AudITvision voert jaarlijks uiteenlopende DigiD-audits, IT-audits en informatiebeveiligingsonderzoeken uit. Onze auditoren zijn geregistreerd bij NOREA en beschikken over ruime ervaring met DigiD-beveiligingsassessments en de geldende eisen en richtlijnen. Met een pragmatische en onafhankelijke aanpak zorgen we voor een efficiënte audit, duidelijke rapportages en concrete inzichten waarmee direct verder gewerkt kan worden.
Een DigiD audit is een jaarlijks terugkerende audit voor organisaties met een DigiD-aansluiting, waaronder alle Nederlandse gemeenten. In opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) wordt beoordeeld of de DigiD-omgeving voldoet aan de geldende beveiligingseisen.
Het assessment bestaat uit een onafhankelijke audit en, afhankelijk van de ICT-infrastructuur, één of meerdere penetratietesten. AudITvision voert beide onderdelen uit en zorgt voor een pragmatische aanpak, duidelijke rapportages en concrete inzichten waarmee direct verder gewerkt kan worden.
Hieronder lees je meer over het DigiD-beveiligingsassessment, de verschillende stappen binnen het toetsingsproces en de pragmatische aanpak van AudITvision. Zo ontstaat een duidelijk beeld van wat er verwacht wordt en hoe het assessment wordt uitgevoerd.
Welke audit past bij mij?
Laat hier jouw gegevens achter, een van onze auditors zal binnen 48 uur contact met je opnemen om een persoonlijke offerte op te stellen. Ook als je twijfelt of vragen hebt, voorziet onze auditor je graag van advies. Liever direct contact? Bel dan naar 088-2028700
De DigiD-norm
De DigiD-norm is gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC). Binnen het DigiD-beveiligingsassessment ligt de focus op de maatregelen met de grootste impact op de veiligheid van DigiD.
De norm richt zich onder andere op de inrichting van processen, de beveiliging van systemen en het beheersen van risico’s rondom de DigiD-omgeving. Logius adviseert organisaties daarnaast om niet alleen te voldoen aan de verplichte maatregelen, maar ook de overige NCSC-richtlijnen te implementeren. Daarmee wordt de digitale weerbaarheid verder versterkt en wordt de kans op beveiligingsincidenten verkleind.
Stap 1 | Voorbereiding en nulmeting
Een goede voorbereiding is essentieel voor een soepel verloop van het DigiD-beveiligingsassessment. Door vooraf te beoordelen in hoeverre de DigiD-omgeving voldoet aan de geldende eisen, ontstaat inzicht in eventuele aandachtspunten en verbetermaatregelen.
Indien gewenst kan AudITvision een onafhankelijke pre-audit uitvoeren. Hiermee wordt inzichtelijk waar de organisatie staat en welke onderdelen nog aandacht vragen voordat het officiële assessment plaatsvindt.
Stap 2 | Verbetermaatregelen doorvoeren
Op basis van de uitkomsten van de interne beoordeling of pre-audit kunnen noodzakelijke verbetermaatregelen worden doorgevoerd.
Denk hierbij aan het aanscherpen van processen, het aanpassen van procedures of het verder versterken van technische en organisatorische beheersmaatregelen. Het doel is om eventuele tekortkomingen tijdig op te lossen en goed voorbereid het DigiD-beveiligingsassessment in te gaan.
Stap 3 | Securityscan en penetratietest
Onderdeel van het DigiD-beveiligingsassessment is het uitvoeren van een securityscan en een penetratietest op de DigiD-omgeving. Een securityscan richt zich op de interne ICT-omgeving, terwijl een penetratietest (pentest) de weerbaarheid van systemen beoordeelt door mogelijke kwetsbaarheden inzichtelijk te maken.
AudITvision kan deze werkzaamheden organiseren via gespecialiseerde partners. Wanneer de securityscan en penetratietest al zijn uitgevoerd, beoordelen onze auditoren de rapportages en toetsen we of wordt voldaan aan de eisen uit het DigiD-normenkader.


Stap 4 | Verbetermaatregelen doorvoeren
De uitkomsten van de securityscan en de penetratietest kunnen aanleiding geven om aanvullende verbetermaatregelen door te voeren. Deze maatregelen kunnen betrekking hebben op interne processen, systemen en procedures, maar ook op externe leveranciers wanneer gebruik wordt gemaakt van uitbestede oplossingen of diensten.
Het doel is om eventuele kwetsbaarheden tijdig op te lossen en de DigiD-omgeving aantoonbaar te laten voldoen aan de gestelde eisen.
Stap 5 | Uitvoeren van de DigiD-audit
Wanneer alle voorbereidende werkzaamheden zijn afgerond, wordt het officiële DigiD-beveiligingsassessment uitgevoerd. Deze audit moet worden uitgevoerd door een Register EDP-auditor (RE). AudITvision beschikt over ervaren RE-auditoren die het volledige assessment onafhankelijk en efficiënt uitvoeren. Daarbij beoordelen we of de DigiD-omgeving voldoet aan de geldende eisen en brengen we eventuele aandachtspunten helder in kaart.
Stap 6 | Rapportage aan Logius
Na afronding van het DigiD-beveiligingsassessment wordt de rapportage aangeleverd aan Logius. Hierin wordt per maatregel vastgelegd of wordt voldaan aan de gestelde eisen.
Per onderdeel wordt aangegeven of de maatregel:
- Ja – voldoet aan de gestelde eisen
- Nee – voldoet niet aan de gestelde eisen
- Niet van toepassing – is niet relevant voor de DigiD-aansluiting
De rapportage geeft een duidelijk en onderbouwd beeld van de mate waarin de DigiD-omgeving voldoet aan het normenkader.
Waarom AudITvision?
Een DigiD-beveiligingsassessment vraagt om specialistische kennis van zowel informatiebeveiliging als de geldende DigiD-eisen. Onze NOREA-geregistreerde RE-auditoren voeren jaarlijks uiteenlopende DigiD-audits uit voor organisaties met een DigiD-aansluiting, waaronder gemeenten en andere overheidsorganisaties.
Met een pragmatische en onafhankelijke aanpak zorgen we voor een efficiënt auditproces, duidelijke rapportages en concrete inzichten. Geen onnodige complexiteit, maar een heldere beoordeling waarmee direct verder gewerkt kan worden.
Heb je vragen over een nieuwe DigiD-aansluiting, een jaarlijks assessment of de planning van de audit? We denken graag mee.