Een impactanalyse van KING geeft aan welke stappen de komende tijd moeten worden gezet om het veilig gebruik van DigiD te garanderen. “Niet elke gemeente weet precies wie er verantwoordelijk is voor de informatiebeveiliging.”
“De lokale overheid gaat ervanuit dat het goed geregeld is, omdat het bij een leverancier is belegd”, concludeert het Kwaliteitsinstituut Nederlandse Gemeenten (KING). En dat is dus niet zo, bij flink wat gemeenten.
“Het proces is tijdrovend”, staat in de impactanalyse. “Een goede voorbereiding kan bijdragen in de versnelling ervan.” Volgens KING is het mogelijk de assessmentwerkzaamheden te bundelen op circa alle 608 DigiD-aansluitingen. De vraag is hoe?
Bundelen
Richtlijnen voor een SaaS-leverancier moeten bij die leverancier worden getoetst. Niet iedere gemeente hoeft zijn eigen auditor een assessment te laten uitvoeren bij de leverancier. Het is mogelijk te kiezen voor een zogeheten Third Party Mededeling (TPM). Op deze manier wordt een auditrapport uitgevoerd in een bepaalde omgeving. Vervolgens kan het rapport dienen om te laten zien aan derden. “Zo is alleen het auditrapport openbaar en niet de onderliggende, gevoelige informatie.”
Gemeenten die een webapplicatie hebben gekocht bij externe leveranciers kunnen worden getoetst bij de leverancier op een gelijkwaardige omgeving. Wie gebruik maakt van een externe partij voor de hosting van een webapplicatie kan procesmatige richtlijnen laten vastleggen bij die partij.
Gemeenten die alles zelf doen, kunnen geen gebruik maken van TPM. Zij kunnen zelf meteen aan de slag met de assessments.
Stappenplan
Hoe dat in zijn werk gaat, staat beschreven in
