template dat wordt gebruikt voor de dienstverlener. Zo is het hoofdstuk 'Verantwoordelijkheden gebruikersorganisatie' onderdeel van het RSO.

De auditor van de DigiD dienstverlener beoordeelt de RSO van de Serviceorganisatie op toepasbaarheid en gebruikt bijlage C van het dienstverlenerrapport (RDV) om het totaaloverzicht van verdeelde normen weer te geven.

ISAE- of SOC-verklaring volgens de uitsluitingsmethode (carve out)

Een ISAE- of SOC-verklaring, anders dan een RSO in de vorm van een DigiD assessment, kan ook dienen als assuranceverklaring voor de (sub)serviceorganisatie. Gangbare internationale assurance standaarden zijn ISAE3402 en SOC2. De RE-auditor bepaalt in hoeverre de verklaring van toepassing en bruikbaar is.

De oordelen op de controls (maatregelen) uit de ISAE- of SOC-verklaring zijn niet altijd een-op-een te koppelen aan de normen van het DigiD assessment. De RE-auditor die het DigiD assessment uitvoert beoordeelt, aan de hand van de controls uit de ISAE- of SOC-verklaring, of en aan welke DigiD-normen wordt voldaan. Ook beoordeelt de RE-auditor of uit de internationale ISAE- of SOC2- verklaring verantwoordelijkheden voor de gebruikersorganisatie of andere serviceorganisaties voortkomen, zoals dat ook geldt voor een RSO.

De RE-auditor die het DigiD-assessment uitvoert neemt een verklaring op dat de toetsing van de ISAE- of SOC-controls tegen de DigiD-normen is uitgevoerd. De documentgegevens van het ISAE- of SOC-rapport worden opgenomen in de eerste tabel in bijlage C. Ook worden hier de DigiD normen opgesomd die door de ISAE- of SOC-controls zijn afgedekt. Het oordeel ‘voldoet’ of ‘voldoet niet’ wordt in de tweede tabel in bijlage C in een aparte kolom opgenomen.

Als in bijlage D de gegevens van de ISAE- of SOC-verklaring zijn opgenomen inclusief de oordeelsdatum dan is het meesturen van de verklaring, al dan niet in ‘short form’, niet nodig.

De bijlagen C en D zijn onderdeel van het modelrapport van NOREA voor zowel het rapport van de dienstverlener (RDV) als van het rapport van de serviceorganisatie (RSO). 

Meesturen van RSO, ISAE- of SOC-verklaring?

Een RSO, ISAE- of SOC-verklaring maakt onderdeel uit van de totale assessmentrapportage.

  • Het RSO wordt samen met het assessmentrapport van de dienstverlener aan Logius toegestuurd.
  • Als bijlage D uit het dienstverlenersrapport of uit het RSO goed is ingevuld hoeft een ISAE- of SOC-verklaring niet te worden meegestuurd.

In het geval dat de resultaten van het assessment bij een serviceorganisatie vanuit een  RSO, ISAE- of SOC-verklaring door de RE-auditor van de dienstverlener wordt opgenomen in de paragraaf 1.1 “Oordelen”, verandert de uitsluitingsmethode (carve-out) naar de opnamemethode (inclusive). Zie hiervoor: “Toetsen volgens de opnamemethode (inclusive)”. Dit is voor een RSO wel, maar voor de internationale verklaringen niet altijd mogelijk, en de RE-auditor zal de richtlijnen van NOREA volgen.

Alleen als er gebruik wordt gemaakt van de opnamemethode (inclusive) hoeven bijlage C en bijlage D niet meer te worden ingevuld voor de inclusive opgenomen auditverklaring. De opgenomen assuranceverklaring hoeft dan niet meegestuurd te worden.

Maximale leeftijd

De oordelen in de rapporten  van serviceorganisaties (RSO’s en/of internationale assuranceverklaringen) mogen niet ouder zijn dan twaalf maanden t.o.v. de oordelen uit het assessmentrapport van de DigiD dienstverlener.

Soms verwijst een RSO via de uitsluitingsmethode op zijn beurt weer naar andere RSO’s of internationale assuranceverklaringen (van de zgn. ‘subserviceorganisaties’). Ook voor de oordelen uit die rapporten geldt dat deze niet ouder mogen zijn dan twaalf maanden t.o.v. de oordelen uit het assessmentrapport van de DigiD dienstverlener. 

Om dit te bepalen wordt gekeken naar de volgende datums:

  1. Voor een norm met een toets op bestaan: het verschil in de oordeelsdatums.
  2. Voor een norm met een toets op werking: het verschil in de einddatums van de controleperiode.

Let op: het gaat dus niet om de rapportdatum.  

Ieder jaar een nieuw RSO

Voor elk jaarlijks assessment is een nieuw RSO (of internationale assuranceverklaring) vereist. 

Uitzondering: hetzelfde RSO mag worden herbruikt als in het vorige assessmentjaar dit RSO het gevolg was van een herassessment. De initieel ingeleverde rapporten van twee opvolgende jaarlijkse assessments mogen niet gelijk zijn.

De intentie hierbij is dat ook iedere onderliggende serviceorganisatie jaarlijks opnieuw is getoetst.

Opname in bijlage C en D

Het RSO moet opgesteld en ondertekend zijn door een Register EDP-auditor (RE-auditor).

Een internationale assuranceverklaring is ondertekend door een IT-auditor. In Nederland is dit een RE-auditor. Een buitenlandse titel moet hieraan gelijkwaardig zijn. Bij de Koninklijk Nederlandse Beroepsorganisatie van Accountants kan dit nagevraagd worden.

De RE-auditor van de dienstverlener controleert of het RSO of de internationale assuranceverklaring klopt op het object van onderzoek (tijdens de uitgifte van het RSO en de toepassing bij de dienstverlener kunnen wijzigingen zijn opgetreden op de serviceomgeving) en of de ondertekening geldig is en de leeftijd valide. De RE-auditor noteert de conclusies betreffende de oordelen vanuit het RSO of de internationale verklaring in bijlage C met een oordeel ‘voldoet’ of ‘voldoet niet’.

Een verwijzing naar een RSO of een internationaal assurancerapport moet de volgende informatie bevatten:

  • De naam van de serviceorganisatie
  • Het unieke referentie- of rapportnummer
  • De datum van de verklaring
  • De datum van het oordeel
  • De naam van de afgevende RE-auditor

Zie hiervoor bijlage C en D van het ‘Rapportage-template DigiD-Assessment (versie 3.0)’ van NOREA.
Het is uiteindelijk aan het professionele oordeel van de RE-auditor om te bepalen of de rapportage van de RE-auditor van de serviceorganisatie valide is.

Mocht de RE-auditor van de serviceorganisatie van mening verschillen met de RE-auditor van de DigiD-dienstverlener, dan kan dit worden voorgelegd aan NOREA. Dit kan eventueel ook voor vakinhoudelijke specifieke auditvragen over het DigiD-assessment.

Meerdere diensten die gebruik maken van dezelfde DigiD aansluiting – de ‘mijn omgeving’

Soms maakt een DigiD dienstverlener voor verschillende diensten gebruik van dezelfde DigiD aansluiting. Dit wordt niet geadviseerd, maar is wel mogelijk. In dat geval moet de bijlage C voor iedere dienst apart worden opgenomen in de rapportage. Per dienst moet er dan worden verwezen naar de desbetreffende RSO en per dienst moet er inzicht gegeven worden in de verdeling van normen bij de DigiD dienstverlenerorganisatie en de Serviceorganisatie. Zie hiervoor ook de mededeling ‘Het DigiD- assessment en de Mijn Omgeving’. 

Verantwoordelijkheid van de DigiD dienstverlener bij uitbesteding

Ook bij een uitbesteding blijft de DigiD dienstverlener verantwoordelijk voor het voldoen aan de DigiD normen voor het geheel, dat wil zeggen de toetsing van de normen bij de Serviceorganisatie én de toetsing bij de DigiD dienstverlener.

Er is altijd een aantal normen die de dienstverlener zélf door een auditor moet laten toetsen.

ENSIA rapportage

Maakt een gemeente gebruik van ENSIA dan geldt een andere vorm voor de DigiD-assessmentrapportage. Een set ENSIA-documenten bestaat uit een zelfevaluatie, een collegeverklaring, een door de RE-auditor afgegeven assurance rapport en - indien van toepassing - één of meerdere RSO’s.

De betrouwbaarheidseisen aan de handtekening van een RE-auditor, zoals hierboven te vinden zijn ook van toepassing op alle ENSIA-documenten. 

Een digitale handtekening met EUTL-certificaat wordt eenmalig geplaatst op de collegeverklaring en op de zelfevaluatie. Hiermee vervalt het paraferen van iedere bladzijde van de collegeverklaring en de zelfevaluatie. Raadpleeg voor meer informatie over de ENSIA-methodiek de ENSIA website.

Soms maakt een DigiD aansluithouder voor verschillende diensten gebruik van dezelfde DigiD aansluiting. Dit wordt niet geadviseerd, maar is wel mogelijk. In dat geval moet de bijlage C voor iedere dienst apart worden opgenomen in de rapportage. Per dienst moet er dan worden verwezen naar de desbetreffende TPM en per dienst moet er inzicht gegeven worden in de verdeling van normen bij de DigiD aansluithouderorganisatie en de Serviceorganisatie.

Verantwoordelijkheid van de DigiD aansluithouder bij uitbesteding

Ook bij een uitbesteding blijft de DigiD aansluithouder verantwoordelijk voor het voldoen aan de DigiD normen voor het geheel, dat wil zeggen de toetsing van de normen bij de Serviceorganisatie én de toetsing bij de DigiD aansluithouder.

Er is altijd een aantal normen die de aansluithouderorganisatie zélf door een auditor moet laten toetsen.

ENSIA rapportage

Maakt een gemeente gebruik van ENSIA dan geldt een andere vorm voor de DigiD-assessmentrapportage. Een set ENSIA-documenten bestaat uit een zelfevaluatie, een collegeverklaring, een door de RE-auditor afgegeven assurance rapport en - indien van toepassing - één of meerdere TPM’s.

De betrouwbaarheidseisen aan de handtekening van een RE-auditor, zoals hierboven te vinden zijn ook van toepassing op alle ENSIA-documenten. 

Een digitale handtekening met EUTL-certificaat wordt eenmalig geplaatst op de collegeverklaring en op de zelfevaluatie. Hiermee vervalt het paraferen van iedere bladzijde van de collegeverklaring en de zelfevaluatie. Raadpleeg voor meer informatie over de ENSIA-methodiek de ENSIA website.