Inleiding
Meer dan de helft van de Nederlandse gemeenten heeft zijn computernetwerken nog niet gemigreerd naar Windows 10. Veel systemen zitten nu pas in de testfase en in sommige gevallen is de upgrade niet eens begonnen, blijkt uit onze rondgang. De deadline om dat te doen ligt in januari.
Tweakers deed een rondgang langs 344 gemeenten in Nederland. Uit de meer dan 200 antwoorden die we ontvingen, blijkt dat ongeveer een derde van de Nederlandse gemeenten volledig over is op Windows 10. Iets meer dan de helft zit nog volop in het overgangsproces. Soms is dat in volle gang of bijna afgerond, vaak ook is pas net begonnen met de eerste computers of moeten gemeenten helemaal nog beginnen. Een handvol gemeenten zegt op 14 januari 2020 niet al zijn computersystemen up-to-date te hebben.
Dat is wel hard nodig. Over zo'n vier maanden, op 14 januari 2020, stopt de officiële beveiligingsondersteuning van Windows 7. Het besturingssysteem krijgt vanaf die datum geen updates meer waarin lekken worden gepatcht. Nieuwe lekken die worden ontdekt, vormen daardoor een risico voor de gebruiker. Desondanks is Windows 7 nog mateloos populair. Volgens Netmarketshare had het besturingssysteem in september van dit jaar nog een marktaandeel van maar liefst 35 procent. Dat is slechts een klein beetje minder dan Windows 10, dat met 44 procent marktaandeel het meestgebruikte besturingssysteem is. De rest wordt opgevuld door macOS, Linux, Windows 8 en zelfs nog voor 2,67 procent door Windows XP.

Dat laatste is interessant, want XP krijgt al sinds april 2014 geen beveiligingsupdates meer. Dat het toch nog wordt gebruikt, heeft vaak te maken met speciale software die nodig is. Ook worden computers met Windows XP vaak gebruikt om specialistische machines aan te sturen, zoals bijvoorbeeld ook in ziekenhuizen en de industrie. De upgrade van Windows XP naar Windows 7 verliep in die periode niet vlekkeloos. Microsoft probeert het upgradebeleid dit keer wat gemakkelijker te maken. Aanvankelijk kregen gebruikers de mogelijkheid een jaar lang gratis te upgraden naar Windows 10; later werd die periode verlengd. Het is bovendien mogelijk om te betalen voor verlengde ondersteuning. Dat programma werd onlangs uitgebreid, zodat iedereen langer veilig van Windows 7 gebruik kan maken.
Risico's
Verouderde systemen brengen risico's met zich mee. Doordat Microsoft geen beveiligingsupdates voor de computers meer uitbrengt, kunnen computers en systemen gemakkelijker geïnfecteerd worden met malware. Grote organisaties en zeker overheden zijn daarbij een interessant doelwit. In Amerika betaalden verschillende steden losgeld nadat hun systemen door ransomware waren getroffen. Opvallend is dat die ransomware in veel gevallen binnenkomt via een lek waarvoor al lang een patch bestaat. Het gaat dan bijvoorbeeld om BlueKeep, een exploit die aanvankelijk door de NSA werd gebruikt, maar die op straat kwam te liggen. Daarvoor is al jaren een oplossing beschikbaar, maar die wordt door lang niet iedere systeembeheerder doorgevoerd.
Vragen aan gemeenten
Om te kijken naar de situatie in Nederland vroeg Tweakers per e-mail aan Nederlandse gemeenten of zij al concrete plannen hadden om de netwerken naar Windows 10 te upgraden en in welke fase die plannen nu verkeren. Als gemeenten nu nog niet over waren, vroegen we of dat naar verwachting op 14 januari wel gebeurd zal zijn. Tot slot wilden we weten wat de eventuele extra kosten voor upgrades zijn geweest, bijvoorbeeld voor extra licenties of externe inhuur. Dat laatste bleek voor de meeste gemeenten lastig te specificeren, omdat zij servicecontracten hebben of de upgrade binnen de interne ict-structuur lieten doen.
Resultaten
Van de 344 gemeenten die we hebben benaderd, kregen we van 212 een reactie; in 206 gevallen was dat een antwoord op de vragen. 6 gemeenten gaven aan geen tijd te hebben voor een antwoord of dat zij geen uitspraken willen doen over hun ict-infrastructuur. In één geval belde een ciso op met extra vragen omdat hij het verdacht vond dat iemand informatie over de ict-omgeving van de gemeente wilde hebben.
Van de 206 gemeenten die een antwoord gaven, zeiden er 74 dat het volledige netwerk inmiddels over is op Windows 10. 105 gemeenten gaven aan nog bezig te zijn met dat proces en er in sommige gevallen nog niet aan te zijn begonnen. In 12 gevallen zeiden de gemeenten 'bijna' klaar te zijn en nog een handjevol computers te moeten overzetten. Het ging daarbij om zulke geringe aantallen dat we die apart hebben geteld. Neem als voorbeeld de gemeente De Fryske Marren, waar 650 van de 675 computers zijn bijgewerkt, of de gemeente Westland, die nog 80 computers moet bijwerken, maar er al 1200 heeft overgezet. In 15 gemeenten wordt geen Windows 10 gebruikt, maar ThinClients die met Citrix werken of andere vormen van vdi's.
Redenen om nog niet over te stappen
Van de gemeenten die de upgrade nog niet hebben uitgevoerd, zegt het overgrote merendeel daar wel mee bezig te zijn. De status verschilt echter per gemeente. Sommige zeggen bijvoorbeeld dat ze 'voorbereidingen hebben getroffen', wat doorgaans betekent dat er een inventarisatie is gedaan van het aantal computers en laptops dat moet worden bijgewerkt. Ook moet er een indexatie worden gedaan van welke specifieke software ze hebben en of die onder Windows 10 goed draait.
In vrijwel alle gevallen waarin gemeenten nog niet over zijn, zijn ze wel op een of andere manier begonnen met de uitrol van Windows 10. Gemeenten geven soms aan de uitrol in één keer te doen, maar het is gebruikelijker dat in fasen te doen. Daarom zeggen veel gemeenten 'al bezig' te zijn met het upgradeproces, maar is niet duidelijk wanneer dat voltooid is. De meeste gemeenten kunnen geen harde deadlines geven wanneer ze upgraden naar Windows 10. In veel gevallen gaat het dan om 'deze maand', 'in het derde kwartaal' of 'later dit jaar'. In sommige gevallen is de looptijd lang. In de Gelderse gemeente Zevenaar zegt een woordvoerder bijvoorbeeld dat de upgrade 'begin 2018' is gestart en dat men verwacht 'eind dit jaar' up-to-date te zijn. Ook op Urk zijn de voorbereidingen in 2018 van start gegaan, maar de gemeente zegt ook 'nog bezig te zijn met de voorbereidingen' om de 140 clients op het voormalige eiland te vervangen. Opvallend is ook het Limburgse Simpelveld, dat in augustus 2018 een aantal offertes heeft aangevraagd, maar dat volgens een woordvoerder tot op heden 'nog geen opdracht heeft verstrekt'.
Compatibele applicaties
Veel gemeenten worstelen
met specifieke applicaties
zoals voor cad
Niet geheel verrassend zijn specifieke applicaties vaak een obstakel voor de upgrade. Die weerhouden systeembeheerders ervan een upgrade direct door te voeren. Als de applicaties immers niet compatibel zijn, kunnen ambtenaren hun werk niet meer doen. Het is vaak echter niet duidelijk om wat voor soort applicaties het gaat; dat willen gemeenten om veiligheidsredenen doorgaans niet vertellen. Sommige gemeenten vermelden wel dat het om cad-stations en 'presentatievoorzieningen' gaat. In de gemeente Lelystad moesten ict'ers bijvoorbeeld 'ruim 200 applicaties' testen. "De verwachting is dat we de lastigste applicaties al hebben gehad", zegt een woordvoerder. In een aantal andere gemeenten worden kopieerapparaten, scanners, microfichescanners en geluidsapparatuur genoemd als mogelijke obstakels.
Verschillende looptijden
Er zitten grote verschillen in hoeveel systemen gemeenten moeten overzetten, zeker als je dat vergelijkt met de grootte van de gemeente. Hieronder ter illustratie een vergelijking van enkele gemeenten en het aantal pc's dat zij nog moeten bijwerken, of bijgewerkt hebben.
Afgezien van de vraag of gemeenten wel of niet over zijn, zit er ook veel verschil in hoe lang het proces duurt. Sommige gemeenten begonnen daar al in 2016 mee. Daar zit wel de kanttekening bij dat veel gemeenten de upgrade meenemen als onderdeel van een compleet migratietraject waarbij gelijk ook hardware of servers worden vervangen.
Kosten en uitlopers
Over de kosten van de upgrade is vrijwel niets ondubbelzinnigs te zeggen. Misschien is de vraag of de gemeente de kosten kan specificeren, te breed gesteld, maar in veel gevallen zeggen gemeenten daar geen antwoord op te kunnen geven. De gemeenten die dat wél doen, noemen sterk uiteenlopende bedragen. In veel gevallen valt de upgrade bijvoorbeeld binnen het standaardwerk van de ict-afdeling of binnen het servicecontract dat gemeenten met hun ict-leveranciers hebben.
Ook wordt de upgrade naar Windows 10 in de meeste gevallen gecombineerd met het bijwerken van het hele netwerk. In onderstaande grafiek staat een aantal antwoorden van gemeenten om te illustreren hoe ver de cijfers uit elkaar liggen.
* Hieronder vallen ook de gemeenten Baarle-Nassau en Gilze & Rijen
** Hieronder vallen ook de gemeenten Lisse en Teylingen
*** Hieronder vallen ook de gemeenten Kapelle, Goes, Noord-Beveland en Reimerswaal
Toch zijn hier, net als bij de looptijden, wat kanttekeningen op hun plaats. Waalre mag dan een uitschieter zijn, de gemeente is sinds december 2017 bezig met het overzetten van systemen naar een VMWare-vdi met Windows 10. Dat gebeurde nadat de ict aan een externe leverancier werd uitbesteed. Daarbij werden niet alleen computers bijgewerkt, maar ook servers en software. "Vanwege gebruiksgemak, werkplekbeheer, toekomstvastheid en duurzaamheid is gekozen voor een vdi met Windows 10", legt een ambtenaar uit. In Nijmegen zijn de kosten daarentegen wél exclusief voor de upgrade.
Als gemeenten wel expliciet kosten maken voor de upgrade, zoals Nijmegen, gaat dat geld meestal naar externe inhuur. Licentiekosten voor Windows 10 worden niet vaak genoemd, al is het sinds juli 2016 niet meer mogelijk de upgrade naar Windows 10 gratis te krijgen. De gemeente Hellendoorn, met 35.000 inwoners, gaf naast de bovenstaande 40.000 euro aan consultancykosten nog eens 50.000 euro per jaar uit aan licenties voor Windows 10.
Opvallers en uitschieters
In een aantal gevallen geven de gemeenten aan op 14 januari 2020 niet volledig naar Windows 10 over te zijn. Meestal gaat het dan om een aantal computers met specialistische software. In alle gevallen zeggen de gemeenten dan ook verlengde ondersteuning van Microsoft af te nemen.
Van de gemeenten die reageerden, zeiden in ieder geval de onderstaande dat zij de deadline niet helemaal verwachten te halen.
Een handvol gemeenten loopt zowel wat tijd als wat kosten betreft opvallend uit. Zo is er het samenwerkingsverband tussen de gemeenten Nuenen, Geldrop-Mierlo en Son en Breugel, waarvan de ict door de Dienst Dommelvallei wordt geregeld. Die heeft een projectplan lopen om computers bij te werken, maar hoewel de uitvoering in 2018 zou zijn begonnen, is de voorbereiding pas 'in 2019' van start gegaan. De gemeenten zeggen 'in 2020 te gaan uitrollen' en op dit moment nog niets te hebben overgezet. Ook opvallend: dat kost eenmalig 187.000 euro aan externe inhuur. Daarin zit volgens de gemeenten bijvoorbeeld ook de invoering van Microsoft Office. De structurele uitgaven, zoals licenties, stijgen onder de nieuwe netwerkstructuur ook met 150.000 euro per jaar.
Wijchen en Druten geven eveneens veel geld uit aan de upgrade. Externe inhuur kostte de twee gemeenten, die samen 58.000 inwoners hebben, 45.000 euro. Dat bedrag is ook uitgegeven aan de inhuur voor de gemeente Mook en Middelaar en de gemeente Beuningen, die respectievelijk 7700 en 25.600 inwoners hebben. Ter vergelijking: Nijmegen is met 176.000 inwoners de tiende grootste stad van Nederland en gaf 75.000 euro uit aan externe inhuur. Dat was volgens een woordvoerder exclusief voor de upgrade naar Windows 10.
Ondersteuning
Het is de eigen verantwoordelijkheid van Nederlandse gemeenten om hun ict-infrastructuur te upgraden. Dat proces wordt nergens centraal aangestuurd, zoals via de Nederlandse Vereniging van Gemeenten. Dat is een van de redenen dat het beleid per gemeente zo zeer verschilt en waarom sommige gemeenten ervoor kiezen samen te werken of het juist aan externe bedrijven uit te besteden.
Ondanks de uiteenlopende antwoorden voorziet de VNG geen problemen op het gebied van veiligheid. De deadline is nog een tijd weg, zegt een woordvoerder. Hij denkt dat er in de komende maanden nog tijd genoeg is om de upgrade te voltooien. Volgens de woordvoerder is het de verantwoordelijkheid van gemeenten zelf om de beveiliging van hun systemen op orde te houden. "Het is niet aan ons om met opgeheven vingertje eisen te gaan stellen", zegt hij. De VNG inventariseert wel de status van de informatiebeveiliging in gemeenten. "In iedere gemeente zit een contactpersoon die we daarover kunnen benaderen. Tijdens de XPocalypse in 2014 bleek het bijvoorbeeld wel nodig om voor verlengde ondersteuning te zorgen. Dat kwam onder andere doordat het verschil tussen Windows XP en Windows 7 zo groot was dat er veel meer problemen waren met compatibiliteit. Toen hebben we er collectief voor gekozen om verlengde ondersteuning in te kopen bij Microsoft." Ook nu heeft de VNG rondvraag gedaan bij de gemeenten. "Daaruit zien we geen signalen dat gemeenten in de problemen komen."
"Het is niet zo dat gemeenten maar mogen doen wat hen het best lijkt"
Het is volgens de woordvoerder ook niet zo dat gemeenten zelf maar mogen doen wat hen het beste lijkt. "Als je met bepaalde gevoelige gegevens of systemen werkt, gelden er speciale regels. Aan systemen waar paspoorten op worden uitgegeven of waarmee medewerkers iets kunnen opzoeken uit de Gemeentelijke Basisadministratie, worden strenge eisen gesteld. Die staan in wetten als de Paspoortwet of het Besluit verwerking persoonsgegevens." Daarin is opgenomen dat systemen waarop dergelijke software draait, goed beveiligd moeten zijn. Besturingssystemen worden daarin niet expliciet genoemd, maar die vallen daar volgens de VNG-woordvoerder wel onder. Een gemeente die op 14 januari niet volledig over is, is daarmee dus nog niet per se onveilig en brengt de veiligheid of privacy van burgers niet direct in gevaar. "Een computer die niet aan het netwerk hangt en bijvoorbeeld alleen gebruikt wordt om te printen, heeft een andere prioriteit dan de computers waarop paspoorten worden uitgegeven."
Ook Microsoft zelf zegt ondersteuning te bieden aan overheidsinstellingen die dat nodig hebben, maar die steun is beperkt. "De Nederlandse overheid en Microsoft hebben een gezamenlijk doel: het vergroten van de cyberveiligheid", schrijft het bedrijf in een reactie. "Een update naar Windows 10 Enterprise is daarin een essentiële stap. Ons advies is daarom altijd om al in een vroeg stadium te starten met de voorbereiding van de migratie naar dit nieuwe besturingssysteem. Zo’n transitie kost tijd en daarom werken we samen met overheidsinstellingen op alle niveaus om dit proces zo goed mogelijk te begeleiden."