Meer informatie?
ENSIA-audits 2020: wijzigingen DigiD en Suwinet
2 oktober 2020 - De start van de ENSIA-audits (een eenmalige IT-audit) staat weer voor de deur. Veel gemeenten zullen in het vierde kwartaal van 2020 met hun auditor een pre-audit ondergaan ter voorbereiding van de finale audit en collegeverklaring om zo verantwoording af te leggen over de interne beheersing per 31 december 2020.
ENSIA-HANDREIKING
Ieder jaar wordt de ENSIA-handreiking geëvalueerd en vinden er waar nodig aanpassingen of aanscherpingen plaats. Voor 2020 zijn er voor zowel DigiD als Suwinet wijzigingen of aanscherpingen in de handreiking.
DIGID-WIJZIGINGEN
Voor DigiD zijn twee aanbevelingen uit 2019 voor 2020 verplicht gesteld, te weten:
- Non-occurence: wanneer voor de normen B.05, U/TV.01, U/WA.02 en C.08 het bestaan van de beheersmaatregel niet kan worden vastgesteld (omdat het proces zich niet heeft voorgedaan), dan is de auditor nu verplicht om het bestaan vast te stellen van een vergelijkbare maatregel.
- Technische beveiliging:
- TLS (Transport Layer Security – de versleuteling van de verbinding tussen een klant en een server op het internet): de gebruikte implementatie dient minimaal te voldoen aan het niveau ʽVoldoende’ volgens het NCSC (Nationaal Cyber Security Centrum).
- Het gebruik van HSTS, X-Content-Type-Options, Content-Security-Policy (aangescherpt) en ReferrerPolicy is verplicht. Dit betreffen componenten die een basis beveiligingslaag toevoegen aan de webserver om onder andere ongewenste toegang tot informatie te voorkomen.
SUWINET-WIJZIGINGEN
Voor Suwinet zijn er meer veranderingen, welke (mede) ingegeven worden door de implementatie van de BIO (Baseline Informatiebeveiliging Overheid), per 1 januari 2020. De volgende normen zijn gewijzigd:
- B.04: Voor de CISO (chief information security officer) dienen zowel de functiebeschrijving en het functieprofiel aanwezig te zijn en een CISO dient aangesteld te zijn.
- C.01: De evaluatieperiode van het informatiebeveiligingsbeleid is gelijkgesteld aan de raad(s)periode, waardoor deze niet iedere 3 jaar maar elke 4 jaar geëvalueerd dient te worden.
- U.11: Gegevens dienen naast een classificatie ook onderworpen te worden aan een risicoanalyse waarbij ook de privacygevoeligheid van de Suwinet-gegevens benoemd wordt.
Naast de veranderingen, zijn er ook twee nieuwe maatregelen opgenomen voor Suwinet:
- De gemeente dient een procedure of handleiding op te stellen voor gebruikers (en beheerders) voor het bedienen van Suwinet.
- De rol van de FG (functionaris gegevensbescherming) dient beschreven te zijn en een FG dient aangesteld te zijn. De FG draagt zorg voor:
- Het regelmatig controleren van de naleving van privacyregels en de informatieverwerking en –procedures.
- Een verwerkingsregister (inclusief Suwinet).
MAZARS KAN U HELPEN
Mazars levert al jaren diensten op het gebied van DigiD, ENSIA, IT-audit, privacy en cybersecurity aan gemeenten en andere overheidsdiensten. Daarnaast zijn wij betrokken bij de totstandkoming van de normenkaders die gebruikt worden tijdens DigiD- en ENSIA-audits en kunnen we u daarom van de juiste en laatste inzichten voorzien. Wij werken met ervaren teams met specialisten op het gebied van ENSIA die efficiënt en pragmatisch te werk gaan. Wanneer u nog geen auditor hebt, gaan wij graag met u in gesprek over de wijze waarop wij u van dienst kunnen zijn.
MEER WETEN?
Wilt u graag meer weten over ENSIA-audits? Neem dan contact op met Achmed Bouazza per e-mail of per telefoon: +31 (0)88 277 13 88 of met Niels Verhagen per e-mail of per telefoon: +31 (0)88 277 12 13. Zij helpen u graag verder.
