In december 2024 stond de jaarlijkse DigiD-audit voor de deur bij de beheerafdeling van een onafhankelijk bestuursorgaan. De afdeling merkte dat zij door deze audit werd verrast en vooral reactief handelde. Er ontbrak overzicht over wanneer de audit terugkeerde, waardoor minder tijd beschikbaar was om de benodigde documenten, rapportages en processen te verzamelen. Een ongewenste situatie. Om structuur en overzicht aan te brengen in deze ‘auditchaos’ werd vanuit Bvolve Philippe als procesbeheerder ingeschakeld.
De aanpak
Aan het begin van de opdracht stond de beheerafdeling op het punt de DigiD-audit van 2024 in te gaan. Er speelde veel tegelijk en het belang van overzicht werd al snel duidelijk. Om snel en effectief te kunnen schakelen, fungeerde Philippe als rechterhand van de teamleider. In die rol hield hij het overzicht en droeg hij verantwoordelijkheid voor een goed verloop van het DigiD-auditproces.
Bij een audit moet met documenten, toelichtingen, bewijzen en rapportages worden aangetoond dat normen en bijbehorende beheersmaatregelen correct zijn ingericht. In dit geval betrof dit de DigiD-normen. Eerder werden de benodigde documenten verzameld, maar dit verliep niet altijd soepel doordat onduidelijk was wat precies werd gevraagd. Naast het aantonen van de opzet van de beheersmaatregelen in het beleid en het bestaan ervan in de applicatie, was er dit jaar een extra controlevorm toegevoegd: de werking ervan. Daarbij moest worden aangetoond dat beheersmaatregelen niet alleen zijn vastgelegd, maar ook daadwerkelijk correct worden uitgevoerd. Dit was nieuw en vroeg om aanvullende documentatie. Philippe ondersteunde hierin door overzicht te creëren in alle benodigde documentatie voor deze werkingstoets door middel van de formulierenmatrix waarin al het bewijs werd verzameld. Hierdoor kon het bewijs gestructureerd en tijdig worden aangeleverd.
Naast de werking waren ook documenten nodig voor het aantonen van het bestaan, zoals pentesten en de Data Protection Impact Assesment (DPIA). Een ander belangrijk document was het Functioneel Beheer Handboek. Dit handboek was onvolledig en sloot niet meer aan op de actuele werkwijze. Het moest worden geactualiseerd, aangevuld en verbeterd. Er werd een team van functioneel beheerders samengesteld en Philippe coördineerde dit proces. Door duidelijke afspraken en actieve opvolging wist iedereen wat er van hem of haar werd verwacht. Stap voor stap groeide het handboek uit tot een volledig en actueel document, dat precies op tijd werd opgeleverd.
Om het overzicht te behouden en te borgen dat alle documentatie correct en tijdig werd aangeleverd, nam Philippe de coördinatie van het volledige opleverproces op zich. Er werd structureel contact onderhouden met de verschillende afdelingen, het overzicht werd bewaakt en alle bijlagen, updates en bewijsstukken werden verzameld en in het auditportaal aangeleverd. Dit zorgde voor overzicht en tempo en hield betrokkenen in beweging. Om dit voor de toekomst te waarborgen, creëerde Philippe de ‘Beheerkalender’. Hierin staan alle terugkerende audits, toetsmomenten en bijbehorende verantwoordelijkheden.
Na afronding van de DigiD-audit diende zich direct een volgende uitdaging aan: de General IT Controls (GITC)-audit. Kort voor de start werd bekendgemaakt dat deze audit door het IT-bestuur was aangevraagd. Ook hier nam Philippe namens Bvolve de coördinerende rol op zich. Het contact met de auditoren werd zorgvuldig onderhouden en kennishouders werden begeleid bij het aanleveren van de juiste documentatie. Dit resulteerde in een soepel en gestructureerd proces, waar de auditoren positief op terugkeken. Eerdere audits waren op dit punt aanzienlijk rommeliger verlopen.
Het resultaat
Tijdens deze opdracht zijn meerdere concrete producten opgeleverd, maar bovenal heeft de beheerafdeling een succesvolle auditperiode doorgemaakt. De opgedane kennis en ervaring kunnen in de toekomst worden hergebruikt om verder te professionaliseren. Hierdoor kan de teamleider samen met zijn beheerafdeling komende audits met overzicht, controle en een proactieve houding tegemoet treden.
Bij Bvolve kijken we verder dan alleen de opdracht. De vraag was gericht op een procesbeheerder, maar de teamleider kreeg er ook een coördinator bij: iemand die overzicht bracht en de brug sloeg naar andere afdelingen. De afdeling wordt niet langer verrast. Documenten zijn actueel, correct en goed vindbaar. De verbindingen met andere afdelingen zijn gelegd, de lijnen zijn kort en mede dankzij de beheerkalender en de formulierenmatrix het is voor iedereen helder wie waarvoor verantwoordelijk is.
Philippe Schoenmakers
