Regeling dienstverleners informatieveiligheidsaudits Wdo

Reactie

Vraag1

In de toelichting wordt gezegd:
“Deze audits moeten als gevolg van deze regeling betrekking hebben op de technische inrichting van een webapplicatie die wordt gebruikt om toegang te geven tot elektronische dienstverlening.”

In het kader van DigiD was heel duidelijk dat de audit werd gedaan op de systemen waarmee door middel van DigiD toegang wordt verstrekt, inclusief de aanverwante infrastructuur. In dit geval is ons niet duidelijk uit het document wanneer sprake is van een “elektronische dienstverlening” die auditplichtig is onder deze regeling: gaat het hier alleen om diensten waar een burger direct zelf op inlogt? Of ook op zakelijke dienstverlening? Ook in de toelichting op pagina 16 wordt alleen verwezen naar diensten die direct aan een burger worden verleend.
De scope lijkt zich dus niet alleen te richten op de toegang van burgers tot online diensten van publieke dienstverleners maar ook de toegang voor ondernemingen/rechtspersonen.
Wij (SVB) gebruiken al eHerkenning wat als erkend inlogmiddel wordt gebruikt Hier geldt ook de Wdo en dus een auditverplichting. Klopt dat en zo ja, vanaf wanneer: zodra de wet in werking treedt of wanneer eHerkenning wordt erkend als bedrijfs- of organisatiemiddel?
Waar daarnaast voor ons verduidelijking op moet komen is of de situatie van de SVB – één DigiD-aansluiting met twee websites/webapplicaties – aangemerkt wordt als één elektronische dienstenomgeving (en één auditverplichting) of twee elektronische dienstenomgevingen (wat betekent twee audits). De artikelgewijze toelichting op artikel 1.1 laat naar onze mening ruimte voor interpretatie.