Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

Vergelijkbare documenten
ENSIA voor informatieveiligheid

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Handleiding ENSIA-tool. voor gemeenten

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

Assurancerapport van de onafhankelijke IT-auditor

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

Gemeente Renswoude ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

Proces verantwoorden ENSIA Toelichting en formats voor college en de raad

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

IT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017

Handreiking Implementatie Specifiek Suwinetnormenkader

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Verantwoordingsrichtlijn GeVS 2019 (versie )

Jaarverslag Informatiebeveiliging en Privacy

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

IT Auditor en ENSIA. NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA. 31 oktober 2018

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

Format presentatie Kick-off

Rapportage DigiD Assessment - ENSIA 2017 Aansluiting no.1 Bijlage B en C

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

ENSIA guidance DigiD-assessments

ENSIA guidance DigiD-assessments

Bijeenkomst DigiD-assessments

UWV 2 0 DEC SBK/98574/AM. Aan de staatssecretaris van Sociale zaken en Werkgelegenheid Mevrouw drs. T. van Ark Postbus LV Den Haag

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

7 maart Ons kenmerk TIS U Lbr. 19/010. Bijlage(n)

Collegeverklaring gemeente Olst-Wijhe ENSIA 2017 inzake Informatiebeveiliging DigiD en Suwinet

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

Handreiking uitvoering ENSIA verantwoording 2018

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Handreiking uitvoering ENSIA verantwoording 2018

Suwinet is de digitale infrastructuur die is ontwikkeld door en om ervoor te zorgen dat, de Suwi-partijen (UWV, SVB en

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Handleiding uitvoering ICT-beveiligingsassessment

Bijzonderheden jaarrekening FAMO bijeenkomst 15 december 2017

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Zelfevaluatie BRP van de gemeente Tynaarlo. Uittreksel gemeente Tynaarlo van de resultaten van het onderzoek als bedoeld in artikel 4.

ENSIA IMPLEMENTATIEPLAN. Format Plan van Aanpak ENSIA

INVULINSTRUCTIE URENOVERZICHT

Kaders werkwijze certificerende en validerende autoriteiten

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

PROGRAMMA VAN EISEN PROGRAMMA VAN EISEN LAS/LVS (V)SO

a> GEMEENTE vve E RT ]'il-s 1392 Inleiding ! Gewijzigde versie ! Anders, nl.: Beslissing d.d.: 2e - O3.?ætS Voorstel Onderwerp Beoogd effect/doel

HANDREIKING DIGID-ZELFEVALUATIE

HANDREIKING ENSIA EN DIGID

Gemeente Renswoude. ICT-beveiligingsassessment DigiD. DigiD-aansluiting Gemeente Renswoude. Audit Services

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Verantwoordingsrichtlijn

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst (v ) Versie 0.3. Datum 20 juli 2017 Status

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

De zelfcontrole BRO. Algemene toelichting bij de vragenlijst. Versie Datum 14 april 2018 Status. Definitief concept

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Controleprotocol. voor Wlz-uitvoerders die als zorgkantoor zijn aangewezen. opgave van pgb-beschikkingen over 2015

Gebruikershandleiding. StUF Testplatform Versie 1.3.0

Instructie GIR Handhaven. Afhandelen postvak Wijzigingsverzoeken. Januari 2016 Versie

Welkom bij parallellijn 1 On the Move uur

MKB Cloudpartner Informatie TPM & ISAE

FAQ - LIJST. 2. Vraag: Worden de auditors op de hoogte gehouden van ontzettingen uit het ambt en van waarnemingen? Antwoord: Nee.

Stuurgroep Verantwoordingsstelsel ENSIA

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 0.6. Datum 19 juli 2017

RAPPORTAGE AUDIT GEBRUIK SUWINET INKIJK. Onderzoeksperiode: de maanden augustus en oktober Inleiding

AFMELDEN VAN EEN WERKNEMER HANDLEIDING 3A

Instructie GIR Handhaven. Afhandelen postvak Met overtredingen. Juli 2017 Versie

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Autorisaties en limieten

ENSIA assurance rapport DigiD en Suwinet verantwoordingsjaar 2018 Gemeente Leusden

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

HANDREIKING ENSIA voor IT-auditors (RE s) Eénduidige Normatiek Single Information Audit voor gemeenten

HANDLEIDING SELFSERVICE WERKGEVERS PORTAL

EERSTE AANLEVERING VIA DE SELFSERVICE WERKGEVERS PORTAL

Handleiding ADAS bij kwaliteitsvisitatie

Aanvraagformulier. voor het aanvragen van een vergunning voor het leveren van elektriciteit en/of gas aan kleinverbruikers

EERSTE AANLEVERING VIA DE SELFSERVICE WERKGEVERS PORTAL

1. Pagina s. Verwijder pagina: hiermee kun u een pagina van uw website verwijderen. Bewerk pagina: hiermee kunt u de pagina bewerken.

Assessment handleiding

Tweede Kamer der Staten-Generaal

Gebruikershandleiding Scholingsportal CA ICT. Gilde-BT

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst. Versie Datum 21 maart 2018 Status. Definitief concept

Incura Handleiding (GGZ) ROM

Instructie indienen einddeclaratie

Spreadsheets (Excel 2003)

Datum 5 maart 2019 Betreft Informatiebeveiliging Suwinet en Toekomst Gegevensuitwisseling werk en inkomen

Massabalans Autodemontagebedrijven

Transcriptie:

Handreiking Opstellen collegeverklaring ENSIA 2018 Versie 2.0 Vereniging van Nederlandse Gemeenten

Nassaulaan 12 2514 JS Den Haag Versie 2.0 Januari 2019 Versie Datum Aanpassing 1.0 16 januari 2019 2.0 17 januari 2019 Toevoegingen in paragraaf 4.1.4, 4.1.5 en 4.1.6 bij reikwijdte in de collegeverklaring. 1

Inhoud 1. Inleiding... 3 2. Checklist voor uploaden... 4 3. Instructie... 5 3.1. Passend format kiezen en genereren vanuit ENSIA... 5 3.2. Structuur en opbouw... 6 4. De collegeverklaring... 7 4.1. Reikwijdte verklaring... 7 4.2. Verklaring college... 8 4.3. Samenvattend beeld... 10 4.4. Ondertekening... 10 5. Bijlage DigiD... 11 5.1. Leverancier & TPM gegegevens... 11 5.2. Alles in eigen beheer: geen leverancier & geen TPM... 12 5.3. Tabel met uitkomsten van de zelfevaluatie DigiD... 13 6. Bijlage Suwinet... 16 6.1. Gebruik van Suwinet... 16 6.2. Gebruik van Suwinet zonder samenwerkingsverband(en)... 16 6.3. Gebruik van Suwinet met samenwerkingsverband(en)... 16 6.4. Gebruik van Suwinet voor Suwi-taken... 17 6.5. Gebruik van Suwinet voor niet-suwi taken... 17 6.6. Gebruik van Suwinet voor niet-suwi taken: voorbeeld RMC & gerechtsdeurwaarders 18 6.7. Normnaleving... 18 6.8. Normnaleving bij tekortkomingen Participatiewet... 18 6.9. Normnaleving bij tekortkomingen bij niet-suwi-taken... 19 2

1. Inleiding Deze handreiking is opgesteld ter ondersteuning bij het verantwoordingsproces ENSIA. De handreiking heeft betrekking op het opstellen van de collegeverklaring ENSIA 2018. De collegeverklaring betreft de uitkomsten van de zelfevaluatie ENSIA voor assessmentplichtige DigiD aansluitingen en het gebruik van Suwinet. De collegeverklaring is een uitzonderingsrapportage: er wordt uitgegaan van het voldoen aan de onderliggende normenkaders. Indien er sprake is van een tekortkoming, dan wordt hier dit aangegeven in de collegeverklaring. De bijlagen bij de collegeverklaring bevatten de details. De verklaring wordt gebruikt als verantwoordingsdocument voor het ministerie van SZW (via BKWI) en het ministerie van BZK (via Logius). Dit document vormt de basis voor de uit te voeren IT-audit. Het format is vormvast. Dit betekent dat er geen ruimte is voor aanvullingen en/of aanpassingen in het format. Wanneer u een format genereert uit ENSIA, ziet u dat dit format wordt voorafgegaan door een invulinstructie. Deze handreiking is uitgebreider. Er is een aantal uitwerkingen en voorbeelden opgenomen. Verder is de handreiking voorzien van schermafdrukken uit de ENSIAtool. In deze instructie zijn daarnaast voorbeelden van fictief ingevulde collegeverklaringen opgenomen. Ook vindt u in de handreiking een handige checklist. Heeft u aanvullende vragen, neemt u dan contact op met. De procesbegeleiders beantwoorden uw aanvullende vragen. Situatie voorbeeld gemeente In deze handreiking wordt gebruikgemaakt van een fictieve gemeente Het Zand. Gemeente Het Zand neemt deel in een GR, sociale dienst Snel naar Werk. Zij hebben één assessmentplichtige DigiD-aansluiting voor burgerzaken. De infra (hosting) wordt door de gemeente zelf uitgevoerd; de applicatie is van leverancier Beste Software. De belastingen worden geïnd via een gemeenschappelijke regeling. De gedelegeerde gerechtsdeurwaarders maken geen gebruik van Suwinet. De afdeling burgerzaken maakt ook geen gebruik van Suwinet voor adresonderzoek. Gemeente Het Zand is geen RMC-contactgemeente. 3

2. Checklist voor uploaden Het afgelopen jaar heeft er veel herstelwerk plaatsgevonden op vormvereisten van de verantwoordingsdocumenten. Dat is de reden dat deze checklist vooraan in dit document is opgenomen. Checkt u onderstaande punten nog even voordat u de documenten uploadt in de tooling? o o o o o o o o o In de collegeverklaring zijn geen normen opgenomen. Voor eventuele afwijkingen voor DigiD en/of Suwinet, dient in de collegeverklaring te worden opgenomen dat er afwijkingen zijn, maar niet welke afwijkingen of voor welke normen. Deze details worden opgenomen in de bijlagen bij de collegeverklaring (bijlage 1 voor DigiD en bijlage 2 voor Suwinet). Corresponderen de leveranciers in de DigiD-bijlage (leverancier 1, 2) met de vertaling naar de grote tabel waarin de totaal resultaten zijn verwerkt? De collegeverklaring is voorzien van een datum. De collegeverklaring is getekend door het college. De collegeverklaring en de bijlage(n) zijn elk voorzien van een handtekening of paraaf van de auditor. De collegeverklaring en de bijlage(n) zijn elk voorzien van een gemeentelijk kenmerk. Het kenmerk van het assurancerapport van de auditor is opgenomen in de DigiD-bijlage. Alle documenten (de collegeverklaring en de bijlage(n)) zijn voorzien van een waarmerk van de auditor, dat leesbaar is in een witte ruimte, niet over tekst/briefhoofden heen. De auditor heeft u voorzien van de volgende set gewaarmerkte op zichzelf staande documenten in PDF/A: o Collegeverklaring o Bijlage Suwinet o Bijlage DigiD o Assurancerapport 4

3. Instructie 3.1. Passend format kiezen en genereren vanuit ENSIA Er zijn 3 formats beschikbaar: 1. Collegeverklaring DigiD en Suwinet 2. Collegeverklaring DigiD (gemeente hoeft zich niet te verantwoorden over Suwinet) 3. Collegeverklaring Suwinet (gemeente beschikt niet over assessmentplichtige DigiDaansluiting(en)). U kunt het juiste format genereren vanuit het tabblad Rapporten in de ENSIA-tool. 5

Wanneer u via de lijst ENSIA-zelfevaluatie Informatieveiligheid BIG 2018 de collegeverklaring wilt downloaden, dan vindt u hier de volgende twee varianten: 1. Collegeverklaring DigiD en Suwinet 1 2. Collegeverklaring Suwinet Wanneer u de collegeverklaring via de lijst ENSIA-zelfevaluatie - DigiD assessment 2018 wilt downloaden, dan vindt u hier de volgende varianten: 1. Collegeverklaring DigiD en Suwinet 2 2. Collegeverklaring DigiD. 3.2. Structuur en opbouw De formats zijn voorzien van een instructie. De instructie tekst maakt geen onderdeel uit van de collegeverklaring. U verwijdert deze als onderdeel van de collegeverklaring. Alle formats zijn opgebouwd met de collegeverklaring en separate bijlage(n) voor DigiD en/of Suwinet. Een aantal velden is vooraf ingevuld. Dit betreft de gemeentenaam, de naam van de DigiD-koppeling en het aansluitnummer. Deze velden komen op verschillende plaatsen terug in de formats. 1 en 2 : Dit betreft hetzelfde format. 6

4. De collegeverklaring In de collegeverklaring zijn twee tabellen opgenomen. De eerste tabel betreft een tabel die ingevuld wordt door zowel de gemeente als de IT-auditor van de gemeente. De handtekening of paraaf van de auditor verbindt alle documenten met elkaar. Vanuit de te downloaden collegeverklaring ziet de tabel er als volgt uit: Gemeentelijk kenmerk collegeverklaring Suwinet: Naam auditfirma: Naam auditor: Datum: Handtekening auditor of paraaf auditor Een correct ingevuld voorbeeld ziet er als volgt uit: Gemeentelijk kenmerk collegeverklaring Suwinet: Naam auditfirma: Naam auditor: Datum: HZND12393089.00 UZKB B.V. Mevr. J. Pietersen Handtekening auditor of paraaf auditor 31 maart 2019 4.1. Reikwijdte verklaring In de reikwijdte van de verklaring wordt de scope van de collegeverklaring toegelicht. Er wordt aangegeven waarover de verklaring wordt afgelegd: Suwinet en/of DigiD. En dat het over opzet en bestaan van de normen gaat en niet over de werking. De peildatum is 31 december 2018. 7

4.1.1. DigiD Voor DigiD wordt aangegeven dat de toetsing van de normen door DigiD-leveranciers buiten scope geplaatst zijn. Ofwel: er wordt geen verklaring afgelegd over een aangeleverde TPM van een DigiDleverancier. Dat is ook de reden dat een TPM van een leverancier meegestuurd moet worden naar Logius. Ook al maakt u als gemeente geen gebruik van een DigiD-leverancier (in het geval alles in eigen beheer wordt ontwikkeld en beheerd), dan nog blijft de tekst over de rol van leveranciers opgenomen in de verklaring. In de bijlage DigiD vult u in dat u een leverancier niet van toepassing is. De reden is dat het niet noemen van een leverancier andere informatie geeft dan aangeven dat u geen gebruik maakt van een leverancier. Het sluit het nadrukkelijker uit. 4.1.2. Suwinet In de collegeverklaring wordt met betrekking tot Suwinet aangegeven of er al dan niet sprake is van het uitbesteden van diensten. U maakt een keuze op basis van de onderstaande tekst uit het format: [[Indien in het kader van Suwinet geen sprake is van samenwerking dan opnemen: [Inzake Suwinet heeft deze collegeverklaring betrekking op de beheersingsmaatregelen van de gemeente.]] [[Indien wel sprake is van samenwerking bij Suwinet:[Inzake Suwinet heeft deze collegeverklaring zowel betrekking op de beheersingsmaatregelen van de gemeente als op die van de uitbestede diensten aan [naam samenwerkingsverband[en] [en] [of] [andere gemeente].]] 4.1.3. Suwinet zonder uitbesteding van diensten In het geval er niet van Suwinet gebruik wordt gemaakt door externe partijen neemt u de volgende tekst op in de collegeverklaring: Inzake Suwinet heeft deze collegeverklaring betrekking op de beheersingsmaatregelen van de gemeente. 4.1.4. Suwinet met uitbesteding van diensten door een samenwerkingsverband In het geval dat er gebruik wordt gemaakt van Suwinet door externe partijen neemt u de volgende tekst op in de collegeverklaring: Inzake Suwinet heeft deze collegeverklaring zowel betrekking op de beheersingsmaatregelen van de gemeente als op die van de uitbestede diensten aan Sociale Dienst Snel naar Werk. 4.1.5. Suwinet met uitbesteding van diensten aan een andere gemeente In het geval dat Suwinet-taken zijn uitbesteed aan een andere gemeente neemt u de volgende tekst op in de collegeverklaring: Inzake Suwinet heeft deze collegeverklaring zowel betrekking op de beheersingsmaatregelen van de gemeente als op die van de uitbestede diensten aan gemeente Buurgemeente. 8

4.1.6. Suwinet met uitbesteding van diensten door een samenwerkingsverband én een andere gemeente In het geval dat Suwinet-taken zijn uitbesteed aan een andere gemeente neemt u de volgende tekst op in de collegeverklaring: Inzake Suwinet heeft deze collegeverklaring zowel betrekking op de beheersingsmaatregelen van de gemeente als op die van de uitbestede diensten aan Sociale Dienst Snel naar Werk en gemeente Buurgemeente. 4.2. Verklaring college In dit onderdeel wordt opgenomen of aan de beheersingsmaatregelen wordt voldaan of niet. In dit onderdeel neemt u geen specifieke afwijkingen of normen op: alleen of de gemeente voldoet of niet. Een uitwerking op normniveau neemt u op in de bijlage. Op deze wijze komen geen details bij verkeerde stelselhouders terecht. De informatie dat een gemeente wel/niet voldoet aan Suwinet en/of DigiD, wordt als interdepartementaal vertrouwelijk bestempeld. Op basis van de uitkomsten van de zelfevaluatie maakt u een keuze uit het format. In dit voorbeeld wordt uitgegaan van verantwoording over zowel Suwinet als DigiD. U gebruikt onderstaande basistekst: [[Indien volledig wordt voldaan aan de normen: [Het college verklaart dat bij gemeente Het Zand op 31 december 2018 de beoogde en ingerichte beheersingsmaatregelen voldoen aan de geselecteerde normen inzake DigiD en Suwinet.]] [[Bij uitzonderingen: [Het college verklaart dat voor [DigiD] [en] [Suwinet] niet aan alle geselecteerde normen wordt voldaan. De op de uitzonderingen gerichte beheersmaatregelen zijn in [een] verbeterplan[nen] opgenomen, zijn belegd en worden gemonitord.]] 4.2.1. Voldoen aan alle normen Het college verklaart dat bij gemeente Het Zand op 31 december 2018 de beoogde en ingerichte beheersingsmaatregelen voldoen aan de geselecteerde normen inzake DigiD en Suwinet. 4.2.2. Voldoen aan Suwinet, niet aan DigiD Het college verklaart dat voor DigiD] niet aan alle geselecteerde normen wordt voldaan. De op de uitzonderingen gerichte beheersmaatregelen zijn in een verbeterplan opgenomen, zijn belegd en worden gemonitord. 4.2.3. Niet voldoen aan Suwinet, wel aan DigiD Het college verklaart dat voor [Suwinet niet aan alle geselecteerde normen wordt voldaan. De op de uitzonderingen gerichte beheersmaatregelen zijn in een verbeterplan opgenomen, zijn belegd en worden gemonitord. 9

4.2.4. Niet voldoen aan Suwinet en niet voldoen aan DigiD Het college verklaart dat voor DigiD en Suwinet niet aan alle geselecteerde normen wordt voldaan. De op de uitzonderingen gerichte beheersmaatregelen zijn in verbeterplannen opgenomen, zijn belegd en worden gemonitord. 4.3. Samenvattend beeld U past het samenvattend beeld aan uw situatie aan. In het fictieve voorbeeld van de gemeente Het Zand is er sprake van 1 assessmentplichtige DigiD-aansluiting en verantwoording Suwinet (P-wet) door de Gemeenschappelijke Sociale Dienst. Zowel de belastingdeurwaarders als burgerzaken maken geen gebruik van Suwinet (niet-suwi-taken). In het voorbeeld is uitgegaan van voldoen aan de DigiD-beheersingsmaatregelen. Er wordt niet voldaan aan de Suwi-normen. De tabel toont na aanpassing als volgt: 4.4. Ondertekening Bij vaststelling van de collegeverklaring wordt deze ondertekend onder vermelding van plaatsnaam en de datum. 10

5. Bijlage DigiD Voor elke DigiD-aansluiting waarover u zich verantwoordt neemt u een bijlage DigiD op bij de collegeverklaring. De gehele bijlage DigiD krijgt één separaat kenmerk. De verschillende bijlagen houden dezelfde titel Bijlage 1 DigiD bij collegeverklaring ENSIA. U ziet in de nummering dat per DigiD-aansluiting een volgnummer is opgenomen in de titel (1), (2), etc. U kent één kenmerk toe voor de gehele DigiD-bijlage en vult de eerst tabel aan met de benodigde gegevens. 5.1. Leverancier & TPM gegevens Op de eerste pagina van de bijlage DigiD zijn standaard twee tabellen opgenomen. In deze tabellen geeft u de informatie op over de leveranciers en de gegevens van de TPM. Deze informatie heeft u opgegeven in de DigiD-vragenlijst bij de Algemene vragen van de aansluiting. De naam leverancier 1, leverancier 2, corresponderen hierna met de grote tabel waarin de uitkomsten van de zelfevaluatie zijn opgenomen. U gaat op de volgende wijze om met de tabellen: Bij uitbestede diensten aan één leverancier verwijdert u de tweede tabel. Bij uitbestede diensten aan meer dan twee leveranciers voegt u eenzelfde tabel toe. Wanneer u alles in eigen beheer uitvoert (geen leverancier), dan laat u de eerste tabel in het document staan en vult u niet van toepassing in. De tweede tabel verwijdert u. 11

Voor de fictieve gemeente Het Zand, met één leverancier voor de applicatie, komt dit onderdeel uit de DigiD bijlage er als volgt uit te zien (zie volgende pagina): 5.2. Alles in eigen beheer: geen leverancier & geen TPM Wanneer u alles in eigen beheer uitvoert (geen leverancier), dan laat u de eerste tabel in het document staan en vult u niet van toepassing in. De tweede tabel verwijdert u. Het resultaat ziet er als volgt uit: 12

Zowel in de collegeverklaring als in de bijlage DigiD wordt in de vaste tekst een uitspraak over leveranciers gedaan. Dat is ook de reden dat u hier invult dat dit niet van toepassing is, wanneer de DigiD-koppeling geheel in eigen beheer wordt gebouwd en gehost. De opname van informatie over leveranciers in de situatie komt wellicht wat overbodig over. Vanuit auditperspectief heeft deze informatie een andere lading: het weglaten van informatie over leveranciers is andere informatie dan aangeven dat je er geen hebt door middel van de niet van toepassing verklaring. 5.3. Tabel met uitkomsten van de zelfevaluatie DigiD In de inleidende tekst naar de tabel met de uitkomsten van de zelfevaluatie is in tekst aangegeven dat het de rol van de auditor is om te toetsen of de zelfevaluatie in combinatie met de TPM(s) van leverancier(s) gezamenlijk het normenkader afdekt. In deze alinea voert de auditor ook het kenmerk in van het assurancerapport. U ontvangt dit kenmerk van uw auditor. De overzichtstabel ziet er na het downloaden een beetje rommelig uit. Dit heeft te maken met het vertalen van het gegenereerde Word document naar uw standaardinstellingen. 13

U past de tabel aan naar uw situatie. In het voorbeeld van de gemeente Het Zand is er sprake van één leverancier. De tabel toont dan als volgt: U neemt hierna de uitkomsten op in de tabel. De tabel met de uitkomsten uit de zelfevaluatie vult u met de juiste antwoorden vanuit de zelfevaluatie. Deze bestaat uit voldoet of voldoet niet. U vult een cel grijs op wanneer de norm niet van toepassing is bij de gemeente of indien de norm niet van toepassing is op een leverancier. De laatste kolom geeft het totaal oordeel met een voldoet of voldoet niet antwoord. De tabel ziet er voor het fictieve voorbeeld met 1 leverancier als volgt uit: Uitkomst voldoet niet Indien bij een norm in enige cel de uitkomst 'voldoet niet' is, kan het totaal oordeel nooit tot een positief totaal oordeel leiden: het antwoord is dan altijd 'voldoet niet'. 14

Ook het overzicht met de toelichting op de normen ziet er onevenredig verdeeld uit. U kunt de kolomverdeling aanpassen, indien u dit wenst. Dat scheelt ruimte. 15

6. Bijlage Suwinet De bijlage Suwinet start met een tabel met ruimte voor het opnemen van kenmerken en gegevens van de auditor. Zie pagina 7 voor verdere instructie. Indien u geen verantwoording aflegt over DigiD, dan hernoemt u deze bijlage tot bijlage 1 Suwinet bij de collegeverklaring ENSIA. 6.1. Gebruik van Suwinet In dit onderdeel geeft u aan of u al dan niet gebruikmaakt van uitbestede diensten voor Suwinet. Onderwerp van de verklaring is het gebruik van Suwinet. Suwinet wordt [wel] [niet] in samenwerkingsverbanden gebruikt. [[Indien wel : [Het gebruik van Suwinet door samenwerkingsverbanden valt binnen de reikwijdte van de verklaring.]] 6.2. Gebruik van Suwinet zonder samenwerkingsverband(en) Onderwerp van de verklaring is het gebruik van Suwinet. Suwinet wordt niet in samenwerkingsverbanden gebruikt. 6.3. Gebruik van Suwinet met samenwerkingsverband(en) Onderwerp van de verklaring is het gebruik van Suwinet. Suwinet wordt wel in samenwerkingsverbanden gebruikt. Het gebruik van Suwinet door samenwerkingsverbanden valt binnen de reikwijdte van de verklaring. 16

6.4. Gebruik van Suwinet voor SUWI-taken Het format ziet er als volgt uit: U past dit aan naar de omstandigheden. Voor de gemeente Het Zand zou dit er als volgt uitzien: 6.5. Gebruik van Suwinet voor niet-suwi taken In de tabel zijn keuzes aangegeven. Binnen de gemeente gebruikt u als keuze wanneer de werkzaamheden niet zijn uitbesteed. De tabel ziet er in het format als volgt uit: De gemeente Het Zand maakt geen gebruik van Suwinet voor niet-suwi taken. Voor de gemeente Het Zand zou deze tabel als volgt ingevuld worden: 17

6.6. Gebruik van Suwinet voor niet-suwi taken: voorbeeld RMC & gerechtsdeurwaarders In het geval voor uw gemeente gebruik gemaakt wordt van Suwinet door de gemeentelijk gerechtsdeurwaarders, dan is een fictief voorbeeld als volgt: 6.7. Normnaleving Onder de kop Normnaleving kiest u voor de passende uitkomst. Indien uw situatie Zoals in de collegeverklaring vermeld, voldoen de interne beheersmaatregelen inzake Suwinet op 31 december 2018 in opzet en bestaan aan de geselecteerde normen is, dan verwijdert u de beide tabellen. Indien de uitkomst van de zelfevaluatie leidt tot Met uitzondering van de volgende normen voldoen de interne beheersingsmaatregelen voor de SUWI-taken op 31 december 2018 in opzet en bestaan aan alle geselecteerde normen, dan vult u de beide tabellen aan met de gevraagde informatie. Wanneer de gemeente volledig voldoet, ziet de bijlage Suwinet voor het onderdeel Normnaleving er op de volgende wijze uit: U verwijdert alle tekst en tabellen. U houdt bovenstaande tekst over. 6.8. Normnaleving bij tekortkomingen Participatiewet U neemt de tabel voor SUWI-taken op in de bijlage Suwinet. De combinatie van de BIG-vraag en het SUWI-nummer van de norm kunt u gemakkelijk terugvinden in het keuzehulpinstrument op de ENSIA-site van. 18

6.9. Normnaleving bij tekortkomingen bij niet-suwi-taken In onderstaand voorbeeld is de situatie weergeven waarbij er één overtreding is geconstateerd bij bevraging bij burgerzaken. 19

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback