Vragen over de blik van de auditor op verantwoordingscyclus

Bij 9.2.1 en 9.2.2 is de opzet die u hebt als document dan hetzelfde? Dus de reguliere autorisatieprocedure in de organisatie? Alleen het bestaan document verschilt dan?

Ja klopt. Het gaat qua opzet om een autorisatieprocedure waarin minimaal ook het "vier ogen principe" en een periodieke interne controle in voorkomen. Het moet gaat om nieuwe gebruikers (joiners), medewerkers die een andere functie krijgen (movers) en medewerkers die hun toegangsrechten hebben verloren (leavers). Daarnaast willen we ook graag het wachtwoordbeleid zien.

Ingeval van “bestaan” gaat het om volledige schermprints van de Suwinet gebruikersadministratie, de autorisatiematrix van de “inleesapplicatie” bij DKD-Inlezen., En bij 9.2.5 de halfjaarlijkse rapportage over de controle van de gebruikersrechten

IDe auditor gaf net aan dat de logfiles beoordeeld moeten worden. Op welke aspecten doelt hij dan exact?

Suwinet-Inkijk is een voorziening van BKWI. Dus BKWI is verantwoordelijk voor de logging en wordt daar zelf op geaudit. DKD-Inlezen is een voorziening van BIDN (Bureau InformatieDiensten Nederland) en zij zijn verantwoordelijk voor logging van het DKD berichtenverkeer. U kunt dit bij 12.4.1 dit o.a. aantonen door de specifieke controlerapporten van BKWI op te vragen en te laten zien wat u ermee hebt gedaan aan opvolging. De rapportages van BKWI zijn immers gebaseerd op de logbestanden.

De gemeente/sociale dienst is natuurlijk zelf verantwoordelijk voor de inleesapplicatie als men die gebruikt. De inleesapplicatie dient om de inkomende DKD berichten in te lezen in het eigen sociale dienst systeem.

Er bestaat onduidelijkheid voor het inleveren/invullen Suwinet verklaringen. Deze staan niet meer in de ENSIA verantwoording maar worden separaat door de BKBO uitgevraagd i.v.m. een pré-audit. Hier is de datum van 31-12 niet meer van belang. Is dit een juist beeld?

Het is me niet helemaal duidelijk wat hier wordt gevraagd. Op het gevaar af dat ik antwoord geef op een niet zo bedoelde vraag, het volgende: de gemeente is altijd verantwoordelijk voor de ENSIA verantwoording. Dus als u bijvoorbeeld DKD-Inlezen gebruikt als grotere sociale dienst en een inleesapplicatie hebt verwachten we een assurancerapport over de 14 DKD normen vanuit de leverancier van de inleesapplicatie. Ingeval deze geen assurancerapport levert (een Suwi TPM) dan moet de auditor dit zelf “inclusive” onderzoeken. Als u bijvoorbeeld de P-wet uitbesteed aan een intergemeentelijke sociale dienst dan verwachten we ook een Suwi assurancerapport. Eigenlijk moet alles op 31-12 gefixeerd zijn maar in de praktijk kan het niet anders dan dat hier in de praktijk wat gemakkelijk mee wordt omgegaan bij service organisaties omdat de rapporten beschikbaar moeten zijn op het moment dat de ENSIA coördinator de vragenlijsten invult. Anders dan bij DigiD stelt BKWI geen prijs op deze assurancerapporten van serviceorganisaties omdat de resultaten daarvan immers zijn verwerkt door de auditor van de ENSIA audit.

Kunnen we ook een link ontvangen naar de handreiking van Norea?

Jazeker: https://www.norea.nl/uploads/bfile/25d3421b-bcae-4a97-bde6-fa91e2b77b58

Het gaat om de Handreiking Suwi gemeenten 2025 versie 1.0

Klopt het dat er dit jaar geen specifieke vragen in Ensia gesteld worden over Suwinet? Het woord Suwinet komt niet voor in mijn vragenlijsten.

Dit is meer een vraag voor de VNG. Maar het klopt dat de speciale Suwinet vragen niet langer zijn opgenomen. U moet dus de relevante BIO vragen hiervoor invullen. Waarom de speciale vragen zijn vervallen, is mij niet bekend.

Komt de collegeverklaring voor Suwinet met de overstap naar de 3000D ook te vervallen, net als bij DigiD?

Ook dit is meer een vraag voor de VNG. Maar inderdaad als ook de verantwoording over Suwinet 3000D hebben we als auditors geen collegeverklaring voor Suwinet inclusief bijlage meer nodig. Of de College verklaring dan komt te vervallen is aan de gemeenten en VNG. De noodzaak om horizontaal te verantwoorden over de stand van zaken m.b.t. informatieveiligheid blijft m.i. even groot dus dat zou betreurenswaardig zijn.

De normenkaders BAG, BGT en BRO hebben maar weinig/ geen betrekking op informatiebeveiliging maar meer op kwaliteitsmanagement dan wel kwaliteitsverbetering. Waarom worden deze normenkaders dan toch opgenomen in de ENSIA?

Dat klopt. De reden is dat bij de intro van de Ensia in 2017 door het rijk is beloofd om de audit en controlelast voor gemeenten te beperken en te concentreren in de ENSIA.

Wij dienen een logging rapportage in te leveren, dit is voor maatregel BIO 9.2.6.1. maar we dienen ook Monitoring rapportage in te leveren als Internal IT audit. Wij kunnen niet zo snel zien onder welke BIO norm dit valt. Deze controle richt zich op het rechtmatig gebruik van DKD-Inlezen door medewerkers van dienst SZW. Over de bevindingen wordt gerapporteerd aan de systeemeigenaar.

Zoals eerder aangeven gaat het dan vooral om de logging van inleesapplicatie waarbij medewerkers van sociale zaken via DKD berichten gegevens opvragen bij bv ik nomen maar wat voorbeelden bij de belastingdienst (inkomen), DUO (studiebeurs) of RDW (kentekenregistratie)

Zijn er plannen om ook een audit op de BIO uit te voeren, gericht op opzet, bestaan en werking?

Dat is aan de toezichthouders en niet aan NOREA.

Op dit moment is de BIO-vragenlijst nog op basis van zelfevaluatie. Komt er in de toekomst nog eens een bredere audit op de BIO-vragenlijst, zodat ook getoetst wordt of het klopt wat je zelf verklaard? Zoals dat bij DigiD en Suwinet ook gebeurt.

Dat is aan de stelselhouders en niet aan NOREA.

Wat is de toekomst van ENSIA?

Dat is aan VNG en BZK en SZW. Een deel van het antwoord heb ik eerder gegeven.

Je gaf aan dat de logfiles beoordeeld moeten worden. Op welke aspecten wordt dan gedoeld? Bij mijn gemeente ontstaat elk jaar onduidelijkheid over DKD-Inlezen, zowel in de organisatie als bij de auditor. Kunnen jullie daar iets over toelichten?

Dat kan heel verschillende oorzaken hebben. In het algemeen kloppen de overzichten van BKWI wel zeker nu ze elke maand worden geactualiseerd. Het is mogelijk dat uw gemeente de P-wet of een deel daarvan heeft uitbesteed aan een intergemeentelijke sociale dienst of een grote buurgemeente en dat die ISD of buurgemeente niet uw Suwinet aansluiting gebruikt maar die van een andere gemeente en daarop de DKD Inlezen berichten ontvangt. Overigens komt het omgekeerde in onze praktijk meer voor (in de brief staat dat de gemeente DKD gebruikt en bij sociale zaken ontkent men dit); de reden is dan vaak dat de gemeente een webapplicatie gebruikt om aanvragen voor een uitkering/bijzondere bijstand via een digitaal loket mogelijk te maken en deze webapplicatie gebruikt dan DKD om de gegevens te verrijken of zelfs automatisch te verifiëren.

Wij hebben toegang tot DKD-inlezen maar dit staat niet op de aansluitingen overzicht dat wij van het BKWI krijgen. In hoeverre moeten wij ons dan verantwoorden?

Zie hiervoor. BKWI ontvangt deze gegevens van BIDN en het is mogelijk dat gegevens niet helemaal actueel zijn. Meldt dit dan aan de Suwi desk van BKWI.

Wij hebben het antwoord Vragen over de blik van de auditor op verantwoordingscyclus

Wij hebben het antwoord Vragen over de blik van de auditor op verantwoordingscyclus

Laatste nieuws