ENSIA hoeft geen hoofdpijndossier te zijn. Voor veel gemeenten is het een jaarlijks terugkerend traject met veel afstemming, bewijsvoering en deadlines. Juist daarom is overzicht belangrijk. Wat moet je aantonen? Welke onderdelen vragen aandacht? En hoe voorkom je verrassingen vlak voor de deadline?
AudITvision helpt gemeenten om dit proces praktisch, overzichtelijk en beheersbaar te houden.
Waarom kiezen gemeenten voor ondersteuning?
In de praktijk zien we dat veel gemeenten tegen dezelfde vragen aanlopen:
- Is onze bewijsvoering volledig genoeg?
- Zijn de beheersmaatregelen voldoende aantoonbaar?
- Hebben we alle relevante wijzigingen meegenomen?
- Liggen we nog op schema richting de deadline?
Juist dan helpt een onafhankelijke blik. Niet als extra controlelaag, maar als manier om risico’s vroegtijdig te signaleren en verrassingen aan het einde van het traject te voorkomen. Veel gemeenten starten daarom met een ENSIA pre-audit. Daarmee krijg je vooraf inzicht in mogelijke aandachtspunten en voorkom je verrassingen tijdens de uiteindelijke beoordeling.
Onze aanpak:
- pragmatisch en to-the-point
- minimale belasting voor de organisatie
- duidelijke communicatie met betrokkenen
- focus op risico’s en aantoonbaarheid
Geen checklist, maar inzicht waar je echt staat.
Wanneer schakel je een ENSIA auditor in?
Ook wanneer de ENSIA-zelfevaluatie is afgerond en je wilt toetsen of de onderbouwing voldoende aantoonbaar is, kan een onafhankelijke beoordeling waardevol zijn. Bijvoorbeeld wanneer:
- ENSIA eraan komt en je zekerheid wilt
- je twijfelt over de aantoonbaarheid van controls
- je minder afhankelijk wilt zijn van handmatig werk
- je ENSIA structureel beter wilt inrichten
Wat is het verschil tussen ENSIA en BIO 2.0?
ENSIA en BIO 2.0 worden regelmatig in één adem genoemd, maar hebben een verschillende functie. Waar BIO 2.0 het normenkader vormt voor informatieveiligheid binnen de overheid, is ENSIA de verantwoordingsmethodiek waarmee gemeenten aantonen dat zij aan deze eisen voldoen.
BIO 2.0 beschrijft welke maatregelen organisaties moeten nemen om informatie en systemen adequaat te beschermen. Denk hierbij aan onderwerpen als toegangsbeheer, risicomanagement, leveranciersmanagement, incidentmanagement en continuïteitsbeheer.
ENSIA helpt gemeenten vervolgens om hierover op een eenduidige manier verantwoording af te leggen. Door middel van zelfevaluaties, documentatie en onafhankelijke beoordelingen wordt inzichtelijk gemaakt hoe informatieveiligheid binnen de organisatie is ingericht en beheerst.
Beide onderdelen versterken elkaar. BIO 2.0 geeft richting aan de maatregelen die genomen moeten worden, terwijl ENSIA inzicht geeft in de manier waarop gemeenten deze maatregelen in de praktijk toepassen en borgen.
Voor gemeenten die gebruikmaken van voorzieningen zoals DigiD en Suwinet speelt dit een belangrijke rol. Hierbij wordt niet alleen gekeken naar de aanwezigheid van beleid en procedures, maar juist ook naar de aantoonbare werking ervan.
Door ENSIA en BIO 2.0 goed op elkaar af te stemmen, ontstaat een overzichtelijke en efficiënte manier om informatieveiligheid structureel te organiseren en hierover transparant verantwoording af te leggen.

Ontvang onze gratis whitepaper
Vraag onze gratis whitepaper aan en ontdek hoe je eenvoudig kunt starten, wat het traject kost, hoelang het duurt en waar je rekening mee moet houden.
EEN CRUCIALE ROL
ENSIA als sleutel tot digitale veerkracht
ENSIA speelt een cruciale rol bij het verbeteren van de digitale weerbaarheid van gemeenten en het waarborgen van de betrouwbaarheid en veiligheid van informatie(systemen). Met ENSIA kunnen gemeenten voldoen aan hun verantwoordingsplicht, proactief sturen op informatieveiligheid en bijdragen aan een veilige, betrouwbare overheid die haar burgers en ondernemers optimaal ondersteunt.

INTERIMCONTROLE (INDIEN GEWENST)
Fase 3: Periode November 2026 – Februari 2027
Gedurende het jaar blijven we betrokken en fungeren we als vast aanspreekpunt. Vragen, wijzigingen of onzekerheden kunnen daardoor direct worden besproken.

JAARLIJKSE EVALUATIE: LEREN EN VERBETEREN
Fase 7
Na afronding ontvang je de rapportage en heb je inzicht in de status van de verantwoording en eventuele verbeterpunten voor de volgende cyclus.

Wat toetsen we eigenlijk?
Binnen ENSIA verstrekt de IT-auditor een onafhankelijk oordeel over de informatiebeveiliging rondom DigiD en Suwinet. Daarbij beoordelen we of de gemeente voldoende kan aantonen dat de getroffen maatregelen aanwezig zijn, goed zijn ingericht en ook daadwerkelijk werken zoals bedoeld.
Het college van burgemeester en wethouders legt hierover jaarlijks verantwoording af via de collegeverklaring. Op basis van deze verklaring en de onderliggende bewijsvoering geeft de IT-auditor een oordeel met een redelijke mate van zekerheid. Dit oordeel wordt vervolgens gebruikt door onder andere de gemeenteraad en de toezichthouders die verantwoordelijk zijn voor DigiD en Suwinet.
Waar wordt naar gekeken?
De beoordeling richt zich op de beveiligingseisen die gelden voor DigiD en Suwinet. Daarbij kijken we niet alleen naar de aanwezigheid van maatregelen, maar ook naar de manier waarop deze in de praktijk worden toegepast en beheerd.
Onder andere de volgende onderwerpen komen hierbij aan bod:
- toegangs- en autorisatiebeheer;
- logging en monitoring;
- incidentmanagement;
- wijzigingsbeheer;
- leveranciersmanagement;
- back-up- en herstelprocedures;
- het beheer van gebruikersaccounts;
- de periodieke evaluatie van risico’s.
Voor DigiD wordt bijvoorbeeld beoordeeld of de vereiste beveiligingsmaatregelen op 31 december aanwezig zijn. Daarnaast wordt voor specifieke onderdelen vastgesteld of deze gedurende een vooraf bepaalde periode aantoonbaar effectief hebben gefunctioneerd.
Het doel hiervan is niet alleen om vast te stellen of beleid en procedures aanwezig zijn, maar vooral om inzicht te krijgen in de dagelijkse praktijk van informatiebeveiliging binnen de gemeente.
Wat als er verbeteringen nodig zijn?
Het komt regelmatig voor dat gemeenten na afloop van het verantwoordingsjaar nog verbeteringen doorvoeren. Wanneer er tussen 31 december en de afgiftedatum van het assurancerapport aanvullende maatregelen zijn genomen, worden deze opgenomen in de collegeverklaring.
De IT-auditor betrekt deze verbeteringen vervolgens in zijn beoordeling. Hierdoor ontstaat een zo volledig mogelijk beeld van de actuele situatie en de manier waarop informatiebeveiligingsrisico’s worden beheerst.
Het uiteindelijke doel is niet om gemeenten af te rekenen op bevindingen, maar om inzicht te geven in waar de organisatie staat en welke verbeteringen nodig zijn om de informatiebeveiliging structureel te versterken. Zo wordt ENSIA niet alleen een verantwoordingsmoment, maar ook een hulpmiddel om de digitale weerbaarheid van de gemeente verder te vergroten.

Uitbestede processen?
Werk je voor DigiD of Suwinet samen met externe partijen? Dan nemen we dat mee in onze beoordeling. Waar mogelijk maken we gebruik van bestaande assurance-rapportages van leveranciers en samenwerkingspartners. Zo voorkomen we dubbel werk en blijft de belasting voor de organisatie beperkt.
Transparante kosten en tarieven
ENSIA hoeft geen kostbaar traject te zijn. Toch zien we regelmatig offertes waarbij de benodigde inzet niet in verhouding staat tot de omvang van de opdracht.
De exacte prijs is afhankelijk van factoren zoals het aantal aansluitingen, de complexiteit van de uitbesteding en de mate van voorbereiding binnen de gemeente. Maar op basis van de honderden audits die we de afgelopen jaren hebben uitgevoerd, kunnen we duidelijke richtlijnen geven.
Voor gemeenten met 1 tot 3 DigiD- of Suwinet-aansluitingen, kun je doorgaans rekenen op een totale doorlooptijd van 24–40 uur, afhankelijk van de situatie. We hanteren een vast uurtarief van €125,-, zonder verborgen kosten of meerwerk achteraf. Ook de hertest is geen meerwerk en zit in ons fixed tarief inbegrepen.
Wil je vooraf een exacte inschatting ontvangen? Neem gerust contact met ons op voor een vrijblijvende offerte of intakegesprek.
