Logius sluit 14 dienstverleners af van DigiD na veiligheidsaudit

Logius heeft 14 dienstverleners afgesloten van DigiD. Die beslissing werd genomen na een veiligheidsaudit, die afnemers jaarlijks verplicht moeten doen. In 2023 moesten 758 diensten verbeteringen treffen; de 14 die nu zijn afgesloten deden dat niet of niet tijdig.

Logius maakt in zijn aankondiging verder weinig bekend over de afgesloten dienstverleners. Zo is onduidelijk om welke dienstverleners het gaat, wat voor soort diensten zij dan verschaffen en welke verbeteringen zij moeten treffen. De dienstverleners zijn niet per se definitief van DigiD afgesloten. Het kan ook om een tijdelijke afsluiting gaan. Of en hoeveel dienstverleners tijdelijk zijn afgesloten, is onduidelijk.

In totaal worden 3435 diensten met DigiD ontsloten. Zij moeten jaarlijks allemaal een veiligheidsaudit doen. Dat biedt burgers 'meer zekerheid dat inloggen met DigiD veilig en betrouwbaar is', zegt Logius. "Het verplicht iedere DigiD-dienstverlener om jaarlijks inzicht te geven in de informatieveiligheid van de op DigiD aangesloten webapplicatie." Op basis van de audits worden aanbevelingen gegeven om de informatieveiligheid te verbeteren.

IT-banen

Reacties (43)

Zwieber 13 maart 2025 13:52

Op de site van Logius staat waar deze dienstverleners aan moeten voldoen.
https://www.logius.nl/dom...iligingsassessments-digid
In het geval van al een bestaande aansluiting hoeft er maar op 5 van de 21 normen worden getoetst. Deze normen zijn naar wat ik zie voor een aantal technieken al aan de oude kant.
De eigenschappen van de minimale 5 eisen zijn weer terug te vinden in het document "ICT-beveiligingsrichlijnen voor webapplicaties" van de NCSC.
https://www.ncsc.nl/binar...applicaties_juli24_NL.pdf

[Reactie gewijzigd door Zwieber op 13 maart 2025 14:05]

eelco74 @Zwieber • 13 maart 2025 14:29

Aanvullend toch nog even wat nuance, want het staat er een beetje onduidelijk

Voor nieuwe aansluitingen 21 normen getoetst op opzet en bestaan
Voor bestaande aansluitingen wordt er voor 5 nomen (van die 21) aanvullend getoetst op werking.

Even een uitleg over de termen: https://www.audittrail.nl/opzet-bestaan-werking-audit/

Het digid assessment loopt al sinds 2013 en ook toen kon men bij niet voldoen aan het assessment (tijdelijk) afgesloten worden.

https://www.tweedekamer.n...2014Z13257&did=2014D26486

In 2014 was er nog sprake van een totaal van 600 aansluitingen, als ik de berichten zo lees is dit behoorlijk gegroeid. Zeker als er sprake is van 758 diensten die verbeteren moesten tegen 372 in 2013.

Rovver @Zwieber • 13 maart 2025 15:17

Ook is er een handreiking van NOREA, de beroepsgroep van IT auditors, die als doelstelling heeft om IT-auditors relevante informatie te verstrekken en een uniform toetsbaar normenkader te bieden voor het zorgvuldiguitvoeren van een ICT-beveiligingsassessment DigiD:
https://www.norea.nl/nieuws/handreiking-digid-assessments-2024

closefuture @Zwieber • 14 maart 2025 22:27

Het netwerk is gescheiden in fysieke en logische domeinen (zones), in het bijzonder is er een DMZ die tussen het interne netwerk en het internet gepositioneerd is.

Welk jaar leven we in? 2005? Beetje rare specifieke architecturele eis die me niet meer helemaal van deze tijd lijkt.

[Reactie gewijzigd door closefuture op 14 maart 2025 22:27]

The Zep Man

Security
Internettoegang

13 maart 2025 13:34

Op basis van de audits worden aanbevelingen gegeven om de informatieveiligheid te verbeteren.

Het is natuurlijk niet enkel een aanbeveling als het verplicht is om te implementeren omdat de dienst anders afgesloten wordt van DigiD.

lenwar

Digid

@The Zep Man • 13 maart 2025 14:21

De auditor geeft aanbevelingen. Een (externe) auditor kan je nooit verplichten iets te doen. Je interne organisatie wel. (en blijkbaar dus ook de club achter DigiD).

Stel dat een auditor als aanbeveling geeft om alle sloten van een pand naar sloten met een bepaalde certificering te brengen. Dan kan een organisatie een commerciële afweging maken om bijvoorbeeld alleen de buitendeuren te doen. Of alle deuren waar gevoelige zaken zijn. (dus de toiletpapiervoorraadkamer niet).

De auditor komt met aanbevelingen. En vervolgens is het aan de organisatie hoe zij er mee om gaan. Misschien is iemand het helemaal niet eens met de aanbeveling, of kiezen ze ervoor om een bepaald risico zo te laten.

Anekdotisch:

Ik heb persoonlijk van een audit wel is voorbij zien komen dat we al onze interactieve Linux-accounts met wachtwoorden moesten omsmurfen naar accounts met ssh-keys. (als een laag-risico-aanbeveling). Voor onze omgeving (waar ik uiteraard weinig over kan zeggen) is die aanbeveling compleet onzinnig.

Daarnaast is het ook nog zo dat ssh-keys niet 'per definitie' veiliger zijn dan wachtwoorden in alle omstandigheden. Een private key kan zonder dat je het weet gestolen zijn. Dan kan het zinvoller zijn om dagelijks wachtwoorden te rouleren bijvoorbeeld. (En je kunt ook dagelijks ssh-keys roteren en die van wachtwoorden voorzien.) Er is niets algemeens te zeggen over wat 'het veiligste is'. Het ligt puur aan de omgeving en de context ervan.

Wij hebben dus een keuze gemaakt, maar we hebben het er wel over gehad. En dat is natuurlijk ook al heel wat waard. Want dit soort onderwerpen bespreek je niet iedere maand

friemelss @lenwar • 13 maart 2025 15:04

Niet helemaal Ienwar,

Als je t.a.v. interne assurance een audit uitvoert, dan heb je gelijk.
Als je t.a.v. externe zekerheden een audit uitvoert, dan heb je geen keuze meer om bevindingen maar niet op te lossen.

Lees bijv ook de certificering van qTSP (eIDAS).
De qTSP ondergaat een product audit die aanleiding geeft om vertrouwen in de qTSP te creëren of te continueren. Als er dan een bevinding is geconstateerd, dan is zelfs de oorzaakanalyse en verbetermaatregelen onderdeel van de audit geworden. Daarna moeten de bevindingen in beginsel binnen 3 maanden te zijn opgelost (wordt ook weer geauditeerd).

Lees maar eens in de normvereisten voor de auditor die eIDAS qTSP moet beoordelen. ETSI EN 319 403.

Anekdote
Ooit was ik als qTSP (de voorganger ;-)) beoordeeld. Ik gaf aan dat ik lekker op mijn gemak zou gaan kijken wat ik met de auditresultaten zou gaan doen. Nou, dat had ik dus verkeerd begrepen. En snel bijgeleerd.
Later dachten verschillende lijnmanagers ook dat zij vrije keus hadden. En met een beminnelijke glimlach informeerde ik die lijnmanagers over de consequenties. Dat leerde heel snel bij.

Overigens
- ik ben qTSP deskundig
- ik ben audit deskundig

RSH @friemelss • 13 maart 2025 18:44

Als je op dat niveau wilt inzoomen blijft er een verschil tussen op (moeten) lossen van geconstateerde tekortkomingen en aanbevelingen niet opvolgen. Tekortkomingen niet oplossen is een dingetje, het niet opvolgen van aanbevelingen (waaraan @lenwar leek te refereren) is iets anders.
Afhankelijk van het kader / de norm wordt dan ook nog wel ‘ns geschermd met “comply or explain’, maar de verschillen in interpretaties van (ook NOREA-) normen door RE-auditoren is weer een heel ander blikje wormen.

friemelss @RSH • 14 maart 2025 10:02

Klopt RSH

Hier is het topic DigID.
Individuele dienstaanbieders (die aangesloten zijn op DigID) kunnen zo nalatig zijn dat dit het vertrouwen in DigID beschadigd. Juist daarom zijn ernstige bevindingen (die niet worden opgelost) aanleiding om de dienstverlener af te sluiten.

Met eIDAS certificering is het zelfs mogelijk dat de dienstverlener onmiddellijk moet stoppen met uitgeven. Om eerst een ernstig verzuim te herstellen.
Gelukkig (nou ja, het is gewoon de boel op orde hebben) heb ik dat nooit meegemaakt.

ZeromaNoiS @The Zep Man • 13 maart 2025 14:09

Bij DigiD audits weet ik toevallig dat ze het "pas toe, of leg uit" principe gebruiken.

stefanass @ZeromaNoiS • 13 maart 2025 21:57

Dat klopt, maar je zal in dergelijke gevallen wel een goed “leg uit” verhaal moeten hebben waarom je daar een andere keuze gemaakt hebt. De gekozen maatregelen die je wel neemt moeten minimaal hetzelfde effect hebben als in de norm gesteld wordt, óf je moet onderbouwd aan kunnen tonen dat de betreffende norm niet voor jou van toepassing is.

bzuidgeest @The Zep Man • 13 maart 2025 13:38

Het zijn aanbevelingen omdat je andere technieken mag kiezen die hetzelfde effect hebben. De eis is een bepaald niveau van veiligheid. Of dat nou doet met een zwaar beveiligde server of een poppetje die een kluis open en dicht doet of zo.

mariomario 13 maart 2025 14:51

Hier staan wel de organisaties die op dit moment zijn aangesloten.

https://mijn.overheid.nl/organisaties/?sort=naam
(80% is gemeentes)

Ik vind dat een wat gekke lijst want hier ontbreekt volgens mij wel het een en andere.
Onder andere twee ziekhuizen waar ik via Digid kan inloggen.

Die sluiten mogelijk aan via een tussenpersoon?

supersnathan94 @mariomario • 13 maart 2025 16:36

Die sluiten mogelijk aan via een tussenpersoon?

leverancier van het zorgportaal? Meestal is dit niet het ziekenhuis zelf maar een whitelabeler die er een huisstijl op implementeert.

uiltje @supersnathan94 • 13 maart 2025 17:09

Mooie gok, maar die leveranciers zie ik er ook niet tussenstaan. Ik denk dat de volgende remark van @Crashed1987 de spijker op de kop slaat; dit is niet direct een lijst van gebruikers van DigiD hoewel je natuurlijk verwacht dat veel van deze organisaties waarschijnlijk wel met DigiD werken.

[Reactie gewijzigd door uiltje op 14 maart 2025 09:33]

supersnathan94 @uiltje • 14 maart 2025 02:46

Oooh ja dat klinkt wek heel aannemelijk. Had niet heel erg verder gekeken dan alleen het bericht maar als ik de link zo zie dat is dat heel aannemelijk ja.

Crashed1987

@mariomario • 13 maart 2025 16:39

Dit is ook een lijst met organisaties die op MijnOverheid zijn aangesloten, niet een lijst van organisaties die een DigiD koppeling hebben.

DukeMan @mariomario • 13 maart 2025 18:28

MijnOverheid en Digid worden beide ontwikkelt door Logius, maar aansluiting op beide diensten staat los van elkaar.

nonzzz @mariomario • 20 maart 2025 13:59

-lamaar-

[Reactie gewijzigd door nonzzz op 20 maart 2025 13:59]

Zebby 13 maart 2025 14:04

Ik mag er ook weer aan. Altijd een hele bak werk te verrichten, maar ergens fijn dat het verplicht wordt I guess.

Klauwhamer @Zebby • 13 maart 2025 19:37

De DigiD-audits die ik gedaan heb in het verleden waren vooral lastig om logistiek rond te krijgen waarbij vooral overheid een stroperige partij is die tamelijk laks denkt over deadlines (voor Logius) en het werk dat de auditors hebben vóór die deadline, zeker als daar nog een derde partij bij zit (hosting) met eisen en wensen als het gaat om (bewaren van) evidence. Technisch gezien was het allemaal vrij eenvoudig -- wat ook eigenlijk niet anders kan als je 't huis aantoonbaar op orde hebt en een beetje gevoel hebt voor wat auditors willen zien.

[Reactie gewijzigd door Klauwhamer op 13 maart 2025 19:38]

Zebby @Klauwhamer • 13 maart 2025 21:19

Ik doe het nu al een jaar of 5-6, grotendeels met dezelfde auditors van onze klanten (wij zijn een onderaannemer, maar wel de primair aangesloten partij) dus ik lever elk jaar hetzelfde lijstje aan maar dan vernieuwd. Dit jaar weer anders, want over naar managed kubernetes, dus nu zit ik inderdaad met 'hoe bewijs ik dat onze leverancier doet aan logscanning' bijvoorbeeld.
Technisch is het inderdaad niks nieuws onder de zon.

Klauwhamer @Zebby • 13 maart 2025 21:37

De auditors waar wij mee te maken hadden wisselden na 2x van team, om "oude jongens krentenbrood" te voorkomen. Dat vind ik nog steeds by far de beste manier van werken. Houdt iedereen scherp. Wij hadden trouwens de gewoonte om bij hosting langs te gaan voor deze audit, waarbij zíj mensen beschikbaar stelden. Dure operatie, maar ja. Niet mijn rekening

ZeromaNoiS 13 maart 2025 14:11

Je moet je zaken behoorlijk slecht op orde hebben wil je die aansluiting verliezen. Ik begeleid zelf al meerdere jaren DigiD audit's bij klanten, en als er iets niet voldoet dan krijg je altijd de kans om het te fixen.

graceful @ZeromaNoiS • 13 maart 2025 14:18

Yup. Dat is echt bijzonder.

TomONeill 13 maart 2025 14:05

Jammer dat het bericht niet zegt welke 14 dat dan zijn. Had ik graag willen weten!

Renoir @TomONeill • 13 maart 2025 15:44

Misschien ook wel fijn dat ze niet melden bij welke dienstverleners de veiligheid niet voldoet.

Mushroomician @Renoir • 13 maart 2025 22:55

Zeker fijn als je daar jouw gegevens hebt staan. Wat niet weet wat niet deert, hé?

Renoir @Mushroomician • 13 maart 2025 23:28

Ja en juist daarom wil kk liever niet dat ze het aan de grote klok hangen.

Renoir @Mushroomician • 14 maart 2025 17:05

Wat een kulreactie. Het is niet kop in het zand steken. Het is niet aan logius om te zeggen bij welke dienstverleners de audit niet ok is. Het is aan logius om de stekker uit het digid-stopcontact te trekken, meer niet. En nee ik vind het niet verstandig om op het internet te gooien welke (semi)publieke dienstverleners het niet op orde hebben.

Met je quantemgebeuren.

Erwin @TomONeill • 13 maart 2025 14:25

Je zou als schrijver van dit artikel wat onderzoek kunnen doen inderdaad.

rbr320 @Arckedo • 13 maart 2025 13:39

Ja dit lijkt me inderdaad zeker nieuwswaardig. Wel vind ik het jammer dat er weinig details in het bericht staan, zoals om welke diensten of dienstverleners het gaat en welke maatregelen er getroffen hadden moeten worden. Maar daar kan de redactie van Tweakers weinig aan doen, de bron geeft deze details gewoon niet.

FL_ @rbr320 • 13 maart 2025 13:51

Een gedeelte zou gevonden kunnen worden met (de opvolger van) WOB-verzoek, zoals ook bij Logius zelf gedaan is: https://www.rijksoverheid...id-assessment-rapportages

Skamba @FL_ • 13 maart 2025 13:56

He, dat is mijn WOB

Grappig om die jaren later weer terug te zien.

Noxious @rbr320 • 13 maart 2025 13:52

Ik vermoed dat het iets te maken heeft met het verzwaarde normenkader waarbij er ook 'toetsing op werking' door de auditor is op U/TV.01; U/WA.02; C.07; C.08 en C.09 vanaf dit jaar.

Dat gaat specifiek over:
U/TV.01 De inzet van identiteit- en toegangsmiddelen levert betrouwbare en effectieve mechanismen voor het vastleggen en vaststellen van de identiteit van gebruikers, het toekennen van de rechten aan gebruikers, het controleerbaar maken van het gebruik van deze middelen en het automatiseren van arbeidsintensieve taken.

U/WA.02 Het webapplicatiebeheer is procesmatig en procedureel ingericht, waarbij geautoriseerde beheerders op basis van functieprofielen taken verrichten.

C.07 De loggings- en detectie-informatie (registraties en alarmeringen) en de condities van de beveiliging van ICT-systemen worden regelmatig gemonitord (bewaakt, geanalyseerd) en de bevindingen gerapporteerd.

C.08 Wijzigingenbeheer is procesmatig en procedureel zodanig uitgevoerd dat wijzigingen in de ICT-voorzieningen van webapplicaties tijdig, geautoriseerd en getest worden doorgevoerd.

C.09 Patchmanagement is procesmatig en procedureel, ondersteund door richtlijnen, zodanig uitgevoerd dat laatste (beveiligings)patches tijdig zijn geïnstalleerd in de ICT-voorzieningen.

sniker @Noxious • 13 maart 2025 13:57

Zoals het artikel al zegt gaat het om bevindingen van de audit van vorig jaar die tot op heden niet opgelost zijn. Dus gewijzigde normen vanaf dit jaar zullen hier nu nog geen rol inspelen.

Noxious @sniker • 13 maart 2025 14:01

Ah overheen gelezen, goed punt inderdaad. Al was het ook zo dat je vrijwillig deze punten al kon meenemen in je audit vorig jaar; en dan zou het logisch zijn om nu afgesloten te worden als je ze vorig jaar niet haalde en nu moet verlengen.

In mijn ervaring gaat het afsluiten na een gefaalde audit normaal namelijk wel wat sneller dan een jaar (al kun je onder sommige omstandigheden uitstel aanvragen).

Zwieber @Noxious • 13 maart 2025 14:20

Ik denk dat deze audits nog te maken hadden met vorige normen. U/WA.05, U/PW.03, U/PW.05 en C.09 zijn een aantal die ik nog tegen kwam in een verslag van vorig jaar.

Noxious @Zwieber • 13 maart 2025 14:25

Deze waren al eerder meen ik. Voor U/PW.03 was de harde dealine 1 mei 2024 bijvoorbeeld, daar heb ik toevallig veel mee te maken gehad

Ook de andere zijn al een stuk ouder maar het verschil bij C.09 is dat de auditor ook op de werking van het proces toetst.

wow7 @rbr320 • 13 maart 2025 13:49

Vind het zelf ook rampzalig dat er niet verwezen word welke diensten , maar kijkende naar de belachelijke koste voor een audit tussen de € 2300 en € 9500 dan verwacht je ook dat de burger geïnformeerd word welke bedrijven hier dus niet aan voldoen of simple weg niet de audit doorstaan.

Maar lezende het zijn dus instanties die BSN nummer op mogen vragen , dus er zullen er enkele tussen zitten die of bij de overheid zijn aangesloten of instanties zoals onderwijs , ggz enzovoorts.

DigitalExorcist @Arckedo • 13 maart 2025 13:46

Zeker wel ja!

Op dit item kan niet meer gereageerd worden.

Logius sluit 14 dienstverleners af van DigiD na veiligheidsaudit

Lees meer

IT-banen

Reacties (43)

Sorteer op:

Weergave: