Controle verklaring conform Ensia 2024, informatiebeveiliging DigiD en Suwiwet
Gemeente Buren
Doel en achtergrond verklaring
De voorzieningen die we als gemeente voor DigiD en Suwinet hebben, moeten beveiligd zijn tegen
onrechtmatig gebruik. De gemeente treft (beheers)maatregelen om veilig gebruik te maken van deze voorzieningen.
Met deze verklaring geven wij, het College van Burgemeester en Wethouders, aan in welke mate de gemeente voldoet aan de informatiebeveiligingsnormen voor DigiD en Suwinet. Deze verklaring maakt onderdeel uit van de verantwoording over informatiebeveiliging middels ENSIA en is tot stand gekomen door een zelfevaluatie over informatiebeveiligingsnormen gebaseerd op de door de toezichthouder geselecteerde eisen uit de Baseline Informatiebeveiliging Overheid voor Suwinet en het Normenkader 3.0 voor DigiD. De inhoud van deze collegeverklaring is getoetst door een onafhankelijke IT-auditor.
Deze verklaring is bestemd voor de toezichthouders van DigiD en Suwinet, te weten Logius en het Ministerie van Sociale Zaken en Werkgelegenheid via het Bureau Keteninformatie Werk en Inkomen (BKWI) alsmede de stelselhouders: het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en het ministerie van Sociale Zaken en Werkgelegenheid.
Reikwijdte en diepgang verklaring
De toegang die we als gemeentelijke organisatie voor DigiD en Suwinet hebben, moet beveiligd zijn tegen onrechtmatig gebruik. Hiervoor stellen de stelselhouders een aantal informatiebeveiligingsnormen verplicht. De gemeentelijke organisatie moet beheersmaatregelen treffen om te voldoen aan deze gestelde normen en gebruik te mogen (blijven) maken van deze voorzieningen.
De toetsing van de IT-auditor gaat over de opzet en het bestaan van deze beheersingsmaatregelen om te kunnen voldoen aan de relevante beveiligingsnormen voor DigiD en Suwinet op 31 december 2024. Voor DigiD wordt het door Logius vastgestelde DigiD-normenkader 3.0 gehanteerd; voor Suwinet de Verantwoordingsrichtlijn GeVS 2022 (actuele versie) die ten behoeve van ENSIA nader is uitgewerkt in de ENSIA Suwinet-guidance.
De door de gemeente uitbestede beheersingsmaatregelen inzake DigiD en Suwinet zijn getoetst door een onafhankelijke IT-auditor van de externe dienstverlener. Hiervan hebben wij als gemeente een auditrapport ontvangen.
Collegeverklaring en samenvattend beeld van de auditbevindingen
Verklaring / Conclusie
Het college van Burgemeester en Wethouders van de gemeente Buren verklaart dat de gemeentelijke
organisatie op 31 december 2024, op de tijdige uitvoering van 1 controle na, voldoet aan alle
geselecteerde normen inzake DigiD en Suwinet. De controle is alsnog uitgevoerd en hier zijn geen
bevindingen uit gekomen. Om te borgen dat de controle in de toekomst structureel en tijdig wordt
uitgevoerd is een verbeterplan opgesteld.
Het college verklaart dat bij gemeente Buren op 31 december 2024 de beheersingsmaatregelen (in opzet en bestaan), met uitzondering van 1 tijdige controle activiteit, voldoet aan de geselecteerde normen inzake DigiD en Suwinet.
Samenvattend beeld
Deze collegeverklaring en de verantwoording van de externe dienstverlener(s) dekken tezamen de
beveiligingsnormen inzake DigiD en Suwinet af. Het detailoverzicht van normen en of we hier als gemeente aan voldoen, is opgenomen in de volgende bijlagen:
- Bijlage 1A DigiD met kenmerk Z.064935
- Bijlage 1B DigiD met kenmerk Z.064935
- Bijlage 2 Suwinet met kenmerk Z.064935
Onderwerp | Wordt aan alle normen voldaan? | Zijn de uitzonderingen in [een] verbeterplan[nen] opgenomen en zijn de verbetermaatregelen belegd en worden deze gemonitord? |
|---|---|---|
DigiD 1002555 | Ja | Niet van toepassing |
DigiD 1004103 | Ja | Niet van toepassing |
Suwinet voor SUWI-taken | Gedeeltelijk | Niet van toepassing |
Suwinet voor niet-SUWI-taken | Niet van toepassing | Niet van toepassing |
