Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

Transcriptie

1 Handreiking Opstellen collegeverklaring ENSIA 2018 Versie 2.0 Vereniging van Nederlandse Gemeenten

2 Nassaulaan JS Den Haag Versie 2.0 Januari 2019 Versie Datum Aanpassing januari januari 2019 Toevoegingen in paragraaf 4.1.4, en bij reikwijdte in de collegeverklaring. 1

3 Inhoud 1. Inleiding Checklist voor uploaden Instructie Passend format kiezen en genereren vanuit ENSIA Structuur en opbouw De collegeverklaring Reikwijdte verklaring Verklaring college Samenvattend beeld Ondertekening Bijlage DigiD Leverancier & TPM gegegevens Alles in eigen beheer: geen leverancier & geen TPM Tabel met uitkomsten van de zelfevaluatie DigiD Bijlage Suwinet Gebruik van Suwinet Gebruik van Suwinet zonder samenwerkingsverband(en) Gebruik van Suwinet met samenwerkingsverband(en) Gebruik van Suwinet voor Suwi-taken Gebruik van Suwinet voor niet-suwi taken Gebruik van Suwinet voor niet-suwi taken: voorbeeld RMC & gerechtsdeurwaarders Normnaleving Normnaleving bij tekortkomingen Participatiewet Normnaleving bij tekortkomingen bij niet-suwi-taken

4 1. Inleiding Deze handreiking is opgesteld ter ondersteuning bij het verantwoordingsproces ENSIA. De handreiking heeft betrekking op het opstellen van de collegeverklaring ENSIA De collegeverklaring betreft de uitkomsten van de zelfevaluatie ENSIA voor assessmentplichtige DigiD aansluitingen en het gebruik van Suwinet. De collegeverklaring is een uitzonderingsrapportage: er wordt uitgegaan van het voldoen aan de onderliggende normenkaders. Indien er sprake is van een tekortkoming, dan wordt hier dit aangegeven in de collegeverklaring. De bijlagen bij de collegeverklaring bevatten de details. De verklaring wordt gebruikt als verantwoordingsdocument voor het ministerie van SZW (via BKWI) en het ministerie van BZK (via Logius). Dit document vormt de basis voor de uit te voeren IT-audit. Het format is vormvast. Dit betekent dat er geen ruimte is voor aanvullingen en/of aanpassingen in het format. Wanneer u een format genereert uit ENSIA, ziet u dat dit format wordt voorafgegaan door een invulinstructie. Deze handreiking is uitgebreider. Er is een aantal uitwerkingen en voorbeelden opgenomen. Verder is de handreiking voorzien van schermafdrukken uit de ENSIAtool. In deze instructie zijn daarnaast voorbeelden van fictief ingevulde collegeverklaringen opgenomen. Ook vindt u in de handreiking een handige checklist. Heeft u aanvullende vragen, neemt u dan contact op met. De procesbegeleiders beantwoorden uw aanvullende vragen. Situatie voorbeeld gemeente In deze handreiking wordt gebruikgemaakt van een fictieve gemeente Het Zand. Gemeente Het Zand neemt deel in een GR, sociale dienst Snel naar Werk. Zij hebben één assessmentplichtige DigiD-aansluiting voor burgerzaken. De infra (hosting) wordt door de gemeente zelf uitgevoerd; de applicatie is van leverancier Beste Software. De belastingen worden geïnd via een gemeenschappelijke regeling. De gedelegeerde gerechtsdeurwaarders maken geen gebruik van Suwinet. De afdeling burgerzaken maakt ook geen gebruik van Suwinet voor adresonderzoek. Gemeente Het Zand is geen RMC-contactgemeente. 3

5 2. Checklist voor uploaden Het afgelopen jaar heeft er veel herstelwerk plaatsgevonden op vormvereisten van de verantwoordingsdocumenten. Dat is de reden dat deze checklist vooraan in dit document is opgenomen. Checkt u onderstaande punten nog even voordat u de documenten uploadt in de tooling? o o o o o o o o o In de collegeverklaring zijn geen normen opgenomen. Voor eventuele afwijkingen voor DigiD en/of Suwinet, dient in de collegeverklaring te worden opgenomen dat er afwijkingen zijn, maar niet welke afwijkingen of voor welke normen. Deze details worden opgenomen in de bijlagen bij de collegeverklaring (bijlage 1 voor DigiD en bijlage 2 voor Suwinet). Corresponderen de leveranciers in de DigiD-bijlage (leverancier 1, 2) met de vertaling naar de grote tabel waarin de totaal resultaten zijn verwerkt? De collegeverklaring is voorzien van een datum. De collegeverklaring is getekend door het college. De collegeverklaring en de bijlage(n) zijn elk voorzien van een handtekening of paraaf van de auditor. De collegeverklaring en de bijlage(n) zijn elk voorzien van een gemeentelijk kenmerk. Het kenmerk van het assurancerapport van de auditor is opgenomen in de DigiD-bijlage. Alle documenten (de collegeverklaring en de bijlage(n)) zijn voorzien van een waarmerk van de auditor, dat leesbaar is in een witte ruimte, niet over tekst/briefhoofden heen. De auditor heeft u voorzien van de volgende set gewaarmerkte op zichzelf staande documenten in PDF/A: o Collegeverklaring o Bijlage Suwinet o Bijlage DigiD o Assurancerapport 4

6 3. Instructie 3.1. Passend format kiezen en genereren vanuit ENSIA Er zijn 3 formats beschikbaar: 1. Collegeverklaring DigiD en Suwinet 2. Collegeverklaring DigiD (gemeente hoeft zich niet te verantwoorden over Suwinet) 3. Collegeverklaring Suwinet (gemeente beschikt niet over assessmentplichtige DigiDaansluiting(en)). U kunt het juiste format genereren vanuit het tabblad Rapporten in de ENSIA-tool. 5

7 Wanneer u via de lijst ENSIA-zelfevaluatie Informatieveiligheid BIG 2018 de collegeverklaring wilt downloaden, dan vindt u hier de volgende twee varianten: 1. Collegeverklaring DigiD en Suwinet 1 2. Collegeverklaring Suwinet Wanneer u de collegeverklaring via de lijst ENSIA-zelfevaluatie - DigiD assessment 2018 wilt downloaden, dan vindt u hier de volgende varianten: 1. Collegeverklaring DigiD en Suwinet 2 2. Collegeverklaring DigiD Structuur en opbouw De formats zijn voorzien van een instructie. De instructie tekst maakt geen onderdeel uit van de collegeverklaring. U verwijdert deze als onderdeel van de collegeverklaring. Alle formats zijn opgebouwd met de collegeverklaring en separate bijlage(n) voor DigiD en/of Suwinet. Een aantal velden is vooraf ingevuld. Dit betreft de gemeentenaam, de naam van de DigiD-koppeling en het aansluitnummer. Deze velden komen op verschillende plaatsen terug in de formats. 1 en 2 : Dit betreft hetzelfde format. 6

8 4. De collegeverklaring In de collegeverklaring zijn twee tabellen opgenomen. De eerste tabel betreft een tabel die ingevuld wordt door zowel de gemeente als de IT-auditor van de gemeente. De handtekening of paraaf van de auditor verbindt alle documenten met elkaar. Vanuit de te downloaden collegeverklaring ziet de tabel er als volgt uit: Gemeentelijk kenmerk collegeverklaring Suwinet: Naam auditfirma: Naam auditor: Datum: Handtekening auditor of paraaf auditor Een correct ingevuld voorbeeld ziet er als volgt uit: Gemeentelijk kenmerk collegeverklaring Suwinet: Naam auditfirma: Naam auditor: Datum: HZND UZKB B.V. Mevr. J. Pietersen Handtekening auditor of paraaf auditor 31 maart Reikwijdte verklaring In de reikwijdte van de verklaring wordt de scope van de collegeverklaring toegelicht. Er wordt aangegeven waarover de verklaring wordt afgelegd: Suwinet en/of DigiD. En dat het over opzet en bestaan van de normen gaat en niet over de werking. De peildatum is 31 december

9 DigiD Voor DigiD wordt aangegeven dat de toetsing van de normen door DigiD-leveranciers buiten scope geplaatst zijn. Ofwel: er wordt geen verklaring afgelegd over een aangeleverde TPM van een DigiDleverancier. Dat is ook de reden dat een TPM van een leverancier meegestuurd moet worden naar Logius. Ook al maakt u als gemeente geen gebruik van een DigiD-leverancier (in het geval alles in eigen beheer wordt ontwikkeld en beheerd), dan nog blijft de tekst over de rol van leveranciers opgenomen in de verklaring. In de bijlage DigiD vult u in dat u een leverancier niet van toepassing is. De reden is dat het niet noemen van een leverancier andere informatie geeft dan aangeven dat u geen gebruik maakt van een leverancier. Het sluit het nadrukkelijker uit Suwinet In de collegeverklaring wordt met betrekking tot Suwinet aangegeven of er al dan niet sprake is van het uitbesteden van diensten. U maakt een keuze op basis van de onderstaande tekst uit het format: [[Indien in het kader van Suwinet geen sprake is van samenwerking dan opnemen: [Inzake Suwinet heeft deze collegeverklaring betrekking op de beheersingsmaatregelen van de gemeente.]] [[Indien wel sprake is van samenwerking bij Suwinet:[Inzake Suwinet heeft deze collegeverklaring zowel betrekking op de beheersingsmaatregelen van de gemeente als op die van de uitbestede diensten aan [naam samenwerkingsverband[en] [en] [of] [andere gemeente].]] Suwinet zonder uitbesteding van diensten In het geval er niet van Suwinet gebruik wordt gemaakt door externe partijen neemt u de volgende tekst op in de collegeverklaring: Inzake Suwinet heeft deze collegeverklaring betrekking op de beheersingsmaatregelen van de gemeente Suwinet met uitbesteding van diensten door een samenwerkingsverband In het geval dat er gebruik wordt gemaakt van Suwinet door externe partijen neemt u de volgende tekst op in de collegeverklaring: Inzake Suwinet heeft deze collegeverklaring zowel betrekking op de beheersingsmaatregelen van de gemeente als op die van de uitbestede diensten aan Sociale Dienst Snel naar Werk Suwinet met uitbesteding van diensten aan een andere gemeente In het geval dat Suwinet-taken zijn uitbesteed aan een andere gemeente neemt u de volgende tekst op in de collegeverklaring: Inzake Suwinet heeft deze collegeverklaring zowel betrekking op de beheersingsmaatregelen van de gemeente als op die van de uitbestede diensten aan gemeente Buurgemeente. 8

10 Suwinet met uitbesteding van diensten door een samenwerkingsverband én een andere gemeente In het geval dat Suwinet-taken zijn uitbesteed aan een andere gemeente neemt u de volgende tekst op in de collegeverklaring: Inzake Suwinet heeft deze collegeverklaring zowel betrekking op de beheersingsmaatregelen van de gemeente als op die van de uitbestede diensten aan Sociale Dienst Snel naar Werk en gemeente Buurgemeente Verklaring college In dit onderdeel wordt opgenomen of aan de beheersingsmaatregelen wordt voldaan of niet. In dit onderdeel neemt u geen specifieke afwijkingen of normen op: alleen of de gemeente voldoet of niet. Een uitwerking op normniveau neemt u op in de bijlage. Op deze wijze komen geen details bij verkeerde stelselhouders terecht. De informatie dat een gemeente wel/niet voldoet aan Suwinet en/of DigiD, wordt als interdepartementaal vertrouwelijk bestempeld. Op basis van de uitkomsten van de zelfevaluatie maakt u een keuze uit het format. In dit voorbeeld wordt uitgegaan van verantwoording over zowel Suwinet als DigiD. U gebruikt onderstaande basistekst: [[Indien volledig wordt voldaan aan de normen: [Het college verklaart dat bij gemeente Het Zand op 31 december 2018 de beoogde en ingerichte beheersingsmaatregelen voldoen aan de geselecteerde normen inzake DigiD en Suwinet.]] [[Bij uitzonderingen: [Het college verklaart dat voor [DigiD] [en] [Suwinet] niet aan alle geselecteerde normen wordt voldaan. De op de uitzonderingen gerichte beheersmaatregelen zijn in [een] verbeterplan[nen] opgenomen, zijn belegd en worden gemonitord.]] Voldoen aan alle normen Het college verklaart dat bij gemeente Het Zand op 31 december 2018 de beoogde en ingerichte beheersingsmaatregelen voldoen aan de geselecteerde normen inzake DigiD en Suwinet Voldoen aan Suwinet, niet aan DigiD Het college verklaart dat voor DigiD] niet aan alle geselecteerde normen wordt voldaan. De op de uitzonderingen gerichte beheersmaatregelen zijn in een verbeterplan opgenomen, zijn belegd en worden gemonitord Niet voldoen aan Suwinet, wel aan DigiD Het college verklaart dat voor [Suwinet niet aan alle geselecteerde normen wordt voldaan. De op de uitzonderingen gerichte beheersmaatregelen zijn in een verbeterplan opgenomen, zijn belegd en worden gemonitord. 9

11 Niet voldoen aan Suwinet en niet voldoen aan DigiD Het college verklaart dat voor DigiD en Suwinet niet aan alle geselecteerde normen wordt voldaan. De op de uitzonderingen gerichte beheersmaatregelen zijn in verbeterplannen opgenomen, zijn belegd en worden gemonitord Samenvattend beeld U past het samenvattend beeld aan uw situatie aan. In het fictieve voorbeeld van de gemeente Het Zand is er sprake van 1 assessmentplichtige DigiD-aansluiting en verantwoording Suwinet (P-wet) door de Gemeenschappelijke Sociale Dienst. Zowel de belastingdeurwaarders als burgerzaken maken geen gebruik van Suwinet (niet-suwi-taken). In het voorbeeld is uitgegaan van voldoen aan de DigiD-beheersingsmaatregelen. Er wordt niet voldaan aan de Suwi-normen. De tabel toont na aanpassing als volgt: 4.4. Ondertekening Bij vaststelling van de collegeverklaring wordt deze ondertekend onder vermelding van plaatsnaam en de datum. 10

12 5. Bijlage DigiD Voor elke DigiD-aansluiting waarover u zich verantwoordt neemt u een bijlage DigiD op bij de collegeverklaring. De gehele bijlage DigiD krijgt één separaat kenmerk. De verschillende bijlagen houden dezelfde titel Bijlage 1 DigiD bij collegeverklaring ENSIA. U ziet in de nummering dat per DigiD-aansluiting een volgnummer is opgenomen in de titel (1), (2), etc. U kent één kenmerk toe voor de gehele DigiD-bijlage en vult de eerst tabel aan met de benodigde gegevens Leverancier & TPM gegevens Op de eerste pagina van de bijlage DigiD zijn standaard twee tabellen opgenomen. In deze tabellen geeft u de informatie op over de leveranciers en de gegevens van de TPM. Deze informatie heeft u opgegeven in de DigiD-vragenlijst bij de Algemene vragen van de aansluiting. De naam leverancier 1, leverancier 2, corresponderen hierna met de grote tabel waarin de uitkomsten van de zelfevaluatie zijn opgenomen. U gaat op de volgende wijze om met de tabellen: Bij uitbestede diensten aan één leverancier verwijdert u de tweede tabel. Bij uitbestede diensten aan meer dan twee leveranciers voegt u eenzelfde tabel toe. Wanneer u alles in eigen beheer uitvoert (geen leverancier), dan laat u de eerste tabel in het document staan en vult u niet van toepassing in. De tweede tabel verwijdert u. 11

13 Voor de fictieve gemeente Het Zand, met één leverancier voor de applicatie, komt dit onderdeel uit de DigiD bijlage er als volgt uit te zien (zie volgende pagina): 5.2. Alles in eigen beheer: geen leverancier & geen TPM Wanneer u alles in eigen beheer uitvoert (geen leverancier), dan laat u de eerste tabel in het document staan en vult u niet van toepassing in. De tweede tabel verwijdert u. Het resultaat ziet er als volgt uit: 12

14 Zowel in de collegeverklaring als in de bijlage DigiD wordt in de vaste tekst een uitspraak over leveranciers gedaan. Dat is ook de reden dat u hier invult dat dit niet van toepassing is, wanneer de DigiD-koppeling geheel in eigen beheer wordt gebouwd en gehost. De opname van informatie over leveranciers in de situatie komt wellicht wat overbodig over. Vanuit auditperspectief heeft deze informatie een andere lading: het weglaten van informatie over leveranciers is andere informatie dan aangeven dat je er geen hebt door middel van de niet van toepassing verklaring Tabel met uitkomsten van de zelfevaluatie DigiD In de inleidende tekst naar de tabel met de uitkomsten van de zelfevaluatie is in tekst aangegeven dat het de rol van de auditor is om te toetsen of de zelfevaluatie in combinatie met de TPM(s) van leverancier(s) gezamenlijk het normenkader afdekt. In deze alinea voert de auditor ook het kenmerk in van het assurancerapport. U ontvangt dit kenmerk van uw auditor. De overzichtstabel ziet er na het downloaden een beetje rommelig uit. Dit heeft te maken met het vertalen van het gegenereerde Word document naar uw standaardinstellingen. 13

15 U past de tabel aan naar uw situatie. In het voorbeeld van de gemeente Het Zand is er sprake van één leverancier. De tabel toont dan als volgt: U neemt hierna de uitkomsten op in de tabel. De tabel met de uitkomsten uit de zelfevaluatie vult u met de juiste antwoorden vanuit de zelfevaluatie. Deze bestaat uit voldoet of voldoet niet. U vult een cel grijs op wanneer de norm niet van toepassing is bij de gemeente of indien de norm niet van toepassing is op een leverancier. De laatste kolom geeft het totaal oordeel met een voldoet of voldoet niet antwoord. De tabel ziet er voor het fictieve voorbeeld met 1 leverancier als volgt uit: Uitkomst voldoet niet Indien bij een norm in enige cel de uitkomst 'voldoet niet' is, kan het totaal oordeel nooit tot een positief totaal oordeel leiden: het antwoord is dan altijd 'voldoet niet'. 14

16 Ook het overzicht met de toelichting op de normen ziet er onevenredig verdeeld uit. U kunt de kolomverdeling aanpassen, indien u dit wenst. Dat scheelt ruimte. 15

17 6. Bijlage Suwinet De bijlage Suwinet start met een tabel met ruimte voor het opnemen van kenmerken en gegevens van de auditor. Zie pagina 7 voor verdere instructie. Indien u geen verantwoording aflegt over DigiD, dan hernoemt u deze bijlage tot bijlage 1 Suwinet bij de collegeverklaring ENSIA Gebruik van Suwinet In dit onderdeel geeft u aan of u al dan niet gebruikmaakt van uitbestede diensten voor Suwinet. Onderwerp van de verklaring is het gebruik van Suwinet. Suwinet wordt [wel] [niet] in samenwerkingsverbanden gebruikt. [[Indien wel : [Het gebruik van Suwinet door samenwerkingsverbanden valt binnen de reikwijdte van de verklaring.]] 6.2. Gebruik van Suwinet zonder samenwerkingsverband(en) Onderwerp van de verklaring is het gebruik van Suwinet. Suwinet wordt niet in samenwerkingsverbanden gebruikt Gebruik van Suwinet met samenwerkingsverband(en) Onderwerp van de verklaring is het gebruik van Suwinet. Suwinet wordt wel in samenwerkingsverbanden gebruikt. Het gebruik van Suwinet door samenwerkingsverbanden valt binnen de reikwijdte van de verklaring. 16

18 6.4. Gebruik van Suwinet voor SUWI-taken Het format ziet er als volgt uit: U past dit aan naar de omstandigheden. Voor de gemeente Het Zand zou dit er als volgt uitzien: 6.5. Gebruik van Suwinet voor niet-suwi taken In de tabel zijn keuzes aangegeven. Binnen de gemeente gebruikt u als keuze wanneer de werkzaamheden niet zijn uitbesteed. De tabel ziet er in het format als volgt uit: De gemeente Het Zand maakt geen gebruik van Suwinet voor niet-suwi taken. Voor de gemeente Het Zand zou deze tabel als volgt ingevuld worden: 17

19 6.6. Gebruik van Suwinet voor niet-suwi taken: voorbeeld RMC & gerechtsdeurwaarders In het geval voor uw gemeente gebruik gemaakt wordt van Suwinet door de gemeentelijk gerechtsdeurwaarders, dan is een fictief voorbeeld als volgt: 6.7. Normnaleving Onder de kop Normnaleving kiest u voor de passende uitkomst. Indien uw situatie Zoals in de collegeverklaring vermeld, voldoen de interne beheersmaatregelen inzake Suwinet op 31 december 2018 in opzet en bestaan aan de geselecteerde normen is, dan verwijdert u de beide tabellen. Indien de uitkomst van de zelfevaluatie leidt tot Met uitzondering van de volgende normen voldoen de interne beheersingsmaatregelen voor de SUWI-taken op 31 december 2018 in opzet en bestaan aan alle geselecteerde normen, dan vult u de beide tabellen aan met de gevraagde informatie. Wanneer de gemeente volledig voldoet, ziet de bijlage Suwinet voor het onderdeel Normnaleving er op de volgende wijze uit: U verwijdert alle tekst en tabellen. U houdt bovenstaande tekst over Normnaleving bij tekortkomingen Participatiewet U neemt de tabel voor SUWI-taken op in de bijlage Suwinet. De combinatie van de BIG-vraag en het SUWI-nummer van de norm kunt u gemakkelijk terugvinden in het keuzehulpinstrument op de ENSIA-site van. 18

20 6.9. Normnaleving bij tekortkomingen bij niet-suwi-taken In onderstaand voorbeeld is de situatie weergeven waarbij er één overtreding is geconstateerd bij bevraging bij burgerzaken. 19