Column

De IT-auditor als seizoensarbeider

25 juli 2018 Carline Jeninga-Hollemans
PDF
In dit artikel:

Als externe IT-auditor beleef ik jaarlijks een soort seizoenencyclus. Eigenlijk lijk ik best wel op een seizoensarbeider zoals de Poolse aspergesteker en de Roemeense paprikaplukker. Alleen: voor mij geen asperges en paprika’s, maar ENSIA-, DigiD- en VIPP-audits. De topdrukte valt in het eerste kwartaal van het jaar, en dit jaar gaat dat zelfs door tot het tweede kwartaal.

In het vierde kwartaal starten de ENSIA-audits. Omdat ik tegen het einde van het jaar van werkgever ging wisselen, heb ik zelf geen ENSIA-audits opgestart. Vanaf januari barst het DigiD-assessmentseizoen los. Direct bij de start bij mijn nieuwe werkgever werd ik hier ook in ondergedompeld. Nu is een DigiD-assessment niet nieuw voor me, maar ik kreeg wel nieuwe klanten, en er lag een nieuw normenkader (2.0). En dat heb ik geweten… De meeste klanten moesten behoorlijk wennen aan het nieuwe normenkader. Het oude normenkader zat er goed in, en gelukkig zijn een aantal normen hetzelfde gebleven. Een aantal nieuwe normen roept dan ook veel vragen op. Vooral de normen die met een pentest getoetst moeten worden, bleken lastige gevallen. Er waren maar weinig klanten waarbij alle normen in de eerste ronde voldeden. De rest mocht allemaal op voor de hertest, ronde 2. En ook hier bleken niet alle klanten in staat om de bevindingen op tijd te fixen. Vanaf mei druppelden de eerste brieven van Logius binnen bij de klanten, en werd er gevraagd om een verbeterplan. Afgekeurde normen met een oplostermijn van twee maanden blijken een race tegen de klok te worden om toch op tijd gefixt te worden én een hertest (ronde 3) te krijgen. Het DigiD-seizoen loopt dus nog ver door na mei. De verwachting is dat we rond oktober de hertesten wel uitgevoerd zullen hebben, en de klanten kunnen voorzien van een nieuw (en hopelijk groen) rapport.

Dachten we het vanaf mei wat rustiger te krijgen na de DigiD-storm, dient VIPP zich aan. Dit Versnellingsprogramma Informatie-uitwisseling Patiënt Professional houdt in dat een IT-auditor op verschillende momenten in het jaar een of meerdere modules kan toetsen. Voor ons bleken dat de modules A1 (medische gegevens downloadbaar maken) en B1 (actueel overzicht van medicatie online beschikbaar stellen) te zijn, afhankelijk van de keuze van een ziekenhuis. Deze audit moest worden uitgevoerd voor de implementatie-deadline van 1 juli 2018. Met een groepje IT-auditors hebben we ons gestort op deze nieuwe audits. Voor ons nieuw, en voor de ziekenhuizen ook. Totaal andere materie dan we gewend zijn. We hebben een hoop geleerd! Persoonlijk vond ik het erg interessant om een ander kijkje in de keuken te nemen bij een ander type organisatie dan ik gewend ben. Hoe leuk ook, wel liepen zowel wij als IT-auditors als onze klanten (de ziekenhuizen), aan tegen flink wat onduidelijkheden. Niet alles staat beschreven in de handreikingen, en niet alle werkprogramma’s bevatten concrete instructies en normeringen. Maar als we in de ‘geest van VIPP’ denken, komen we een heel eind. Opmerkelijk: afgelopen vrijdag, 29 juni (2 dagen voor de deadline van 1 juli dus) werd het bericht gepubliceerd dat de deadline voor B1 is uitgesteld naar 1 december 2018.
Al met al boeiende materie, zowel inhoudelijk als procedureel. Wie weet schrijven we binnenkort een artikel voor de IT-Auditor over alle VIPP-belevenissen.

Na DigiD en VIPP barst straks het vakantieseizoen los. Het werk is gedaan – nu even geen audits, maar zon, zee en strand voor deze seizoensarbeider. Ik kijk er al naar uit, maar eerst nog even wat rapporten de deur uit werken!

Geen categorie

C.M. (Carline) Jeninga-Hollemans RE

Carline Jeninga Hollemans (1979) begon na haar studie Facility Management met een traineeship bij PTT Post (nu PostNL). Hierna werkte ze bij Deloitte een paar jaar in de interne ICT-organisatie als Projectmanager, om vervolgens bij MN aan de slag te gaan als ICT-procesbeheerder en ICT-stafadviseur. In die periode is ze gestart met de RE-studie aan de Erasmus Universiteit. Om daadwerkelijk invulling te kunnen geven aan het IT-audit vakgebied, is ze daarna overgestapt naar Mazars om daar als IT-auditor aan de slag te gaan, Sinds 2018 werkt Carline bij Qbit Cyber Security als Teamlead en als Lead IT-auditor voor de randstad.