Skip to main content
Skip table of contents

2.4 Beheer en organisatie

EH1 vervallen per 1-7-2021

Het betrouwbaarheidsniveau eH1 (LoA1) wordt niet meer ondersteund. De middelen en machtigingen moeten minimaal voldoen aan de normen van het betrouwbaarheidsniveau eH2 (LoA2).  

Inhoudsopgave

2.4.1 Algemene bepalingen

LoA

Vereiste elementen

Toelichting en good practice

LOA 1

  1. Partijen die deelnemen in het Stelsel MOETEN het toetredingsproces hebben doorlopen dat is vastgelegd in het Afsprakenstelsel. Het is van belang dat de Deelnemer identificeerbaar is en kan voldoen aan zijn verplichtingen. Daarvoor MOET de Deelnemer bij toetreding en daarna voldoen aan de volgende vereisten: 

    1. De Deelnemer drijft een onderneming en MOET als zodanig zijn ingeschreven in het Nederlandse Handelsregister. De Deelnemer MOET binnen het Stelsel uitsluitend een geregistreerde handelsnaam hanteren.

    2. De Deelnemer MAG NIET in staat van faillissement verkeren, aan hem MAG NIET een surseance van betaling zijn verleend en voor hem MAG NIET een schuldsaneringsregeling van toepassing zijn. Ook MAG NIET ten aanzien van de deelnemer een faillissement zijn aangevraagd en de Deelnemer MAG NIET zijn gestopt met het betalen van zijn schulden.

    3. Als combinaties van deelnemers willen toetreden dan is dat mogelijk. In dat geval dienen alle deelnemers te voldoen aan de toetredingseisen.

  2. Binnen het afsprakenstelsel MOET iedere deelnemer aansprakelijk zijn voor zijn eigen handelen en/of nalaten voor de rol die hij vervult. Voor de aansprakelijkheid gelden de algemene regels van het Nederlands recht ten aanzien van de inhoud en omvang van wettelijke verplichtingen tot schadevergoeding. De deelnemers MOGEN NIET afwijken van deze algemene regels.

  3. De beheerorganisatie MOET door de Deelnemer op de hoogte worden gesteld van de mate waarin de Deelnemer onafhankelijk kan opereren. De Deelnemer MOET minimaal informatie verstrekken over: 

    1. De buitenlandse stakeholders in de Deelnemer of moedermaatschappij van de deelnemer; De mate waarin stakeholders in de Deelnemer of moedermaatschappij van deelnemer zeggenschap hebben over de procesgang binnen de Deelnemer;

    2. de scheiding van processen en verantwoordelijkheden tussen de Authenticatiedienst en de overige onderdelen van de organisatie, in het geval de Authenticatiedienst onderdeel is van een grotere organisatie.

    3. Daar waar de onafhankelijkheid of betrouwbaarheid van de deelnemer in twijfel is MAG de Toezichthouder van het Stelsel nadere eisen stellen aan de deelnemer om het voldoen aan wettelijke eisen te waarborgen en imagoschade voor het Stelsel te voorkomen.

  4. Alle Deelnemers MOETEN voldoen aan de stelseleisen inzake de naleving van verplichtingen bij uitbesteding of gezamenlijk uitvoeren van activiteiten. 

    1. De Deelnemers zijn verantwoordelijk voor het naleven van alle verplichtingen die zij aan andere entiteiten hebben uitbesteed en voor het voldoen aan het beleid inzake het stelsel, op dezelfde wijze als wanneer zij deze taken zelf vervulden.

    2. Als een combinatie onder een gemeenschappelijke naam als 'een organisatie' diensten wil verrichten geldt de eis dat: 

      1. De leden van de combinatie vanaf de start van deelname hoofdelijk aansprakelijk MOETEN zijn voor de volledige en correcte nakoming van alle juridische verbintenissen die in het kader van het Stelsel zijn aangegaan.

      2. Alle combinanten MOETEN individueel voldoen aan de toetredingseisen. Bij wijziging in de samenstelling van de combinatie MOET de toetredingsprocedure door nieuwe leden van de combinatie opnieuw worden doorlopen.

Ad 1: Het Afsprakenstelsel Elektronische Toegangsdiensten is een publiek private samenwerking onder vigerend Nederlands Recht. Alle verplichtingen die een deelnemer aangaat bij toetredingen zijn vastgelegd in het Juridisch kader. De specifieke vereisten m.b.t privacybescherming en informatiebeveiliging zijn opgenomen in het Privacybeleid respectievelijk het Beleid voor informatiebeveiliging. Het proces voor toetreding is vastgelegd in het Operationeel Handboek, Proces toetreden. Onderdeel van dit proces is een toetsing door de Toezichthouder van de relevante processen, procedures en uitgevoerde technische tests. 

Ad 2: Hoe deze algemene regels in een concreet geval uitwerken, is afhankelijk van de feiten en de omstandigheden van het geval. De deelnemer kan zijn aansprakelijkheid beperken in de overeenkomst die hij sluit met een dienstafnemer of met een dienstverlener. Daarbij blijft hij gebonden aan de algemene regels van het Nederlandse recht inzake aansprakelijkheid en schadevergoeding. 

Ad 3: De aansprakelijkheidsregels zijn opgenomen in het Juridisch kader 

Ad 4: Deze eIDAS eis overlapt de eis met betrekking tot sub-contractanten in 2.4.5.

Zowel het Juridisch kader en vooral het Gemeenschappelijk normenkader informatiebeveiliging bevatten voor deze eis relevante specificaties.

LOA 2 3 4

Hetzelfde als LoA1 met toevoeging van:

  1. Deelnemer MOET in het bezit te zijn van een aansprakelijkheidsverzekering die dekkend is voor aansprakelijkheidseisen die kunnen voortvloeien uit het opereren als onderdeel van het Stelsel.

  2. Deelnemer MOET beschikken over een continuïteitsplan/exitplan dat in werking treedt op het moment dat deelnemer niet meer aan zijn Stelselverplichtingen kan voldoen of wenst te voldoen. Het continuïteitsplan/exitplan MOET ten minste waarborgen treffen voor het ondersteunen van de bestaande klanten van de deelnemer voor de periode die is afgesproken in contracten met deze klanten.

  3. Als de Deelnemer niet beschikt over een aansprakelijkheidsverzekering MOET een deelnemer op andere wijze afdoende aantonen dat eventuele aansprakelijkheidsclaims kunnen worden gedekt (bijvoorbeeld uit eigen middelen).

2.4.2 Gepubliceerde mededelingen en informatie voor de gebruikers

LoA

Vereiste elementen

Toelichting en good practice

LOA 1

  1. Het Afsprakenstelsel MOET openbaar toegankelijk gepubliceerd zijn. Deelnemers MOETEN de stelselvereisten inzake publicatie van dienstbeschrijvingen en gebruiksvoorwaarden naleven.

Ad 1: De bedoelde vereisten voor zijn vastgelegd in de het Operationeel handboek en de Gebruiksvoorwaarden Elektronische Toegangsdiensten. Daarnaast betreft het de naleving van algemene wettelijke verplichtingen inzake gebruiksvoorwaarden en privacy. Specifiek stelselvereisten voor privacybescherming zijn opgenomen in het Privacybeleid van het stelsel.

LOA 2 3 4

Hetzelfde als LoA1 met toevoeging van:

  1. De Deelnemer MOET de Gebruiker online inzicht bieden in: 

    1. de gegevens die over hem zijn vastgelegd ten behoeve van de uitgifte van een middel of registratie van een machtiging;

    2. de middelen die op zijn naam zijn uitgegeven en indien van toepassing door hem afgegeven machtigingen;

    3. de transacties die met middelen op zijn naam zijn uitgevoerd (datum, tijd, dienstverlener, dienst).

  2. Indien een persoon claimt niet meer over zijn middel te beschikken of claimt dat ten onrechte op zijn naam een middel is uitgegeven MOET de Deelnemer fysiek inzicht geven in de gegevens genoemd onder 2a.  

  3. De Deelnemer MOET en allen tijde op afdoende wijze vaststellen dat inzage in de gegevens genoemd onder 2a. wordt verstrekt aan de juiste persoon.  

    1. In alle gevallen MOET de Deelnemer een persoon die toegang tot de gegevens vraagt fysiek of online identificeren als ware het de Gebruiker.

    2. De Deelnemer MOET de Gebruiker toegang verstrekken tot de gegevens op minimaal hetzelfde LoA als het LoA van het middel dat aan de Gebruiker is uitgereikt. 

Ad 1: Doel van deze eis: De Gebruiker wordt in staat gesteld om anomalieën in het gebruik van zijn middel te ontdekken en met deze informatie in contact te treden met een dienstverlener. 

De persoon op wiens naam ten onrechte een middel is uitgegeven wordt in staat gesteld registraties op zijn naam en de transacties die met het middel op zijn naam gedaan in te zien. 

Good practice: De Deelnemer geeft zich rekenschap van het feit dat het gaat om toegang tot persoonsgegevens de zin van de AVG. Verwacht mag worden dat de maatregelen die de Deelnemer treft voor bescherming van de toegang tot de transactiegegevens altijd gerelateerd is het LoA van de middel van de Gebruiker.  

Ad 3.a: Hier is uitgegaan van de situatie dat een fraudeur gebruik heeft gemaakt van identificerende kenmerken van de persoon die claimt dat ten onrechte een middel op zijn naam is uitgereikt. De identificerende kenmerken van de claimant zullen dus overeenkomen met de identificerende kenmerken die zijn gebruikt bij de registratie en uitgifte van het middel. Dat betekent dat de claimant zich kan identificeren als ware hij de daadwerkelijke gebruiker. In het geval de identificerende kenmerken niet overeenkomen is een andere juridische basis nodig om de gegevens te verstrekken zoals in het kader van formele opsporing of gerechtelijk bevel. 

2.4.3 Beheer van informatiebeveiliging

LoA

Vereiste elementen

Toelichting en good practice

LOA 1 2 3 4

  1. De Deelnemers en de Beheerorganisatie MOETEN een systeem voor het management van informatiebeveiliging inrichten waarin minimaal hun dienstverlening voor het Stelsel MOET zijn ondergebracht. Het managementsysteem MOET zijn ingericht conform de ISO/IEC 27001:2013 standaard en MOET zijn gecertificeerd of de Deelnemer en de Beheerorganisatie MOETEN beschikken over een Third Party Mededeling met gelijkwaardige conformiteitsverklaring (TPM) van een onafhankelijke Register EDP auditorgelijkwaardige. Hierna wordt kortweg gesproken over een TPM. De toetsing van opzet, bestaan en werking van geïmplementeerde controls en implementatie van de stelselafspraken over de technische invulling maken onderdeel uit van het certificaat of de TPM (inclusief conformiteitsverklaring).

  2. De Deelnemer in het Stelsel MOET het risico's op identiteitsfraude onderkennen en in het ontwerp en implementatie van processen voor middelenuitgifte mitigeren. 

    1. De Deelnemer MOET in de risicoanalyse in het kader van de ISO 27001 certificering het procesontwerp van de processen voor registratie en uitgifte van middelen hebben geadresseerd.

    2. De Deelnemers en Beheerorganisatie MOETEN de op risico gebaseerde beslissingen t.a.v. het ontwerp en de implementatie van mitigerende beheersmaatregelen vastleggen.

    3. De Deelnemer in het Stelsel MOET iedere afwijking van de vereisten voor de implementatie van risico-verlagende beheersmaatregelen toelichten en vastleggen.

    4. De Deelnemers in het Stelsel MOETEN erop toezien dat procesgerelateerde gebeurtenissen herleidbaar zijn. Deelnemers MOETEN de procesvoorvallen registreren, wanneer deze betrekking hebben op: de aanvraag van een middel het resultaat van de toegepaste verificaties en validaties aanvaarding en weigering van aanvragen.

Ad 1: Dit is een eis die aan alle Deelnemers en Beheerorganisaties wordt gesteld als onderdeel van de basisbeveiliging van het Stelsel.

2.4.4 Bijhouden van de administratie

LoA

Vereiste elementen

Toelichting en good practice

LOA 1 2 3 4

  1. Algemene vereisten voor registratie en archivering; De invulling van deze norm voor record keeping MOET de volgende doelstellingen ondersteunen: 

    1. Het voldoen aan wettelijke verplichtingen;

    2. Dispute resolution in geval van (fraude) claims;

    3. Het vastleggen van adequate audit trails.

  2. Deelnemers aan het Stelsel MOETEN toezien op naleving van het toepasselijke belasting- en privacyrecht.

  3. De Deelnemer in het Stelsel MOET kopieën van identiteitsbewijzen archiveren conform de onderstaande eisen: 

    1. Het type identiteitsbewijs en het documentnummer van het identiteitsbewijs MOET geregistreerd en gearchiveerd worden.

    2. Persoonsgegevens zoals een foto, het Burger Service Nummer (BSN) en de nationaliteit MOETEN bij archivering en opslag conform de AVG verwerkt worden.

  4. Op LoA3 en LoA4 MOET de deelnemer de registraties en logging zodanig vastleggen dat deze kunnen worden gebruikt voor bewijsvoering in geval van fraudeonderzoek of claims van misbruik. Het is toegestaan om gevoeliger gegevens vast te leggen als die het doel dienen om te bewijzen dat een middel zorgvuldig is uitgegeven en gebruikt.

  5. Specifieke vereisten voor registratie en archivering: De deelnemer aan het Stelsel MOET een log bijhouden van alle uitgevoerde verificaties en validaties. Het betreft minimaal de: 

    1. validaties van inschrijvingen in het Handelsregister van de Kamer van Koophandel.

    2. validaties van handgeschreven handtekeningen

    3. validaties van een identiteit door bankoverschrijving

    4. validaties van elektronische handtekeningen

    5. validaties van authenticaties in het elektronische registratieproces

    6. elektronische berichten met een identiteitsverklaring van de Aanvrager ter registratie, waaronder de verplichte bijlage.

    7. controles van (interne) Machtigingen

  6. Archivering van verificaties en validaties is verplicht: 

    1. gedurende de geldigheidsduur van uitgegeven middelen en;

    2. tot 7 jaar na intrekking of verlopen van het middel.

  7. Met het oog op de betrouwbare elektronische communicatie MOETEN de deelnemers voldoen aan volgende eisen ten aanzien van archivering: 

    1. Elke Deelnemer MOET gearchiveerde gegevens beveiligd opslaan zodat zij niet toegankelijk zijn voor onbevoegden. Elke Deelnemer MOET alle door haar ondertekende en alle door haar ontvangen ondertekende berichten 7 jaar archiveren. Na deze periode MOETEN ten minste de persoonsgegevens in deze berichten vernietigd worden. Een Deelnemer MAG NIET persoonsgegevens afkomstig van berichten of bewijsstukken langer bewaren dan noodzakelijk voor het doel waarvoor ze worden verwerkt (conform Wet Bescherming Persoonsgegevens).

Ad 1: Archivering van verificaties en validaties bedoeld voor de opbouw van audittrails is ten behoeve van:

  • de opsporing en bestrijding van frauduleuze informatietransacties; 

  • de bescherming van de Gebruiker bij misbruik van zijn (digitale) identiteit. 

    De Deelnemer legt de overwegingen voor de vastleggingen in het kader van archivering vast. De Deelnemer specificeert de vastleggingen in het kader van archivering. 

Ad 4 en 5: Afwijken van deze norm is slechts acceptabel indien de noodzaak kan worden aangetoond door de Deelnemer.

2.4.5 Faciliteiten en personeel

LoA

Vereiste elementen

Toelichting en good practice

LOA 1 2 3 4

  1. De Deelnemer in het Stelsel MAG bij het vervullen van zijn rol (mede) gebruik maken van andere marktpartijen, onderaannemers of samenwerken met partijen waarmee een ander verband bestaat. In dat geval hoeven deze andere partijen niet toe te treden tot het afsprakenstelsel. Essentieel is het uitgangspunt dat alleen toegetreden Deelnemers diensten in het Stelsel verrichten. Bij inschakeling van derde partijen geldt de eis dat: 

    1. De Deelnemer aansprakelijk MOET zijn voor de nakoming van alle verplichtingen in de leveringsketen. De Deelnemer MOET de diensten op eigen naam uit te voeren.

    2. De Deelnemer de Beheerorganisatie in staat stelt om de naleving van de Stelselafspraken door de Deelnemer op grond van het nalevingsbeleid te monitoren en controleren.

  2. De Deelnemer MOET het voor de te leveren diensten gebruik te maken van op afdoende opgeleid personeel.

Ad 1: Voor het doorgeven van verplichtingen aan onderaannemers etc. volgt de Deelnemer de vereisten uit het Privacybeleid van het Stelsel en het Gemeenschappelijk Normenkader Informatiebeveiliging. 

Ad 2: Verondersteld wordt dat de implementatie van de eis grotendeels wordt afgedekt door de ISO 27001 certificatie van de deelnemer en dat de deelnemer het daar waar het gaat om het competenties voor het uitvoeren van verificaties in het identificatieproces dit specifiek maakt (zie paragraaf 2.1.2 en 2.1.3).

2.4.6 Technische controles (technical controls)

LoA

Vereiste elementen

Toelichting en good practice

LOA 1

  1. Deelnemers in het Stelsel MOETEN voldoen aan de specificaties voor berichtenuitwisseling zoals is vastgelegd in het Afsprakenstelsel.

  2. De bescherming van (persoons-)gegevens MOET expliciet worden meegenomen als een aspect van de risicoanalyse in het kader van de verplichte ISO27001 certificatie van Deelnemers.

  3. Verbindingen MOETEN gebruik maken van TLS conform de vereisten uit de koppelvlakspecificaties.

  4. Deelnemer moet conform de geldende stand der techniek 'secret information' beschermen en de genomen maatregelen documenteren.

  5. Het Stelsel waarborgt dat de veiligheid duurzaam wordt gehandhaafd en dat een respons mogelijk is op wijzigingen van het risiconiveau, incidenten en veiligheidsinbreuken.

Ad 1 en 3: Het Afsprakenstelsel bevat meerdere specificaties waaronder de specificaties van interfaces en berichten en communicatiekanalen. Alle Deelnemers hebben zich bij toetreding tot het stelsel verplicht deze specificaties te implementeren.

Ad 2: Deelnemers zijn voor al hun stelselactiviteiten zelf verantwoordelijk voor de naleving van de wettelijke vereisten uit de Wet Bescherming Persoonsgegevens. Alleen op LoA3 en LoA4 wordt in het Afsprakenstelsel aantoonbaarheid vereist van risicoafweging t.a.v. bescherming van persoonsgegevens in de veronderstelling dat op deze LoAs bijzondere maatregelen noodzakelijk zullen zijn. 

Ad 4: 'Secret information' omvat persistente wachtwoorden, PINs en (geheime) sleutelmateriaal dat benodigd is voor de authenticatie. Niet bedoeld worden hier eenmalige wachtwoorden (OTPs). 

Ad 5: De vereisten voor het duurzaam handhaven van de veiligheid is vastgelegd in het Beleid voor informatiebeveiliging en de uitwerking daarvan in het Gemeenschappelijk normenkader informatiebeveiliging.

LOA 2

Hetzelfde als LoA1 met toevoeging van:

  1. De deelnemer MOET risico-beperkende maatregelen nemen voor de dreiging dat een medewerker met valse voorwendselen een middel creëert op naam van een fictief persoon, of op naam van een bestaand persoon zonder dat deze daarom heeft verzocht.

  2. Alle digitale persoonsgegevens en andere gevoelige gegevens MOETEN met cryptografie zijn beschermd tijdens transport.

  3. Alle digitale persoonsgegevens en andere gevoelige gegevens in ruste MOETEN met cryptografie zijn beschermd als:

    1. deze data vanaf het internet te benaderen is;

    2. deze data op draagbare/verwijderbare media staat.

  4. De toegang tot gevoelig cryptografisch materiaal dat voor de uitgifte van elektronische identificatiemiddelen en voor authenticatie wordt gebruikt, MOET zijn beperkt tot de uitoefening van taken en toepassingen waarvoor de toegang strikt noodzakelijk is.

Ad 2 en 3: Alle 'persoonsgegevens' en 'andere gevoelige gegevens' omvat naast persistente wachtwoorden, PINs en (geheim) sleutelmateriaal dat benodigd is voor de authenticatie ook alle herleidbare persoonsgegevens. Het omvat niet het pseudoniem. 

Ad 3: Als toegang tot de systemen of media op eenvoudige wijze verkregen kan worden dan wordt via cryptografie dit risico beperkt. Betreft bijvoorbeeld een databaseserver die rechtstreeks met een client vanaf het internet te benaderen is. Is niet van toepassing op een databaseserver die in een beveiligde zone staat waar enkel andere (interne) systemen zoals applicatie servers bij kunnen komen.

Met draagbare/verwijderbare media wordt bedoeld: Laptops, usb-sticks, harddisks etc. Is niet van toepassing als deze media in beveiligde ruimtes, zoals een datacenter, zijn geplaatst.

Ad 4: Verondersteld wordt dat met de verplichte ISO27001 certificatie voldaan wordt aan deze eis.

LOA 3

Zelfde als LoA2 punten 2 en 3 en met toevoeging van:

  1. De deelnemer MOET risico-beperkende maatregelen nemen voor de dreiging dat een medewerker met valse voorwendselen een middel creëert op naam van een fictief persoon, of op naam van een bestaand persoon zonder dat deze daarom heeft verzocht. De Deelnemer MOET zijn maatregelen baseren op een analyse van de risico's in het registratie en uitgifte proces ten aanzien van de genoemde dreiging.

  2. Gevoelig cryptografisch materiaal dat voor de uitgifte van elektronische identificatiemiddelen en voor authenticatie wordt gebruikt MOET zijn beschermd tegen ongeoorloofde manipulatie.

Ad 1: Voorkomen wordt dat één en dezelfde medewerker zonder enige vorm van controle, toezicht of functiescheiding in staat is om de registratie van een gebruiker te doen en vervolgens een middel kan creëren en uitreiken. Dat het onwaarschijnlijk wordt gemaakt dat technisch beheerders ongezien rechtstreeks ingrijpen op databases om daarmee een werkend middel te creëren. Dat betekent dat ofwel de technisch beheerder deze handeling niet kan verrichten ofwel dat een dergelijke handeling van de beheerder vrijwel direct wordt gesignaleerd en onder de aandacht van het management wordt gebracht. 

Ad 2: Verondersteld wordt dat met de verplichte ISO27001 certificatie voldaan wordt aan deze eis.

LOA 4

Hetzelfde als LoA 2 punten 2 en 3 en LoA3 punt 2 en met toevoeging van:

  1. De deelnemer MOET risicobeperkende maatregelen nemen voor de dreiging dat een medewerker met valse voorwendselen een middel creëert op naam van een fictief persoon, of op naam van een bestaand persoon zonder dat deze daarom heeft verzocht. De Deelnemer MOET maatregelen nemen die functiescheiding handhaven tussen medewerkers die de uitgifte van het middel controleren en medewerkers die de uitgifte van het middel goedkeuren. Deze eis is ontleent aan het Programma van Eisen PKIoverheid v4.3, deel 3 – basiseisen, eis-nummer 5.2.4-pkio77 en onderliggende ETSI eisen. Van registratie- en uitgifteprocessen voor LoA4 middelen die zijn gebaseerd op een gekwalificeerd certificaat mag worden verondersteld dat die aan deze eis voldoen.

Ad 1: Voorkomen wordt dat één en dezelfde medewerker zonder enige vorm van controle, toezicht of functiescheiding in staat is om de registratie van een gebruiker te doen en vervolgens een middel kan creëren en uitreiken. Dat het onwaarschijnlijk wordt gemaakt dat technisch beheerders ongezien rechtstreeks ingrijpen op databases om daarmee een werkend middel te creëren. Dat betekent dat ofwel de technisch beheerder deze handeling niet kan verrichten ofwel dat een dergelijke handeling van de beheerder vrijwel direct wordt gesignaleerd en onder de aandacht van het management wordt gebracht.


2.4.7 Compliance en audit

LoA

Vereiste elementen

Toelichting en good practice

LOA 1 2

  1. De Deelnemer MOET bij toetreding tot het Stelsel zijn processen voor uitgifte van middelen en de technische beschrijving van de middelen en het authenticatiemechanisme ter beoordeling aanbieden aan de Toezichthouder en de externe conformiteitsbeoordelaar. Als toegetreden partij MOET de Deelnemer bij wijziging van zijn processen deze opnieuw aanbieden ter beoordeling door de Toezichthouder.

  2. De Deelnemer MOET bij essentiële wijziging in processen of de gebruikte technologie van authenticatiemechanisme of middel opnieuw zijn processen en technische documentatie ter beoordeling aanbieden aan de Toezichthouder en de conformiteitsbeoordelaar.

  3. De deelnemer MOET zijn dienstverlening aantoonbaar binnen de scope van de verplichte ISO 27001 certificatie hebben gebracht.

Ad 1 en 2:

  • De wijze waarop deelnemers processen aan de Toezichthouder aanbieden volgt de betreffende vereisten uit het Operationeel handboek van het stelsel.

  • De eisen aan de conformiteitsbeoordelaar, de uit te voeren toetsen en conformiteitsrapportage zijn beschreven in de Handreiking Conformiteitstoetsing Authenticatiemiddel en -mechanisme (zie ook resp. par 2.2.1 en 3.2.1).

  • In het kader van het Toezicht op het Stelsel vinden periodieke nalevingscontroles plaats door de toezichthouder.

Ad 3: In het kader van ISO 27001 certificatie vinden periodieke interne audits plaats die de voor de dienst relevante processen raken.

LOA 3 4

Hetzelfde als LoA1 met toevoeging van:

  1. De MU/AD MOET ten behoeve van de conformiteitsbeoordeling en het toezicht een actueel overzicht kunnen opleveren van de aan het middel en authenticatiemechanisme, uitgevoerde wijzigingen, met daarbij een beschrijving van de impact op de conformiteit aan de gestelde eisen.

  2. Bij de conformiteitsbeoordeling wordt onderscheid gemaakt tussen verschillende typen onderzoek, te weten: een initieel onderzoek, een herhalingsonderzoek en een heronderzoek.

    1. Een initieel onderzoek is een eerste beoordeling over de volledige scope van het object van onderzoek op basis van de gestelde eisen;

    2. Een herhalingsonderzoek vindt uitsluitend plaats bij uitgevoerde wijzigingen aan het object van onderzoek die van invloed (kunnen) zijn op de conformiteit aan de gestelde eisen. De scope is beperkt tot de wijzigingen aan het object van onderzoek;

    3. Een heronderzoek vindt minimaal binnen drie jaar na uitgifte van de rapportage initieel onderzoek plaats over de volledige scope van het object van onderzoek.

  3. De conformiteitsbeoordelaar die de conformiteitsbeoordeling uitvoert:

    1. Heeft aantoonbaar ruime ervaring met het uitvoeren van technische beoordelingsopdrachten van middelen of vergelijkbare objecten van onderzoek;

    2. Zal voor de opdracht personeel inzetten met ruime ervaring en de voor de beoordeling benodigde competenties;

    3. Is bij het uitvoeren van de beoordeling en in haar oordeelsvorming geheel onafhankelijk van haar opdrachtgever en de MU/AD;

    4. Heeft een intern kwaliteitssysteem en/of vaktechnische richtlijnen en procedures voor het uitvoeren van beoordelingsopdrachten, met inbegrip van registratie van ondersteunend bewijs, rapportering aan opdrachtgever en aan derden en – waar nodig - interne (peer) review;

    5. Verstrekt toestemming dat toezichthouder op elk moment, binnen 7 jaar na het uitbrengen van de rapportage van conformiteitsbeoordelaar inzage kan vorderen in de rapportage en in het bijbehorende dossier waarin het ondersteunend bewijs is vastgelegd;

    6. Levert voorafgaand aan de opdrachtverstrekking aan de opdrachtgever of de MU/AD een formele verklaring op waarin conformiteit aan sub a tot en met sub e op het moment van opdrachtverstrekking en gedurende de conformiteitsbeoordeling verklaard en onderbouwd wordt;

    7. Een testlaboratorium ingevolge ISO 17025 voor de scope "testing of information technology products" wordt vermoed aan sub b tot en met sub d te voldoen.

    8. De conformiteitsbeoordelaar beschikt over een bedrijfs- of beroepsaansprakelijkheidsverzekering.

  4. Een onderzoek van de conformiteitsbeoordelaar wordt zodanig gepland en uitgevoerd dat een redelijke mate van zekerheid kan worden verkregen dat het object van onderzoek op het in de rapportage aangegeven moment aan de gestelde eisen voldoet.

  5. De rapportage van de conformiteitsbeoordelaar bevat minimaal:

    1. De doelstelling van de opdracht, een beschrijving van het object van onderzoek (uniek identificerend, met datum en versienummer), de eisen op basis waarvan het object van onderzoek is beoordeeld en het plan van aanpak met de gevolgde stappen en de gehanteerde onderzoeksmethoden en aanvalstechnieken;

    2. Het eindoordeel over de mate waarin het object op het aangegeven moment aan de gestelde eisen voldoet, met onderbouwing;

    3. Belangrijkste bevindingen en aanbevelingen;

    4. Detailbevindingen, met vermelding van referenties naar het geregistreerde bewijs over de conformiteit aan de betreffende eis.

  6. Opdrachtgever MOET op basis van de rapportage een verbeterplan op te stellen voor de geconstateerde afwijkingen, met daarin minimaal een oorzaakanalyse, adequate corrigerende maatregelen voor de geconstateerde afwijkingen en een oplostermijn en deadline. De gespecificeerde oplostermijn staat nadrukkelijk in verhouding tot de classificatie van de afwijking en de benodigde middelen om deze op te lossen. De termijnen voor het opstellen van het verbeterplan en de oplossingen zijn ter beoordeling aan de auditor. De opdrachtgever MOET het door de auditor geaccepteerde verbeterplan aan de toezichthouder ter beschikking te stellen.

  7. Indien de conformiteitsbeoordelaar in de rapportage oordeelt dat het object van onderzoek - op het in de rapportage aangegeven moment- niet of slechts gedeeltelijk aan de gestelde eisen voldoet, MOET Opdrachtgever in overleg te treden met de conformiteitsbeoordelaar om een herbeoordeling uit te laten voeren van de corrigerende maatregelen als uitbreiding van de uitgevoerde conformiteitsbeoordeling, dan wel een hernieuwd initieel onderzoek te laten uitvoeren door een conformiteitsbeoordelaar. De conformiteitsbeoordelaar kan daarbij eisen dat het verbeterplan vooraf ter beoordeling en goedkeuring wordt voorgelegd.

Implementatietermijn

De Wet Digitale Overheid is sinds 1 juli 2023 van kracht. Echter, de bijbehorende Ministeriële Regeling is op het moment van deze aanpassing d.d. mei 2024 nog niet gereed.

Ad 1 t/m 5: Ten behoeve van de voorbereiding op de conformiteitsbeoordeling is een Handreiking Conformiteitstoetsing Authenticatiemiddel en -mechanisme beschikbaar.

Ad 3.g: Indien van een conformiteitsbeoordelaar zoals bedoeld in sub g gebruik wordt gemaakt blijven sub a, e, f en h wel onverkort van toepassing.

Ad 6: Dit artikel beschrijft de situatie dat de auditor tot een positieve verklaring komt. Het is bij het afgeven van conformteitsverklaringen een gangbare auditpraktijk dat er niet wordt gewerkt met vooraf bepaalde termijnen genoemd (bijvoorbeeld 3 maanden voor een kritieke afwijking). Een realistische oplostijd is namelijk afhankelijk van de activiteit die uitgevoerd wordt (fundamentele systeemontwikkeling kost bijvoorbeeld meer tijd dan een aanpassing instellingen van applicaties en hardware). Daarom vereist het vaststellen van deadlines maatwerk.

Aangezien er een positieve auditor tot een positieve verklaring is gekomen zal de auditor de juiste uitvoering van het verbeterplan pas bij de volgende controle nagaan. De toezichthouder zal daarom geheel naar eigen inzicht de uitvoering van het verbeterplan controleren.

Ad 7: Dit artikel beschrijft de situatie waarin de auditor tot een negatieve verklaring komt. Het rapport met de negatieve verklaring is formeel en definitief en wordt door de deelnemer aan de toezichthouder gezonden. Het is aan de Toezichthouder om al dan niet consequenties aan de negatieve verklaring van de auditor te verbinden. Het ligt daarom voor de hand dat de Deelnemer de Toezichthouder op de hoogte houdt van de afspraken die hij maakt met de auditor over de wijze waarop de oplossing en her

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.