SIMgroep heeft als leverancier van systemen waarin DigiD wordt gebruikt, alle relevante normen laten auditen door EY. Het bedrijf is geslaagd voor alle normen die aan de zijde van de leverancier spelen. Doordat SIMgroep zijn diensten als een cloudoplossing levert, kon het een groot deel van de audit voor zijn rekening nemen. Met de goedkeuring voor de audit zijn hiermee ook alle klanten van SIMgroep voor deze eisen aan de leverancierszijde goedgekeurd.
Op 1 januari 2014 moeten alle Nederlandse gemeenten met een DigiD-koppeling kunnen aantonen dat zij voldoen aan alle 28 normen van DigiD-beheerorganisatie Logius. Deze beveiligingsnormen zijn opgesteld naar aanleiding van de grote incidenten die in 2011 op het gebied van informatiebeveiliging hebben plaatsgevonden. Al tijdens de pilot fase heeft SIMgroep om tafel gezeten met Logius en King (Kwaliteitsinstituut Nederlandse Gemeenten) om te bekijken hoe ze de richtlijnen in hun systemen kunnen implementeren.
SIMgroep is nu klaar om de TPM (third party mededeling) aan zijn klanten te verstrekken. Dit wil zeggen dat hun oplossing voldoet aan de normen voor het ict-beveiligingsassessment DigiD, die Logius eind februari 2012 heeft vastgesteld. De gemeente heeft zelf nog de verantwoordelijkheid om het assessment uit te voeren voor enkele normen die betrekking hebben op hun eigen organisatie.
Goedkeuring normen
‘Het afgelopen anderhalf jaar hebben we veel geïnvesteerd om te voldoen aan deze normen’, zegt Kaspar van de Griend, technologiedirecteur bij SIMgroep. ‘Niet alleen in onze infrastructuur en software, maar ook als organisatie in onze processen. Het is goed om te zien dat deze inspanningen hebben geleid tot het gewenste resultaat, een goedkeuring op alle normen die aan de kant van de leverancier spelen.’
SIMgroep heeft EY gekozen als partij om onderzoek te doen naar de normen waar SIMgroep verantwoordelijk voor is. Het onderzoek bestaat uit een penetratietest en het beoordelen van de procedures en documentatie. ‘Samen werken aan een veilige digitale wereld is een belangrijk speerpunt voor EY’, zegt Ad Buckens, DigiD Competence Center EY. ‘Al vele jaren hebben wij informatiebeveiliging hoog in het vaandel staan en met de DigiD-beveiligingsassessments zet de overheid een belangrijke stap op weg naar deze veilige wereld.’
Exxellence en VKA
Eerder wist Exxellence ook al TPM-verklaringen te verwerven voor zijn digitale loket, eFormulieren versie 4.5 en 5.0 en infrastructuur. Verdonck, Klooster & Associates (VKA) voerde deze audit uit.