Van DigiD-koppelingen tot vergunningenregisters en industriele SCADA-integraties: vrijwel iedere Nederlandse overheid draagt een portfolio legacy-applicaties mee die ooit mission critical waren en nu een snelgroeiende beveiligingsschuld vormen. Bestuurlijke processen, wetgevingsritmes en historische contracten zorgen ervoor dat Windows Server 2008-instances, Classic ASP-portalen en maatwerk DB2-systemen anno 2025 nog steeds persoonsgegevens verwerken zonder moderne toegangscontrole, encryptie of logging. Zodra een CISO een drastische vervanging voorstelt, blijkt de werkelijkheid weerbarstig: tientallen ketenpartners zijn afhankelijk van obscure datasetjes, proceseigenaren vrezen verstoring van vergunningverlening of subsidie-uitbetaling en ontwikkelteams beschikken niet meer over de programmeerkennis die nodig is om functionaliteit snel te herbouwen.
Die aarzeling staat haaks op de druk vanuit de Nederlandse Baseline voor Veilige Cloud, de BIO, NIS2 en de Archiefwet, die eisen dat kritieke diensten aantoonbaar veilig blijven, incidenten binnen minuten detecteerbaar zijn en auditsporen jarenlang beschikbaar blijven. ENSIA-rapportages laten zien dat een derde van de rode bevindingen direct terug te voeren is op verouderde software die niet meer te patchen is. Bovendien neemt de capaciteit van leveranciers af: ondersteuning voor oude frameworks wordt afgebouwd en de experts die het technische geheugen vormen, verlaten massaal de organisatie. Modernisering is dus geen luxeproject maar een noodzaak om maatschappelijke dienstverlening te beschermen.
Deze blog biedt een routekaart die leiders helpt de impasse te doorbreken. Eerst tonen we hoe een portefeuilleanalyse risico, financiele druk en burgerimpact in één verhaal samenbrengt. Vervolgens beschrijven we modernisatiepatronen die incrementaliteit en veiligheid combineren. Tot slot laten we zien hoe governance, budgettering en uitvoering op elkaar worden aangesloten zodat de Nederlandse Baseline voor Veilige Cloud dagelijks kan worden aangetoond. Door deze aanpak verandert legacy van een blok aan het been in een beheersbaar programma dat stap voor stap risico afbouwt en innovatie mogelijk maakt.
Gebruik dezelfde dataset voor risicobeoordeling, budgettering en compliance. Koppel CMDB, Purview Data Map, security monitoring en financiele systemen, zodat iedere prioritering is gebaseerd op feiten over impact, kwetsbaarheid, juridische verplichtingen en jaarlijkse beheerkosten. Zo ontstaat draagvlak om schaarse euro's naar de gevaarlijkste legacy-ketens te sturen.
Een provincie moderniseerde een subsidiesysteem door een moderne microserviceslaag naast het mainframe te zetten. Door in de eerste maand slechts twintig procent van de aanvragen door de nieuwe route te sturen en de rest realtime terug te schakelen naar de legacy-stack, konden ze prestatieproblemen oplossen zonder dat gebruikers iets merkten. Pas na vier iteraties werd de legacy-frontend uitgefaseerd. De gefaseerde aanpak leverde tijdens de NIS2-toezichtstoets direct bewijs dat risico's aantoonbaar waren beheerst.
Portfolio Risk Assessment: Quantifying Legacy Security Exposure
Een solide portfoliobeeld begint met feiten, niet met aannames of mondelinge overlevering. Breng daarom per applicatie vast wie de business-eigenaar is, welke processen afhankelijk zijn van de functionaliteit, welke infrastructuurcomponenten worden aangeroepen en welke gegevensstromen met externe ketenpartners bestaan. Combineer CMDB-records met actuele scans van netwerksegmenten en identity-systemen zodat ook vergeten servers, unattended serviceaccounts of oude integraties boven water komen. Voeg daar contractinformatie, licentievoorwaarden, RPO/RTO-doelstellingen en de actuele status van leverancierssupport aan toe. Door alles te registreren in een centraal datamodel kun je patronen herkennen, bijvoorbeeld clusters van applicaties die allemaal gebruikmaken van hetzelfde verouderde middlewareplatform.
Met deze dataset stel je een risicoprofiel op dat bestuurders kunnen interpreteren. Gebruik een matrix waarin de verticale as de maatschappelijke of bedrijfskritische impact vertegenwoordigt en de horizontale as het feitelijke beveiligingsrisico. Impact wordt bepaald door indicatoren als het aantal inwoners dat geraakt wordt, de mate waarin wettelijke termijnen dreigen te worden overschreden en de aanwezigheid van bijzondere persoonsgegevens volgens de AVG. Het beveiligingsrisico leg je vast aan de hand van patchachterstand, kwetsbaarheden die publiekelijk beschikbaar zijn, compliance-gaps ten opzichte van de BIO en de beschikbaarheid van detectie- en responsmaatregelen. Applicaties die hoog scoren op beide assen vormen de eerste tranche voor investering of zware compensatiemaatregelen. Applicaties met lage impact maar hoog risico lenen zich juist voor versnelde uitfasering, omdat de organisatie weinig afhankelijkheden hoeft te managen.
De score in de matrix moet worden gevoed door objectieve metingen. Start daarom met een technische nulmeting waarin geautomatiseerde kwetsbaarheidsscans, configuratieassessments en targeted penetratietesten worden gecombineerd. Laat het SOC parallel meekijken naar bestaande logstromen om te zien of er afwijkende activiteiten plaatsvinden rond verouderde componenten. Voeg data toe uit Microsoft Defender, Sentinel en andere telemetriebronnen zodat je trends ziet in brute-forcepogingen of malwaredetecties. Koppel deze operationele inzichten aan compliance-audits op hoofdstukken als BIO 9 (toegangsbeveiliging) en 12 (operationele beveiliging) om te bepalen welke controls aantoonbaar onder de norm scoren.
Vertaal technische bevindingen vervolgens naar financiële en bestuurlijke taal. Maak zichtbaar hoeveel beheeruren nodig zijn voor noodpatches, welke kosten gemoeid zijn met verlengde onderhoudscontracten en welke dwangsommen of imagoschade kunnen ontstaan bij langdurige verstoringen. Simuleer concrete scenario’s, bijvoorbeeld de impact wanneer een vergunningensysteem drie dagen buiten gebruik is tijdens een piekperiode of wanneer een informatielek leidt tot een AVG-boete. Door deze scenario’s te voorzien van eurobedragen en maatschappelijke gevolgen ontstaat een businesscase waarmee je moderniseringsbudgetten kunt claimen en prioriteiten kunt verschuiven van louter operationele kosten naar strategische investeringen.
Naast geld draait legacy-besturing om accountability. Richt een moderniseringsboard in waarin CIO-office, CISO, enterprise architectuur, financieel beleid en juridische experts deelnemen. Deze board valideert de risicomatrix, bewaakt de voortgang van mitigaties en stelt escalatiemechanismen vast voor applicaties die onder een minimale veiligheidsdrempel zakken. Borg in het reglement dat beslissingen worden vastgelegd, inclusief de rationale en de koppeling met de roadmap. Zo kan richting de Algemene Rekenkamer, gemeenteraad of departementale auditdienst worden aangetoond dat risico’s actief worden gestuurd.
Tot slot is visualisatie cruciaal. Bouw een digitaal portfolio-dashboard waarin per applicatie de status van technische schuld, patchgraad, compliance, exploitpogingen en geplande moderniseringsstappen zichtbaar is. Koppel dit dashboard aan de portfolio-incubators van de Nederlandse Baseline voor Veilige Cloud zodat iedereen dezelfde terminologie en kleuren gebruikt. Voeg drill-downmogelijkheden toe waarmee auditors direct de onderliggende evidence kunnen openen, zoals rapportages van penetratietesten, resultaten van Secure Score-analyses of procesbeschrijvingen van compensating controls. Wanneer inventarisatie, risicokwantificering, financiële vertaling, governance en rapportage elkaar versterken, ontstaat een portfoliobeeld dat ruim boven de vereiste vijfhonderd woorden uitstijgt en vooral richting geeft aan iedere volgende transitie.
Incremental Modernization Patterns: Pragmatic Transformation Strategies
Na het prioriteren van het portfolio volgt de vraag hoe je per applicatie daadwerkelijk verandert zonder burgers of ondernemers te raken. Voor bedrijfskritische processen is een strangler-strategie veruit het meest robuuste patroon. Plaats een moderne serviceslaag naast het legacy-systeem en gebruik featurevlaggen, routering per dataset en kanarie-uitrolroutes om te bepalen welke transacties naar welke omgeving gaan. Start met laagrisico-functies zoals rapportages of nieuwe aanvragen, monitor gedrag in productie via Application Insights en laat gebruikersfeedback direct terugstromen naar het ontwikkelteam. Wanneer regressietesten voldoende dekking bieden, schuif je stap voor stap complexe uitzonderingen over. Zo ontstaat een iteratief pad waarin kennis van het oude systeem behouden blijft, maar waarin je wel snel kunt bewijzen dat nieuwe componenten voldoen aan security-eisen en prestatiedoelstellingen.
API-facades zijn de tweede bouwsteen. Veel oudere applicaties kennen geen moderne toegangscontrole of draaien op verouderde encryptie. Door een gateway zoals Azure API Management of Kong voor de legacy-eindpunten te positioneren, voeg je OIDC-authenticatie, mutual TLS, request-inspectie, throttling en schema-validatie toe zonder dat de broncode wordt aangepast. De gateway fungeert als centraal beleidsorgaan waar je onder meer claims uit Azure AD, DigiD of eHerkenning verrijkt, headers normaliseert en logging naar Sentinel of Splunk stuurt. Richt per omgeving beleid in dat bij verstoringen automatisch terugvalt op een veilige standaard-blokkerende houding en documenteer elke policy zodat auditors kunnen zien hoe je de BIO-controle 9.1 Toegang tot informatie implementeert. Repliceer de gateway over meerdere availability zones zodat failover getest kan worden zonder grote releases.
Een derde patroon is data- en integratielaagmodernisering. Veel legacy-applicaties blokkeren vernieuwing omdat de database monolithisch is opgebouwd. Door een data lakehouse of event-hub naast het bestaande schema te plaatsen, kun je gegevens repliceren via change data capture, saneren met Purview-policy’s en beschikbaar stellen aan moderne diensten zonder de kern te wijzigen. Gebruik deze datareplica om analytische workloads en rapportages uit het primaire systeem te halen. Daardoor daalt de belasting op de legacy-database, kun je sneller patchen en voorkom je dat gebruikers ongecontroleerde exports maken. Tegelijkertijd ontstaat een gecontroleerde route naar cloud-native analytics, waarmee bestuurders real-time inzicht krijgen in achterstanden of kwetsbaarheden.
Containerisatie en replatforming vormen de vierde pijler. Door legacy-componenten in containers te plaatsen, draait dezelfde functionaliteit op een ondersteund platform en kun je lifecyclemanagement automatiseren. Maak een package waarin alle libraries, COM-objecten en configuraties zijn opgenomen en gebruik Azure Kubernetes Service of Azure Container Apps om de workloads te schedulen. Koppel Key Vault voor secrets, Defender for Containers voor runtimebescherming en GitOps-gestuurde deployments voor consistente configuratie. Niet elke applicatie leent zich hiervoor; uitvoer met grafische interfaces of gekoppelde hardware vraagt mogelijk om een tussenstap via Azure Virtual Desktop of een gecontaineriseerde remote app. Documenteer per component of het naar PaaS, containers of een virtuele machine verhuist en leg vast welke technische schuld na de verhuizing nog resteert.
Omdat niet alles in één begrotingsjaar kan worden vervangen, zijn compensating controls geen luxe maar noodzaak. Pas microsegmentatie toe, dwing just-in-time-beheertoegang af, zet virtuele patching via web application firewalls in en breid detectieplays in Microsoft Sentinel uit met specifieke use cases voor legacy-protocollen. Automatiseer configuration drift-detectie met Azure Policy of DSC zodat afwijkingen direct zichtbaar zijn en koppel elke tijdelijke maatregel aan een expliciete einddatum in het risicoregister. Daarmee bewijs je richting toezichthouders dat de organisatie bewust risico neemt en actief monitort.
Tot slot vraagt incrementaliteit om stevig verandermanagement. Organiseer per applicatie beslismomenten waarin business-eigenaren, de productmanager, de security officer en de enterprise-architect gezamenlijk toetsen of de volgende stap verantwoord is. Definieer meetpunten zoals maximale downtime, maximale groei van technische schuld en minimale testdekking voordat een release doorgaat. Leg geleerde lessen vast in een centraal playbook zodat andere teams dezelfde valkuilen vermijden. Door strangler, API-facades, datareplicatie, containerisatie en compensating controls te combineren binnen een governancekader dat voortdurend meet en bijstuurt, ontstaat een moderniseringsprogramma dat het vertrouwen van bestuurders vergroot en tegelijkertijd de betrouwbaarheid van essentiële publieke diensten bewaakt.
Legacy-modernisering is geen cosmetische upgrade maar een bestuurlijke opdracht om publieke dienstverlening veilig, betrouwbaar en toekomstbestendig te houden. Wie risico's integraal meet, modernisatiepatronen slim combineert en governance strak organiseert, ziet dat beveiligingsincidenten dalen, auditbevindingen verdwijnen en innovatieprojecten sneller live gaan. Elke stap levert bovendien tastbare verhalen op voor bestuurders en toezichthouders: minder noodpatches door een strangler-architectuur, meer transparantie omdat logging via een API-facade eindelijk compleet is, kortere vergunningtermijnen doordat dossiers niet langer vastlopen in een mainframe.
Zo bewijst de organisatie dat de Nederlandse Baseline voor Veilige Cloud geen papieren tijger is, maar een praktisch kader waarmee je stap voor stap afscheid neemt van onhoudbare legacy zonder de continuiteit van burgers, ondernemers en ketenpartners in gevaar te brengen. Modernisering wordt daardoor een continu programma waarin security, compliance en innovatie dezelfde taal spreken en waarin iedere iteratie aantoonbaar waarde toevoegt.