*Ten tijde van dit interview was Rijk Meuleman CISO van gemeente Zuidplas;
per 1 augustus 2023 is hij CISO bij Gemeente Gouda.
‘We zijn weer in control over ons certificaatbeheer.’ Dat zegt Rijk Meuleman, bij gemeente Zuidplas werkzaam als adviseur informatievoorziening en daarnaast Chief Information Security Officer (CISO), dus verantwoordelijk voor informatiebeveiliging.
Deze Zuid-Hollandse gemeente is op 1 januari 2010 ontstaan door een fusie van de gemeenten Moordrecht, Nieuwerkerk aan den IJssel en Zevenhuizen-Moerkapelle. Het is een groeigemeente die inmiddels een kleine 50.000 inwoners kent.
Eén is géén
‘Er was binnen onze organisatie slechts één persoon verantwoordelijk voor het certificaatbeheer: en dat was ik. Bovendien had ik geen diepgaande specialistische kennis over dit onderwerp, want ik deed het er zo’n beetje bij. En dat voelde niet meer goed, omdat het een heel belangrijk aandachtspunt is.
Als je het niet goed geregeld hebt kan er immers veel misgaan met de directe dienstverlening aan de inwoners.
Als je het niet goed geregeld hebt kan er immers veel misgaan met de directe dienstverlening aan de inwoners. Dat was de situatie destijds en vanuit die invalshoek hebben we gekeken of we er op die manier mee door wilden gaan. Dat antwoord was nee. ‘Eén is geen’ zeiden we hier gekscherend, doelend op slechts één persoon die verantwoordelijk was. Dat maakt je kwetsbaar als gemeente.’
Wat was de aanleiding om voor verandering te gaan?
‘Op een gegeven moment kreeg ik een mailing van KPN en zij gaven aan om eens contact met PKIpartners te zoeken als je serieus met je certificaatbeheer aan de slag wilde. Dat is voor mij de aanleiding geweest om contact met ze op te nemen. Mijn primaire doel was om de continuïteit van alles wat met certificaten te maken had 100% te borgen. We hadden op dat moment niet echt het gevoel dat we één en ander onder controle hadden en dat konden we ons niet meer veroorloven. Mij werd al snel duidelijk dat PKI er wél op een professionele manier voor kon zorgen dat de continuïteit van certificaten voor Zuidplas gewaarborgd zou worden.’
Inmiddels kan ik zeggen dat PKIpartners het werk van A tot Z uitvoert voor onze gemeente.
‘Dat gaf me bovendien rust, omdat ik er niet meer alléén verantwoordelijk voor was. Ontzorgen is binnen dat kader voor ons als Zuidplas een belangrijk woord. Inmiddels kan ik zeggen dat PKIpartners het werk van A tot Z uitvoert voor onze gemeente. Ze leggen duidelijk en transparant verantwoording af over wat ze doen, want wij blijven als gemeente natuurlijk wel zelf eindverantwoordelijk.’
Wat maakte dat voor PKIpartners uiteindelijk gekozen werd?
‘Zoals gezegd werd PKIpartners geadviseerd door KPN en dat gaf vertrouwen. We hadden nog niet eerder van het bedrijf gehoord en dat een grote, landelijk bekende partij als KPN hen aanraadde was uiteraard een duidelijke pré. Direct vanaf het eerste contact was bovendien helder dat ze over veel specialistische kennis beschikken op dit gebied. De specialisten aldaar kwamen heel betrouwbaar over. En dat is ook wat de praktijk uitwijst: ze komen hun afspraken na en luisteren goed naar de problemen en wensen van ons als klant. Bovendien begrijpen ze heel goed wat de situatie van onze gemeente is, zijn ze flexibel in hun dienstverlening én is het contact gewoon heel plezierig. De samenwerking verloopt informeel. Na de coronaperiode, waarin we noodgedwongen veel via online meetings werkten, werd gemakkelijk de overstap naar persoonlijk bezoek richting onze locatie gemaakt. En dat persoonlijke, dat werkt heel goed.’
Bovendien begrijpen ze heel goed wat de situatie van onze gemeente is, zijn ze flexibel in hun dienstverlening én is het contact gewoon heel plezierig.
‘Zij regelen alles: van de aanvraag en/of de vervanging van onze certificaten, een kleine dertig stuks. Ook houden ze bij wanneer een certificaat gaat verlopen. Dan nemen ze zelf contact op met de partij die het certificaat installeert. Dat zij rechtstreeks contact hebben met onze dienstleveranciers is bijzonder prettig. Bovendien adviseert PKI ons over welk certificaat we als gemeente af moeten nemen. Afhankelijk van de gegevens kun je soms volstaan met een voordeliger certificaat.’
Wat is het grootste voordeel dat deze samenwerking tot nu toe gebracht heeft?
‘We hebben het gevoel weer in control te zijn op dit belangrijke onderdeel. Ik kan dit steeds terugkerende issue ein-de-lijk met een gerust hart loslaten. Dit wordt bevestigd door de uitgebreide rapportage die wordt opgeleverd, overigens volledig conform BIO, de Baseline Informatiebeveiliging Overheid. De toelichting die hierbij verstrekt wordt is bovendien in helder Nederlands geschreven en dus ook goed te lezen door collega’s en/of bestuurders die wat minder in de materie zitten. Dat maakt het voor mij gemakkelijk om een en ander uiteen te zetten binnen de gemeente.’
In hoeverre komt het eindresultaat overeen met dat wat je verwacht had?
‘Ik ben volledig ontzorgt en heb alle vertrouwen in de gehanteerde werkwijze van PKI. Dat had ik natuurlijk vooraf ook gehoopt, maar het is altijd afwachten of mooie woorden ook daadwerkelijk in diezelfde daden omgezet worden.
‘Ik ben volledig ontzorgt en heb alle vertrouwen in de gehanteerde werkwijze van PKIpartners.
Maar ik kan niet anders zeggen dan dat ze hun beloften wel degelijk hebben waargemaakt. En dat bovendien nog altijd doen.’
Wat kun je, los van de oplossing die ze bieden, zeggen over de samenwerking?
‘Het contact is heel prettig. PKIpartners is altijd bereid mee te denken, ook als een onderwerp niet exact tot hun opdracht behoort. Je merkt aan alles dat ze passie hebben voor hun vak. Die energie, die spat er echt van af. Als ik het bedrijf in drie woorden zou moeten beschrijven dan komen termen als betrouwbaar, dienstverlenend en constructief in me op. En dat zijn precies de termen die een gemeente belangrijk vindt.’
Aan wie zou je het bedrijf/product/dienst aanbevelen?
‘Aan collega-gemeenten en gemeenschappelijke regelingen die twijfels hebben over eigen kennis en continuïteit op het gebied van certificaatbeheer en op dit onderdeel ontzorgt willen worden.
Natuurlijk zijn er kosten aan verbonden, maar die wegen bij lange na niet op tegen de risico’s die je hiermee voorkomt.
Zeker als je het gevoel hebt niet of niet volledig in control te zijn. Natuurlijk zijn er kosten aan verbonden, maar die wegen bij lange na niet op tegen de risico’s die je hiermee voorkomt.’
Welke tips heb je voor anderen die een dergelijke oplossing overwegen?
‘Ga vooral het gesprek met PKIpartners aan en bedenk goed of de risico’s ten aanzien van het certificaatbeheer voor jou, vanuit de manier waarop het op dit moment ingeregeld is, acceptabel zijn’, besluit Rijk.
Ook rust rondom je certificaten en alles wat daarmee samenhangt ervaren? Neem dan vrijblijvend contact met ons op.
Onderzoek
Lokale overheden gebruiken veelal onbetrouwbare web certificaten.
Lees hier meer en download het rapport.