BAG BRP BIG. Jaarrekeningcontrole

Gemeenteland: Auditland Auditvoordelen door bundeling IT-audit onderdelen DigiD Assessment Suwinet Audit BAG BRP BIG Jaarrekeningcontrole

Gemeenteland: Auditland Auditvoordelen door bundeling IT-audit onderdelen Scriptienummer: 2017 Versie 1.0 Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) Postgraduate opleiding IT Audit Compliance & Advisory De Boelelaan 1105 1081 HV Amsterdam Auteurs: T. Florack 2514472 B. Klaassen 2514469 Begeleider Vrije Universiteit: P. Harmzen RA RE Begeleider Deloitte Risk Services B.V.: Ing. Y.F. Notten MSc. RE I

Voorwoord Voor u ligt onze scriptie Gemeenteland: Auditland, welke tot stand is gekomen in het kader van de Postgraduate opleiding IT Audit Compliance & Advisory aan de Vrije Universiteit Amsterdam. Vanuit onze werkzaamheden als IT-auditors zagen we dat bij gemeenten jaarlijks verschillende (IT) audits worden uitgevoerd. Vaak zit in die audits een overlap wat dan ook leidt tot vragen over de efficiëntie van meermaals hetzelfde doen. Dit hebben wij als startpunt genomen voor ons onderzoek naar de mogelijkheden om verschillende audits te bundelen. Graag maken wij van de gelegenheid gebruik om onze begeleiders, Dhr. Harmzen namens de VU en Dhr. Notten als bedrijfsbegeleider vanuit Deloitte, te bedanken voor hun begeleiding, ondersteuning en het bieden van een stok achter de deur op de juiste momenten. Verder uiteraard een woord van dank aan onze vrouwen Marije en Willemijn, die ook de nodige steun hebben geboden en ons vooral hebben moeten missen bij de avondsessies voor het afronden van deze scriptie. Veel leesplezier, Bert Klaassen (Deloitte Risk Services B.V.) Tim Florack (Cuccibu B.V.) II

Management samenvatting Inleiding Gemeenten worden jaarlijks onderworpen aan een groot aantal audits. Vanuit het IT audit vakgebied behoren ook verschillende audits tot deze (meer)jaarlijkse cyclus. Daarnaast bestaan er audits waarin het IT component een belangrijk onderdeel betreft. Vanuit de praktijk merken we dat tussen de verschillende audits ook overlap aanwezig is. Dit fenomeen zorgt voor inefficiëntie bij de auditor en een verhoogde werklast (auditlast) voor de gemeente. Onze verwachting is dat door het bundelen van (IT componenten van) audits een efficiëntieslag bereikt kan worden. De manier waarop dit mogelijk is hebben we onderzocht aan de hand van de volgende probleemstelling: Hoe kunnen de IT componenten van verschillende audits gericht op gemeenten gebundeld worden in één assurance opdracht? Voor dit onderzoek hebben we een vijftal audits (BAG inspectie, zelfevaluatie BRP, Suwinet audit, DigiD assessment en IT audit in het kader van de jaarrekeningcontrole) geselecteerd. Hiervan hebben we onderzocht of een bundeling mogelijk is. Daarbij hebben we ook de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) meegenomen in het onderzoek, omdat in deze baseline reeds een voorschot wordt genomen op de mate waarin de BIG overlapping biedt ten opzichte van reeds bestaande audits. Analyse op aandachtspunten We hebben een tiental aandachtspunten geïdentificeerd die bepalend zijn voor de aanname en uitvoering van de betreffende audits. Aan de hand van deze aandachtspunten hebben we, tijdens de literatuurstudie, per audit in kaart gebracht hoe de audits zijn opgezet. Overlap De uitkomsten van het identificeren van overlap wijzen uit dat van de vijf audits er drie een hoge mate van overlap vertonen. Dit betreffen de IT audit jaarrekeningcontrole, het DigiD assessment en de Suwinet audit. Deze drie audits hebben op alle tien de aandachtspunten overlap en ook met betrekking tot de normen vertonen deze veel overeenkomsten. Verder valt op dat de BIG dezelfde algemene IT beheersmaatregelen bevat als deze drie audits. Echter, op het moment van onderzoek is nog niet bekend op welke wijze de BIG in de toekomst verder wordt vormgegeven qua termijn van implementatie, scope en mogelijke audit. Conclusie Het is mogelijk om de IT componenten van de IT audit jaarrekening, het DigiD assessment en de Suwinet audit te bundelen in één IT audit. Een dergelijke IT audit naar opzet, bestaan en werking dient vorm te krijgen volgens de NOREA Richtlijn Assurance-opdrachten door ITauditors (3000) met een jaarlijkse frequentie. Het normenkader dient de generieke algemene IT beheersmaatregelen te bevatten die voorkomen in alle drie de audits. Daarnaast dient voor de specifieke normen een afzonderlijke auditaanpak bepaald te worden. In plaats van een overkoepelende conclusie dient een conclusie per norm gegeven te worden. De uitvoering van een dergelijk IT audit dient te geschieden door een Register EDP-auditor. Op de langere termijn kan de BIG een overkoepelende c.q. vervangende rol gaan innemen. III

Dit is nu vooral van belang bij de verdere ontwikkeling van de BIG, waarbij rekening dient te worden gehouden met dit perspectief in de mogelijke audit voor de toekomst. IV

Inhoudsopgave 1. Inleiding... 1 1.1 Probleemstelling... 2 1.2 Doelstelling... 3 1.3 Aanpak... 3 2. Gemeentelijke audits... 5 2.1 BAG inspectie... 6 2.2 Zelfevaluatie BRP... 10 2.3 Suwinet audit... 12 2.4 DigiD assessment... 17 2.5 Jaarrekening audit... 20 2.6 BIG... 23 3. Overlap... 26 3.1 Overlap in audits... 26 3.2 Overlap in normen... 27 4. Assurance... 33 5. Conclusie... 35 5.1 Probleemstelling: bundelen of vervangen?... 35 5.2 Bundelen of BIG overkoepelen... 36 5.3 Scoping Suwinet, Jaarrekening, DigiD... 37 5.4 Diepgang en frequentie... 38 5.5 Politiek bij opdrachtgevers en belanghebbenden... 38 5.6 Geen restricties voor Register EDP auditors... 38 5.7 Assurance richtlijn 3000... 39 5.8 Kosten en tijd... 39 5.9 Schaalvoordeel in geval van Shared Service Centers... 40 5.10 Beantwoording probleemstelling... 40 6. Reflectie... 41 6.1 Reactie stakeholders... 41 6.2 Vervolgonderzoek... 44 6.3 Reflectie Tim Florack... 45 V

6.4 Reflectie Bert Klaassen... 46 Literatuurlijst... 47 Geraadpleegde websites... 47 Bijlagen Bijlage 1 - Matrix overlap domeinen... 50 Bijlage 2 - Matrix overlap normen... 51 VI

1. Inleiding Gemeenten worden jaarlijks onderworpen aan een aantal audits, denk hierbij bijvoorbeeld aan de BAG inspectie, Suwinet audit, DigiD assessment en de IT-audit in het kader van de jaarrekeningcontrole. Deze audits vinden hun grondslag in verschillende soorten van wet- en regelgeving zoals de wet bescherming persoonsgegevens (WBP) en de wet op werk en inkomen of vanuit de wettelijk verplichte jaarrekeningcontrole. Een aantal audits waar gemeenten aan worden onderworpen bevatten ook een IT component. Zie hieronder een korte opsomming van enkele IT aandachtspunten binnen de eerder genoemde audits: Audit op algemene IT beheersmaatregelen in het kader van de jaarrekeningcontrole; Audit op toegangsbeveiliging voor bescherming persoonsgegevens; IT-governance normen DigiD assessment; Continuïteit en beschikbaarheid van de IT omgeving. Uiteraard kan bovenstaande opsomming nog worden uitgebreid met verschillende aandachtsgebieden. De verwachting is dat tussen de audits een bepaalde overlap aanwezig is. Zo is informatiebeveiliging een terugkerend onderdeel en ook wijzigingsbeheer en continuïteit komen herhaaldelijk terug. Dit is zichtbaar in het dagelijks werk van de IT auditor, omdat deze wordt ingeschakeld voor het toetsen van bijvoorbeeld een wijzigingsbeheerprocedure voor een applicatie in het kader van de jaarrekeningcontrole. Hetzelfde proces kan worden getoetst in het kader van het DigiD assessment. In 2013 is de Informatiebeveiligingsdienst voor Gemeenten (IBD) opgericht. Deze richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen 1. In dit kader heeft dit orgaan ook de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. Hoewel op het moment van schrijven nog niet bekend is in welke vorm deze als audit plaats gaat vinden, is onze gedachte dat ook deze baseline overlap zal vertonen met reeds bestaande richtlijnen, assessments en audits. Een andere ontwikkeling in gemeenteland is de verschuiving van intern beheer van de IT omgeving naar een uitbesteding van het beheer van de IT omgeving. Deze verschuiving wordt gekenmerkt door samenwerking tussen verschillende gemeenten in de vorm van een Shared Service Center (SSC). Doorredenerend op de audits die een gemeente verplicht dient te ondergaan ontstaat de gedachte dat wanneer gemeenten een bepaald aantal audits ondergaan, een SSC voor een bepaald aantal gemeenten, zoveel keer diezelfde audits dienen te ondergaan (zie ook figuur 1 op de volgende pagina). Een zestal audits voor een gemeente zou kunnen leiden tot een 18-tal audits indien een SSC voor 3 gemeenten de betreffende processen c.q. IT omgeving beheert. 1 https://www.ibdgemeenten.nl/ibd/ 1

Figuur 1 Vermenigvuldiging aantal audits Waar al eerder een artikel 2 is verschenen dat gemeenten pleiten voor minder beveiligingsaudits is de verwachting dat eenzelfde gevoel zal heersen wanneer een serviceprovider een veelvoud van dezelfde audits dient te ondergaan of te faciliteren. Single audit framework is een term die op de werkvloer vaker wordt gehoord en als achtergrond heeft dat organisaties alle verschillende audits die zij (dienen te) ondergaan willen bundelen in één framework. In de profit sector is het afgeven van een Third Party Mededeling (TPM) of een ISAE 3402 voor serviceorganisaties een veelvoorkomende manier om de kwaliteit van de dienstverlening te toetsen en hierover te rapporteren. Binnen het IT vakgebied zijn verschillende richtlijnen die het mogelijk maken om assurance af te geven. NOREA op nationaal vlak en onder andere ISAE internationaal gezien, bieden de richtlijnen om een bepaald proces te auditen en assurance af te geven. Waar bepaalde zaken voor een gemeenten meer dan eens ge-audit worden zou een dergelijk rapport uitkomst kunnen bieden. Dit roept vragen op als: Welke IT processen zijn onderdeel van de audits voor gemeenten; Welke onderdelen van de verschillende audits bevatten overlap; Op welke wijze kunnen deze audits gebundeld worden; Is er een mogelijkheid om hier assurance over te verlenen; 1.1 Probleemstelling Bovenstaande vragen trachten we te beantwoorden in deze scriptie en leiden tot de volgende probleemstelling: Hoe kunnen de IT componenten van verschillende audits gericht op gemeenten gebundeld worden in één assurance opdracht? 2 http://www.binnenlandsbestuur.nl/digitaal/nieuws/gemeenten-willen-minderbeveiligingsaudits.9172203.lynkx 2

1.1.1 Deelvragen Op basis van voorgaande probleemstelling zijn de volgende deelvragen geformuleerd: 1. Welke audits worden voor gemeenten verplicht gesteld en wat zijn de karakteristieken? 2. Op welke wijze is controle van IT-beheersmaatregelen onderdeel van de betreffende audits? 3. Aan welke criteria dient de controle van IT-beheersmaatregelen binnen de audits te voldoen? 4. Welke overlap is aanwezig in deze audits op het gebied van IT-beheersmaatregelen? 5. Wat is een assurance-opdracht en kan deze binnen dit kader worden gehanteerd? 1.2 Doelstelling Voor dit onderzoek wordt de volgende doelstelling gehanteerd: Bepalen of IT componenten van, voor gemeenten verplichte audits, gebundeld kunnen worden in een assurance-opdracht voor gemeenten. 1.3 Aanpak De aanpak die wordt gehanteerd voor dit onderzoek is schematisch weergegeven in onderstaand figuur. Deze zijn te relateren aan de verschillende deelvragen zoals beschreven in paragraaf 1.1. 1. Gemeente X 2. Audit A/B/C 3. Audit A/B/C Audit A Audit B Audit C IT Component I IT Component II IT Component III FREQ SCOPE NORMEN 5. Assurance Audit A IT Component I 4. Overlap Audit C IT Component I Audit B IT Component I Audit A IT Component I Audit C IT Component I Audit B IT Component I 6. Conclusie Figuur 2 Schematische weergave aanpak De onderdelen uit bovenstaande schema zijn op te delen in onderstaande eerste drie fases van onderzoek. De vierde fase vindt plaats na het beschrijven van de conclusie: 1. Literatuurstudie naar de verschillende audits; 2. Analyse van de overlap in de audits; 3. Conclusie en beantwoording probleemstelling; 4. Reflectie door betrokkenen uit auditsector en gemeentesector. In de volgende paragrafen worden de stappen in meer detail toegelicht. 3

1.3.1 Literatuurstudie In deze fase wordt een antwoord gegeven op deelvragen één t/m drie. De literatuur ten aanzien van de verschillende audits voor gemeenten is verzameld en op basis van tien vooraf gedefinieerde aandachtspunten uiteengezet. Onder deze aandachtspunten vallen de normen die behoren tot de audits, de diepgang maar ook of er verplichtingen zijn waaraan de auditor dient te voldoen (hoofdstuk 2). Hiervoor is gebruik gemaakt van informatie omtrent de verschillende audits, die veelal vrij toegankelijk is. Bronnen die hiervoor geraadpleegd zijn, betreffen de websites van de verschillende regelgevende instanties en brancheorganisaties. Denk hierbij aan de IBD, de Vereniging Nederlandse Gemeenten (VNG), het Kwaliteits Instituut Nederlandse Gemeenten (KING) en informatie die door auditors beschikbaar is gesteld. Verder is kort in kaart gebracht wat assurance inhoudt en op welke wijze gemeenten hun IT onderbrengen in Shared Service Centers (hoofdstuk 4 en 5). 1.3.2 Analyse van overlap Door middel van de tijdens de literatuurstudie - verzamelde informatie is het mogelijk om de eerder genoemde aandachtspunten aan de hand waarvan de audits in kaart gebracht zijn, naast elkaar te leggen. Hiermee zijn de audits vergeleken op de dezelfde punten. In de eerste stap van deze analyse is op deze aandachtspunten een vergelijking uitgevoerd, welke heeft geleid tot een overzicht van overlap of discrepantie op die aandachtspunten (paragraaf 3.1). De tweede stap is een inhoudelijke analyse van de normen binnen iedere audit. Op deze wijze is onderzocht of de normen overlap vertonen en of de normen van de specifieke audits in meer of mindere mate gelijk zijn aan elkaar (paragraaf 3.2). 1.3.3 Conclusie Op basis van de analyse uit hoofdstuk 3 en de informatie verzamelt in de hoofdstukken 2 en 4 is in hoofdstuk 5 een conclusie beschreven die de probleemstelling en de deelvragen beantwoordt. 1.3.4 Reflectie In hoofdstuk 6 zijn conclusies beschreven die een impact hebben op het werkveld van de auditor, de regelgevende instanties, burgers, en natuurlijk de gemeenten zelf. Kortom, de conclusies hebben een impact voor de stakeholders van audits binnen gemeenten. We hebben de conclusie daarom voorgelegd aan een aantal van deze stakeholders om een reflectie op de conclusie te verkrijgen. Hierbij hebben we gesprekken gevoerd in verschillende settingen met de volgende stakeholders: Accountants van gemeenten (RA s); IT Auditors van gemeenten (RE s); IT medewerkers van gemeenten. Daarnaast wordt een reflectie op het onderzoek beschreven alsmede aanknopingspunten voor verder onderzoek voorgesteld. 4

2. Gemeentelijke audits Zoals reeds beschreven in de inleiding ligt een lange lijst van wet- en regelgeving ten grondslag aan allerlei audits die gemeenten dienen te ondergaan 3. We hebben enkele van deze audits geselecteerd waarvan bekend is dat deze een raakvlak hebben met IT. Deze keuze is gebaseerd op de ervaring met audits binnen gemeenten. Hiermee wordt niet uitgesloten dat andere audits van toepassing zijn die ook een raakvlak met IT hebben. Echter, in verband met een beperking van de scope is gekozen voor deze audits, waarna extrapoleren naar andere audits wellicht mogelijk is. Op deze vraag komen we terug tijdens de reflectie op het onderzoek (hoofdstuk 6). De audits die we in deze paragraaf verder zullen uitwerken zijn de volgende: BAG inspectie Zelfevaluatie BRP (voorheen GBA audit) Suwinet Audit DigiD Assessment IT audit in het kader van de jaarrekening We hebben een tiental aandachtspunten gedefinieerd die we voor iedere audit in kaart zullen brengen. Aan de hand hiervan kunnen we in hoofdstuk 3 een analyse uitvoeren op overeenkomsten en verschillen te identificeren. De gedefinieerde aandachtspunten zijn in meer of mindere mate bepalend voor de uitvoering van een audit, en betreft zaken die ook vastgelegd dienen te worden bij de aanvaarding van een IT-audit opdracht volgens de richtlijnen van NOREA 4. 1. Waarom/doel/opdrachtgever Onder dit punt wordt antwoord gegeven op de vraag waarom een bepaalde audit wordt uitgevoerd, in opdracht van welke instantie en wat daarmee beoogd wordt. 2. Scoping Binnen dit criterium wordt beschreven wat de scope is van de audit, op het vlak van IT. Dit betreft bijvoorbeeld de applicatie of een specifiek proces (onafhankelijk van de applicatie). 3. IT Component Is voor een audit een specifieke IT component in scope die in aanmerking komt voor een IT audit? 4. Diepgang Welke mate van diepgang is gevraagd voor de audit? Betreft dit enkel opzet en bestaan (design & implementation) of ook de werking over een bepaalde periode (operating effectiveness)? 5. Restricties Auditor Onder dit criterium wordt beschreven of er richtlijnen zijn voor de auditor die de audit uitvoert. Bijvoorbeeld of deze aan een bepaalde norm dient te voldoen of over een bepaalde titel en/of certificatie dient te beschikken. 3 Tactische Baseline Informatievoorziening gemeenten (KING/VNG, p. 20) 4 Richtlijn Assurance-opdrachten door IT-auditors (3000) 5

6. Frequentie Niet iedere audit heeft een jaarlijkse frequentie. Het is van belang om te weten wanneer een bepaalde audit uitgevoerd dient te worden voor het bepalen of bepaalde audits gebundeld kunnen worden. 7. Normen Beschrijving welk normenkader wordt gehanteerd voor de audit. Daarnaast kunnen normen worden ingedeeld naar soort norm, denk bijvoorbeeld aan governance normen, specifieke geautomatiseerde normen of normen omtrent de algemene IT beheersmaatregelen (GITC). 8. Vastlegging/wijze van documenteren Een beschrijving of er een gestandaardiseerde manier van documenteren is voorgeschreven voor de audit (dossiervorming) en de uiteindelijke uitkomst (rapport). 9. Link met assurance Binnen dit aandachtspunt is beschreven of de audit een bepaald assurance component bezit en zo niet, of dit mogelijk is. 10. Kosten/Tijd Ten aanzien van de benodigde inspanningen in termen van kosten en tijd, is niet veel informatie beschikbaar. Echter, voor bepaalde audits is het bekend dat een vergoeding wordt verschaft. Binnen dit criterium zullen we onderzoeken óf, en hoe kosten en tijd zijn beschreven in de beschikbare informatie. In de volgende paragrafen zullen deze vragen voor de verschillende audits beantwoord worden. Naast de reeds genoemde audits zullen we ook de Baseline Informatiebeveiliging omschrijven aan de hand van de aandachtspunten voor zover mogelijk. Op het moment van schrijven is nog niet bekend op welke wijze een audit van deze baseline vorm gaat krijgen. Derhalve kunnen we niet alle aandachtspunten beschrijven. Echter, gezien de relevantie van de baseline in het licht van bundelen van audits wordt de BIG meegenomen in dit onderzoek. Ten slotte, in de richtlijn zelf wordt al een voorschot genomen op de mate waarin de BIG overlappende normen biedt ten opzichte van reeds bestaande audits. 2.1 BAG inspectie BAG staat voor Wet Basisregistraties Adressen en Gebouwen 5 en is ingevoerd per juli 2009. Het is een registratie per gemeente van alle officiële gegevens van de gebouwen en adressen in de betreffende gemeente. Overkoepelend is er een Landelijke Voorziening BAG (LV BAG of BAGLV). Hierin worden de BAG registraties van alle gemeenten samengevoegd en beschikbaar gesteld aan verschillende afnemende organisaties. De BAGLV wordt beheerd door het Kadaster. De BAG valt onder de verantwoordelijkheid van de minister van Infrastructuur en Milieu. 5 http://wetten.overheid.nl/bwbr0023466/geldigheidsdatum_01-04-2014 6

Figuur 3 de registratie per gemeente komt samen in de BAGLV, waar vanuit de gegevens aan verschillende partijen ter beschikking wordt gesteld. 6 Onderstaande afbeelding geeft weer welke gegevens per gebouw (bestaand, in aanbouw, gesloopt) worden bijgehouden in de BAG. Figuur 4 Per gebouw worden meerdere (deel)gegevens geregistreerd De gegevens uit de BAG vormen, samen met de andere basisregistraties, de basis voor de diensten van de overheid. Om te waarborgen dat alleen met goede gegevens wordt gewerkt zijn alle organisaties met een publieke taak zelfs verplicht om gebruik te maken van de gegevens uit de BAG. Figuur 5 Het gebruik van de BAG gegevens voor de verschillende diensten van de overheid. 6 http://www.kadaster.nl/web/themas/registraties/bag-1.htm 7

Begin 2014 is door de Auditdienst Rijk (ADR) een evaluatie uitgevoerd van de Wet BAG. Namens het ministerie van Infrastructuur en Milieu is deze evaluatie voorzien van een beleidsreactie en aangeboden aan de kamer 7. In het rapport staan opmerkingen over de uitvoer van de inspecties en de wijze en mogelijkheden waarmee dit wordt gedaan. Voor de korte en lange termijn moeten dan ook wijzigingen worden doorgevoerd. Voor de lange termijn zijn vier werkgroepen gevormd welke in het najaar van 2014 hun advies gereed zullen hebben. Voor de korte termijn zijn er reeds een aantal aanpassingen aangegeven voor het normenkader dat gebruikt wordt bij de BAG controle. Waar bijvoorbeeld voorheen werd gesproken over een audit, wordt de controle nu een inspectie genoemd. Waarom/doel/opdrachtgever In de wet BAG staat beschreven dat burgemeesters en wethouders per gemeente periodiek een inspectie laten uitvoeren. De inspectie heeft als doel om vast te stellen of de BAG registratie van de betreffende gemeente voldoet aan de kwaliteit van de wettelijk gestelde eisen en om de kwaliteit van de registratie te verbeteren. De uitkomsten van de uitgevoerde inspectie dienen te worden opgeleverd aan het ministerie van Infrastructuur en Milieu. Scoping De scope van de inspectie is gericht op het beoordelen van de gegevens in de registratie, de processen rond het beheer van de gegevens en het gebruikte informatiesysteem voor de basisregistraties van adressen en gebouwen. In het Besluit basisregistraties adressen en gebouwen 8 staat dit in artikel 13 beschreven als vier onderdelen, namelijk: a. de in het adressenregister en het gebouwenregister ingeschreven brondocumenten; b. de in het adressenregister en het gebouwenregister opgenomen gegevens; c. de wijze waarop de processen rond de registratie zijn georganiseerd; d. de juistheid en de continuïteit van het gebruikte informatiesysteem. IT Component Het gebruikte informatiesysteem, zoals genoemd in de scope van de inspectie, wordt getoetst als IT onderdeel. Er wordt hierbij voornamelijk getoetst of het gebruikte informatiesysteem een geschikte applicatie is, in hoeverre er een uitwijk voorziening is ingeregeld voor het systeem en de wijze waarop back-up is ingeregeld van het systeem en de gegevens. Diepgang (D&I/OE) De diepgang voor de BAG inspectie betreft opzet, bestaan en werking. Voor het bepalen van de steekproefgrote bij het testen van de werking geeft het inspectieprotocol een staffel. Deze staffel is op basis van het aantal mutaties in objecten gedurende de periode waarover de inspectie zich strekt. Dit aantal loopt op tot 100 steekproeven bij meer dan 2500 mutaties. Restricties Auditor Een gemeente mag de inspectie alleen laten uitvoeren door een geaccrediteerde inspectie instelling. De accreditatie wordt toegewezen door de Raad van Accreditatie 9 op basis van de voorwaarden dat de betreffende instelling voldoet aan de NEN-EN-ISO/IEC 17020: 2012 7 http://bag.vrom.nl/sites/default/files/def duidingsdocument 2014 dd 02052014 vastgesteld 07052014_0.pdf 8 http://wetten.overheid.nl/bwbr0025520/geldigheidsdatum_01-04-2014 9 http://www.rva.nl/ 8

(criteria voor het functioneren van verschillende soorten instellingen die keuringen uitvoeren). Hierin is opgenomen dat de instelling tenminste eenmaal per jaar deelneemt aan een bijeenkomst waar de uitvoering van de BAG inspecties worden geëvalueerd en dat de betreffende instelling beschikt over een onafhankelijkheid type C (NEN-EN-ISO/IEC 17020: 2012). De genoemde type C normering beschrijft de onafhankelijkheid van de betreffende instelling ten opzichte van het controle object. In Nederland zijn momenteel 7 organisaties geaccrediteerd om een BAG inspectie uit te voeren. Frequentie De inspectie voor de BAG dient de gemeente eens in de drie jaar te laten uitvoeren. Deze eis komt voor uit de wet BAG 10, waar in het eerste lid van artikel 42 het als volgt staat beschreven: Artikel 42 1. Burgemeester en wethouders laten eens per drie jaar de uitvoering van het bij of krachtens deze wet bepaalde controleren door een bedrijf dat voldoet aan de eisen, bedoeld in het vierde lid, onderdeel c. Normen Vanuit de wetgeving, de regeling en het inspectieprotocol 11, is er een standaard protocol van toepassing voor een BAG inspectie. Zie externe bijlage 1. Het protocol is goedgekeurd door de minister van Infrastructuur en Milieu en wordt beheerd, in opdracht van de minister, door het NEN. Het inspectie protocol bevat 59 beheersmaatregelen, waarvan er 32 verplicht zijn om te toetsen. Het protocol bevat beheersmaatregelen over de volgende gebieden: Verificatiepunten bestandscontroles Verificatiepunten steekproef registratie en register Verificatiepunten controle inbedding processen Verificatiepunten controle werking processen Verificatiepunten BAG conforme applicatie Verificatiepunten continuïteit systeem (uitwijk) Verificatiepunten continuïteit systeem (back-up en herstel) Vastlegging/wijze van documenteren Vanuit de wetgeving, de regeling en het inspectieprotocol is er een model inspectierapport 12 beschikbaar welke als format dient voor de vastlegging van de uitkomsten van een inspectie. In het rapport dient per onderdeel, zoals beschreven bij Normen een oordeel worden gegeven van Voldoende of Onvoldoende. Verder dient een overall conclusie te worden gegeven in hoeverre de betreffende gemeente wel of niet voldoet aan de eisen gesteld in het inspectieprotocol. Als bijlage bij de rapportage dient per beheersmaatregel te worden aangegeven of de gemeente aan de betreffende maatregel heeft voldaan. 10 http://wetten.overheid.nl/bwbr0025520/geldigheidsdatum_01-04-2014 11 http://bag.vrom.nl/sites/default/files/beheeraudit_bag_2010_concept_044.pdf 12 http://bag.vrom.nl/sites/default/files/model_inspectierapportage_bag_2012.pdf 9

Link met Assurance In het protocol voor de BAG inspectie staat beschreven dat wanneer de gemeente beschikt over een eigen externe auditrapportage over de werking van de gemeentelijke gegevensverwerking, dat een dergelijk rapport mag worden gebruikt door de BAG inspecteur. De BAG inspecteur kan op basis van de rapportage vaststellen in hoeverre bepaalde onderdelen van de BAG inspectie in voldoende mate zijn getoetst en beschreven. Indien dit in voldoende mate is gebeurd, mag de inspecteur de rapportage gebruiken als input en hoeft het de betreffende onderdelen niet meer zelf te toetsen en/of te beschrijven. Het inspectieprotocol schrijft niet voor of er verdere vereisten zijn verbonden aan de externe auditrapportage. Kosten/Tijd In de documentatie wordt niet gesproken over een vergoeding of een uitdrukking van de inspanningen in kosten c.q. tijd. 2.2 Zelfevaluatie BRP BRP staat voor Wet Basis Registratie Personen 13 en is ingevoerd per januari 2014. Het is een registratie per gemeente van persoonsgegevens van iedereen die in Nederland woont. Tevens kunnen de gegevens van Nederlanders in het buitenland wonen erin worden opgenomen. Voorwaarde is dat deze personen een relatie hebben met Nederlandse overheidsinstellingen. Alle registraties per gemeente zijn via de landelijke infrastructuur van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) met elkaar verbonden. Deze landelijke infrastructuur wordt beheerd door het agentschap Basisadministratie Persoonsgegevens en Reisdocumenten (BPR), een onderdeel van het ministerie van BZK. De wet BRP is een samenvoeging van wat voorheen was vastgelegd in het GBA (Gemeentelijke Basis Administratie persoonsgegevens) en de RNI 14 (Registratie Niet- Ingezetenen). Voor de invoering van het GBA in 1994, heette deze administratie het Bevolkingsregister. Het invoeren van de BRP is op moment van schrijven nog niet afgerond, maar dient volgens planning wel te zijn afgerond in 2016 15. De registratie bevat onder andere, maar is niet beperkt tot, de volgende persoonsgegevens: Familienaam, voornamen, geslacht, geboortedatum, geboorteplaats en geboorteland; Gegevens over nationaliteit en eventueel over het verblijfsrecht; Verblijfplaats (adres); Het Burgerservicenummer (BSN). Gegevens over de ouders; Gegevens over huwelijk en geregistreerd partnerschap; Gegevens over kinderen; 13 http://wetten.overheid.nl/bwbr0033715/geldigheidsdatum_01-04-2014 14 http://wetten.overheid.nl/bwbr0034319/geldigheidsdatum_01-04-2014 15 http://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/basisregistratie-personen-brp 10

Iedere persoonlijke wijziging, zoals bijvoorbeeld een geboorte, verhuizing, huwelijk, vertrek naar het buitenland of overlijden leidt tot een mutatie in het BRP. Deze gegevens worden door alle organisaties met een publieke taak verplicht gebruikt als de basis voor de persoonlijke gegevens. Waarom/doel/opdrachtgever Waar voorheen het GBA per gemeente periodiek moest worden geaudit, is de controle bij de BRP vooralsnog anders georganiseerd. Iedere gemeente dient zelf jaarlijks een onderzoek uit te voeren 16. De uitkomsten van het eigen onderzoek dient de gemeente op te leveren aan het College Bescherming Persoonsgegevens (CBP), het agentschap BRP en aan de minister van BZK. Er is aangekondigd dat het ministerie in aanvulling op de onderzoeken van de gemeenten een nader onderzoek, door middel van steekproef, zullen uitvoeren om de bevindingen te controleren. Scoping De scope van het eigen onderzoek dat de gemeente moet uitvoeren dient te bestaan uit drie onderdelen, namelijk: Digitale vragenlijst BRP; Een set van 120 vragen verdeelt over 7 categorieën betreffende beleid en regelgeving, processen, gegevens, personeel, fysieke beveiliging, calamiteiten en naleving. Zie externe bijlage 2 voor de complete vragenlijst. De bestandscontrolemodule; De bestandscontrolemodule 17 voert een controle uit op de gegevens in de BRP registratie door middel van ongeveer 2000 controleregels. Deze controles komen voort uit de wettelijke voorschriften en op basis van het logisch ontwerp GBA. Webapplicatie kwaliteitsmonitor; De kwaliteitsmonitor 18 ondersteunt de gemeente bij het uitvoeren van de controle op kwaliteit van de gegevens en de processen met betrekking tot de Basisregistratie Personen. Het is een website in een besloten netwerk beschikbaar voor gemeenten. IT Component Voornamelijk in de digitale vragenlijst zijn een aantal vragen opgenomen met betrekking tot het informatiesysteem en het beheer van de applicatie. De bestandscontrolemodule en de webapplicatie kwaliteitsmonitor zijn vooral gericht op de data en in mindere mate op het systeem. Diepgang (D&I/OE) De diepgang voor het door de gemeente zelf uit te voeren BRP onderzoek betreft opzet, bestaan en werking. Voor de vragenlijst BRP is een handleiding zelfevaluatie beschikbaar, waarin per vraag staat aangegeven in hoeverre de betreffende vraag in opzet, bestaan en werking moet worden beantwoord. 16 http://www.bprbzk.nl/brp/zelfevaluatie_brp 17 http://www.bprbzk.nl/brp/zelfevaluatie_brp/bestandscontrolemodule 18 http://www.bprbzk.nl/kwaliteitsmonitor 11

Restricties Auditor Het eigen onderzoek wordt gekenmerkt als zelfassessment, waarbij de verwachting is dat dit door de gemeente zelf kan worden uitgevoerd. In de wet BRP wordt echter niet verplicht gesteld dat dit een eigen medewerker moet zijn, tevens wordt een externe medewerker niet uitgesloten. Frequentie Vooralsnog is door het agentschap BPR aangekondigd dat het onderzoek jaarlijks per gemeente dient te worden uitgevoerd, hierbij is 2014 het eerste jaar. In artikel 4.3 van de wet BRP 19 staat echter alleen beschreven dat de gemeente periodiek een onderzoek moet laten uitvoeren. Artikel 4.3 1. Het college van burgemeester en wethouders verricht periodiek een onderzoek naar de inrichting, de werking en de beveiliging van de basisregistratie, alsmede naar de verwerking van gegevens in de basisregistratie, voor zover het de gemeentelijke voorziening betreft of het college verantwoordelijk is voor de bijhouding. 2. Het college van burgemeester en wethouders zendt periodiek een uittreksel van de resultaten van het onderzoek aan het College bescherming persoonsgegevens. Normen Behalve de digitale vragenlijst zijn er geen normen als zijnde beheersmaatregelen beschreven. Voor de data en de afwijkingen zijn wel normen beschreven. Deze normen worden alleen bij de uitkomsten van de data analyse gebruikt. Vastlegging/wijze van documenteren De vastlegging van de bestandscontrolemodule gebeurt in de web applicatie kwaliteitsmonitor. De 120 vragen uit de digitale vragenlijst kunnen in de betreffende vragenlijst worden beantwoord. Er hoeft geen aparte rapportage te worden opgesteld. Link met Assurance Er is geen directe link met TPA/Assurance te maken. In principe moet de gemeente zelf een onderzoek uitvoeren en deze rapporteren. Het gebruik van gegevens uit een generieke audit bij de betreffende gemeente is echter niet uitgesloten en kan de gemeente helpen bij het invullen van de vragen van de digitale vragenlijst. Kosten/Tijd Voor de zelfevaluatie wordt niet gesproken over een vergoeding of een uitdrukking van de inspanningen in kosten c.q. tijd. 2.3 Suwinet audit Suwi staat voor Wet structuur uitvoeringsorganisatie werk en inkomen 20 en is ingegaan per november 2001. Gemeenten, het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en 19 http://wetten.overheid.nl/bwbr0033715/geldigheidsdatum_01-04-2014 20 http://wetten.overheid.nl/bwbr0013060/geldigheidsdatum_01-04-2014 12

Sociale Verzekeringsbank wisselen voor de uitkeringsverstrekking en handhaving persoonsgegevens uit via Suwinet 21. Het betreft hier inkomensgegevens, uitkeringsgegevens en andere persoonsgebonden en privacygevoelige informatie. In 2012 zijn via Suwinet 112 miljoen keer gegevens uitgewisseld. Het beheer van Suwinet wordt uitgevoerd door Bureau Keteninformatisering Werk en Inkomen (BKWI). De afbeelding op de volgende pagina geeft weer welke bronnen worden geraadpleegd en welke partijen toegang hebben tot deze bronnen. Figuur 6: Suwinet schematisch weergegeven 22 In december 2013 is door Staatssecretaris van Sociale Zaken Jetta Kleinsma een brief verstuurd aan de Nederlandse gemeenten waarin wordt gerefereerd aan een onderzoek naar de informatiebeveiliging rondom Suwinet door gemeenten 23. Hiervoor zijn een 7-tal normen op het vlak van informatiebeveiliging voorgelegd aan 80 gemeenten. Uit deze bevraging is als uitkomst gekomen dat meer dan de helft van de ondervraagde gemeenten slechts aan enkele normen voldoet. Slechts 4 procent van alle ondervraagde gemeenten hebben voldoende maatregelen getroffen om informatiebeveiliging te waarborgen; 13 procent voldoet aan geen enkele norm. De staatssecretaris stelt in haar brief dat deze zaken rondom informatiebeveiliging op orde moeten komen en geeft daarbij aan dat ook het college bescherming persoonsgegevens (CBP) geïnformeerd is. Dit college heeft de bevoegdheid dwangsommen op te leggen indien niet voldaan wordt aan de maatregelen. Verder geeft zij aan genoodzaakt te zijn om verdere maatregelen te nemen, in termen van opschorting van leveren van gegevens, indien de gemeenten hun verantwoordelijkheid voor de beveiliging van Suwinet niet nemen. Bovenstaande geeft aan dat Suwinet voor gemeenten een belangrijk speerpunt zal zijn binnen informatiebeveiligingsbeleid. Ook het auditen van de maatregelen omtrent de beveiliging van Suwinet zal hierdoor meer aandacht krijgen. Hieronder zullen de eerder genoemde onderwerpen beschreven worden voor Suwinet. 21 http://www.computable.nl/artikel/nieuws/overheid/4923564/1277202/gemeenten-zijn-laks-metbeveiliging-suwinet.html 22 Naar veiliger gebruik van Suwinet, VNG 23 Brief staatssecretaris J. Klijnsma aan gemeenten (referentie: 2013-0000166483, dd. 19 december 2013) 13

Waarom/doel/opdrachtgever Zoals hierboven al beschreven vindt een audit op Suwinet plaats om te toetsen of een betrouwbare gegevensuitwisseling met betrekking tot persoonsgegevens wordt gewaarborgd. Zoals staat beschreven in de Verantwoordingsrichtlijn voor de EDP-audit van de beveiliging van Suwinet (Conceptversie 2.0 definitief) dienen Suwi-partijen zoals gemeenten - jaarlijks te rapporteren aan het ministerie van Sociale Zaken en Werkgelegenheid en Inspectie Werk & Inkomen over: de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen, gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensuitwisseling via het Suwinet. De opdracht tot deze audit wordt verstrekt door: De Raad van Bestuur van CWI, SVB, respectievelijk UWV; Het Stichtingsbestuur van het Inlichtingenbureau; De gemeenteraad voor de gemeentelijke sociale diensten; De Algemeen Directeur van de Arbeidsinspectie; De Directeur van, respectievelijk de SIOD; De Directeur van het BKWI. Het BKWI is de ondersteunende instantie die zorg draagt voor het beheer van Suwinet, dus het beheer van de technische voorzieningen waarmee de Suwi-partijen gegevens kunnen opvragen en uitwisselen. De algemene doelstelling van Suwinet, waaraan deze audit dient bij te dragen betreft: het creëren van waarborgen ten aanzien van de kwaliteit van gegevens, bescherming van privacy en andere beveiligingsmaatregelen binnen het Suwidomein en de zeggenschap van elke organisatie over de eigen onderdelen van het Suwinet. Verder liggen de volgende aanleidingen ten grondslag aan het jaarlijks uitbrengen van een verklaring door een EDP-auditor: Op basis van een analyse door het CBP 24 is bepaald dat de te verwerken gegevens vallen in de risicoklassen II en in bepaalde gevallen III. Dit betreft persoonsgegevens met respectievelijk een verhoogd en een hoog risico. De processen hebben een maatschappelijk belang in bijvoorbeeld de vorm dat deze leiden tot het toekennen van uitkering. Het betreft een wettelijke regeling waardoor uit het niet nakomen ook juridische maatregelen kunnen voortkomen. Een politiek belang in verband met een situatie waarbij de Minister ter verantwoording geroepen kan worden indien de processen niet voldoen. Een laatste aanleiding betreft ook de noodzaak tot een hoge beschikbaarheid van de processen. Indien Suwinet niet beschikbaar is leidt dit tot stagnatie van de processen en mogelijk tot het niet tijdig verstrekken van benodigde informatie. Scoping De scoping betreft een toetsing van de kwaliteitsaspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van het stelsel van procedures en maatregelen rondom het Suwinetdomein. Hiervoor zijn 3 segmenten te onderscheiden, welke 24 Beveiliging persoonsgegevens Achtergrond en Verkenningen 23, april 2001 (CBP) 14

schematisch zijn weergegeven in het figuur op de volgende pagina. Per segment wordt hieronder beschreven óf en op welke manier deze tot de scope behoort. A. Suwi-partij (bijv: gemeente): Primaire gegevensverwerking door bedrijfsprocessen en systemen bij Suwi-partijen. Dit betreft dus ook ondersteunende processen, zoals financiën en personeelszaken. Dit segment valt buiten de scope van de audit. B. Suwinet: Dit betreft het centrale Suwinetdomein, waarvan het beheer onder de verantwoordelijkheid valt van het BKWI. De processen binnen dit segment zijn niet de verantwoordelijkheid van een suwi-partij. Dit gedeelte behoort tot de scope van de audit. C. Koppelvlak: Dit segment betreft de koppeling tussen de suwi-partij en Suwinet. Alle processen en stromen gerelateerd aan de gegevensuitwisseling bevinden zich binnen dit segment. Hierin bevinden zich dus ook de interfaces tussen segmenten A en B. Figuur 7 Scoping Suwi segmenten In de praktijk zal segment B niet tot de audit behoren die bij de gemeente wordt uitgevoerd. Derhalve zullen we ons in de hiernavolgende paragrafen beperken tot de audit op segment C, namelijk het koppelvlak. IT Component De IT component is specifiek in te richten door de betreffende gemeente c.q. Suwi-partij. De audit dient zich te richten op applicaties, processen en infrastructuur van de omgeving(en) gerelateerd aan Suwinet. Hiermee is niet één specifieke component te benoemen, het kunnen ook meerdere omgevingen zijn waar gegevensuitwisseling met Suwinet plaatsvindt. Er zijn enkele specifieke Suwinet toepassingen die tot de scope behoren, te weten: Suwinet- Inkijk, Suwinet-Inlezen, Suwinet-Melding, Suwinet-Mail. Diepgang (D&I/OE) In de opdrachtomschrijving, zoals omschreven in de verantwoordingsrichtlijn, staat beschreven dat de diepgang opzet, bestaan en werking betreft (D&I&OE). De register EDP-auditor dient toereikende informatie te verkrijgen zodat met een redelijke mate van zekerheid kan worden geconcludeerd dat in die diepgang wordt voldaan aan de hierboven genoemde kwaliteitsaspecten. 15

Restricties Auditor De bedrijfsprocessen van de gemeenten zijn de verantwoordelijkheid van de gemeenten. Daarnaast hebben gemeenten (en andere Suwi-partijen) de plicht om een IT-audit te laten uitvoeren door een Register EDP-Auditors (NOREA). De keuze hierin staat de Suwi-partij vrij. Hiermee is een inschrijving in het Register voor EDP auditors noodzakelijk voor het mogen uitvoeren van de audit. Verder zijn geen criteria beschreven voor de auditor. Frequentie In de richtlijn staat beschreven dat Suwi-partijen jaarlijks voor 15 maart dienen te rapporteren over eerder beschreven maatregelen. Dit is tevens wettelijk vastgelegd in de regeling Suwi in de artikelen 5.22 Verantwoording gegevensverwerking en 6.4 Beveiliging Suwinet. Normen Het normenkader dat voorgeschreven wordt voor de Suwinet audit is ontwikkeld door de werkgroep verantwoordingsrichtlijn (WGV) en vastgesteld door het Algemeen Keten Overleg (AKO). In dit overleg nemen de Suwipartijen zitting en worden strategische vraagstukken behandeld. Het normenkader ontleent normen uit de code voor informatiebeveiliging, documentatie van het College Bescherming Persoonsgegevens, Cobit, en specifieke Suwinet maatregelen. Het normenkader is onderverdeeld in 22 aandachtsgebieden, welke hieronder staan opgesomd. Voor het volledige normenkader, met normen gericht op de Suwi-partij (segment C uit figuur 7), zie externe bijlage 3. 1. Beveiligingsbeleid en beveiligingsplan 2. Organisatorische aspecten 3. Architectuur / Standaarden 4. Dienstenniveau Beheer 5. Capaciteitsbeheer 6. Continuïteitsbeheer 7. Configuratiebeheer 8. Incidentbeheer 9. Probleembeheer 10. Wijzigingsbeheer 11. Testen 12. Netwerkbeheer 13. Logische toegangsbeveiliging 14. Fysieke beveiliging 15. Suwinet-Inkijk 16. Suwinet-Inlezen 17. Suwinet-Meldingen 18. Suwinet-Mail 19. Toegangsbeveiligingspakket 20. Server 21. Netwerk 22. Koppelingen / koppelpunten Van de in totaal 104 maatregelen zijn 23 normen aangemerkt als zijnde van essentieel belang. Aan deze normen dient door de Suwi-partij minimaal voldaan te worden. 16

Vastlegging/wijze van documenteren In de verantwoordingsrichtlijn staat beschreven dat de EDP-auditor de vrijheid heeft om de controleaanpak en de vastlegging te bepalen. Voor het rapporteren over de audit zijn wel richtlijnen beschreven, namelijk drie soorten rapportages: 1. Een jaarlijkse rapportage van de suwi-partij én het BKWI aan de minister, voorzien van een oordeel met rapport van bevindingen; 2. Een publieke versie van de jaarlijkse rapportage (kan gelijk zijn aan de jaarlijkse rapportage); 3. Een samenvattende rapportage over de beveiliging van Suwinet (enkel voor BKWI en dus niet in scope voor dit onderzoek). Het oordeel kan tevens 3 verschillende strekkingen hebben, namelijk: 1. Een Oordeel Het stelsel van maatregelen voldoet aan de norm ; 2. Een Oordeel Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel kwaliteitsaspect. Bevindingen mogen dan niet materieel zijn of geconstateerd zijn bij één van de 23 genoemde kritische normen. Is dat wel het geval dan leidt dit tot het oordeel zoals hierna beschreven; 3. Een Oordeel Het stelsel van maatregelen voldoet niet aan de norm. In het geval van de laatste twee oordelen zal in de rapportage een paragraaf opgenomen dienen te worden waarin wordt toegelicht welke afwijkingen zijn geconstateerd. Daarnaast dient gemotiveerd te worden waarom een afwijking al dan niet afbreuk doet aan het oordeel. Voor deze oordelen zijn standaardmodellen opgesteld die gehanteerd dienen te worden. Link met Assurance Het betreft een audit zoals die ook voor assurance gebruikt wordt. Kenmerkende zaken, zoals een oordeel, mate van zekerheid, de diepgang en het gebruik van kwaliteitscriteria worden ook gehanteerd bij een assurance opdracht volgens Norea richtlijn 3000 of een ISAE 3402. Kosten/Tijd In de richtlijn wordt niet gesproken over een vergoeding of een uitdrukking van de inspanningen in kosten c.q. tijd. 2.4 DigiD assessment DigiD is het systeem dat door overheidsdiensten gebruikt wordt om de gebruiker te authentiseren. Het systeem is in 2003 gelanceerd en in 2013 waren er 10 miljoen gebruikers van het digitale paspoort 25. Het is ontwikkeld door BKWI zie ook Suwinet - en wordt momenteel beheerd door Logius, onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Met DigiD is het mogelijk om voor bijna 600 organisaties digitaal te authentiseren 26 waarvan 378 gemeenten (peildatum 16 juni 2014) 27. 25 http://nl.wikipedia.org/wiki/digid 26 http://www.logius.nl/producten/toegang/digid/ 27 https://www.digid.nl/over-digid/wie-doen-mee/ 17

Een gemeente biedt haar burgers de mogelijkheid om online in te loggen middels hun persoonlijke DigiD. Vervolgens kan men bepaalde diensten afnemen, zoals het aanvragen van een paspoort het aanvragen van de WOZ beschikking of een omgevingsvergunning. In oktober 2011 brengt Webwereld.nl via de berichtgeving lektober aan het licht dat de beveiliging van DigiD voor 50 gemeenten niet op orde is 28. Dit heeft er uiteindelijk toe geleid dat vanuit de minister opdracht is gegeven tot het (laten) uitvoeren van het DigiDbeveiligingsassessment op basis van ICT Beveiligingsrichtlijnen zoals opgesteld door het Nationaal Cyber Security Centrum (NCSC). In eerste instantie heeft zich dit enkel gericht op de zogenaamde grootverbruikers zoals Dienst Uitvoering Onderwijs en de Belastingdienst, maar per eind 2013 dienen ook gemeenten een dergelijk assessment te hebben uitgevoerd. Waarom/doel/opdrachtgever Middels DigiD kan worden ingelogd op de omgeving van overheidsinstanties en zijn privacygevoelige gegevens van burgers inzichtelijk. Naar aanleiding van verschillende beveiligingsincidenten is het nodig geacht om een jaarlijks assessment in het leven te roepen om het niveau van informatiebeveiliging naar een hoger niveau te tillen 29. De opdrachtgever in deze is dan ook de overheid in de vorm van beheerorganisatie Logius. Scoping De scope, zoals beschreven door Logius, betreft "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het proces". Op basis van praktijkervaring betekent dit dat de scope uitgesplitst kan worden in een viertal onderdelen: 1. Governance normen die betrekking hebben op het proces; 2. Normen met betrekking tot de infrastructuur; 3. Normen met betrekking tot de werking van de applicatie; 4. Uitvoering van de penetratietest. Deze is geen integraal onderdeel van het assessment, maar de beveiligingsrichtlijnen schrijven voor dat een dergelijk test jaarlijks wordt uitgevoerd. Of al deze onderdelen van toepassing zijn voor de gemeente is afhankelijk van inrichtingskeuzes die de gemeente vrij staat te maken. Zo is het bijvoorbeeld mogelijk dat een gemeente intern de webapplicatie host, of dat ze dit hebben uitbesteed. Ook bestaat de mogelijkheid dat een bepaalde partij een webapplicatie als Software-as-a-Service (SaaS) oplossing aanbiedt, en dat er nog een derde partij betrokken is voor de infrastructuur. Dit heeft vanzelfsprekend ook een impact op de scoping voor het assessment dat bij een gemeente uitgevoerd dient te worden. Voor ons onderzoek zullen we de beveiligingsrichtlijnen als voorgeschreven voor het DigiDassessment als geheel beschouwen en zullen we geen onderscheid maken in de inrichting die een gemeente hanteert. Dit met uitzondering van het daadwerkelijk uitvoeren van de penetratietest, wat niet tot de IT auditwerkzaamheden behoort. IT Component Zoals hierboven ook beschreven is dit sterk afhankelijk van de inrichting van de gemeente. In de meeste gevallen is er sprake van een Content Management Systeem, dat gebruikt wordt 28 http://webwereld.nl/beveiliging/54950-lektober-superknaller-megalek-treft-50-gemeenten 29 Kamerbrief ICT-beveiligingsassessments DigiD gebruikende organisaties (2-2-2012, kenmerk: 2012-0000057362) 18

om de DigiD website te vullen. Hiervoor kunnen verschillende aanbieders gekozen worden die de applicatie dan vaak als een SaaS oplossing aanbieden. Daarnaast is sprake van een DMZ waarin zich de DigiD productieserver bevindt en in een ander segment bevindt zich bijvoorbeeld een pre-productieserver van waaruit content gepushed wordt naar de productieserver. Dit betreft slechts een mogelijkheid en is, nogmaals, sterk afhankelijk van de inrichting. Dit geldt ook voor de uitvoering van de penetratie test. Zie bijvoorbeeld onderstaande afbeelding voor een mogelijke inrichting. Figuur 8: Voorbeeld inrichting DigiD omgeving 30 Een component die per definitie voor iedere gemeente zal gelden is procesmatig en betreft de wijze waarop wordt omgegaan met informatiebeveiliging, contractbeheer (SLA) en wijzigingsbeheer. Diepgang (D&I/OE) De diepgang voor het DigiD Assessment betreft opzet en bestaan (D&I). In het eerste jaar van uitvoering (2013) is dit op die wijze voorgeschreven en ook voor het assessment in 2014 is de werking nog niet in de scope verwerkt. Het is op het moment van schrijven niet bekend of dit voor de komende jaren alsnog zal worden gewijzigd. Restricties Auditor Logius schrijft voor dat het assessment uitgevoerd dient te worden door een Register EDP- Auditor (RE) die is aangesloten bij NOREA. Wanneer organisaties zelf een RE in dienst hebben mag deze een self-assessment uitvoeren waarop een RE van een andere partij deze dient te reviewen. Verder worden geen eisen gesteld aan de auditor die het assessment uitvoert. 30 rapportage template Logius 19