TOPP Tips

Waarom een ICT-beveiligingsassessment? Met DigiD kunnen burgers online zakendoen met de overheid en organisaties met een publieke taak. DigiD geeft burgers gemakkelijk, betrouwbaar en veilig toegang tot digitale dienstverlening. Uit de cijfers van Logius blijkt dat er in Nederland bijna 17,2 miljoen gebruikers zijn! Deze gebruikers kunnen met DigiD gebruik maken van veel belangrijke diensten zoals: Belastingaangifte doen; Aangifte doen bij de Politie; Pensioendossier toegang; MijnOverheid gebruik; Zorgdeclaraties indienen; Parkeervergunning aanvragen; Gebruik van gemeentelijke diensten; Toegang medische gegevens. De veiligheid van het gebruik van DigiD moet wel worden gewaarborgd. Logius zorgt voor de beschikbaarheid, juiste werking, continuïteit en beveiliging van DigiD. De beveiliging van websites, die gebruik maken van DigiD, is afhankelijk van wat de eigenaren en beheerders van die websites regelen. Logius heeft daarom in de gebruikersvoorwaarden opgenomen dat aansluithouders van DigiD verplicht zijn jaarlijks een ICT beveiligingsassessment te laten uitvoeren en de uitkomsten te delen met Logius. Voor meer informatie zie ook de Logius website. Wat is een “ICT-beveiligingsassessment”? Jaarlijks, en bij nieuwe aansluitingen binnen 2 maanden na het formele ‘live’ gaan volgens Logius, dient een hoog gekwalificeerde IT auditor (dit moet een RE zijn die staat ingeschreven bij de NOREA) een IT audit uit te voeren op basis van (1) het door Logius opgestelde normenkader (artikel 5.5 van de “Voorwaarden DigiD”) en (2) de scope bepaling volgens de handreiking voor de IT auditors van de NOREA. Deze IT audit leidt tot een Assurance rapport, met oordelen van de IT auditor per norm, dat de aansluithouder oplevert aan Logius. Het DigiD Normenkader bestaat uit 21 richtlijnen (normen) die zijn gebaseerd op de ICT-Beveiligingsrichtlijnen voor Webapplicaties. De huidige versie 3.0 geldt vanaf 1 augustus 2022 en is vastgesteld door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Het IT audit Assurance rapport van de RE moet uiterlijk (bij de jaarlijkse assessment) voor 1 mei van elk opvolgende jaar bij Logius binnen zijn. Dus voor verantwoordingsjaar 2024 dient het Assurance rapport voor 1 mei 2025 bij Logius te zijn. Voor ICT service organisaties die zorg dragen voor het beschikbaar stellen van de webapplicaties en/of infrastructuur is het nodig een Assurance rapport te leveren aan de aansluithouder dat betrekking heeft op de maatregelen waarvoor de ICT service organisatie verantwoordelijk is. Dat rapport dient dan eerder dan 1 mei beschikbaar te zijn omdat de aansluithouder zelf de uitkomsten daarvan nog beschikbaar moet stellen aan de eigen IT auditor. Deze IT auditor zorgt voor de integrale rapportage die de aansluithouder naar Logius kan sturen. Overigens moet de rapportage aan stringente eisen voldoen. Geconstateerde tekortkomingen worden op risico gewogen door Logius, zij bepaalt een oplostermijn en meldt deze per brief aan de aansluithouder. Als de tekortkomingen zijn weggewerkt dan vraagt de DigiD aansluithouder de IT-auditor om de betreffende norm opnieuw te toetsen en een Assurance rapport voor op te stellen. Die rapportage wordt verstrekt aan Logius (binnen de gestelde termijn). Indien er sprake is van blijvende tekortkomingen of bij een acuut of serieus beveiligingsrisico, dan kan Logius besluiten de DigiD aansluiting af te sluiten. Welke veranderingen voor 1 mei 2025? Voor verantwoordingsjaar 2023 waren al een aantal wijzigingen doorgevoerd, zoals de toevoeging van de norm B.01 (Informatiebeveiligingsbeleid) en de verplichte digitale ondertekening van het Assurance rapport door de IT auditor met een gekwalificeerde digitale handtekening (EUTL handtekening). Tevens kon worden gekozen voor het toetsen op de werking van de beheersingsmaatregelen voor 5 geselecteerde normen. Op 17 juni 2024 is de nieuwe allesomvattende NOREA Handreiking ICT-beveiligingsassessment DigiD versie 2024 verschenen, 99 pagina’s toelichting op het verrichten van deze IT audits. Was het nog vrijwillig om de werking van de beheersingsmaatregelen voor 5 geselecteerde normen mee te nemen in de IT audit, voor verantwoordingsjaar 2024 is dat verplicht. Dit heeft ook geleidt tot een uitgebreide handreiking voor het toetsen van die werking voor de IT auditor. Maar betekent voor de aansluithouders en betrokken service organisaties ook dat zij die werking moeten kunnen aantonen. Het betreft de normen: U/TV.01: De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken.U/WA.02: Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten.C.07: De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt, geanalyseerd) en de bevindingen gerapporteerd.C.08: Wijzigingsbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd.C.09: Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICT-voorzieningen. De doelstelling is om de DigiD assessment in de toekomst ook te kunnen uitvoeren als een ‘attest’ opdracht waarbij de interne controle binnen organisaties zorg draagt voor de toetsing van beheersingsmaatregelen. Bij de testaanpak voor de normen die getoetst worden op werking staat dat de IT auditor ook nagaat of in de organisatie gedurende de gehele controleperiode verbijzonderde interne controle heeft plaatsgevonden op de werking van de relevante beheersingsmaatregelen. Dit kan hij meewegen in zijn oordeelsvorming. Vooralsnog blijft de DigiD Assessment nog een directe opdracht waarbij de IT auditor zelf de testwerkzaamheden uitvoert. Daarnaast zijn verder gaande eisen gesteld aan de rapportages en de te gebruiken formuleringen. Tevens is een consultatie verplichting en -optie in het leven geroepen voor het afwijken van voorgeschreven rapporten of verschillen van inzicht tussen IT auditors en/of met Logius. Logius biedt de mogelijkheid van een controle vooraf op (concept) Assurance rapporten voor serviceorganisaties om eventuele problemen bij de finale oplevering zoveel mogelijk te voorkomen. De aanlevering dient dan wel plaats te vinden in de periode van 15 september tot 1 november.   Hoe voor te bereiden? Een aantal belangrijke tips: 1. Zorg tijdig voor de opdracht aan de IT auditor (RE) voor de uitvoering van de IT audit en betrek deze in de voorbereiding. De NOREA houdt een lijst bij van IT audit organisaties die hebben aangegeven DigiD ICT Beveiligingsassessments te

Meerdere organisaties, waaronder gemeenten, maken gebruik van boa’s: Buitengewoon opsporingsambtenaren. Een boa is een ambtenaar met een specifieke opsporingsbevoegdheid. Dit betekent onder andere dat hij/zij mag onderzoeken of er bepaalde strafbare feiten zijn gepleegd. Boa’s mogen verdachten aanhouden, iemands identiteit controleren, processen-verbaal opmaken en boetes uitschrijven. Daarnaast doen zij reguliere taken die geen “opsporingshandeling” betreffen. Er zijn 6 domeinen waarin boa’s werkzaam zijn en voor elk domein gelden specifieke opleidingseisen en bevoegdheden. In de Beleidsregels boa staat een uitgebreide beschrijving van de 6 domeinen. De boa’s, die voor hun opsporingstaken persoonsgegevens verwerken, vallen onder de regels van de Wet Politiegegevens (Wpg). Voor de andere handelingen is de AVG onverkort van toepassing. Juist deze mengvorm van strafrecht en civiel recht zorgt voor ingewikkelde situaties op de werkvloer. De Wpg verplicht boa werkgevers om elk jaar een interne privacy-audit uit te voeren. Dit kan door interne auditors in te zetten of daarvoor een externe auditor te betrekken. Eens per 4 jaar moet een externe Wpg-audit worden uitgevoerd. Regels voor de interne en externe Wpg-audit zijn vastgelegd in: De resultaten van de externe Wpg-audit (het Assurance auditrapport) moet de boa werkgever aan de Autoriteit Persoonsgegevens (AP) sturen. De Regeling Periodieke audit politiegegevens geeft in artikel 5 aan dat de auditor een Register EDP-Auditor (RE) dient te zijn, ingeschreven bij de NOREA. Aan deze RE worden nog een aantal aanvullende eisen gesteld. In de praktijk blijkt dat vooralsnog een kleine groep RE’s zich bezig houdt met Wpg audits. De NOREA heeft een handreiking geschreven voor de RE’s voor het uitvoeren van deze audits waarin ook het object, scope en aspecten van zo’n onderzoek ten behoeve van de interne en externe auditaanpak zijn uitgewerkt. Tevens adviseert de NOREA haar template te gebruiken voor het Assurance rapport. De Autoriteit Persoonsgegevens meldt op haar website op 24 juli 2024 dat nog lang niet alle boa-werkgevers de naleving van de Wet politiegegevens (Wpg) voldoende op orde hebben. In dat artikel klinkt door dat er nog geen volledig overzicht is van welke organisaties met boa’s werken, en dus geen Assurance rapporten hebben ingeleverd, terwijl boa’s daar wel gebruik maken van persoonsgegevens zoals beschreven in de Wpg. Dit ‘kattebelletje’ is alvast een aanloopje naar het eerstvolgende moment van eind 2025 waarop boa-werkgevers opnieuw verplicht zijn om een externe audit te laten uitvoeren naar de omgang met persoonsgegevens. Uit de praktijk blijkt dat het voldoen aan de regels rond de verwerking van persoonsgegevens onder het regime van de Wpg erg lastig is. De AP spreekt de verwachting uit dat het, volgens de uitkomsten van de Wpg externe audit, allemaal op orde zal zijn. Vanuit de wettelijke regels is een normenkader opgesteld. Binnen het normenkader is een onderscheid gemaakt in normen voor de algemene IT beheersing en normen voor de specifieke opvolging van vastgelegde regels in de wetteksten. Dit normenkader vormt de basis voor de bedoelde interne audits en de externe audit. Vanuit TOPP audit kunnen we alvast de volgende tips geven: 1. Stel vast of de organisatie boa diensten verricht. Vaak is wel inzichtelijk dat er boa diensten worden verricht, maar bestaat minder duidelijkheid over wie nu welke verantwoordelijkheid heeft. Het is raadzaam dat goed in kaart te brengen en vooral aandacht te hebben voor de betrokkenheid van ICT dienstenleveranciers waar de ondersteunende systemen en vastlegging van de persoonsgegevens zich bevinden. Tevens vraagt het proces rond de gevraagde verstrekking van (potentieel) politiegegevens door de Politie zelf, waar soms ook sprake van is, de aandacht. 2. Inventariseer de gegevensverwerkingen die politiegegevens bevatten of gegevens die door hun gebruik politiegegevens kunnen worden. Vaak is sprake van ‘gemengd gebruik’ van persoonsgegevens. Dit geef extra uitdagingen om bij de beveiliging van die gegevens te voldoen aan de AVG en de Wpg. Daarnaast kent de WPg verder gaande eisen voor logging en monitoring (die in zichzelf ook gegevensverwerkingen met persoonsgegevens zijn). Het is belangrijk hierin vooraf inzicht te hebben om eventueel aanvullende maatregelen te kunnen treffen of verfijningen op bijvoorbeeld autorisaties aan te brengen. 3. Investeer in het  trainen van de boa’s, en maak ze bewust, voor het zorgvuldig gebruik van de data. Handige achtergrondinformatie is te vinden bij de NOREA, de website van de Autoriteit Persoonsgegevens en op de website van Boa Registratie Systeem (BRS). Het “Praktijkhandboek Wet politiegegevens voor boa’s” van Suzanne Franken geeft een helder geschreven overzicht van wat er bij het werken met politiegegevens komt kijken. 4. Zorg voor impact assessments gericht op de boa gegevensverwerkingen. Dit is sowieso een criterium voor het kunnen verwerken van politiegegevens. Het geeft een gedegen inzicht in de wijze waarop de verwerkingen plaatsvinden, wie deze uitvoeren en welke ICT systemen daarbij in gebruik zijn. Met deze informatie kunnen gericht de benodigde beveiligings- en beheersingsmaatregelen worden vastgesteld en geïmplementeerd. Dit is ook een belangrijke bron voor het stellen van de juiste vragen en eisen aan ICT service organisaties die betrokken zijn bij de gegevensverwerkingen. 5. Maak tijdig afspraken met ICT service organisaties. Voor de bevestiging dat ICT dienstenleveranciers ook voldoende bijdragen aan het voldoen aan de regels uit de Wpg, is het belangrijk vroegtijdig met hen aan tafel te gaan zitten en heldere afspraken te maken. Dit in de vorm van een auditrecht of (beter nog) het tijdig verkrijgen van een Assurance rapport dat voldoende invulling geeft aan de van toepassing zijnde eisen uit de Wpg. 6. Overweeg een pré-audit. Hiermee kan duidelijk worden of alle relevante informatie beschikbaar en inzichtelijk kan worden gemaakt voor de IT auditor. Dit biedt ruimte tekortkomingen nog op te lossen alvorens de Wpg audit start. Wel realiseren dat de Wpg audit gaat over werking van de maatregelen gedurende een periode van 12 maanden, dit beperkt de impact van verbetering als die nog gedurende dat jaar plaatsvinden. Raadzaam in te zetten op een pré-audit voorafgaand aan het starten van die 12 maanden periode! De pré-audit zorgt er ook voor dat vooraf al bekend is welke informatie dient te worden aangeleverd door de organisatie aan de IT auditor. Met een goede voorbereiding kan die efficient plaatsvinden. 7. Betrek de externe auditor bij de