Post on 04-Aug-2020
Vereniging van Nederlandse Gemeenten
Handreiking
Opstellen collegeverklaring ENSIA 2018
Versie 2.0
1 VNG Realisatie
VNG Realisatie
Nassaulaan 12
2514 JS Den Haag
Versie 2.0 Januari 2019
Versie Datum Aanpassing
1.0 16 januari 2019
2.0 17 januari 2019 Toevoegingen in paragraaf 4.1.4, 4.1.5 en 4.1.6 bij reikwijdte in de
collegeverklaring.
2 VNG Realisatie
Inhoud
1. Inleiding ..................................................................................................................................... 3
2. Checklist voor uploaden ............................................................................................................ 4
3. Instructie .................................................................................................................................... 5
3.1. Passend format kiezen en genereren vanuit ENSIA ...................................................... 5
3.2. Structuur en opbouw ....................................................................................................... 6
4. De collegeverklaring .................................................................................................................. 7
4.1. Reikwijdte verklaring ....................................................................................................... 7
4.2. Verklaring college ............................................................................................................ 8
4.3. Samenvattend beeld ..................................................................................................... 10
4.4. Ondertekening ............................................................................................................... 10
5. Bijlage DigiD ............................................................................................................................ 11
5.1. Leverancier & TPM gegegevens ................................................................................... 11
5.2. Alles in eigen beheer: geen leverancier & geen TPM ................................................... 12
5.3. Tabel met uitkomsten van de zelfevaluatie DigiD ......................................................... 13
6. Bijlage Suwinet ........................................................................................................................ 16
6.1. Gebruik van Suwinet ..................................................................................................... 16
6.2. Gebruik van Suwinet zonder samenwerkingsverband(en) ........................................... 16
6.3. Gebruik van Suwinet met samenwerkingsverband(en) ................................................ 16
6.4. Gebruik van Suwinet voor Suwi-taken .......................................................................... 17
6.5. Gebruik van Suwinet voor niet-Suwi taken ................................................................... 17
6.6. Gebruik van Suwinet voor niet-Suwi taken: voorbeeld RMC & gerechtsdeurwaarders 18
6.7. Normnaleving ................................................................................................................ 18
6.8. Normnaleving bij tekortkomingen Participatiewet ......................................................... 18
6.9. Normnaleving bij tekortkomingen bij niet-Suwi-taken ................................................... 19
3 VNG Realisatie
1. Inleiding
Deze handreiking is opgesteld ter ondersteuning bij het verantwoordingsproces ENSIA. De
handreiking heeft betrekking op het opstellen van de collegeverklaring ENSIA 2018. De
collegeverklaring betreft de uitkomsten van de zelfevaluatie ENSIA voor assessmentplichtige DigiD
aansluitingen en het gebruik van Suwinet.
De collegeverklaring is een uitzonderingsrapportage: er wordt uitgegaan van het voldoen aan de
onderliggende normenkaders. Indien er sprake is van een tekortkoming, dan wordt hier dit
aangegeven in de collegeverklaring. De bijlagen bij de collegeverklaring bevatten de details.
De verklaring wordt gebruikt als verantwoordingsdocument voor het ministerie van SZW (via BKWI)
en het ministerie van BZK (via Logius). Dit document vormt de basis voor de uit te voeren IT-audit.
Het format is vormvast. Dit betekent dat er geen ruimte is voor aanvullingen en/of aanpassingen in
het format. Wanneer u een format genereert uit ENSIA, ziet u dat dit format wordt voorafgegaan
door een invulinstructie. Deze handreiking is uitgebreider. Er is een aantal uitwerkingen en
voorbeelden opgenomen. Verder is de handreiking voorzien van schermafdrukken uit de ENSIA-
tool.
In deze instructie zijn daarnaast voorbeelden van fictief ingevulde collegeverklaringen opgenomen.
Ook vindt u in de handreiking een handige checklist.
Heeft u aanvullende vragen, neemt u dan contact op met VNG Realisatie. De procesbegeleiders
beantwoorden uw aanvullende vragen.
Situatie voorbeeld gemeente
In deze handreiking wordt gebruikgemaakt van een fictieve gemeente Het Zand. Gemeente Het
Zand neemt deel in een GR, sociale dienst ‘Snel naar Werk’. Zij hebben één assessmentplichtige
DigiD-aansluiting voor burgerzaken. De infra (hosting) wordt door de gemeente zelf uitgevoerd; de
applicatie is van leverancier ‘Beste Software’. De belastingen worden geïnd via een
gemeenschappelijke regeling. De gedelegeerde gerechtsdeurwaarders maken geen gebruik van
Suwinet. De afdeling burgerzaken maakt ook geen gebruik van Suwinet voor adresonderzoek.
Gemeente Het Zand is geen RMC-contactgemeente.
4 VNG Realisatie
2. Checklist voor uploaden
Het afgelopen jaar heeft er veel herstelwerk plaatsgevonden op vormvereisten van de
verantwoordingsdocumenten. Dat is de reden dat deze checklist vooraan in dit document is
opgenomen. Checkt u onderstaande punten nog even voordat u de documenten uploadt in de
tooling?
o In de collegeverklaring zijn geen normen opgenomen. Voor eventuele afwijkingen voor
DigiD en/of Suwinet, dient in de collegeverklaring te worden opgenomen dat er afwijkingen
zijn, maar niet welke afwijkingen of voor welke normen. Deze details worden opgenomen in
de bijlagen bij de collegeverklaring (bijlage 1 voor DigiD en bijlage 2 voor Suwinet).
o Corresponderen de leveranciers in de DigiD-bijlage (leverancier 1, 2) met de vertaling naar
de grote tabel waarin de totaal resultaten zijn verwerkt?
o De collegeverklaring is voorzien van een datum.
o De collegeverklaring is getekend door het college.
o De collegeverklaring en de bijlage(n) zijn elk voorzien van een handtekening of paraaf van
de auditor.
o De collegeverklaring en de bijlage(n) zijn elk voorzien van een gemeentelijk kenmerk.
o Het kenmerk van het assurancerapport van de auditor is opgenomen in de DigiD-bijlage.
o Alle documenten (de collegeverklaring en de bijlage(n)) zijn voorzien van een waarmerk
van de auditor, dat leesbaar is in een witte ruimte, niet over tekst/briefhoofden heen.
o De auditor heeft u voorzien van de volgende set gewaarmerkte op zichzelf staande
documenten in PDF/A:
o Collegeverklaring
o Bijlage Suwinet
o Bijlage DigiD
o Assurancerapport
5 VNG Realisatie
3. Instructie
3.1. Passend format kiezen en genereren vanuit ENSIA
Er zijn 3 formats beschikbaar:
1. Collegeverklaring DigiD en Suwinet
2. Collegeverklaring DigiD (gemeente hoeft zich niet te verantwoorden over Suwinet)
3. Collegeverklaring Suwinet (gemeente beschikt niet over assessmentplichtige DigiD-
aansluiting(en)).
U kunt het juiste format genereren vanuit het tabblad ‘Rapporten’ in de ENSIA-tool.
6 VNG Realisatie
Wanneer u via de lijst ENSIA-zelfevaluatie – Informatieveiligheid BIG 2018 de collegeverklaring wilt
downloaden, dan vindt u hier de volgende twee varianten:
1. Collegeverklaring DigiD en Suwinet1
2. Collegeverklaring Suwinet
Wanneer u de collegeverklaring via de lijst ENSIA-zelfevaluatie - DigiD assessment 2018 wilt downloaden, dan vindt u hier de volgende varianten:
1. Collegeverklaring DigiD en Suwinet 2
2. Collegeverklaring DigiD.
3.2. Structuur en opbouw
De formats zijn voorzien van een instructie. De instructie tekst maakt geen onderdeel uit van de
collegeverklaring. U verwijdert deze als onderdeel van de collegeverklaring.
Alle formats zijn opgebouwd met de collegeverklaring en separate bijlage(n) voor DigiD en/of
Suwinet. Een aantal velden is vooraf ingevuld. Dit betreft de gemeentenaam, de naam van de
DigiD-koppeling en het aansluitnummer. Deze velden komen op verschillende plaatsen terug in de
formats.
1 en 2 : Dit betreft hetzelfde format.
7 VNG Realisatie
4. De collegeverklaring
In de collegeverklaring zijn twee tabellen opgenomen. De eerste tabel betreft een tabel die ingevuld
wordt door zowel de gemeente als de IT-auditor van de gemeente. De handtekening of paraaf van
de auditor verbindt alle documenten met elkaar.
Vanuit de te downloaden collegeverklaring ziet de tabel er als volgt uit:
Gemeentelijk kenmerk collegeverklaring
Suwinet:
Naam auditfirma:
Naam auditor:
Datum: Handtekening auditor of paraaf auditor
Een correct ingevuld voorbeeld ziet er als volgt uit:
Gemeentelijk kenmerk collegeverklaring
Suwinet:
HZND12393089.00
Naam auditfirma: UZKB B.V.
Naam auditor: Mevr. J. Pietersen
Datum:
31 maart 2019
Handtekening auditor of paraaf auditor
4.1. Reikwijdte verklaring
In de reikwijdte van de verklaring wordt de scope van de collegeverklaring toegelicht. Er wordt
aangegeven waarover de verklaring wordt afgelegd: Suwinet en/of DigiD. En dat het over opzet en
bestaan van de normen gaat en niet over de werking. De peildatum is 31 december 2018.
8 VNG Realisatie
4.1.1. DigiD
Voor DigiD wordt aangegeven dat de toetsing van de normen door DigiD-leveranciers buiten scope
geplaatst zijn. Ofwel: er wordt geen verklaring afgelegd over een aangeleverde TPM van een DigiD-
leverancier. Dat is ook de reden dat een TPM van een leverancier meegestuurd moet worden naar
Logius. Ook al maakt u als gemeente geen gebruik van een DigiD-leverancier (in het geval alles in
eigen beheer wordt ontwikkeld en beheerd), dan nog blijft de tekst over de rol van leveranciers
opgenomen in de verklaring. In de bijlage DigiD vult u in dat u een leverancier ‘niet van toepassing
is’. De reden is dat het niet noemen van een leverancier andere informatie geeft dan aangeven dat
u geen gebruik maakt van een leverancier. Het sluit het nadrukkelijker uit.
4.1.2. Suwinet
In de collegeverklaring wordt met betrekking tot Suwinet aangegeven of er al dan niet sprake is van
het uitbesteden van diensten. U maakt een keuze op basis van de onderstaande tekst uit het
format:
4.1.3. Suwinet zonder uitbesteding van diensten
In het geval er niet van Suwinet gebruik wordt gemaakt door externe partijen neemt u de volgende
tekst op in de collegeverklaring:
4.1.4. Suwinet met uitbesteding van diensten door een samenwerkingsverband
In het geval dat er gebruik wordt gemaakt van Suwinet door externe partijen neemt u de volgende
tekst op in de collegeverklaring:
4.1.5. Suwinet met uitbesteding van diensten aan een andere gemeente
In het geval dat Suwinet-taken zijn uitbesteed aan een andere gemeente neemt u de volgende tekst
op in de collegeverklaring:
[[Indien in het kader van Suwinet geen sprake is van samenwerking dan opnemen: [Inzake Suwinet heeft deze collegeverklaring betrekking op de beheersingsmaatregelen van de gemeente.]]
[[Indien wel sprake is van samenwerking bij Suwinet:[Inzake Suwinet heeft deze collegeverklaring zowel betrekking op de beheersingsmaatregelen van de gemeente als op die van de uitbestede diensten aan [naam samenwerkingsverband[en] [en] [of] [andere gemeente].]]
Inzake Suwinet heeft deze collegeverklaring betrekking op de beheersingsmaatregelen van de gemeente.
Inzake Suwinet heeft deze collegeverklaring zowel betrekking op de beheersingsmaatregelen van de gemeente als op die van de uitbestede diensten aan Sociale Dienst Snel naar Werk.
Inzake Suwinet heeft deze collegeverklaring zowel betrekking op de beheersingsmaatregelen van de gemeente als op die van de uitbestede diensten aan gemeente Buurgemeente.
9 VNG Realisatie
4.1.6. Suwinet met uitbesteding van diensten door een samenwerkingsverband én een
andere gemeente
In het geval dat Suwinet-taken zijn uitbesteed aan een andere gemeente neemt u de volgende tekst
op in de collegeverklaring:
4.2. Verklaring college
In dit onderdeel wordt opgenomen of aan de beheersingsmaatregelen wordt voldaan of niet. In dit
onderdeel neemt u geen specifieke afwijkingen of normen op: alleen of de gemeente voldoet of niet.
Een uitwerking op normniveau neemt u op in de bijlage. Op deze wijze komen geen details bij
verkeerde stelselhouders terecht. De informatie dat een gemeente wel/niet voldoet aan Suwinet
en/of DigiD, wordt als interdepartementaal vertrouwelijk bestempeld. Op basis van de uitkomsten
van de zelfevaluatie maakt u een keuze uit het format. In dit voorbeeld wordt uitgegaan van
verantwoording over zowel Suwinet als DigiD. U gebruikt onderstaande basistekst:
4.2.1. Voldoen aan alle normen
4.2.2. Voldoen aan Suwinet, niet aan DigiD
4.2.3. Niet voldoen aan Suwinet, wel aan DigiD
[[Indien volledig wordt voldaan aan de normen: [Het college verklaart dat bij gemeente Het Zand op 31 december 2018 de beoogde en ingerichte beheersingsmaatregelen voldoen aan de geselecteerde normen inzake DigiD en Suwinet.]]
[[Bij uitzonderingen: [Het college verklaart dat voor [DigiD] [en] [Suwinet] niet aan alle geselecteerde normen wordt voldaan. De op de uitzonderingen gerichte beheersmaatregelen zijn in [een] verbeterplan[nen] opgenomen, zijn belegd en worden gemonitord.]]
Het college verklaart dat bij gemeente Het Zand op 31 december 2018 de beoogde en ingerichte beheersingsmaatregelen voldoen aan de geselecteerde normen inzake DigiD en Suwinet.
Het college verklaart dat voor DigiD] niet aan alle geselecteerde normen wordt voldaan. De op de uitzonderingen gerichte beheersmaatregelen zijn in een verbeterplan opgenomen, zijn belegd en worden gemonitord.
Het college verklaart dat voor [Suwinet niet aan alle geselecteerde normen wordt voldaan. De op de uitzonderingen gerichte beheersmaatregelen zijn in een verbeterplan opgenomen, zijn belegd en worden gemonitord.
Inzake Suwinet heeft deze collegeverklaring zowel betrekking op de beheersingsmaatregelen van de gemeente als op die van de uitbestede diensten aan Sociale Dienst Snel naar Werk en gemeente Buurgemeente.
10 VNG Realisatie
4.2.4. Niet voldoen aan Suwinet en niet voldoen aan DigiD
4.3. Samenvattend beeld
U past het samenvattend beeld aan uw situatie aan. In het fictieve voorbeeld van de gemeente Het
Zand is er sprake van 1 assessmentplichtige DigiD-aansluiting en verantwoording Suwinet (P-wet)
door de Gemeenschappelijke Sociale Dienst. Zowel de belastingdeurwaarders als burgerzaken
maken geen gebruik van Suwinet (niet-Suwi-taken). In het voorbeeld is uitgegaan van voldoen aan
de DigiD-beheersingsmaatregelen. Er wordt niet voldaan aan de Suwi-normen.
De tabel toont na aanpassing als volgt:
4.4. Ondertekening
Bij vaststelling van de collegeverklaring wordt deze ondertekend onder vermelding van plaatsnaam
en de datum.
Het college verklaart dat voor DigiD en Suwinet niet aan alle geselecteerde normen wordt voldaan. De op de uitzonderingen gerichte beheersmaatregelen zijn in verbeterplannen opgenomen, zijn belegd en worden gemonitord.
11 VNG Realisatie
5. Bijlage DigiD
Voor elke DigiD-aansluiting waarover u zich verantwoordt neemt u een bijlage DigiD op bij de
collegeverklaring. De gehele bijlage DigiD krijgt één separaat kenmerk. De verschillende bijlagen
houden dezelfde titel ‘Bijlage 1 DigiD bij collegeverklaring ENSIA’. U ziet in de nummering dat per
DigiD-aansluiting een volgnummer is opgenomen in de titel (1), (2), etc.
U kent één kenmerk toe voor de gehele DigiD-bijlage en vult de eerst tabel aan met de benodigde
gegevens.
5.1. Leverancier & TPM gegevens
Op de eerste pagina van de bijlage DigiD zijn standaard twee tabellen opgenomen. In deze tabellen
geeft u de informatie op over de leveranciers en de gegevens van de TPM. Deze informatie heeft u
opgegeven in de DigiD-vragenlijst bij de ‘Algemene vragen’ van de aansluiting. De naam
‘leverancier 1’, ‘leverancier 2’, corresponderen hierna met de grote tabel waarin de uitkomsten van
de zelfevaluatie zijn opgenomen. U gaat op de volgende wijze om met de tabellen:
Bij uitbestede diensten aan één leverancier verwijdert u de tweede tabel.
Bij uitbestede diensten aan meer dan twee leveranciers voegt u eenzelfde tabel toe.
Wanneer u alles in eigen beheer uitvoert (geen leverancier), dan laat u de eerste tabel in
het document staan en vult u ‘niet van toepassing in’. De tweede tabel verwijdert u.
12 VNG Realisatie
Voor de fictieve gemeente Het Zand, met één leverancier voor de applicatie, komt dit onderdeel uit
de DigiD bijlage er als volgt uit te zien (zie volgende pagina):
5.2. Alles in eigen beheer: geen leverancier & geen TPM
Wanneer u alles in eigen beheer uitvoert (geen leverancier), dan laat u de eerste tabel in het
document staan en vult u ‘niet van toepassing in’. De tweede tabel verwijdert u. Het resultaat ziet er
als volgt uit:
13 VNG Realisatie
Zowel in de collegeverklaring als in de bijlage DigiD wordt in de vaste tekst een uitspraak over
leveranciers gedaan. Dat is ook de reden dat u hier invult dat dit niet van toepassing is, wanneer de
DigiD-koppeling geheel in eigen beheer wordt gebouwd en gehost. De opname van informatie over
leveranciers in de situatie komt wellicht wat overbodig over. Vanuit auditperspectief heeft deze
informatie een andere lading: het weglaten van informatie over leveranciers is andere informatie
dan aangeven dat je er geen hebt door middel van de ‘niet van toepassing’ verklaring.
5.3. Tabel met uitkomsten van de zelfevaluatie DigiD
In de inleidende tekst naar de tabel met de uitkomsten van de zelfevaluatie is in tekst aangegeven
dat het de rol van de auditor is om te toetsen of de zelfevaluatie in combinatie met de TPM(s) van
leverancier(s) gezamenlijk het normenkader afdekt. In deze alinea voert de auditor ook het kenmerk
in van het assurancerapport. U ontvangt dit kenmerk van uw auditor.
De overzichtstabel ziet er na het downloaden een beetje rommelig uit. Dit heeft te maken met het
vertalen van het gegenereerde Word document naar uw standaardinstellingen.
14 VNG Realisatie
U past de tabel aan naar uw situatie. In het voorbeeld van de gemeente Het Zand is er sprake van
één leverancier. De tabel toont dan als volgt:
U neemt hierna de uitkomsten op in de tabel. De tabel met de uitkomsten uit de zelfevaluatie vult u
met de juiste antwoorden vanuit de zelfevaluatie. Deze bestaat uit ‘voldoet’ of ‘voldoet niet’. U vult
een cel grijs op wanneer de norm niet van toepassing is bij de gemeente of indien de norm niet van
toepassing is op een leverancier. De laatste kolom geeft het totaal oordeel met een ‘voldoet’ of
‘voldoet niet’ antwoord. De tabel ziet er voor het fictieve voorbeeld met 1 leverancier als volgt uit:
Uitkomst ‘voldoet niet’
Indien bij een norm in enige cel de uitkomst 'voldoet niet' is, kan het totaal oordeel nooit tot een
positief totaal oordeel leiden: het antwoord is dan altijd 'voldoet niet'.
15 VNG Realisatie
Ook het overzicht met de toelichting op de normen ziet er onevenredig verdeeld uit.
U kunt de kolomverdeling aanpassen, indien u dit wenst. Dat scheelt ruimte.
16 VNG Realisatie
6. Bijlage Suwinet
De bijlage Suwinet start met een tabel met ruimte voor het opnemen van kenmerken en gegevens
van de auditor. Zie pagina 7 voor verdere instructie. Indien u geen verantwoording aflegt over
DigiD, dan hernoemt u deze bijlage tot bijlage 1 Suwinet bij de collegeverklaring ENSIA.
6.1. Gebruik van Suwinet
In dit onderdeel geeft u aan of u al dan niet gebruikmaakt van uitbestede diensten voor Suwinet.
6.2. Gebruik van Suwinet zonder samenwerkingsverband(en)
6.3. Gebruik van Suwinet met samenwerkingsverband(en)
Onderwerp van de verklaring is het gebruik van Suwinet. Suwinet wordt [wel] [niet] in
samenwerkingsverbanden gebruikt. [[Indien ‘wel’: [Het gebruik van Suwinet door
samenwerkingsverbanden valt binnen de reikwijdte van de verklaring.]]
Onderwerp van de verklaring is het gebruik van Suwinet. Suwinet wordt niet in
samenwerkingsverbanden gebruikt.
Onderwerp van de verklaring is het gebruik van Suwinet. Suwinet wordt wel in
samenwerkingsverbanden gebruikt. Het gebruik van Suwinet door samenwerkingsverbanden valt
binnen de reikwijdte van de verklaring.
17 VNG Realisatie
6.4. Gebruik van Suwinet voor SUWI-taken
Het format ziet er als volgt uit:
U past dit aan naar de omstandigheden. Voor de gemeente Het Zand zou dit er als volgt uitzien:
6.5. Gebruik van Suwinet voor niet-SUWI taken
In de tabel zijn keuzes aangegeven. ‘Binnen de gemeente’ gebruikt u als keuze wanneer de
werkzaamheden niet zijn uitbesteed. De tabel ziet er in het format als volgt uit:
De gemeente Het Zand maakt geen gebruik van Suwinet voor niet-SUWI taken. Voor de gemeente
Het Zand zou deze tabel als volgt ingevuld worden:
18 VNG Realisatie
6.6. Gebruik van Suwinet voor niet-SUWI taken: voorbeeld RMC &
gerechtsdeurwaarders
In het geval voor uw gemeente gebruik gemaakt wordt van Suwinet door de gemeentelijk
gerechtsdeurwaarders, dan is een fictief voorbeeld als volgt:
6.7. Normnaleving
Onder de kop ‘Normnaleving’ kiest u voor de passende uitkomst. Indien uw situatie ‘Zoals in de
collegeverklaring vermeld, voldoen de interne beheersmaatregelen inzake Suwinet op 31 december
2018 in opzet en bestaan aan de geselecteerde normen’ is, dan verwijdert u de beide tabellen.
Indien de uitkomst van de zelfevaluatie leidt tot ‘Met uitzondering van de volgende normen voldoen
de interne beheersingsmaatregelen voor de SUWI-taken op 31 december 2018 in opzet en bestaan
aan alle geselecteerde normen’, dan vult u de beide tabellen aan met de gevraagde informatie.
Wanneer de gemeente volledig voldoet, ziet de bijlage Suwinet voor het onderdeel Normnaleving er
op de volgende wijze uit:
U verwijdert alle tekst en tabellen. U houdt bovenstaande tekst over.
6.8. Normnaleving bij tekortkomingen Participatiewet
U neemt de tabel voor SUWI-taken op in de bijlage Suwinet. De combinatie van de BIG-vraag en
het SUWI-nummer van de norm kunt u gemakkelijk terugvinden in het keuzehulpinstrument op de
ENSIA-site van VNG Realisatie.
19 VNG Realisatie
6.9. Normnaleving bij tekortkomingen bij niet-SUWI-taken
In onderstaand voorbeeld is de situatie weergeven waarbij er één overtreding is geconstateerd bij
bevraging bij burgerzaken.