Controleverklaring

Doel en achtergrond verklaring
De voorzieningen die we als gemeente voor DigiD en Suwinet hebben, moeten beveiligd zijn tegen
onrechtmatig gebruik. De gemeente treft (beheers)maatregelen om veilig gebruik te maken van deze
voorzieningen.

Met deze verklaring geven wij, het College van Burgemeester en Wethouders, aan in welke mate de
gemeente voldoet aan de informatiebeveiligingsnormen voor DigiD en Suwinet. Deze verklaring maakt
onderdeel uit van de verantwoording over informatiebeveiliging middels ENSIA¹ en is tot stand
gekomen door een zelfevaluatie over informatiebeveiligingsnormen gebaseerd op de door de
toezichthouder geselecteerde eisen uit de Baseline Informatiebeveiliging Overheid voor Suwinet en
het Normenkader 3.0 voor DigiD. De inhoud van deze collegeverklaring is getoetst door een
onafhankelijke IT-auditor.

Deze verklaring is bestemd voor de toezichthouders van DigiD en Suwinet, te weten Logius en het
Ministerie van Sociale Zaken en Werkgelegenheid via het Bureau Keteninformatie Werk en Inkomen
(BKWI) alsmede de stelselhouders: het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en
het ministerie van Sociale Zaken en Werkgelegenheid.

Reikwijdte en diepgang verklaring
De toegang die we als gemeentelijke organisatie voor DigiD en Suwinet hebben, moet beveiligd zijn
tegen onrechtmatig gebruik. Hiervoor stellen de stelselhouders een aantal
informatiebeveiligingsnormen verplicht. De gemeentelijke organisatie moet beheersmaatregelen
treffen om te voldoen aan deze gestelde normen en gebruik te mogen (blijven) maken van deze
voorzieningen.

De toetsing van de IT-auditor gaat over de opzet en het bestaan van deze beheersingsmaatregelen
om te kunnen voldoen aan de relevante beveiligingsnormen voor DigiD en Suwinet op 31 december
2023. Voor DigiD wordt het door Logius vastgestelde DigiD-normenkader 3.0 gehanteerd; voor
Suwinet de Verantwoordingsrichtlijn GeVS 2022 (actuele versie) die ten behoeve van ENSIA nader is
uitgewerkt in de ENSIA Suwinet-guidance.

De door de gemeente uitbestede beheersingsmaatregelen inzake DigiD en Suwinet zijn getoetst door
een onafhankelijke IT-auditor van de externe dienstverlener. Hiervan hebben wij als gemeente een
auditrapport ontvangen.

Collegeverklaring en samenvattend beeld van de auditbevindingen

Verklaring / Conclusie
Het college van Burgemeester en Wethouders van de gemeente Buren verklaart dat de gemeentelijke
organisatie op 31 december 2023 voldoet aan alle geselecteerde normen inzake DigiD en Suwinet.

Het college verklaart dat bij gemeente Buren op 31 december 2023 de beheersingsmaatregelen (in opzet en bestaan) voldoen aan de geselecteerde normen inzake DigiD en Suwinet.

Samenvattend beeld
Deze collegeverklaring en de verantwoording van de externe dienstverlener(s) dekken tezamen de
beveiligingsnormen inzake DigiD en Suwinet af. Het detailoverzicht van normen en of we hier als
gemeente aan voldoen, is opgenomen in de volgende bijlagen:

• Bijlage 1A DigiD met kenmerk D.177539
• Bijlage 1B DigiD met kenmerk D.177543
• Bijlage 2 Suwinet met kenmerk D.177534

College van Burgemeester & wethouders gemeente Buren
Maurik 26-03-2024

¹ ENSIA ondersteunt de gemeente bij de verantwoording over informatiebeveiliging richting de gemeenteraad en de rijksoverheid. ENSIA gaat uit van de Baseline Informatiebeveiliging Overheid (BIO), alsmede van informatiebeveiligingsnormen vanuit Basisregistratie Personen (BRP), wet- en regelgeving reisdocumenten (PUN, PNIK), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO), de Gezamenlijke Elektronische Voorzieningen Structuur uitvoeringsorganisatie Werk en Inkomen (GeVS/Suwinet).