INTRODUCTIE

ENSIA audit voor gemeenten

ENSIA hoeft geen hoofdpijndossier te zijn. Voor veel gemeenten is het een jaarlijks terugkerend traject met veel afstemming, bewijsvoering en deadlines. Juist daarom is overzicht belangrijk. Wat moet je aantonen? Welke onderdelen vragen aandacht? En hoe voorkom je verrassingen vlak voor de deadline?

AudITvision helpt gemeenten om dit proces praktisch, overzichtelijk en beheersbaar te houden.

Waarom kiezen gemeenten voor ondersteuning?

In de praktijk zien we dat veel gemeenten tegen dezelfde vragen aanlopen:

  • Is onze bewijsvoering volledig genoeg?
  • Zijn de beheersmaatregelen voldoende aantoonbaar?
  • Hebben we alle relevante wijzigingen meegenomen?
  • Liggen we nog op schema richting de deadline?

Juist dan helpt een onafhankelijke blik. Niet als extra controlelaag, maar als manier om risico’s vroegtijdig te signaleren en verrassingen aan het einde van het traject te voorkomen. Veel gemeenten starten daarom met een ENSIA pre-audit. Daarmee krijg je vooraf inzicht in mogelijke aandachtspunten en voorkom je verrassingen tijdens de uiteindelijke beoordeling.

Onze aanpak:

  • pragmatisch en to-the-point
  • minimale belasting voor de organisatie
  • duidelijke communicatie met betrokkenen
  • focus op risico’s en aantoonbaarheid

Geen checklist, maar inzicht waar je echt staat.

Wanneer schakel je een ENSIA auditor in?

Ook wanneer de ENSIA-zelfevaluatie is afgerond en je wilt toetsen of de onderbouwing voldoende aantoonbaar is, kan een onafhankelijke beoordeling waardevol zijn. Bijvoorbeeld wanneer:

  • ENSIA eraan komt en je zekerheid wilt
  • je twijfelt over de aantoonbaarheid van controls
  • je minder afhankelijk wilt zijn van handmatig werk
  • je ENSIA structureel beter wilt inrichten

Wat is het verschil tussen ENSIA en BIO 2.0?

ENSIA en BIO 2.0 worden regelmatig in één adem genoemd, maar hebben een verschillende functie. Waar BIO 2.0 het normenkader vormt voor informatieveiligheid binnen de overheid, is ENSIA de verantwoordingsmethodiek waarmee gemeenten aantonen dat zij aan deze eisen voldoen.

BIO 2.0 beschrijft welke maatregelen organisaties moeten nemen om informatie en systemen adequaat te beschermen. Denk hierbij aan onderwerpen als toegangsbeheer, risicomanagement, leveranciersmanagement, incidentmanagement en continuïteitsbeheer.

ENSIA helpt gemeenten vervolgens om hierover op een eenduidige manier verantwoording af te leggen. Door middel van zelfevaluaties, documentatie en onafhankelijke beoordelingen wordt inzichtelijk gemaakt hoe informatieveiligheid binnen de organisatie is ingericht en beheerst.

Beide onderdelen versterken elkaar. BIO 2.0 geeft richting aan de maatregelen die genomen moeten worden, terwijl ENSIA inzicht geeft in de manier waarop gemeenten deze maatregelen in de praktijk toepassen en borgen.

Voor gemeenten die gebruikmaken van voorzieningen zoals DigiD en Suwinet speelt dit een belangrijke rol. Hierbij wordt niet alleen gekeken naar de aanwezigheid van beleid en procedures, maar juist ook naar de aantoonbare werking ervan.

Door ENSIA en BIO 2.0 goed op elkaar af te stemmen, ontstaat een overzichtelijke en efficiënte manier om informatieveiligheid structureel te organiseren en hierover transparant verantwoording af te leggen.

Ontvang onze gratis whitepaper

Vraag onze gratis whitepaper aan en ontdek hoe je eenvoudig kunt starten, wat het traject kost, hoelang het duurt en waar je rekening mee moet houden.

EEN CRUCIALE ROL

ENSIA als sleutel tot digitale veerkracht

ENSIA speelt een cruciale rol bij het verbeteren van de digitale weerbaarheid van gemeenten en het waarborgen van de betrouwbaarheid en veiligheid van informatie(systemen). Met ENSIA kunnen gemeenten voldoen aan hun verantwoordingsplicht, proactief sturen op informatieveiligheid en bijdragen aan een veilige, betrouwbare overheid die haar burgers en ondernemers optimaal ondersteunt.

Wat ons onderscheidt?

Bij AudITvision geloven we dat een ENSIA-traject méér moet opleveren dan een verplicht vinkje of een rapport. Een goede toetsing geeft richting, versterkt het bestuurlijk vertrouwen én helpt jouw organisatie structureel vooruit. Daarom kiezen steeds meer gemeenten voor AudITvision als hun partner.

  • Inhoudelijk sterk én normgericht
    Inhoudelijk sterk én normgericht
    Ons team bestaat uit 12 ervaren specialisten, waaronder 5 Register EDP-auditors (RE’s). We hebben diepgaande kennis van zowel de BIO (Baseline Informatiebeveiliging Overheid) als ISO/IEC 27001. Daardoor zijn we in staat om technische en organisatorische maatregelen scherp te beoordelen én te vertalen naar praktische adviezen die passen bij de gemeentelijke context.
  • Kwaliteit zonder ‘afvinklijstjes’
    Kwaliteit zonder ‘afvinklijstjes’
    Wij toetsen op basis van risico’s, niet op papierwerk. Onze aanpak is grondig, maar altijd met oog voor proportionaliteit en bestuurlijke relevantie. Geen bureaucratie, wél inzicht en houvast. Daarmee voegen we échte waarde toe aan uw informatiebeveiliging.
  • Samenwerking centraal
    Samenwerking centraal
    We werken als partner, niet als controleur. We denken mee over realistische verbetermaatregelen, adviseren opbouwend en zijn altijd beschikbaar voor overleg. Ook ná de audit blijven we betrokken: met een jaarlijkse evaluatie bespreken we wat goed ging, waar het beter kan en hoe we het volgende ENSIA-jaar slimmer inrichten.
  • Ervaring met complexe situaties
    Ervaring met complexe situaties
    Uitbesteding, samenwerkingsverbanden of ketenverantwoordelijkheid? Wij zijn vertrouwd met zowel de carve-out als de inclusive benadering, en helpen u om verantwoord om te gaan met externe rapportages en taken. Daarbij houden we altijd rekening met de eisen uit de BIO en de kaders van de ENSIA-verklaring.
  •  Geen verrassingen, wél duidelijkheid
    Geen verrassingen, wél duidelijkheid
    Bij AudITvision geldt: afspraak is afspraak. We hanteren vaste prijzen, geen meerwerk, en blijven flexibel als de planning wijzigt. Ook extra toelichtingen of sparmomenten zijn gewoon inbegrepen. Transparantie en betrouwbaarheid staan bij ons voorop.

Onze aanpak in 7 fasen

Ons doel is om gemeenten op de juiste manier te ondersteunen bij het uitvoeren van de controle voor het verantwoordingsjaar 2026. De audit richt zich op de naleving van de Baseline Informatiebeveiliging Overheid (BIO) en andere relevante normen. De reikwijdte omvat alle processen en systemen die onder de ENSIA-verantwoordingsplicht vallen.

Als AudITvision zijn we graag betrokken vanaf het begin van de verantwoordingsperiode. Op die manier zorgen we ervoor dat we op de hoogte zijn van alle ontwikkelingen binnen de gemeente en kunnen we indien nodig tijdig anticiperen op ontwikkelingen. We zullen gedurende de gehele periode ook als vraagbaak functioneren als je vragen hebt over de audit. Je krijgt één aanspreekpunt die je altijd mag benaderen.

  • 1. Voorbereiding
    Mei – augustus 2026
    Creëert een stevige basis voor audit
  • 2. Zelfevaluatie
    September – december 2026
    Gemeente voert intern controle uit
  • 3. Interim controle (indien gewenst)
    November 2026 – februari 2027
    Tussentijdse terugkoppeling omtrent DigiD en Suwinet
  • 4. De audit, verantwoording en verbetering
    Januari – maart 2027
    Formele verantwoording wordt ingediend
  • 5. Verantwoording aan B&W en toezichthouders
    30 april 2027
    Rapportages worden voorgelegd
  • 6. Opstellen en versturen verslaglegging
    Mei – juli 2027
    Verslag wordt aangeboden aan provincie
  • 7. Jaarlijkse evaluatie
    Bespreken van verbeterpunten voor de volgende cyclus
VOORBEREIDING

Fase 1: Periode Mei – Augustus 2026

Deze fase is gericht op het creëren van een stevige basis voor de ENSIA-audit. De gemeente stelt een projectteam samen, brengt de scope en betrokken systemen in kaart, en zorgt dat het normenkader actueel is. De ENSIA-coördinator richt de portal in, en medewerkers worden geïnformeerd en getraind.

INVENTARISATIE

Fase 2: Periode September – December 2026

We bekijken de beschikbare documentatie, bespreken belangrijke ontwikkelingen binnen de organisatie en brengen in kaart welke onderdelen extra aandacht vragen. Zo ontstaat vroeg in het traject inzicht in de huidige situatie en de benodigde bewijsvoering.

INTERIMCONTROLE (INDIEN GEWENST)

Fase 3: Periode November 2026 – Februari 2027

Gedurende het jaar blijven we betrokken en fungeren we als vast aanspreekpunt. Vragen, wijzigingen of onzekerheden kunnen daardoor direct worden besproken.

DE AUDIT, VERANTWOORDING EN VERBETERING

Fase 4: Periode Januari – Maart 2027

Samen bekijken we welke bewijsvoering nodig is en waar eventuele aandachtspunten zitten. Dat voorkomt verrassingen aan het einde van het traject.

VERANTWOORDING AAN B&W EN TOEZICHTHOUDERS

Fase 5

We toetsen de relevante onderdelen rondom DigiD, Suwinet en informatiebeveiliging en verzamelen de benodigde onderbouwing voor ons oordeel.

OPSTELLEN EN VERSTUREN VERSLAGLEGGING

Fase 6

Onze bevindingen leggen we helder vast. Eventuele aandachtspunten bespreken we vooraf, zodat er geen verrassingen ontstaan.

JAARLIJKSE EVALUATIE: LEREN EN VERBETEREN

Fase 7

Na afronding ontvang je de rapportage en heb je inzicht in de status van de verantwoording en eventuele verbeterpunten voor de volgende cyclus.

Wat toetsen we eigenlijk?

Binnen ENSIA verstrekt de IT-auditor een onafhankelijk oordeel over de informatiebeveiliging rondom DigiD en Suwinet. Daarbij beoordelen we of de gemeente voldoende kan aantonen dat de getroffen maatregelen aanwezig zijn, goed zijn ingericht en ook daadwerkelijk werken zoals bedoeld.

Het college van burgemeester en wethouders legt hierover jaarlijks verantwoording af via de collegeverklaring. Op basis van deze verklaring en de onderliggende bewijsvoering geeft de IT-auditor een oordeel met een redelijke mate van zekerheid. Dit oordeel wordt vervolgens gebruikt door onder andere de gemeenteraad en de toezichthouders die verantwoordelijk zijn voor DigiD en Suwinet.

Waar wordt naar gekeken?

De beoordeling richt zich op de beveiligingseisen die gelden voor DigiD en Suwinet. Daarbij kijken we niet alleen naar de aanwezigheid van maatregelen, maar ook naar de manier waarop deze in de praktijk worden toegepast en beheerd.

Onder andere de volgende onderwerpen komen hierbij aan bod:

  • toegangs- en autorisatiebeheer;
  • logging en monitoring;
  • incidentmanagement;
  • wijzigingsbeheer;
  • leveranciersmanagement;
  • back-up- en herstelprocedures;
  • het beheer van gebruikersaccounts;
  • de periodieke evaluatie van risico’s.

Voor DigiD wordt bijvoorbeeld beoordeeld of de vereiste beveiligingsmaatregelen op 31 december aanwezig zijn. Daarnaast wordt voor specifieke onderdelen vastgesteld of deze gedurende een vooraf bepaalde periode aantoonbaar effectief hebben gefunctioneerd.

Het doel hiervan is niet alleen om vast te stellen of beleid en procedures aanwezig zijn, maar vooral om inzicht te krijgen in de dagelijkse praktijk van informatiebeveiliging binnen de gemeente.

Wat als er verbeteringen nodig zijn?

Het komt regelmatig voor dat gemeenten na afloop van het verantwoordingsjaar nog verbeteringen doorvoeren. Wanneer er tussen 31 december en de afgiftedatum van het assurancerapport aanvullende maatregelen zijn genomen, worden deze opgenomen in de collegeverklaring.

De IT-auditor betrekt deze verbeteringen vervolgens in zijn beoordeling. Hierdoor ontstaat een zo volledig mogelijk beeld van de actuele situatie en de manier waarop informatiebeveiligingsrisico’s worden beheerst.

Het uiteindelijke doel is niet om gemeenten af te rekenen op bevindingen, maar om inzicht te geven in waar de organisatie staat en welke verbeteringen nodig zijn om de informatiebeveiliging structureel te versterken. Zo wordt ENSIA niet alleen een verantwoordingsmoment, maar ook een hulpmiddel om de digitale weerbaarheid van de gemeente verder te vergroten.

Uitbestede processen?

Werk je voor DigiD of Suwinet samen met externe partijen? Dan nemen we dat mee in onze beoordeling. Waar mogelijk maken we gebruik van bestaande assurance-rapportages van leveranciers en samenwerkingspartners. Zo voorkomen we dubbel werk en blijft de belasting voor de organisatie beperkt.

Transparante kosten en tarieven

ENSIA hoeft geen kostbaar traject te zijn. Toch zien we regelmatig offertes waarbij de benodigde inzet niet in verhouding staat tot de omvang van de opdracht.

De exacte prijs is afhankelijk van factoren zoals het aantal aansluitingen, de complexiteit van de uitbesteding en de mate van voorbereiding binnen de gemeente. Maar op basis van de honderden audits die we de afgelopen jaren hebben uitgevoerd, kunnen we duidelijke richtlijnen geven.

Voor gemeenten met 1 tot 3 DigiD- of Suwinet-aansluitingen, kun je doorgaans rekenen op een totale doorlooptijd van 24–40 uur, afhankelijk van de situatie. We hanteren een vast uurtarief van €125,-, zonder verborgen kosten of meerwerk achteraf. Ook de hertest is geen meerwerk en zit in ons fixed tarief inbegrepen.

Wil je vooraf een exacte inschatting ontvangen? Neem gerust contact met ons op voor een vrijblijvende offerte of intakegesprek.