AudITvision

ENSIA Audit

INTRODUCTIE

ENSIA audit voor gemeenten

Gemeenten dragen een grote verantwoordelijkheid als het gaat om informatieveiligheid. Met ENSIA (Eenduidige Normatiek Single Information Audit) leggen zij hierover jaarlijks verantwoording af. Maar in de praktijk blijkt dat dit niet alleen een rapportage is — het is een toets op hoe goed je informatieveiligheid écht op orde is.

AudITvision ondersteunt gemeenten met een praktische en onafhankelijke ENSIA audit, gericht op duidelijke inzichten, aantoonbaarheid en minimale belasting voor de organisatie.

Wat is ENSIA?

ENSIA is de landelijke verantwoordingssystematiek waarmee gemeenten inzicht geven in hun informatieveiligheid, gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO).

Het doel:

één uniforme manier van verantwoorden richting:

– gemeenteraad

– rijksoverheid

ENSIA is ontwikkeld door gemeenten, de VNG en ministeries zoals BZK en SZW en sluit aan op de planning- en controlcyclus.

Waarom ENSIA meer is dan een verplichting

Veel gemeenten zien ENSIA als een jaarlijks terugkerend traject. In werkelijkheid is het een moment waarop zichtbaar wordt of je organisatie écht in control is.
Wat wij vaak zien:

  • bewijs wordt last-minute verzameld
  • afhankelijkheid van één of enkele medewerkers
  • beperkte aantoonbaarheid van controls
  • veel handmatig werk

Dit maakt ENSIA onnodig complex en kwetsbaar.

Wat wordt er getoetst binnen ENSIA?

Een ENSIA audit richt zich op de vraag: zijn beveiligingsmaatregelen niet alleen ingericht, maar ook aantoonbaar effectief? Denk aan:

  • toegangsbeheer
  • logging en monitoring
  • wijzigingsbeheer
  • incidentmanagement
  • naleving van BIO-maatregelen

De focus ligt niet op beleid alleen, maar op werking en bewijs.Onze aanpak: praktisch, helder en zonder gedoe. Bij AudITvision geloven we dat een ENSIA audit niet onnodig ingewikkeld hoeft te zijn.

Onze aanpak:

  • pragmatisch en to-the-point
  • minimale belasting voor de organisatie
  • -duidelijke communicatie met betrokkenen
  • focus op risico’s en aantoonbaarheid

Geen checklist, maar inzicht waar je echt staat.

Wanneer schakel je een ENSIA auditor in?

Bijvoorbeeld wanneer:

  • ENSIA eraan komt en je zekerheid wilt
  • je twijfelt over de aantoonbaarheid van controls
  • je minder afhankelijk wilt zijn van handmatig werk
  • je ENSIA structureel beter wilt inrichten

ENSIA en BIO (en de doorontwikkeling naar BIO 2.0)

ENSIA is gebaseerd op de BIO. Deze norm is continu in ontwikkeling, met aandacht voor nieuwe risico’s en wetgeving (zoals NIS2). Dit betekent dat de lat voor aantoonbaarheid en beheersing steeds hoger komt te liggen.

Direct inzicht in jouw ENSIA-positie? Wil je weten waar je staat vóórdat ENSIA begint? Neem contact met ons op voor een korte intake of offerte. Of spar met ons over jouw situatie.

Kosten ENSIA-Audit

Ontvang onze gratis whitepaper

Vraag onze gratis ENSIA audit whitepaper aan en ontdek hoe je eenvoudig kunt starten, wat het traject kost, hoelang het duurt en waar je rekening mee moet houden.

Whitepaper ontvangen
EEN CRUCIALE ROL

ENSIA als sleutel tot digitale veerkracht

ENSIA speelt een cruciale rol bij het verbeteren van de digitale weerbaarheid van gemeenten en het waarborgen van de betrouwbaarheid en veiligheid van informatie(systemen). Met ENSIA kunnen gemeenten voldoen aan hun verantwoordingsplicht, proactief sturen op informatieveiligheid en bijdragen aan een veilige, betrouwbare overheid die haar burgers en ondernemers optimaal ondersteunt.

Contact opnemen

Wat ons onderscheidt?

Bij AudITvision geloven we dat een ENSIA-audit méér moet opleveren dan een verplicht vinkje of een rapport. Een goede audit geeft richting, versterkt het bestuurlijk vertrouwen én helpt jouw organisatie structureel vooruit. Daarom kiezen steeds meer gemeenten voor AudITvision als hun ENSIA-partner.

  • Inhoudelijk sterk én normgericht
    Inhoudelijk sterk én normgericht
    Ons team bestaat uit 12 ervaren specialisten, waaronder 5 Register EDP-auditors (RE’s). We hebben diepgaande kennis van zowel de BIO (Baseline Informatiebeveiliging Overheid) als ISO/IEC 27001. Daardoor zijn we in staat om technische en organisatorische maatregelen scherp te beoordelen én te vertalen naar praktische adviezen die passen bij de gemeentelijke context.
  • Kwaliteit zonder ‘afvinklijstjes’
    Kwaliteit zonder ‘afvinklijstjes’
    Wij toetsen op basis van risico’s, niet op papierwerk. Onze aanpak is grondig, maar altijd met oog voor proportionaliteit en bestuurlijke relevantie. Geen bureaucratie, wél inzicht en houvast. Daarmee voegen we échte waarde toe aan uw informatiebeveiliging.
  • Samenwerking centraal
    Samenwerking centraal
    We werken als partner, niet als controleur. We denken mee over realistische verbetermaatregelen, adviseren opbouwend en zijn altijd beschikbaar voor overleg. Ook ná de audit blijven we betrokken: met een jaarlijkse evaluatie bespreken we wat goed ging, waar het beter kan en hoe we het volgende ENSIA-jaar slimmer inrichten.
  • Ervaring met complexe situaties
    Ervaring met complexe situaties
    Uitbesteding, samenwerkingsverbanden of ketenverantwoordelijkheid? Wij zijn vertrouwd met zowel de carve-out als de inclusive benadering, en helpen u om verantwoord om te gaan met externe rapportages en taken. Daarbij houden we altijd rekening met de eisen uit de BIO en de kaders van de ENSIA-verklaring.
  • Geen verrassingen, wél duidelijkheid
    Geen verrassingen, wél duidelijkheid
    Bij AudITvision geldt: afspraak is afspraak. We hanteren vaste prijzen, geen meerwerk, en blijven flexibel als de planning wijzigt. Ook extra toelichtingen of sparmomenten zijn gewoon inbegrepen. Transparantie en betrouwbaarheid staan bij ons voorop.

Onze aanpak in 7 fasen

Ons doel is om gemeenten op de juiste manier te ondersteunen bij het uitvoeren van de ENSIA-audit voor het verantwoordingsjaar 2026. De audit richt zich op de naleving van de Baseline Informatiebeveiliging Overheid (BIO) en andere relevante normen. De reikwijdte omvat alle processen en systemen die onder de ENSIA-verantwoordingsplicht vallen.

Als AudITvision zijn we graag betrokken vanaf het begin van de verantwoordingsperiode. Op die manier zorgen we ervoor dat we op de hoogte zijn van alle ontwikkelingen binnen de gemeente en kunnen we indien nodig tijdig anticiperen op ontwikkelingen. We zullen gedurende de gehele periode ook als vraagbaak functioneren als je vragen hebt over de audit. Je krijgt één aanspreekpunt die je altijd mag benaderen.

Offerte aanvragen
  • 1. Voorbereiding
    Mei – augustus 2026
    Creëert een stevige basis voor audit
  • 2. Zelfevaluatie
    September – december 2026
    Gemeente voert intern controle uit
  • 3. Interim controle (indien gewenst)
    November 2026 – februari 2027
    Tussentijdse terugkoppeling omtrent DigiD en Suwinet
  • 4. De audit, verantwoording en verbetering
    Januari – maart 2027
    Formele verantwoording wordt ingediend
  • 5. Verantwoording aan B&W en toezichthouders
    30 april 2027
    Rapportages worden voorgelegd
  • 6. Opstellen en versturen verslaglegging
    Mei – juli 2027
    Verslag wordt aangeboden aan provincie
  • 7. Jaarlijkse evaluatie
    Bespreken van verbeterpunten voor de volgende cyclus
VOORBEREIDING

Fase 1: Periode Mei – Augustus 2026

Deze fase is gericht op het creëren van een stevige basis voor de ENSIA-audit. De gemeente stelt een projectteam samen, brengt de scope en betrokken systemen in kaart, en zorgt dat het normenkader actueel is. De ENSIA-coördinator richt de portal in, en medewerkers worden geïnformeerd en getraind.

De ENSIA-vragenlijsten zijn vanaf 1 juli 2025 beschikbaar voor de gemeenten en zij hebben tot 31 december 2025 de tijd om de vragenlijsten in te vullen en op te leveren. Inleveren kan pas als alle vragen zijn beantwoord.

ZELFEVALUATIE

Fase 2: Periode September – December 2026

De gemeente voert een zelfevaluatie uit, verzamelt bewijslast en voert interne controles uit. De ENSIA-coördinator binnen de gemeente beantwoordt alle vragenlijsten in ENSIA namens de gemeente. Specifieke domeinen zoals de RvIG (BRP en Reisdocumenten), BWKI (Suwinet), Logius (DigiD), en DGBRW (BAG, BGT, BRO) hebben hun eigen vragenlijsten. Voor deze systemen wordt de BIO-vragenlijst of een domeinspecifieke vragenlijst gehanteerd, afgestemd op de behoeften van elk domein. Eventuele tekortkomingen worden geanalyseerd en verbetermaatregelen opgesteld.

Hoewel AudITvision als ENSIA-auditor geen formeel oordeel uitspreekt over de inhoud of uitvoering van het gemeentelijk verbeterplan, vinden wij het wél van belang om te toetsen of de door de gemeente vastgestelde bevindingen daadwerkelijk zijn geadresseerd. Wij kijken of deze bevindingen zijn opgenomen in het verbeterplan, of ze realistisch zijn en of ze in verhouding staan tot de gesignaleerde risico’s.

Eventuele tekortkomingen die tijdens onze audit naar voren komen, brengen wij actief onder de aandacht van de opdrachtgever. Dit stelt het college in staat om – waar nodig – de bevindingen te verwerken in het verbeterplan én in de collegeverklaring. Zo dragen we bij aan een zorgvuldig en transparant verantwoordingsproces.

INTERIMCONTROLE (INDIEN GEWENST)

Fase 3: Periode November 2026 – Februari 2027

De IT-audit kan (pas) worden afgerond nadat de vragenlijsten zijn ingeleverd en de collegeverklaring is opgesteld door de gemeente. De gemeente heeft echter vaak de behoefte om tussentijds een terugkoppeling te ontvangen van de IT-auditor over de status van DigiD en Suwinet binnen de gemeente. Indien gewenst kunnen we een pre-audit of interim-audit uitvoeren waarbij wij de DigiD- en Suwinet-normen tussentijds toetsen, het proces van oplevering beoordelen en de uitkomsten rapporteren aan de gemeente. De gemeente wordt op deze wijze in de gelegenheid gesteld de nodige verbeteringen door te voeren alvorens de vragenlijsten definitief worden ingeleverd.

DE AUDIT, VERANTWOORDING EN VERBETERING

Fase 4: Periode Januari – Maart 2026

In deze fase vindt de audit plaats en wordt de formele verantwoording ingediend. De auditresultaten worden besproken met bestuurders en de gemeenteraad. Daarnaast vindt een evaluatie plaats van het auditproces en worden verbetermaatregelen geïmplementeerd ter voorbereiding op de volgende auditcyclus.

Voor gevoelige domeinen zoals DigiD en Suwinet stelt de coördinator een collegeverklaring op die vervolgens door ons als auditor wordt getoetst. Dit resulteert in:

  • Een collegeverklaring voor DigiD en Suwinet.
  • Rapportages voor de BAG, BGT en BRO.
  • Samenvattingen voor BRP en Reisdocumenten.
  • Een volledige ENSIA-rapportage voor de gemeenteraad. De collegeverklaringen en verantwoordingsrapportages worden aangeboden aan het college van B&W voor een overzichtelijke en betrouwbare verantwoording.
VERANTWOORDING AAN B&W EN TOEZICHTHOUDERS

Fase 5

Na goedkeuring van de collegeverklaringen en verantwoordingsrapportages door het College van B&W, worden de documenten geüpload in het ENSIA-systeem. Rapportages voor BRP en Reisdocumenten worden via de Kwaliteitsmonitor van RvIG gedeeld. Deze tijdige verantwoording zorgt dat alle toezichthouders uiterlijk op 30 april 2026 de benodigde rapportages ontvangen.

OPSTELLEN EN VERSTUREN VERSLAGLEGGING

Fase 6

Vanaf mei wordt in het jaarverslag van de gemeente in een aparte paragraaf aandacht besteed aan de informatiebeveiliging. Dit overzicht helpt het College om helder te rapporteren aan de gemeenteraad. Na goedkeuring door de gemeenteraad worden de jaarstukken vóór 15 juli door het college aan de provincie gestuurd.

JAARLIJKSE EVALUATIE: LEREN EN VERBETEREN

Fase 7

Bij AudITvision stopt het traject niet na het indienen van de ENSIA-verantwoording. Wij hechten veel waarde aan continue verbetering en voeren daarom jaarlijks een evaluatiegesprek met onze klanten. Tijdens deze sessie bespreken we wat er goed ging in het auditproces, waar knelpunten zaten, en welke onderdelen efficiënter of effectiever kunnen.

We kijken samen terug op de samenwerking, de interne voorbereiding, de kwaliteit van de aangeleverde documentatie en de communicatie. Daarnaast bespreken we hoe we het volgende ENSIA-jaar slimmer kunnen inrichten – zowel voor de gemeente als voor ons als auditor.

Deze evaluatie is niet verplicht, maar wordt door onze klanten als zeer waardevol ervaren: het versterkt de samenwerking, verhoogt de auditkwaliteit en helpt gemeenten om structureel te groeien in hun informatiebeveiliging en ENSIA-volwassenheid.

Het normenkader

Een ENSIA-audit betreft een assurance-opdracht gericht op het geven van een oordeel met een redelijke mate van zekerheid, conform Richtlijn 3000 A (Attestopdracht). Het college van burgemeesters en wethouders komt met een collegeverklaring waarover de IT-auditor met redelijke mate van zekerheid een oordeel geeft. Beoogde gebruikers van deze collegeverklaring en het assurancerapport (oordeel) van de IT-auditor zijn de gemeenteraad en de departementen die toezien op de informatieveiligheid van DigiD en Suwinet.

De uitvoering van de ENSIA audit dient in opdracht van het college plaats te vinden. Doel van de ENSIA-audit is het verkrijgen van voldoende geschikte assurance- informatie om een oordeel met redelijke mate van zekerheid te verschaffen of de Collegeverklaring ENSIA inzake informatiebeveiliging van DigiD en Suwinet (inclusief de bijlage(n) bij de Collegeverklaring ENSIA DigiD en Suwinet waarnaar in de collegeverklaring wordt verwezen) van de gemeente, in alle van materieel belang zijnde aspecten, juist is. Hierbij zijn de eisen vanuit de regelgeving voor DigiD en Suwinet leidend.

De criteria voor een ENSIA IT-audit betreffen de normen inzake DigiD (Norm ICT-beveiligingsassessments DigiD en Suwinet voor gemeenten. De criteria worden ook in de collegeverklaring kenbaar gemaakt en zijn daarmee toegankelijk voor de gebruikers. Het gaat om opzet en bestaan van de maatregelen per 31 december 2026 alsmede opzet, bestaan en werking van een aantal maatregelen (over een periode van 6 maanden – periode 1 juli – 31 december 2026) in het kader van DigiD-assessments.

Eventuele veranderingen / verbetermaatregelen in de periode tussen 31 december 2026 en de datum van afgeven van het assurancerapport dient het College in principe in de collegeverklaring toe te lichten. De verbetermaatregelen / het verbeterplan betrekt de auditor in zijn onderzoek.

Contact opnemen

Uitbesteding en externe partijen

DIGID

Wanneer gemeenten taken rondom DigiD hebben uitbesteed, volgt AudITvision de gangbare carve-out methode. Wij baseren ons op de assurancerapporten die de externe dienstverleners aanleveren. Deze rapporten worden door ons niet inhoudelijk getoetst, maar wij verwijzen ernaar in de ENSIA-auditrapportage. Via de ENSIA-tooling zorgen we dat deze documenten op de juiste wijze worden opgenomen en beschikbaar zijn voor toezichthouders.

SUWINET

Ook bij uitbesteding van processen waarbij Suwinet-gegevens worden gebruikt, blijft de gemeente eindverantwoordelijk. AudITvision beoordeelt in dat geval het werk van andere (interne of externe) IT-auditors, bijvoorbeeld in samenwerkingsverbanden. Onze voorkeur gaat uit naar de carve-out benadering, mits ondersteund met een betrouwbaar assurancerapport. Wij hanteren hierbij de vereisten uit Richtlijn 3000, waaronder toetsing op deskundigheid, onafhankelijkheid en kwaliteit van het uitgevoerde werk.

ONZE WERKWIJZE

AudITvision adviseert om bij uitbesteding altijd te zorgen voor een geldig assurancerapport (volgens Richtlijn 3000, ISAE 3402 of vergelijkbaar). Dit maakt het voor ons mogelijk om een zorgvuldige en onderbouwde ENSIA-audit uit te voeren op basis van de carve-out methode, zonder dat de verantwoordelijkheid bij de gemeente verloren gaat.

GEEN ASSURANCERAPPORT?

AUDITVISION VOERT AANVULLEND ONDERZOEK UIT

Indien een externe partij géén geldig assurancerapport kan overleggen (bijvoorbeeld conform Richtlijn 3000 of ISAE 3402), kan AudITvision – in opdracht van de gemeente – aanvullend onderzoek uitvoeren bij de betreffende partij. Dit gebeurt volgens de inclusive benadering, waarbij onze auditor direct onderzoek doet naar de naleving van ENSIA-normen binnen de uitbestede processen.

Voorwaarde is dat de contractuele afspraken tussen de gemeente en de externe partij deze auditactiviteiten toestaan. Als dat het geval is, neemt AudITvision de volledige vaktechnische verantwoordelijkheid voor het onderzoek, inclusief risicoanalyse, controleaanpak, dossierreview en beoordeling van bevindingen. Indien de externe partij al werkzaamheden heeft verricht op basis van ENSIA-normen, kunnen wij die meenemen in onze beoordeling, mits deze goed zijn onderbouwd in de rapportage (bijv. via een bijlage zoals bij een SOC 2 of ISAE 3402 type 2 rapport).

Ons uiteindelijke doel blijft dat de externe partij op termijn een volledig assurancerapport kan overleggen conform Richtlijn 3000 (bij voorkeur 3000A). Een ISO 27001-certificaat volstaat hiervoor niet.

De controleperiode voor serviceorganisaties (en sub-serviceorganisaties) is ook minimaal 6 maanden. Rekening houdend met de wensen van gemeentelijke aansluithouders om voldoende gelegenheid te hebben om de ENSIA-tooling in te vullen, zal het assurancerapport voor gemeenten uiterlijk 15 oktober gereed moeten zijn. Dit betekent voor serviceorganisaties die DigiD-webapplicaties leveren aan gemeenten dat de controleperiode in de praktijk 1 april – 30 september zal zijn.

Transparante kosten en tarieven

Een veelgestelde (en begrijpelijke) vraag is: wat kost een ENSIA-audit? We horen regelmatig bedragen voorbijkomen die niet in verhouding staan tot de werkzaamheden – en dat vinden wij onnodig. AudITvision staat voor transparantie en redelijkheid, ook als het om kosten gaat.

De exacte prijs is afhankelijk van factoren zoals het aantal aansluitingen, de complexiteit van de uitbesteding en de mate van voorbereiding binnen de gemeente. Maar op basis van de honderden audits die we de afgelopen jaren hebben uitgevoerd, kunnen we duidelijke richtlijnen geven.

Voor gemeenten met 1 tot 3 DigiD- of Suwinet-aansluitingen, kun je doorgaans rekenen op een totale doorlooptijd van 24–40 uur, afhankelijk van de situatie. We hanteren een vast uurtarief van €125,-, zonder verborgen kosten of meerwerk achteraf. Ook de hertest is geen meerwerk en zit in ons fixed tarief inbegrepen.

Wil je vooraf een exacte inschatting ontvangen? Neem gerust contact met ons op voor een vrijblijvende offerte of intakegesprek.

HOE ZIJN ONZE TARIEVEN OPGEBOUWD?

Om gemeenten vooraf duidelijkheid te geven over de kosten, werken wij met vaste prijzen per onderdeel. Zo weet je precies waar je aan toe bent – zonder verrassingen achteraf.

Hiernaast zie je onze basisstructuur voor de ENSIA-audit (2026/2027):

Deze bedragen zijn gebaseerd op een gemiddeld traject met normale complexiteit en voorbereiding. Alles is inbegrepen: intake, planning, afstemming, toetsing, rapportage en eventuele toelichting richting bestuur of toezichthouders.

Indien na het ondertekenen van de offerte blijkt dat er koppelingen bij of af moeten, dan geldt hetzelfde prijsmodel.

Wil je een maatwerkofferte ontvangen op basis van jouw specifieke situatie? Neem dan gerust vrijblijvend contact met ons op.

Offerte aanvragen

Aansluitingen

  • Eerste DigiD aansluiting €2.500
  • Extra DigiD aansluiting + € 1.000
  • Eerste Suwi aansluiting €2.500
  • Extra Suwi aansluiting + € 1.000
  • ENSIA assuranceverklaring €2.000
  • Extra ENSIA assuranceverklaring + € 1.000