Ronald Driehuis, IT-auditor en Functionaris Gegevensbescherming
‘Wij controleren gemeenten op het naleven van wet- en regelgeving in de bredere zin van het woord. Certificaten zijn daar een onderdeel van. We komen ze bijvoorbeeld tegen bij DigiD-aansluitingen.’
Aan het woord is Ronald Driehuis, IT-auditor bij Inergy, een bedrijf dat onafhankelijke, gecertificeerde auditors aanbiedt die je bijstaan met een audit op je systemen en processen.
‘Bijna iedere gemeente in Nederland heeft een eigen DigiD-aansluiting. Deze aansluitingen zijn beveiligd met digitale certificaten. Uiteraard zie je in het gemeentelandschap nog meer gebruik van verschillende typen certificaten, al vallen deze helaas niet altijd onder audits die we uitvoeren’, vervolgt Ronald. ‘Ik zeg helaas omdat ik van mening ben dat het onderdeel certificaten meer aandacht mag hebben dan dat het nu krijgt.
Het DigiD-certificaat: daarbij gaan we er bij wijze van spreken vanuit dat als een soort wonder dit certificaat op de server terecht komt. Maar het hele proces hieromtrent, ook rondom onder meer beheer, verdient veel meer focus.
Neem nu bijvoorbeeld het DigiD-certificaat: daarbij gaan we er bij wijze van spreken vanuit dat als een soort wonder dit certificaat op de server terecht komt. Maar het hele proces hieromtrent, ook rondom onder meer beheer, verdient veel meer focus. Zo kijken we bijvoorbeeld wel of het certificaat veilig is en naar de encryptie, maar het beheer blijft een ondergeschoven kindje. Zo zit het beheerproces bijvoorbeeld niet in de audits die we afnemen. En dat is écht een gemiste kans.’
Onderzoek
Lokale overheden gebruiken veelal onbetrouwbare web certificaten.
Lees hier meer en download het rapport.
Beheerproces certificaten uiterst belangrijk
‘Wanneer een burger bijvoorbeeld op de website van een gemeente komt, en het certificaat van die website is niet verlengd, dan kunnen de burgers geen gebruik meer maken van de online dienstverlening. Denk bijvoorbeeld aan het aanvragen van een paspoort of het maken van een afspraak. Daar moet je natuurlijk niet aan denken als gemeente. Daarom is het beheerproces zo belangrijk, zodat je in elk geval op tijd bent met verlengen’, aldus Ronald.
Het leukste aan mijn vak: Nederland digitaal veiliger maken
‘Wat ik het leukste vind aan mijn vak zijn overigens niet per se de controles. We willen vooral klanten hélpen om beter te worden wanneer we zaken opmerken. Dat vind ik het állerleukste: mensen verder helpen. Uiteindelijk wil ik, samen met mijn collega’s, Nederland digitaal een stukje veiliger maken. Als auditor heb je daar, vanuit de mogelijkheden die je rol biedt, prachtig de kans voor. Ook ben ik voor één gemeente Functionaris Gegevensbescherming. Dus ik sta ook met de spreekwoordelijke poten in de klei’, lacht Ronald.
‘Gemeenten hebben het sowieso niet zo gemakkelijk rondom de uitvoering van de AVG, omdat ze ontelbaar veel processen en betrokken burgers hebben.’
‘Gemeenten hebben het sowieso niet zo gemakkelijk rondom de uitvoering van de AVG (Algemene verordening gegevensbescherming), omdat ze ontelbaar veel processen en betrokken burgers hebben. Voor een bedrijf is dat veel gemakkelijker: zij hebben personeel, klanten en leveranciers. Bij een gemeente heb je alleen al te maken met 400 primaire processen die bovendien bijna állemaal met persoonsgegevens werken. Dit betekent dat je ontzettend veel hebt in te richten. Bovendien zijn er maar liefst 3 privacy domeinen, te weten de AVG, de wet Politiegegevens en de BRP (Basis Registratie Personen).’
Aanvraagproces complex
‘De samenwerking met PKIpartners is tot stand gekomen vanuit de audits die we voortaan verplicht moeten ondertekenen met een signing certificate, digitaal dus. Dit betekende dat we certificaten nodig hadden. En in dat aanvraagproces ging zóveel verkeerd, dat ik als gevolg daarvan veel contact had met Ton (red. eigenaar PKIpartners). Als snel merkte ik dat we op één lijn zaten in hoe we dachten, wat we wilden bereiken in de markt, waar we stonden en hoe we aankeken tegen de wereld van certificaten en alles wat daarmee samenhangt.
‘Het is een vakgebied waar je je echt in moet specialiseren.’
Zo vinden we beiden dat certificaatbeheer niet serieus genoeg wordt opgepakt. Er zijn bijvoorbeeld systeembeheerders die het er ‘even’ bij doen. Zij houden dan, vanwege tijd- of kennisgebrek, geen (gedegen) register bij van welke soort certificaten zij hebben, welke encryptiestandaarden daarop zitten, wanneer ze aflopen et cetera. Overall durf ik te stellen dat er nog te weinig kennis is in de markt. Het is een vakgebied waar je je echt in moet specialiseren.’
Besteed certificaatbeheer uit
‘Dat bleek ook wel uit het aanvraagproces van onze certificaten dat PKIpartners voor haar rekening naam. Zij beheren het nu ook en houden voor ons in de gaten wanneer onze certificaten gaan verlopen. Dat is een hele fijne service, want dit betekent dat we er zelf geen omkijken naar hebben terwijl het tóch goed geregeld is. Nu gaat het bij ons maar om een paar certificaten, maar wanneer je aan een gemeente denkt, dan kan dit zomaar om grote aantallen gaan. En de vraag is dan of je dit als gemeente nog allemaal zelf bij moeten willen houden. Ik denk niet dat je dit moeten willen eerlijk gezegd.
‘Beter in handen geven van een partij die hierin gespecialiseerd is, proactief optreedt en bovendien de ontwikkelingen op de voet volgt’
Je kunt het beter in handen geven van een partij die hierin gespecialiseerd is, proactief optreedt en bovendien de ontwikkelingen op de voet volgt. En dat is PKIpartners zeker. Ze willen ook áltijd net dat stapje extra zetten. Zo komen ze binnenkort bijvoorbeeld hun kennis delen tijdens één van de sessies binnen ons Young Professional-programma. En dat is ook voor ons weer bijzonder waardevol. Zo helpen we elkaar steeds een stapje verder in de complexe wereld van certificaatbeheer. Een wereld waarin ik, ondanks mijn tientallen jaren ervaring, nog steeds met veel plezier en interesse mooie nieuwe dingen leer’, besluit Ronald.