Het waarom van KPN's handel in certificaten

Certificatenleverancier GemNet blijkt te zijn gehackt, terwijl het juist was aangeprezen als het alternatief voor het gefaalde DigiNotar. Maar wat is GemNet eigenlijk? En wat is de relatie met KPN?

GemNet heette oorspronkelijk Gemeenschappelijk Netwerk en werd in 1995 opgericht door de Bank Nederlandse Gemeenten (BNG) en de vereniging van Nederlandse Gemeenten (VNG). De twee overheidsinstellingen wilden met GemNet komen tot een beveiligd netwerk tussen de gemeenten voor het uitwisselen van vertrouwelijke informatie.

Gemeenten konden vrijwillig gebruik maken van GemNet. In de eerste twee jaar sloten 90 van de toen bestaande 633 gemeenten zich aan bij de netwerkleverancier. Opmerkelijk uit historische data is dat meer dan 30 procent van de gemeenten toen nog geen enkel plan had om e-mail voor de eigen ambtenaren beschikbaar te stellen.

Eenmaal per week mailen
Van de ambtenaren die wel e-mail hadden, gebruikten de meesten dat hoogstens een keer per week om iemand buiten het gemeentehuis te mailen. Slechts 1 procent van alle gemeenten had een website. In het onderzoek zei 92 procent van de gemeenten daar ook geen plannen voor te hebben.

Bijna alle gemeenten zeiden geen internetverbinding of internetdiensten aan de medewerkers beschikbaar te stellen. "De verwachting is dat de vraag naar diensten via internet in de nabije toekomst toeneemt", schrijft de VNG in zijn onderzoek in 1996.

Na elf jaar verkocht
GemNet is elf jaar lang in handen geweest van de twee eerste eigenaren. In het laatste jaar dat BNG en VNG eigenaren waren van GemNet, 2005, was de jaaromzet 13 miljoen euro. In oktober 2006 werden de aandelen in GemNet door de BNG en VNG voor een niet nader aangeduid bedrag overgedaan aan KPN. Het telecombedrijf nam toen tevens een belang van 50 procent in GemNet CSP. De andere helft van dat bedrijf bleef in handen van Getronics Pinkroccade.

PinkRoccade beheerde toen al het ict-netwerk waarover GemNet zijn diensten aan de gemeenten aanbood. Het telecomnetwerk werd al gehuurd van KPN. Tijdens de overname was het aantal aangesloten gemeenten al gegroeid naar meer dan 500 gemeenten. Daarnaast namen ook waterschappen en provincies diensten af van GemNet. Tegenwoordig zijn alle nog bestaande gemeenten aangesloten op GemNet. Dat zijn er 443.

Inmiddels biedt GemNet datacommunicatie (onder meer voor de Gemeentelijke Basis Administratie, de Rijksdienst voor het wegverkeer voor rijbewijsafgifte, de financiŽle communicatie met de BNG en de verstrekking van paspoorten) en een pakket services zoals websites, elektronische post en nieuwsgroepen.

Werkplek uit de cloud
KPN gebruikt GemNet steeds meer om diensten over het netwerk naar de gemeentelijke overheden te brengen. Zo maakte het bedrijf begin dit jaar bekend dat het werkplekken uit de cloud aan ging bieden aan gemeenten, te beginnen met Den Haag, Zoetermeer, Hillegom en Tilburg.

Binnen die werkplek worden email, opslag en webconferencing aangeboden. GemNet wil graag een grote rol spelen in nieuwe ontwikkelingen in gemeenteland, zoals regionale samenwerkingsverbanden tussen gemeenten die dan gebruik maken van shared service centers.

GemNet CSP doet in certificaten
GemNet CSP is het onderdeel dat de certificaten voor overheden levert. CSP staat voor Certification Service Provider. Met de certificaten worden onder meer e-mails versleuteld en ondertekend en wordt er door de gemeenten elektronisch gebankierd. De eerste klant van GemNet CSP was de gemeente Leidschendam-Voorburg in juni 2003. De certificaten werden van meet af aan afgenomen van Pinkroccade, dat als een van de eersten aangesloten was bij PKIOverheid.

PinkRoccade werd in 2005 overgenomen door Getronics, dat op zijn beurt weer ingelijfd werd door KPN. Het telecombedrijf kreeg zo in 2007 alle aandelen van GemNet CSP in handen. Vandaar dat KPN nu zowel de certificatenmaker (Getronics) als de certificatenuitgever (GemNet CSP) in handen heeft.

GemNet CSP werd tijdens de crisis met de certificaten van DigiNotar aangeprezen door het Kwaliteitsinstituut Nederlandse Gemeenten (KING) aanbevolen als alternatief.