Jaarrapport Programma 8: Betrouwbare en veilige omgeving. Indiener: SURFnet

Transcriptie

1 Jaarrapport 2015 Programma 8: Betrouwbare en veilige omgeving Indiener: SURFnet Versie: 1.1 Datum: 1 februari 2016

2 Inhoudsopgave Management samenvatting 3 1. Inleiding 6 2. Resultaten programma Inleiding Ambitie programma Projecten Gerealiseerde samenwerkingen Risicomanagement Doorkijk navolgende jaren 11 Bijlage 1: Legenda s 12 Jaarrapport 2015 P8 Betrouwbare en Veilige Omgeving Pagina 2

3 Management samenvatting Het programma Betrouwbare en Veilige Omgeving heeft als ambitie en doel dat SURF en haar instellingen in 2018 immuun zijn voor beveiligingsincidenten en cyberaanvallen. Immuun betekent dat ondanks dat er incidenten optreden, de beschikbaarheid en betrouwbaarheid van informatie en systemen op hoog niveau gegarandeerd blijven en de herstel- en schadekosten laag zijn. Met als gevolg een snelle recuperatie en veerkracht zonder dat dit ten koste gaat van een open en vrij toegankelijk internet. De ambitie wordt gerealiseerd door een combinatie van het voorliggende programma en de bijbehorende exploitatie-activiteiten. Er wordt in dit programma niet naar de absolute beveiliging en privacy gezocht, maar er wordt gestreefd naar vergroten van de weerbaarheid en versterking van de preventie. Hierbij wordt geaccepteerd dat zaken mis kunnen gaan en soms niet meer te repareren zijn, maar grote keteneffecten blijven uit. In het programma Betrouwbare en Veilige Omgeving wordt gewerkt vanuit vijf pijlers: Awareness (of bewustwording), Communities, Normen, Diensten en Vrij Internet. Deze pijlers dragen in gelijke mate bij aan de ambitie van het programma. Figuur 1: Activiteiten in P8 Betrouwbare en Veilige Omgeving Communities Het doel van deze activiteit is dat 90% van de instellingen actief meedraaien in de communities rondom Security, Privacy en Trust. In 2015 werd met name ingezet op het doen van een zogenaamde gap-analyse voor de security en privacy communities. Daarnaast zal een strategie worden ontwikkeld voor het opzetten van comunities over HO&O sectoren heen. In 2015 is in kaart gebracht welke security en privacy communities er leven binnen de doelgroep van SURF. Daarbij is nadrukkelijk gekeken naar welke communities verder ontwikkeld moeten worden en hoe er synergie bereikt kan worden tussen de communities die zich afspelen op de verschillende niveaus binnen een instelling. Om een community op de bestuurslaag te borgen is eind 2015 een samenwerking aangegaan met het OC&W-programma Integraal Veilig Hoger Onderwijs. Awareness Het doel van het werkpakket Awareness is dat aan het eind van de planperiode 90% van onze instellingen bekwaam is op het gebied Security, Privacy en Trust (SPT). In 2015 richtte deze activiteit zich op het ontwerpen van een security intelligence en compliance architectuur. En het ontwikkelen een marketing en awareness strategie voor de doorontwikkeling van Cyber Save Yourself. In 2015 is een security en privacy communicatie en Cybersave Yourself campagnestrategie Jaarrapport 2015 P8 Betrouwbare en Veilige Omgeving Pagina 3

4 opgeleverd. De idee was dat een security awareness campagne in essentie gericht is op het activeren van mensen om iets te laten of ergens mee te stoppen. Dat zijn lastige campagnes omdat het over gedragsverandering gaat. Succesvolle campagnes zijn bijv. de stoppen met roken of de daarkunjemeethuiskomen.nl. De doelstelling van deze strategie is dat de doelgroep zich bewuster is (en elkaar bewuster maakt) van de gevaren die aanwezig zijn als ze online werken, en dat men actie onderneemt om op een veilige manier om te gaan met internet. De CSY-campagnes worden per doelgroep (student, medewerker, security officers en management) afgestemd en er wordt gekeken naar de (realistisch) te behalen doelen op het gebied van kennis, houding en gedrag. Eind 2015 is ook het cyberdreigingsbeeld Hoger Onderwijs 2015 gepubliceerd. Diensten Het doel van dit werkpakket is tweeledig: Ten eerste SURF-diensten voldoen aan de hoogste security-eisen en -standaarden. Ten tweede het ontwikkelen van first class securitydiensten die de instellingen ondersteunen bij het uitvoeren van hun kerntaken was gericht op inventarisatie van de pakket van eisen voor security en privacy, de toestand van SURF; in hoeverre zijn we nu al immuun voor beveiligingsincidenten. In 2015 is er SURF-breed o.a. een nulmeting verricht ten aanzien van het normenkader Informatie Beveiliging Hoger Onderwijs en in mindere mate van het Juridisch Normenkader Cloudservices. Een van de aanbevelingen betreft het opstellen van een risicosignatuur per werkmaatschappij of dienst. Met het opstellen van deze signatuur komt er inzicht in en consensus over wat wel en niet belangrijk is. De doorvertaling van hoge risico s naar passende maatregelen wordt zodoende begrijpelijk en acceptabel. Eind 2015 is er een begin gemaakt met een uitgebreid securityonderzoek van het SURFnet netwerk. Het blijft lastig een kwantitatief oordeel te vormen ten aanzien van de immuniteit van beveiligingsincidenten. De inschatting is thans 50% met name op het gebied van processen en organisatie zijn er grote stappen te zetten om de immuniteit te verhogen. Ook is er in 2015 een dienstontwikkelingstraject gestart waarbij gekeken wordt naar uitbreiding van het security dienstenportfolio. Dit wordt ondersteund met onderzoek naar toekomstige security mitigatie technieken en een visie voor Software Defined Security. Normen Dit werkpakket richt zich op een intensivering van de samenwerking binnen de sector, met andere sectoren en organisaties binnen Nederland en internationaal met andere NRENs. In 2015 richtte dit werkpakket zich op voorlichting over, adoptie van en compliance met het juridische HO-normenkader. Daarnaast worden best practices op het gebied van security en privacy standaarden vastgelegd en wordt de SURF-audit dienst verder doorontwikkeld. In 2015 is een hernieuwde versie van het JNK en bewerkingsovereenkomst opgeleverd die in lijn is met de invoering van nieuwe en striktere privacywetgeving in Zo ver mogelijk is er ook rekening gehouden met het wegvallen van de basis van het Safe Harbour agreement met de Verenigde Staten eind Dit heeft geleid tot een praktisch bruikbaarder model bewerkingsovereenkomst. Verder is er in 2015 veel aandacht besteedt aan communicatie en adoptie van de verschillende normenkaders en is er een peer-audit groep opgezet waarbij instellingen op verzoek elkaar kunnen auditen. Vrij Internet In het belang van de doelgroep zal SURF zich blijven inzetten voor een open, toegankelijk en betrouwbaar Internet en er naar streven om tegelijk de kwetsbaarheid voor ontwrichting verminderen. In 2015 is er belangrijke bijdrage geleverd aan beleidsvorming ten aanzien van open en vrij internet aan de Wetenschappelijke Raad voor het Regeringsbeleid en is er een door de doelgroep gedragen position paper opgeleverd. Als onderdeel van deze activiteit neemt SURFnet sinds 2014 deel aan de stichting Digitale Infrastructuur Nederland alwaar SURFnet eind 2015 het voorzitterschap op zich genomen. Jaarrapport 2015 P8 Betrouwbare en Veilige Omgeving Pagina 4

5 Financiën De onderstaande tabel geeft een financieel overzicht. De uitputting van het onderliggende programma in 2015 was 91%. De programmadoelen voor 2015 zijn gehaald met efficiënte besteding van de middelen. Tabel 1: Management summary 2015 (zie bijlage 1 voor legenda 1 voor programmatotaal en legenda 2 voor overige) Jaarrapport 2015 P8 Betrouwbare en Veilige Omgeving Pagina 5

6 1. Inleiding Het hoger onderwijs en onderzoek is steeds meer verbonden geraakt met haar omgeving. Studenten, docenten, onderzoekers en medewerkers werken niet alleen met elkaar samen, maar ook over de grenzen van hun instelling, nationaal en internationaal, met andere instellingen en met het bedrijfsleven. De sector heeft de verantwoordelijkheid haar eigen en externe gebruikers te voorzien van een betrouwbare en veilige samenwerkingsomgeving. Het aanbieden van zo n betrouwbare en veilige omgeving is door de toenemende complexiteit van informatieverwerking en -voorziening al een grote uitdaging. Helemaal door beveiligingslekken en aantasting van privacy die immers aan de orde van de dag zijn. Daar komt bij dat de primaire processen en voorzieningen van de instellingen steeds vaker afhankelijk zijn van de beschikbaarheid en kwaliteit van voorzieningen van derden, waaronder die van SURF. Het toenemend gebruik van vaak gratis clouddiensten brengt met zich mee dat gebruikers weinig inzicht hebben in de business-modellen achter deze diensten. Daardoor neemt de kwetsbaarheid op het gebied van beveiliging en privacy toe. Voor gebruikers staan gebruiksgemak en functionaliteit voorop, wat op gespannen voet staat met veiligheid. Het bieden van een betrouwbare en veilige omgeving is dan ook een continue zoektocht naar de juiste balans tussen kosten, functionaliteit, gebruiksgemak, veiligheid en privacy. De privacy van gebruikers lijkt ondergeschikt te raken aan de belangen van regelgevers, handhavers, commerciële partijen, lobbyorganisaties en overheden. Deze organisaties zoeken de grenzen van de wetgeving op of proberen de wetgeving te beïnvloeden. Het toenemend aantal bedreigingen vanuit georganiseerde criminaliteit, spionage en activisme maakt het probleem van beveiliging en privacy en het belang van een betrouwbare en veilige omgeving nog nijpender. Maar terwijl de eisen en bedreigingen die op de instellingen afkomen verder toenemen, zijn de hiervoor noodzakelijke resources, expertise en ervaring niet altijd voorhanden. Om in te spelen op deze trends en uitdagingen is een instellingsoverstijgende inspanning van en voor het hoger onderwijs en onderzoek noodzakelijk. Alleen een collectieve aanpak leidt tot impact en effectiviteit. SURF streeft naar een vrij toegankelijk en open internet, als fundament van een betrouwbare en veilige omgeving waarop de gebruikers en instellingen kunnen bouwen. Jaarrapport 2015 P8 Betrouwbare en Veilige Omgeving Pagina 6

7 2. Resultaten programma Inleiding In hoofdstuk 2 wordt de inhoudelijke voortgang van de projecten die samen het programma vormen, beschreven. Ook worden gerealiseerde samenwerkingen vermeld, de mate waarin benoemde risico s in 2015 zijn voorgevallen en wordt kort beschreven of en hoe de ingezette lijn van 2015 wordt doorgezet in 2016, 2017 en Ambitie programma Het programma Betrouwbare en Veilige Omgeving heeft als ambitie en doel dat SURF en haar instellingen in 2018 immuun zijn voor beveiligingsincidenten en cyberaanvallen. Immuun betekent dat ondanks dat er incidenten optreden, de beschikbaarheid en betrouwbaarheid van informatie en systemen op hoog niveau gegarandeerd blijven en de herstel- en schadekosten laag zijn. Met als gevolg een snelle recuperatie en veerkracht zonder dat dit ten koste gaat van een open en vrij toegankelijk internet. De ambitie wordt gerealiseerd door een combinatie van het voorliggende programma en de bijbehorende exploitatie-activiteiten. De ambitie wordt ondersteund door de juiste mix vanuit de vijf pijlers bewustwording, communities, diensten, standaarden en open internet, waarbij de interne organisatie van SURF en haar werkmaatschappijen hier naadloos op aansluit. Er wordt in dit programma niet naar de absolute beveiliging en privacy gezocht, maar er wordt gestreefd naar vergroten van de weerbaarheid. Hierbij wordt geaccepteerd dat zaken mis kunnen gaan en soms niet meer te repareren zijn, maar grote keteneffecten blijven uit Projecten De activiteiten van het programma worden uitgevoerd binnen projecten, die onderstaand worden benoemd, inclusief de resultaten en aandachtspunten uit Zie legenda 2 (bijlage 1) voor de toelichting bij de kleuren Project 1: Beveiliging en Privacy In het programma P8 zijn voor 2015 vijf hoofddeliverables gedefinieerd. Hieruit zijn 15 activiteiten gedefinieerd welke hebben geleid tot de oplevering van 14 deliverables. Hieronder wordt per hoofddeliverable kort stil gestaan bij de resultaten: Onderhouden bestaande communities. In kaart brengen nieuwe van communities In de eerste helft van 2015 is er een onderzoek gedaan naar de diverse security en privacy communities die binnen de SURF-familie gefaciliteerd worden. Hierbij kwam naar voren dat SURF heel beperkt zicht heeft op de eindgebruiker (student, medewerker en onderzoekers). Verder bleek dat de aansluiting van de bestuurslaag binnen onze doelgroep onvoldoende aansluiting vindt bij met de lagere echelons. Hier is op ingespeeld door eind 2015 een samenwerking aan te gaan met het OC&W programma Integraal Veilig Hoger Onderwijs. In dit programma wordt nadrukkelijk de verbinding gezocht tussen de verschillende echelons binnen een instelling door middel van risico inventarisering en mitigatie. Ontwikkelen van continue security en privacy awareness campagne Binnen het onderliggende programma is samen met SCIPR en de stuurgroep Cybersave Yourself (CSY) een marketing strategie opgeleverd waarbij heel nadrukkelijk gekeken is naar gedragsverandering en bewustwording van de verschillende doelgroepen als het gaat om cybersecurity (hieronder valt ook privacy). Hierbij wordt rekening gehouden met de verschillende culturen en structuren binnen de instellingen, en wordt gekeken hoe nieuwe campagnes aansluiten bij bestaande middelen. Het doel is om de instellingen te activeren om hun eigen cybersecurity campagne te voeren welke goed aansluit op de individuele wensen van de organisatie. Naar aanleiding van de eerste bevindingen uit het Cyberdreigingsbeeld (gepubliceerd eind 2015) waarin gesteld wordt dat spionage een grote bedreiging vormt is er Jaarrapport 2015 P8 Betrouwbare en Veilige Omgeving Pagina 7

8 besloten om budget vanuit de activiteit Communities budget aan te wenden voor een extra project waarbij gekeken wordt of het SURFnet-netwerk gecompromitteerd is en mogelijk geïnfiltreerd door buitenlandse mogendheden. Verder zal er een korte periode samen met een instelling naar alle verkeerstromen gekeken worden op zoek naar verdachte bedreigingsvectoren. Martkverkenning en technology scouting voor Security & Privacy Suite, en inventarisatie maturity level SURF portfolio. Deze activiteit bestond uit twee lijnen. De eerste lijn was gericht op het verkennen en ontwikkelen van nieuwe diensten. Hierbij werd o.a. onderzoek gedaan naar Software Defined Security. Dit resulteerde in een aantal wetenschappelijke artikelen en presentaties. Verder werd de doelgroep bevraagd over welke security en privacy diensten ze graag via SURF zouden willen betrekken. De nadruk van de tweede lijn van deze activiteit lag op de nulmeting van de SURF-familie ten aanzien van de SURF-normenkaders: Normenkader Informatiebeveiliging Hoger Onderwijs en Juridisch Normenkader Cloud Services. De resultaten en verbeteracties die volgen uit deze nulmeting zullen in 2016 e.v. geïmplementeerd worden bij de diensten van SURF. Herijking van jurdisch normenkader, best practices beveilings- en privacystandaarden 2015 was een roerig jaar op het gebied regelgeving en normen. De voorbereidingen van de introductie meldpunt datalekken op 1 januari 2016 en het wegvallen van de Safe Harbour overeenkomsten zorgden voor een versnelde invoering van een aangepaste versie van het Juridisch Normenkader Cloud Services wat resulteerde in een meer praktisch vormgegeven bewerkersovereenkomst dat door de doelgroep maar ook leveranciers gebruikt kan worden. In diverse seminars en bijeenkomsten is de doelgroep geïnformeerd over de veranderingen in regelgeving. Verder zijn er eerste stappen gezet bij de peer-auditing activiteiten rondom SURFaudit. Bijdrage leveren aan Internet Governance SURFnet heeft samen met kern- en koepelorganisaties van de Nederlandse digitale infrastructuur DINL opgezet om Nederland wereldwijd goed te positioneren als Gateway to Europe en binnen Nederland inzichten te delen met beleidsmakers en politiek. SURF pleit al vele jaren voor een open, toegankelijk en betrouwbaar internet. Er komt veel nieuwe wet- en regelgeving die de belangen van onze instellingen om in een open omgeving met iedereen veilig te kunnen communiceren raakt. Via DINL kunnen we nu in een veel breder verband en effectiever en efficiënter hun belangen bepleiten. Verder is er een bijdrage geweest aan publicatie van de Wetenschappelijke Raad voor het Regeringsbeleid De publieke kern van het internet. SURFnet heeft samen met andere Internet organisaties het platform Internet Standaarden opgezet in Nederland om adoptie van open Inetrnet standaarden te bevorderen (zie internet.nl). Projectnaam Project ID Projectleider Werkmij Geld Kwaliteit Planning Risico Beveiliging en Privacy Harold Teunissen SURFnet Tabel 2.1: Management summary van project 1 in 2015 Jaarrapport 2015 P8 Betrouwbare en Veilige Omgeving Pagina 8

9 Beveiliging en Privacy ( ) ID Projectresultaat Planning Gereed Monitor Status a Gap analysis security en Q2 Ja privacy communities b Strategie crossorganisationele Q4 Nee community building a Ontwerp van Security Q4 Ja Intelligence en Compliance b Ontwikkelen Awareness en Q4 Ja Marketing Strategie c Doorontwikkelen Cyber Save Q4 Ja Yourself (Service) vervallen Type service Opmerking a Pakket van eisen voor Q2 Ja Security & Privacy Suite b Verkenning van Software Q4 Ja Defined Security c Ontwikkeling DDOS Q4 Ja Mitigation Service (Prototype) d Nulmeting en maturiy scan Q3 Ja SURF portfolio prototype e Pilot HO Pentest Team Q4 Ja a Adoptie en compliance Q2 Ja juridisch HO normenkader b Best practices Security en Q3 Ja Privacy standaarden c Voorlichting juridisch HO Q4 Ja normenkader (Campagne) event (incl workshop) d Doorontwikkeling SURFaudit Q4 Ja met onder meer peer auditing en inbedding a aansturing Progress report in de en sector position Q4 Ja paper Internet Governance Tabel 3.1: Deliverables van project 1 in 2015 service Project 0: Programmamanagement De activiteiten van het programmamanagement zijn binnen de gestelde kaders van tijd, geld en risico s gebleven. Projectnaam Project ID Projectleider Werkmij Geld Kwaliteit Planning Risico Programmamanagement Harold Teunissen SURFnet Tabel 2.2: Management summary van project 0 in 2015 Programmamanagement ( ) ID Projectresultaat Planning Gereed Monitor Status Type Opmerking A Programmamanagement 2015 <selecteer> Tabel 3.2: Deliverables van project 0 in Gerealiseerde samenwerkingen Jaarrapport 2015 P8 Betrouwbare en Veilige Omgeving Pagina 9

10 Om dit programma en de onderliggende projecten te realiseren is op diverse gebieden samengewerkt. Uiteraard met de hoger onderwijsinstellingen, maar ook met andere nationale en internationale partijen. Ook binnen de SURF-familie (de andere innovatieprogramma s) zijn samenwerkingen versterkt in Samenwerkingspartners In het programma wordt nadrukkelijk samengewerkt met de doelgroep. Via diverse gremia zoals SCIPR en SCIRT worden de resultaten van het programma gedissemineerd. Daarnaast is er een nauwe samenwerking opgezet met het OC&W programma Integraal Veilig Hoger Onderwijs waarbij vooral de richting de bestuurslaag van onze doelgroep aansluiting gevonden wordt. In het programma wordt een beroep gedaan op partijen als Innovalor, VKA en Fox-It als betrouwbare kennisleverancier binnen het programma SURF-familie Binnen de SURF-familie wordt en nauw samengewerkt tussen de security officers van de verschillende werkmaatschappijen waarbij alle pijlers binnen het onderliggende programma een actieve rol hebben. Samenwerking met de andere innovatieprogramma s is beperkt gebleven tot een verkenning tot samenwerking met P6 rondom Research Continuity Management Risicomanagement Bij aanvang van het programma zijn diverse risico s benoemd in het controlling document. In deze paragraaf wordt beschreven in welke mate deze risico s zijn voorgekomen en hoe hier mee omgegaan is Risicomanagement project 1 In project 1 was alleen het risico rondom Beschikbaarheid van menskracht een uitdaging. De invulling van menskracht voor de activiteiten rondom communities verliep moeizaam. Dit risico is gemitigeerd door de samenwerking te zoeken met het programma Integraal Veilig Hoger Onderwijs. Beveiliging en Privacy ( ) ID Risico omschrijving Kans Impact Prio (KxI) Respons Type Maatregel Wie Opmerking (1-5) (1-5) (1-10) Beschikbaarheid van 4 4 6,4 aanvaarden In eerste instantie PM menskracht temporiseren betreffende deliverables Ambitie en doelen van het programma blijken te ambiteus of te laag in geschat Programmafinanciering onder druk Tabel 4.1: Risicomanagement van project 1 in 2015 aanvaarden aanvaarden Geen maatregelen nodig Geen maatregelen nodig Risicomanagement programma Geen van de benoemde risico s hebben zich voor gedaan in Jaarrapport 2015 P8 Betrouwbare en Veilige Omgeving Pagina 10

11 Programmamanagement ( ) ID Risico omschrijving Kans Impact Prio (KxI) Respons Type Maatregel Wie Opmerking (1-5) (1-5) (1-10) R A Beschikbaarheid van 3 4 4,8 <selecteer> Zorgen voor voldoende ProgrM menskracht afstemming binnen de organisatie en eventuele uitwijk naar externe inhuur R B Ambitie en doelen van het 3 3 3,6 <selecteer> Jaarlijks toetsen en bijsturen ProgrM programma blijken te van de programmadoelen en ambitieus of te laag ingeschat deliverables: plan-do-checkact R C Programmafinanciering <selecteer> Samen met ProgrM onder druk subsidieverstrekker de juiste keuzes maken Tabel 4.2: Risicomanagement van programma in Doorkijk navolgende jaren 2015 is het eerste jaar van het Meerjarenplan, wat de periode beslaat. Onderstaand wordt vermeld hoe deze jaren worden ingevuld De meerjarenambitie van het programma geeft een duidelijke richting aan de vijf pijlers. In 2016 zal de lijn die in 2015 is neergezet verder gevolgd worden en zullen de programma-activiteiten meer uitgelijnd worden op de bevindingen en prioriteiten uit 2015: stroomlijnen awareness campagnes, verbeteren processen bij SURFfamilie en verdere ontwikkeling dienstverlening De resultaten en het verloop van de activiteiten uit 2015 en 2016 van het programma geven in grote mate sturing aan de richting van de tweede helft van het programma. Voor een groot deel hangt dit samen met de diensten die vanuit het programma ontwikkeld worden, in hoeverre de awareness campagnes succesvol zijn en in hoeverre de SURF-familie erin slaagt zich te conformeren aan de diverse SURF-normenkaders rondom security en privacy. Jaarrapport 2015 P8 Betrouwbare en Veilige Omgeving Pagina 11

12 Bijlage 1: Legenda s Legenda financieel (objectief o.b.v. bedragen) Besteding programma ligt tussen de 85% en 101%; besteding project tussen de 85% en 110% mits programma op groen en totale afwijking is maximaal bedrag van 10% van projecttotaal met maximum van Onderbesteding programma tussen de 50% en 85%; onderbesteding project tussen de 50% en 85% en totale afwijking is maximaal bedrag van 10% van projecttotaal met maximum van Overschrijding programma is meer dan 101%; onderbesteding bij programma is minder 50%, onderbesteding bij project is minder dan 50% en totale afwijking is maximaal bedrag van 10% van projecttotaal met maximum van Projectfase is nog niet gestart. Legenda 1 Legenda management samenvatting (subjectief o.b.v. programmamanager) Het project loopt volgens plan en binnen de afgesproken toleranties. Het project loopt tegen issues aan, maar de projectmanager verwacht wel binnen de projecttoleranties te kunnen blijven. Het projectrisico is geïdentificeerd en er zijn acties gedefinieerd om de risico's in te perken, op te lossen of te voorkomen. Er wordt nog niet geëscaleerd naar opdrachtnemer of opdrachtgever. Het project loopt tegen issues aan en komt buiten de projecttoleranties. Het projectrisico is geïdentificeerd, maar de ondernomen acties helpen onvoldoende. Er is of dient geëscaleerd te worden naar opdrachtnemer of zelfs opdrachtgever. Projectfase is nog niet gestart. Legenda 2 Jaarrapport 2015 P8 Betrouwbare en Veilige Omgeving Pagina 12