Collegeverklaring ENSIA 2017 inzake Informatiebeveiliging DigiD en Suwinet
Het college van burgemeester en wethouders van de gemeente Buren legt met deze verklaring verantwoording af over geselecteerde informatiebeveiligingsnormen inzake DigiD en Suwinet op basis van de Eenduidige Normatiek Single Information Audit (ENSIA) systematiek.

Het doel van ENSIA is om verantwoording over informatieveiligheid af te leggen aan de gemeenteraad. ENSIA sluit aan op de gemeentelijke Planning en controlcyclus voor informatiebeveiliging, neemt de Baseline Informatiebeveiliging Gemeenten (BIG) als uitgangspunt en maakt gebruik van een daarop ingerichte zelfevaluatie. Hierdoor heeft het gemeentebestuur meer overzicht over de informatiebeveiliging van de gemeente en kan het bestuur beter sturen en verantwoording afleggen aan de gemeenteraad en andere belanghebbenden.

Zo structureert ENSIA ook de verticale verantwoording van gemeenten richting de rijksoverheid over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling Nederland (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Gezamenlijke Elektronische Voorzieningen Structuur uitvoeringsorganisatie Werk en Inkomen (GeVS/Suwinet).

Reikwijdte verklaring
Deze verklaring betreft de onderdelen van de ENSIA systematiek waarover assurance wordt gevraagd van een onafhankelijke IT auditor. Voor het jaar 2017 betreft dit DigID (1002555 – gemeente Buren – digitaal loket iBurgerzaken) en Suwinet. De verklaring omvat het op 31 december 2017 in opzet en bestaan voldoen van de beheersingsmaatregelen aan de geselecteerde normen inzake DigiD (Norm ICT-beveiligingsassessments DigiD versie 2.0, op het openbare deel van de websites van het ministerie van BZK¹) en Suwinet (Specifiek Suwinet normenkader Afnemers, versie 1.01 op website BKWI² en bijlage 1 van de notitie Verantwoordingsstelsel op website ENSIA³ voor de selectie van normen). De normen vinden hun basis in internationale standaarden en zijn geschikt voor het doel van deze Collegeverklaring. De Collegeverklaring omvat niet de werking van de maatregelen over 2017.

Deze Collegeverklaring is opgesteld voor de gemeenteraad . De gemeenteraad wordt  via de jaarrekening, via de tweemaandelijkse rapportage of op een andere manier over de ENSIA-resultaten geïnformeerd.

Verklaring college
Het college verklaart dat bij gemeente Buren op 31 december 2017 de interne beheersingsmaatregelen in opzet en bestaan voldoen aan de geselecteerde normen inzake DigID.

Inzake Suwinet voldoen de beheersingsmaatregelen in opzet en bestaan aan 24 van de 26 geselecteerde normen. De uitzondering betreft C.06 en C.07. Deze maatregelen schrijven voor dat de beheerder de Suwinet logging (oftewel de gebruikersrapportage) minimaal halfjaarlijks opvraagt (C.06) en rapporteert (C.07). De auditor heeft geconstateerd dat in 2017 de rapportage één maal heeft plaatsgevonden. De verbetermaatregel is dan ook dat voortaan twee maal per jaar – begin april en begin oktober – de rapportages worden opgevraagd.  Het opvragen, de uitwerking en rapportage aan de concerncontroller zijn geagendeerd.  

Maurik,  24 april 2018             

Burgemeester en wethouders van de gemeente Buren,
De gemeentesecretaris,                    De burgemeester,

mr. I.P.C. van Wamel-Geene              J.A. de Boer MSc