Als SaaS-leverancier die een platform biedt waarop overheidsorganisaties DigiD-authenticatie aanbieden aan burgers, val je binnen de scope van het DigiD ICT-beveiligingsassessment. Dit is een positie die specifieke uitdagingen met zich meebrengt. Je bent verantwoordelijk voor de technische beveiliging van het platform, maar het DigiD-assessment wordt formeel afgelegd door de organisatie die de DigiD-aansluiting heeft.
De ketenverantwoordelijkheid
Het DigiD assessment beoordeelt de volledige keten: van de webapplicatie waarin de burger inlogt, via de infrastructuur waarop deze draait, tot aan de beheerprocessen. Als SaaS-leverancier ben je onderdeel van die keten. De organisatie met de DigiD-aansluiting moet kunnen aantonen dat jouw platform voldoet aan de beveiligingseisen.
In de praktijk betekent dit dat je als SaaS-leverancier een TPM (Third Party Mededeling) of een vergelijkbaar assurance-document moet kunnen overleggen. Hierin verklaart een onafhankelijke auditor dat de beheersmaatregelen in jouw omgeving effectief zijn. Zonder dit document moet de assessor van je klant jouw omgeving zelf beoordelen, wat kostbaar en tijdrovend is.
Technische eisen voor je platform
De beveiligingseisen voor DigiD-gerelateerde systemen zijn gebaseerd op de ICT-beveiligingsrichtlijnen voor webapplicaties. Voor SaaS-leveranciers zijn de volgende gebieden bijzonder relevant.
Netwerksegmentatie: de DigiD-gerelateerde componenten moeten gescheiden zijn van andere delen van het platform. Niet elke beheerder van het SaaS-platform hoeft toegang te hebben tot de DigiD-koppelingscomponenten.
Versleuteling: alle communicatie met DigiD moet via TLS verlopen met actuele protocolversies en cipher suites. Certificaten moeten tijdig worden vernieuwd en bij voorkeur via certificate pinning worden beveiligd.
Logging: alle DigiD-gerelateerde transacties moeten worden gelogd, inclusief inlog- en uitlogmomenten, foutmeldingen en beheerdershandelingen. Deze logs moeten minimaal zes maanden worden bewaard en beschermd zijn tegen manipulatie.
Kwetsbaarhedenbeheer: je platform moet regelmatig worden gescand op kwetsbaarheden en er moet een gestructureerd patchproces zijn. Kritieke kwetsbaarheden in DigiD-gerelateerde componenten moeten met voorrang worden opgelost.
De multi-tenant uitdaging
Een specifieke uitdaging voor SaaS-leveranciers is de multi-tenant architectuur. Meerdere klanten delen dezelfde infrastructuur, maar elke klant met een DigiD-aansluiting heeft een eigen assessment. De assessor moet kunnen vaststellen dat de beveiligingsmaatregelen van toepassing zijn op de specifieke omgeving van die klant.
Dit vereist dat je als SaaS-leverancier helder kunt documenteren welke beveiligingsmaatregelen op platformniveau zijn getroffen (en dus voor alle klanten gelden) en welke klantspecifiek zijn. Een TPM die dit eenmalig vastlegt, voorkomt dat elke klant een aparte beoordeling van jouw omgeving moet laten uitvoeren.
Voorbereiding
De effectiefste aanpak voor SaaS-leveranciers is om proactief een TPM te laten opstellen. Dit document dient meerdere klanten tegelijk en toont aan dat je de DigiD-beveiliging serieus neemt. Het versterkt je positie bij aanbestedingen en bespaart je klanten tijd en kosten bij hun eigen assessments.
Secure Audit heeft uitgebreide ervaring met DigiD-assessments in SaaS-omgevingen en het opstellen van TPM-documenten voor platformleveranciers. Neem contact op om te bespreken hoe wij kunnen helpen.
Lees ook
Organisaties die DigiD-authenticatie aanbieden moeten jaarlijks een DigiD assessment laten uitvoeren. Lees wat erbij komt kijken.
Logius heeft het ICT beveiligingsassessment DigiD opnieuw aangescherpt. Wat verandert er in 2026 en hoe bereid je je organisatie voor?
Migreer je naar de cloud of draai je er al op? Een cloud security audit beoordeelt of je cloudconfiguratie veilig en compliant is.
Over de auteur
Partner | IT-auditor