Grootschalige organisatieverandering waarbij kernsystemen, werkprocessen en dienstverlening tegelijkertijd worden vernieuwd, brengt een hoge mate van complexiteit met zich mee. Bestaande IT-architecturen worden vervangen, processen worden gedigitaliseerd en medewerkers moeten in korte tijd nieuwe manieren van werken aanleren. In die context wordt informatiebeveiliging nog te vaak gezien als een remmende factor of als iets dat later wel kan worden toegevoegd. De casus van deze provincie laat juist zien dat security, wanneer het vanaf de start structureel wordt meegenomen in het transformatieprogramma, een krachtige enabler kan zijn voor veilige innovatie.
Aan het begin van 2023 stond de provincie voor meerdere samenhangende uitdagingen. De verouderde on-premises infrastructuur bereikte het einde van de levensduur en moest worden vervangen. Burgers verwachtten moderne digitale dienstverlening met dezelfde gebruikservaring als commerciële platforms, terwijl medewerkers vroegen om meer flexibiliteit en structurele mogelijkheden voor hybride en remote werken. Tegelijkertijd lag er druk om de operationele kosten te verlagen en efficiënter te werken.
Op het gebied van security was de urgentie minstens zo groot. Recente cybersecurity-incidenten bij andere provincies hadden pijnlijk duidelijk gemaakt hoe kwetsbaar verouderde omgevingen zijn. Interne audits toonden aan dat er duidelijke tekortkomingen waren ten opzichte van de BIO, en de aankomende NIS2-wetgeving maakte duidelijk dat aanvullende maatregelen onvermijdelijk waren. Losse initiatieven voor infrastructuurmodernisering, securityverbetering en compliance zouden leiden tot dubbel werk, inefficiënte investeringen en inconsistente resultaten.
Het provinciale bestuur koos daarom bewust voor een geïntegreerde aanpak. In plaats van afzonderlijke projecten werd één samenhangend transformatieprogramma opgezet waarin modernisering van infrastructuur, versterking van cybersecurity, verbetering van dienstverlening en het realiseren van compliance als één geheel werden benaderd. Security-architecten en het CISO-office kregen een vaste plek in de governance, zodat beveiliging niet pas aan het einde van trajecten werd beoordeeld, maar vanaf de eerste ontwerpkeuzes werd meegenomen.
Deze geïntegreerde benadering vereiste zorgvuldige orkestratie, duidelijke prioriteiten en voortdurende afstemming tussen IT, business, security en bestuur. De ervaring van de provincie laat zien dat deze inspanning zich ruimschoots terugbetaalt: investeringen dienen meerdere doelen tegelijk, risico’s worden eerder onderkend en beheerst en de organisatie bouwt stap voor stap aan een duurzame, toekomstbestendige digitale basis.
Deze case study beschrijft de transformatie van de provincie als een doorlopende leerreis, waarin governance, security, techniek en organisatieontwikkeling nauw met elkaar zijn verweven. U leest hoe de besturingsstructuur van het programma is ingericht, hoe security expliciet een plaats kreeg in besluitvorming en architectuur, welke concrete problemen tijdens de uitvoering naar voren kwamen en hoe die zijn opgelost. Ook wordt inzichtelijk gemaakt hoe resultaten zijn gemeten, welke keuzes achteraf cruciaal bleken en welke lessen relevant zijn voor andere overheidsorganisaties die voor vergelijkbare transformaties staan. Het verhaal gaat nadrukkelijk verder dan een technisch migratieverslag en laat zien hoe strategie, uitvoering en beveiliging elkaar in de praktijk versterken.
Een van de belangrijkste succesfactoren in deze provinciale transformatie was dat de CISO en de security-architect vanaf de allereerste programmasessies aan tafel zaten. Security werd niet later ‘erbij geplakt’, maar bewust opgenomen in businesscases, projectopdrachten, architectuurprincipes en acceptatiecriteria. De security-architect maakte deel uit van het stuurgroepoverleg en beoordeelde alle majeure besluiten op hun impact op risico’s, naleving en weerbaarheid. Beveiligingsactiviteiten liepen als volwaardige werkstromen mee met infrastructuur- en applicatieprojecten, in plaats van als losse controles achteraf. Dit contrasteert sterk met een andere provincie waar beveiliging pas na de migratie is toegevoegd, wat leidde tot kostbare aanpassingen, vertragingen en concessies in de gewenste functionaliteit. De boodschap is helder: vroegtijdige integratie van security is vrijwel altijd goedkoper, sneller en effectiever dan achteraf repareren.
Transformatiefasen: van visie naar veilige uitvoering
Fase 1: Analyse en programmavisie (Q1–Q2 2023)
De eerste maanden stonden volledig in het teken van het begrijpen van de uitgangssituatie en het formuleren van een realistische, maar ambitieuze doelarchitectuur. Het IT-landschap bestond uit ongeveer 380 servers, ruim tweeduizend werkplekken, circa 150 applicaties en een netwerk dat twaalf locaties met elkaar verbond. Tijdens de nulmeting kwam naar voren dat een aanzienlijk deel van de servers niet meer tijdig werd gepatcht, dat netwerksegmentatie beperkt was en dat de beveiliging vooral leunde op klassieke perimeterfirewalls. Er was geen centraal SIEM-platform en incidentafhandeling vond meestal ad hoc plaats via de servicedesk.
Parallel aan deze technische inventarisatie werd intensief met stakeholders gesproken over de gewenste toekomstsituatie. Burgers gaven in enquêtes aan behoefte te hebben aan meer selfservice, transparante statusinformatie en duidelijke digitale communicatiekanalen. Medewerkers benoemden het belang van stabiele, snelle werkplekken en betrouwbare mogelijkheden voor samenwerken op afstand. Afdelingshoofden en directie wilden beter inzicht in processen, kosten en risico’s, terwijl bestuurders vooral keken naar publieke waarde, reputatie en naleving van wet- en regelgeving. In werksessies met het securityteam werd uitgewerkt welke beveiligingsniveaus passend en haalbaar waren binnen de kaders van de BIO en de aankomende NIS2.
Deze combinatie van technische analyse en strategische dialoog mondde uit in een programmavisie waarin digitale dienstverlening, efficiëntie en security nadrukkelijk met elkaar werden verbonden. In plaats van één groot ‘big bang’-project werd gekozen voor een programmatische aanpak over 24 maanden, met duidelijke mijlpalen en beslismomenten. De roadmap onderscheidde een fundamentfase waarin cloud-, identiteit- en beheerplatformen werden ingericht, een migratiefase waarin workloads gefaseerd werden overgezet en een optimalisatiefase waarin prestaties, kosten en beveiliging verder werden verfijnd. Voor elk van deze fasen werden expliciet risico’s benoemd, zoals compatibiliteitsproblemen met legacy-applicaties, weerstand bij gebruikers tegen nieuwe werkwijzen en de kans op verhoogde dreiging tijdens migratievensters. Per risico werden vooraf mitigerende maatregelen afgesproken.
Fase 2: Fundament leggen (Q3 2023 – Q1 2024)
In de tweede fase werd het technische en organisatorische fundament gelegd waarop de rest van de transformatie kon voortbouwen. De provincie richtte een Azure AD-tenant in en koppelde deze via een hybride identiteitsoplossing aan de bestaande Active Directory. Hierdoor konden gebruikers geleidelijk naar clouddiensten worden overgezet zonder direct het hele domein te vervangen. Multi-factor authenticatie werd stapsgewijs ingevoerd voor alle circa 3.200 gebruikers. Dit gebeurde met intensieve communicatie, duidelijke handleidingen, extra capaciteit bij de servicedesk en zichtbaar voorbeeldgedrag van bestuurders en management, zodat gebruikers de extra stap als logisch en noodzakelijk gingen ervaren.
Tegelijkertijd werd de Microsoft 365-tenant uitgerold ter vervanging van verouderde on-premises e-mail- en samenwerkingsomgevingen. De migratie vond plaats per organisatieonderdeel, zodat het projectteam van elke golf kon leren en ondersteunende materialen kon aanscherpen. Beveiligingsinstellingen werden vanaf het begin standaard meegenomen: dataclassificatie en gevoeligheidslabels, beleid voor gegevensverliespreventie, bewaartermijnen afgestemd op archief- en privacywetgeving en geavanceerde e-mailbeveiliging tegen phishing en malware. Hierdoor werd voorkomen dat er eerst een onveilige basisomgeving zou ontstaan die later weer moest worden aangescherpt.
Devicebeheer werd gecentraliseerd in Intune. Nieuwe en bestaande laptops werden ingeschreven zodat configuraties, updates en beveiligingsinstellingen centraal konden worden afgedwongen. Voor vervangende werkplekken werd Windows Autopilot ingericht, waardoor nieuwe apparaten vrijwel automatisch met de juiste instellingen, applicaties en beveiligingsprofielen bij medewerkers terechtkwamen. Voorafgaand aan de brede uitrol draaide een uitgebreide pilot binnen de IT-afdeling en enkele frontrunner-teams, zodat kinderziektes vroegtijdig konden worden opgespoord en opgelost.
Fase 3: Migratie van workloads en lancering van diensten (Q2 2024 – Q4 2024)
Nadat het fundament op orde was, kon de aandacht verschuiven naar applicaties, data en processen. De provincie stelde een prioritering op basis van maatschappelijke impact, technische haalbaarheid en beveiligingsrisico’s. Publieksportalen voor vergunningaanvragen, meldingen en subsidietrajecten werden relatief vroeg overgezet naar moderne, cloudgebaseerde platformen. Dit leverde snel zichtbare verbeteringen op in gebruiksgemak en beschikbaarheid en zorgde tegelijk voor draagvlak bij bestuur en inwoners.
Backofficesystemen, zoals financiën, ruimtelijke ordening en mobiliteit, volgden in latere migratiegolven. Voor complexe legacy-applicaties die sterk verweven waren met maatwerkprocessen werden specifieke trajecten ingericht, waarin architecten, functioneel beheerders en leveranciers gezamenlijk zochten naar oplossingen. Soms betekende dit migratie naar een SaaS-oplossing, in andere gevallen werd gekozen voor refactoring of tijdelijke ‘lift-and-shift’-scenario’s met aanvullende beveiligingsmaatregelen.
In alle gevallen was security integraal onderdeel van de migraties. Voor nieuwe of sterk gewijzigde toepassingen werden security-architectuurreviews uitgevoerd en, waar relevant, penetratietesten georganiseerd vóór livegang. Ook werden vooraf controlemomenten ingebouwd om na te gaan of logging, monitoring en autorisaties daadwerkelijk conform ontwerp werkten. Deze aanpak beperkte verrassingen na lancering en verkleinde de kans dat kwetsbaarheden onopgemerkt zouden blijven.
Op netwerkvlak werd de stap gezet van een relatief vlak netwerk naar een ontwerp dat is gebaseerd op Zero Trust-principes. Microsegmentatie zorgde ervoor dat systemen alleen nog met elkaar konden communiceren waar dat functioneel noodzakelijk was. Met ExpressRoute werden betrouwbare verbindingen ingericht tussen de resterende on-premises componenten en de cloud, terwijl Network Security Groups het verkeer tussen applicatielagen fijnmazig regelden. Azure Firewall vervulde een centrale rol bij het inspecteren van zowel inkomend als intern verkeer, en door gebruik te maken van private endpoints werden veel cloudservices volledig afgeschermd van het publieke internet. De aanvalsvectoren namen hierdoor aantoonbaar af.
Tot slot werd Microsoft Sentinel ingericht als centraal SIEM-platform. Logbronnen uit cloudomgevingen, on-premises systemen en netwerkapparatuur werden stapsgewijs aangesloten, waarna use cases werden ontwikkeld die aansloten op de specifieke dreigingen voor de provincie. Analyseregels en automatiseringsscripts zorgden ervoor dat veelvoorkomende incidenten sneller konden worden herkend en afgehandeld. Het Security Operations Center richtte zijn werkwijzen opnieuw in rond deze tooling, inclusief duidelijke draaiboeken, escalatieroutes en samenwerking met andere teams. Hierdoor kreeg de provincie voor het eerst een integraal, actueel beeld van haar beveiligingssituatie.
De transformatie van de provincie laat zien dat ingrijpende digitaliseringsprogramma’s en versterking van cybersecurity elkaar niet hoeven te bijten. Door beveiliging vanaf de start als integraal onderdeel van de aanpak te positioneren, is het gelukt om tegelijk de digitale dienstverlening te moderniseren, de operationele efficiëntie te verhogen en de weerbaarheid tegen cyberdreigingen substantieel te verbeteren. In een periode van twee jaar steeg het gebruik van digitale diensten door inwoners fors, werden structurele besparingen gerealiseerd op beheer- en exploitatiekosten en daalde het aantal relevante security-incidenten merkbaar. Tegelijkertijd verschoof de beoordeling van de compliancepositie van een situatie met aanzienlijke tekortkomingen naar een grotendeels aantoonbaar compliant niveau, zonder dat dit ten koste ging van de gebruiksvriendelijkheid.
Enkele factoren springen eruit als bepalend voor dit succes. Sterke bestuurlijke sponsorship zorgde ervoor dat de koers ook bij tegenvallers of incidenten werd vastgehouden en dat er ruimte bleef om te investeren in kwaliteit, opleiding en verandermanagement. Een geïntegreerde programmasturing voorkwam dat security en digitalisering als concurrerende belangen werden gezien; in plaats daarvan werden keuzes expliciet afgewogen op zowel strategische als beveiligingscriteria. Voldoende capaciteit en expertise maakten het mogelijk om parallel aan meerdere werkstromen te bouwen, terwijl de gefaseerde aanpak het risico van grote verstoringen beperkte. Open en frequente communicatie met medewerkers en stakeholders hielp verwachtingen te managen en draagvlak te behouden.
Voor andere Nederlandse overheidsorganisaties die aan de vooravond staan van een soortgelijke transformatie, biedt deze case study vooral geruststellend bewijs dat het mogelijk is om ambitieus te moderniseren zonder de beveiliging uit het oog te verliezen. Voorwaarde is wel dat er tijdig wordt nagedacht over de samenhang tussen technologie, processen, mensen en wet- en regelgeving, en dat security niet wordt gereduceerd tot een set technische maatregelen maar wordt gezien als integraal onderdeel van goed bestuur. Overhaaste trajecten, waarin eerst snel iets in de lucht wordt gezet en beveiliging later volgt, leiden vrijwel altijd tot hogere kosten, vertragingen en concessies in kwaliteit.
Een bredere les uit deze casus is het belang van een integrale benadering: projecten en verbeterinitiatieven leveren meer op wanneer zij bewust met elkaar worden verbonden in plaats van los van elkaar te worden uitgevoerd. Dit geldt in het bijzonder voor cybersecurity. Door beveiliging te koppelen aan digitale dienstverlening, datagedreven werken en organisatieontwikkeling, krijgt het onderwerp meer zichtbaarheid, prioriteit en budget dan wanneer het als geïsoleerd traject wordt behandeld. Organisaties die deze samenhang actief opzoeken, bouwen niet alleen aan een veiliger, maar ook aan een wendbaarder en toekomstbestendiger digitaal landschap.