Het 'ICT-Beveiligingsassessment DigiD' dat elke gemeente jaarlijks moet doorlopen, wordt iets preciezer geregeld nadat gemeenten frustraties hebben geuit over de uitvoering ervan door de auditors.
Te breed beoordeeld
Sinds 2013 moet elke gemeente jaarlijks een DigiD-assessment laten uitvoeren door een erkende partij, om de veiligheid van dit authenticatiemiddel voor elektronische dienstverlening te garanderen. Gemeenten ervaren de audit niet overdeeld positief; ze wórden al zoveel beoordeeld. De specifieke frustraties komen dan ook voort uit dat gevoel. Zo blijkt dat sommige auditors meer dan noodzakelijk kijken naar informatiebeveiliging in de breedste zin van het woord, en dus niet enkel naar de inzet van DigiD. Ook blijkt dat soortgelijke omstandigheden in de praktijk bij verschillende gemeenten ook makkelijk verschillende beoordelingen kunnen opleveren.
Richtlijnen aangescherpt
Op initiatief van de VIAG (Vereniging van coördinatoren Informatievoorziening en Automatisering in Nederlandse Gemeenten) hebben partijen als VNG, IBD, Logius en brancheclub NOREA zich over deze frustraties gebogen. Het resultaat is een aangescherpte set richtlijnen die NOREA haar leden voorlegt. Afgesproken is ook dat de auditor sneller zal inzoomen nar de DigiD-applicatie zelf. 'We zijn er tevreden over', zegt VIAG-voorzitter Arend van Beek, 'maar we zijn er nog niet helemaal. We zijn eruit met NOREA, maar wellicht nog niet helemaal met Logius.' Logius is als beheerder van DigiD belast met het binnenhalen van alle DigiD-assessmentrapporten en moet van de minister strikter handhaven.
Audit-last verlagen
NOREA zal ook zorgen voor een escalatieprocedure voor als de auditor en de DigiD-gebruikende organisatie er onderling niet uit komen. Logius belooft daarnaast vooraf goed te communiceren met gemeenten waar gehandhaafd zou moeten worden. Waar het VIAG en de gemeenten in bredere zin om te doen is, is het verlagen van de 'audit-last'. Van Beek: 'Waar we last van hebben is dat er veel verschillende audits zijn. Er is ook de neiging over de grenzen van DigiD heen te kijken. Het zou veel beter zijn al die audits samen te voegen.' Dat is nog toekomstmuziek, maar Van Beek denkt dat over zo'n anderhalf jaar er stappen zullen zijn gezet op dit gebied.
Bron: Binnenlands Bestuur digitaal