computable

Deel 4: Een ongehoord niveau van ict-wanbestuur bij UWV WERKbedrijf OPINIE – Drie jaar geleden begon UWV WERKbedrijf met de vervanging van drie kernsystemen door een standaardpakket. Ruim een jaar geleden schreef ik hier dat ‘project BMS’ op weg was naar een mislukking. Dankzij toezichthouder AcICT weten we dat dit ‘ai’-project tot de ergste UWV-fiasco’s behoort. Dit artikel is wat langer dan normaal en daarom begin ik maar met een TL;DR: UWV kocht drie jaar terug standaard software voor UWV WERKbedrijf. Die software kost tien à twintig keer meer dan de huidige software, maar is volgens de leverancier wel ‘ai’. Het lukt UWV niet om de ai-software van goede input te voorzien, ondanks dat er daar miljoenen in zijn gestopt. Mede daarom weet UWV niet of de ai-software het beter doet. De standaard software wordt aangepast aan UWV-eisen maar blijft ‘standaard’ omdat de ai-leverancier geen andere klanten heeft. De huidige data-chaos (drie systemen, elk met een eigen database) blijft bestaan en wordt uitgebreid met twee extra databases, waarvan UWV er van één niets weet. Bestuurlijk hoofdverantwoordelijk was een mevrouw met een verzonnen cv. De directie wordt gevoerd door een directeur die een afkeer heeft van deskundigheid. Aantoonbare wanprestatie door de leverancier leidt niet tot contractueel overeengekomen maatregelen. Na drie jaar werkt er nog niets, maar de leverancier krijgt betaald – miljoenen per jaar! – alsof de software al volledig operationeel is. UWV koopt verder extra tijd door buiten het zicht van de buitenwereld met de software te gaan werken. Geef toe: dit geloof je toch niet, zelfs niet bij UWV. Mede dankzij een recent verschenen auditrapport van toezichthouder AcICT weten we dat dit de situatie is. Laat alle hoop varen, gij die hierna verder leest! Waar waren we gebleven? In mijn laatste artikel over de vervanging van drie arbeidsmarktsystemen (waaronder het bekende werk.nl) door een ai-pakket van het bedrijf 8Vance concludeerde ik dat het programma was mislukt. Op dat moment liep de planning van de eerste implementatie al bijna twee jaar achter op schema (nu dus drie) en ook nu nog werkt er niets. Ondertussen betaalt UWV naar verluidt jaarlijks enkele miljoenen aan 8Vance voor de ondersteuning bij de implementatie van zijn ai-pakket. Dat bedrag komt boven op de aanschafwaarde van 65 miljoen euro. Ondertussen beginnen sommige UWV’ers te betwijfelen of UWV eigenlijk wel ai-software heeft gekocht. Niemand die het weet want 8Vance levert een black box zonder concrete informatie, ook niet aan UWV [!], over de werking van hun software. En de brondata voor het 8Vance pakket komen uit een door UWV gemaakte ‘geconsolideerde database’, gevoed met de data uit de legacysystemen. Die database – prijskaartje boven de 10 miljoen – is een hoofdpijnproject op zichzelf. De brondata zijn deels zo slecht en/of de logistiek zo gammel dat zelfs de meest briljante ai-software er geen chocola van kan maken. Een afrekening door de toezichthouder? Recent kwam toezichthouder AcICT met een rapport over project Bemiddelingsservice (BMS). Het gaat dus om de kerntaak van UWV WERKbedrijf: werkzoekenden koppelen aan passende vacatures. Nu gebeurt dat door drie oude systemen: het publieksysteem werk.nl en de interne systemen Sonar en WBS. Hier het te milde oordeel van AcICT: Link: https://www.adviescollegeicttoetsing.nl/documenten/2026/02/02/advies-bemiddelingsservice Let wel: het gaat hier over aangekochte saas-pakketsoftware, niet om maatwerk. Implementatie is meer dan uitpakken en installeren, maar 8Vance is ook geen SAP. Sterker, wat 8Vance claimt te doen is simpel losstaand te testen. Begin 2023 was het plan om nog in datzelfde jaar in productie te gaan met de vervanging van het systeem werk.nl, zodat de software door iedere werkzoekende en werkgever kan worden gebruikt. Dat idee is vervangen door tests op microschaal – zonder pottenkijkers. Die tests gaan steeds niet door, maar nu heeft de toezichthouder geadviseerd om ermee te beginnen. Wauw! Midden 2025: De laatste van vele planningen die niet uitlopen maar niet van de grond komen De stekker er uit? Nee, natuurlijk niet. Wie het AcICT-rapport leest moet wel concluderen dat de kans op een goede afloop nul is. Werkelijk alles is hier verprutst, – zie hierna –, de pakketselectie voorop. AcICT kan zoiets niet opschrijven, mede omdat er vanuit UWV keihard is onderhandeld over de definitieve tekst. UWV-topman Camps doet er persoonlijk alles aan om te voorkomen dat slechte berichten terechtkomen bij de minister of de kamer – lees hier. En met succes, want AcICT adviseert niet meer dan eindelijk te laten zien dat er ‘iets werkt’. Wij lezen met deskundige ogen het AcICT-rapport en slaan steil achterover. Lees het rapport vooral zelf, maar met wat extra inside information en minus ambtenarentaal staat er dit: UWV moet gaan proberen om te begrijpen hoe de 8Vance software werkt. Hoe dat moet zonder documentatie, zonder toegang tot de code en zonder eigen deskundigheid, blijft open. UWV en 8Vance werken slecht samen, terwijl UWV toch de enige echte klant van 8Vance is. UWV moet 8Vance dwingen dat stuurtabellen die 8vance gebruikt gaan aansluiten op de eigen UWV-tabellen. Dat is al drie jaar lang niet gelukt en mede daarom vragen insiders zich af of ze wel werken met ai-software. Het pakket blijkt achteraf niet volledig te voldoen aan de eisen en wordt daarom aangepast op kosten van UWV. UWV beschikt nagenoeg zeker niet over de softwaredocumentatie (mocht die er al zijn) noch over de broncode van een verbouwd standaardpakket. 8Vance heeft bij UWV te maken met meerdere machtscentra, waaronder de divisie Klant en Service, die over de ‘buitenkant’ van de systemen gaat. Haar eisen om de buitenkant te laten voldoen aan de UWV-standaarden leiden tot buggy-verbouwingen aan de software. De kwaliteit van aanpassingen door 8Vance voldoet niet, maar UWV laat dat gebeuren. Meerdere teams werken langs elkaar heen, wat bij UWV doorgaat voor ‘agile’. UWV moet gaan voldoen aan de AI verordening. Het 8Vance pakket werkt echter op gestolen LinkedIn-profielen, die niet meer actueel zijn omdat LinkedIn het datalek heeft gedicht. Die verordening eist ook dat UWV de software van 8Vance monitort. Maar UWV heeft geen kennis van of greep op die software, anders dan dat deze draait in een ‘eigen’ omgeving, die overigens onder USA-jurisdictie valt. De gegevenslogistiek wordt met twee extra databases véél complexer. Naast drie legacy-databases komt er een geconsolideerde database (GDB of ABR genoemd) die vanuit die drie databases wordt gevoed, deels met ontbrekende of heel slechte data. Die GDB voedt op zijn beurt weer een 8Vance-database – waarvan UWV niets weet! – die weer matchresultaten retour levert. Het lukt sowieso niet om die databases consistent te houden. UWV maakt alles nog moeilijker door nodeloos complexe near realtime gegevenslogistiek in plaats van batch-synchronisaties. Dat gebeurt vrijwel zeker op basis van het fire and forget- principe zodat uitval van gegevens niet wordt gesignaleerd of opgelost. UWV heeft eigenlijk geen idee hoe ze moeten vaststellen of een matchresultaat van 8Vance beter of slechter is dan dat van de bestaande systemen, wat te denken geeft over de pakketselectie. De resultaten van een vergelijking tussen de resultaten van de bestaande software en 8Vance geven te denken. Dat kan liggen aan het pakket (oei), maar ook aan de kwaliteit van de data in het gebruikte bronsysteem (WBS) of aan niet werkende data-consolidatie- software. Dat moet nog worden uitgezocht en heeft alles in zich voor een mooi moddergevecht. Prestatieverplichtingen die 8Vance niet nakomt, leiden niet tot het achterhouden van de tonnen aan maandelijkse rekeningen. Weliswaar heeft UWV daartoe het recht, maar het zou mogelijk leiden tot een faillissement van dit bedrijfje, dat financieel vrijwel volledig afhankelijk is van klant UWV. Dat is UWV al eens overkomen. Behalve de miljoenen die 8Vance jaarlijks in rekening brengt voor pakketaanpassingen en -implementatie, worden de termijnen van de 65 miljoen aan licentiekosten ook in rekening gebracht, als ware het systeem in al in gebruik. Dit briljante stukje contracteerwerk zou kunnen betekenen dat UWV al tot tien miljoen euro heeft uitgegeven aan software die niet werkt en ook nooit zal werken. Ook hier worden mogelijkheden, die het contract biedt om excessen tegen te gaan, niet benut. Toelichting overbodig: ‘De relaties tussen de acceptatiecriteria, het programma van eisen en het contract zijn niet duidelijk.’ Natuurlijk kun je niet verwachten dat een toezichthouder alles even scherp opschrijft als ik hier doe en zoals gezegd heb ik mijn eigen kennis aan de soms vage teksten toegevoegd. Volledig is AcICT ook niet. Geen woord over de LinkedIn-data-rip en evenmin over de vraag of de software acceptabele responsetijden oplevert. Maar duidelijk is dat het project op elk niveau en naar elk criterium een drama is: inkoop- en ict-technisch, financieel, ai-juridisch en managerial. Hier is sprake van mismanagement (of erger) op een niveau dat zelfs bij faalfabriek UWV ongehoord is. Hoe heeft dit kunnen gebeuren? Namen en rugnummers! Ik blijf doorgaans ver weg van wijzen naar personen. Mijn positie is dat de organisatiestructuur en -cultuur elke verandering frustreren (zie bijvoorbeeld hier). Uitzondering zijn gevallen van corruptie (voorbeelden: 1, 2), maar daarvoor heb ik hier geen aanwijzingen. Ik kan hier wel opschrijven waar het organisatorisch aan schort. Zo hangt de divisie WERKbedrijf los van het echte UWV. Er wordt geen geld uitgekeerd en veel klanten hebben UWV niet nodig, dus er politiek kan er weinig mis gaan. Zo’n divisie laat je dan leiden door je allerlichtste bestuurder. Deze Nathalie van Berkel werd binnen UWV breed gezien als te licht voor haar job en dat was nog voordat bleek dat ze haar cv deels bij elkaar had gejokt. Op zich verklaart dat nog niet waarom het 8Vance-programma zo verschrikkelijk mis is gelopen. Daarvoor is meer nodig dan zwak bestuur. De echte actor is de directeur ict van WERKbedrijf, Karin Menses. Evenals bestuurder Van Berkel komt ze van buiten UWV en heeft ze geen verstand van arbeidsbemiddeling en volgens haar omgeving geen interesse om dat te ontwikkelen of zich te omringen met deskundigheid. Maar wat ze wel heeft is daadkracht. Twee belangrijke experts (nu met pensioen) zijn op een zijspoor gezet en vervangen door externen uit haar netwerk en hun eveneens deskundige manager verkast naar een andere UWV-divisie. Tenslotte legt ze de selectie van nieuwe software in handen van een andere externe. Uiteraard heeft ook deze Marcel de Beer geen inhoudelijke deskundigheid. We zien hier wat dit project zo bijzonder maakt. Het is bijna geheel uitgevoerd door mensen zonder verstand van zaken en zonder verleden bij UWV en dat is uniek. De centrale actor is Karin Menses, maar dat kon ze alleen zijn bij de gratie van een zwakke bestuurder en een UWV-organisatie waar de divisie WERKbedrijf er los bij hangt. Maar ook hier speelt de structuur en cultuur van de UWV-organisatie een rol. Ict-directeur Menses rapporteert zowel aan de divisiedirecteur WERKbedrijf als aan de cio en meer bazen is geen baas. En het laten leiden van projecten neerleggen bij expendable externe krachten gaat terug tot de jaren 00. Naast een teveel aan daadkracht en een tekort aan deskundigheid is deze context essentieel om te kunnen begrijpen hoe dit project zo heeft kunnen ontsporen. Wie trekt de stekker uit dit drama? We hebben een nieuw kabinet en dan wordt er wel eens ingegrepen op lopende wantoestanden. Het probleem is echter dat nu pas de stormbal wordt gehesen. Doorgaans kost het nog twee jaar en een smak belastinggeld voor er wordt ‘bijgestuurd’. Extra complicerend is dat de nieuwe minister van Sociale Zaken en Werkgelegenheid van D66-huize is, dezelfde partij die Nathalie van Berkel om inhoudelijk onbegrijpelijke redenen een prominente plek heeft gegeven. Niemand bij D66 wil haar wéér in de spotlights. Op UWV-niveau wordt er waarschijnlijk ook gewacht tot mooiweer-voorzitter Camps is vertrokken. En daaronder bevindt zich alleen nog ict-directeur Karin Menses, van wie wordt gezegd dat ze de interne reorganisatie aangrijpt om naar een volgende uitdaging te vertrekken. Misschien wel het meest zorgwekkend is dat van de huidige drie systemen alleen werk.nl fatsoenlijk mensen aan vacatures koppelt. Mensen aan werk koppelen met de twee andere systemen werkt al jarenlang niet of nauwelijks. Maar omdat niemand het in zijn portemonnee voelt protesteert er niemand. Als Den Haag op dit dossier wil wegkijken zien we pas of UWV zichzelf met 8Vance heeft opgelicht als de stekker uit werk.nl wordt getrokken – en dan is het minstens 2030. En dus heeft minister Vijlbrief aangegeven om het advies van AcICT op te volgen en op microschaal met 8Vance door te modderen. Vóór 2028 horen we vermoedelijk niets meer. Gelukkig hebben we dankzij AcICT meer handvatten om wat er gebeurt te volgen. En we zijn een rijk land. We kunnen dit best hebben. Serie artikelen Eerder verschenen al drie andere afleveringen van René Veldwijk in deze serie over het UWV, UWV WERKbedrijf en 8Vance: 1) UWV is terug met een mega-ict-project 2) Het mega-ict-project van UWV Werkbedrijf 3) Het [nep?] mega-ict-project van UWV WERKbedrijf

Steeds meer vraagtekens kunnen worden gezet achter de opstelling van Logius in de kwestie Solvinity. Weinig tekenen wijzen erop dat deze it-dienstenaanbieder van het ministerie van BZK, echt van plan is de vrijwel unaniem aangenomen motie van de Tweede Kamerleden Barbara Kathmann (GroenLinks-Pvda) en Chris Stoffer (SGP) uit te voeren. Die motie stuurt aan op het zo snel mogelijk beëindigen van het contract voor de levering van infrastructuur-diensten voor DigiD.  De Tweede Kamer hecht daar zwaar aan omdat Solvinity bij verkoop aan Kyndryl onder de reikwijdte van de Amerikaanse wetgeving valt met alle (geopolitieke) risico’s vandien. De Kamer kreeg van BZK te horen dat het beheer van het DigiD-platform pas in 2028 bij het aflopen van het contract met Solvinity naar een Nederlands bedrijf kan worden overgeheveld.  Maar Computable wees er begin dit jaar op dat het contract al in augustus van dit jaar valt te beëindigen. BZK vertelde dat niet aan de Kamer, waardoor de indruk bestond dat we tot 2028 moeten wachten. Logius heeft tot 6 mei aanstaande de tijd de optie tot verlenging van het contract met twee jaar niet te lichten en een nieuwe aanbesteding uit te schrijven. Want Logius moet drie maanden voor het aflopen van het huidige contract aangeven dat opzegging aanstaande. Het is dus kort dag. Dikke kans dat Logius deze kans aan zich voorbij laat gaan, daarbij de motie Kathmann/Stoffer negerend.  Dagblad Trouw citeert een woordvoerder van BZK dat het kabinet hierop pas na het mei-reces reageert. Dan is de uiterste termijn van 6 mei al verstreken. Kathmann is niet verbaasd over deze gang van zaken. Ze heeft de indruk dat BZK/Logius al afspraken met Solvinity heeft gemaakt over voortzetting van de ondersteuning van het DigiD-platform. ‘Het heeft er alle schijn van dat ze gewoon doorgaan,’ verklaart ze aan Trouw, reden om een debat met het kabinet aan te vragen. Informatie achterhouden Het is overigens niet de eerste keer dat de Kamer achter de feiten dreigt aan te lopen. Het begon al met de informatie over de voorgenomen overname van Solvinity door een Amerikaans bedrijf. De Logius-directie wist al sinds maart 2025 dat er een overname zou volgen, mogelijk door een Amerikaanse partij. Maar deze informatie bereikte de Kamer niet. In februari van dit jaar, toen de kwestie Solvinity al de volle politieke aandacht had, kreeg de Kamer een samenvatting van een analyse van de veiligheidssituatie die na de overname zou ontstaan.   In die samenvatting ontbrak de kern van de ciso-impactanalyse, namelijk dat mitigerende maatregelen onvoldoende zijn om de beschikbaarheid van DigiD en privacy te waarborgen. Juist het meest relevante deel van het technische advies ontbrak.  Alternatief voorstel Eerder dit voorjaar ontwikkelde de chief privacy officer van Logius, Pieter van Oordt, een alternatief voorstel om de ondersteuning van het DigiD-platform bij Solvinity weg te halen. Maar de Logius-directie verbood Van Oordt zijn idee toe te lichten aan de staatssecretaris die de Kamer op de hoogte moet houden.  De Logius-leiding beweerde ook dat Van Oordt informatie uit eerder genoemde impactanalyse – een gerubriceerd document – met de media heeft gedeeld, wat de privacy-adviseur stellig ontkent. Maar staatssecretaris Eric van der Burg (BZK) suggereerde dit wel deze week in een brief aan de Kamer. Van Oordt vindt dat zijn reputatie hiermee is geschaad. Hij is ook nooit in de gelegenheid gesteld om te laten weten dat deze aantijging niet klopt.  Ontslagen? In het artikel van Trouw werd Van Oordt gisteren ineens ‘oud privacy-ambtenaar’ genoemd nadat de woordvoering van BZK op aanpassingen had aangedrongen. Later zette het dagblad dit recht. Van Oordt leidt hieruit af dat zijn ontslag aanstaande is. Hij beschuldigt Bert Voorbraak, de algemeen directeur van Logius, ervan te zitten achter deze actie en tevens achter de onjuiste en onvolledige informatieverstrekking aan de Kamer. Volgens hem doet de Logius-top er alles aan om de weg vrij te maken voor de voorgenomen overname.  En wat het kabinet betreft worden er voorlopig geen spijkers met koppen geslagen over de DigiD-ondersteuning. Het kabinet wacht eerst de uitslag van een veiligheidstoets af die moet uitwijzen of de voorgenomen overname een risico vormt voor de nationale veiligheid. Maar dat onderzoek zal pas na 6 mei klaar zijn. En dan is de eerder genoemde deadline van 6 mei verstreken, waarna DigiD nog twee jaar ‘vastzit’ aan Solvinity.

De rijksoverheid heeft een raamovereenkomst gesloten met de Europese cloudleverancier StackIT. Dit cloud- en rekencentrum van het Duitse Schwarz Digits is weer gelieerd aan Lidl en Kaufland. Met deze overeenkomst kunnen ministeries en rijksdiensten gebruikmaken van de Duitse clouddienst onder vooraf vastgestelde, veilige en gunstige voorwaarden. Het Rijk heeft duidelijke afspraken gemaakt over waar data worden opgeslagen, namelijk binnen de Europese Economische Ruimte (EER). Ook kan de Nederlandse overheid, via audit-recht, controleren of StackIT zich aan deze afspraken houdt. Zo valt te waarborgen dat data veilig zijn en volgens de regels worden gebruikt. Daarnaast zijn er voorwaarden afgesproken over het beëindigen van contracten, bijvoorbeeld als de leverancier in handen komt van een partij buiten de EER. Rijksorganisaties bepalen zelf of en in welke mate zij gebruikmaken van de diensten; er zijn geen afnameverplichtingen of minimale bestedingen. Ze kunnen dus nog altijd voor Microsoft Azure, AWS of Google Cloud kiezen. Maar de clouddiensten van StackIT krijgen nu veel meer kans. SLM Rijk De onderhandelingen voor de Rijksoverheid zijn gevoerd door het Strategisch Leveranciersmanagement Rijk (SLM Rijk). Door via SLM Rijk deze afspraken gezamenlijk te maken, hoeven individuele rijksorganisaties niet zelf complexe contractonderhandelingen te voeren. Dit voorkomt versnippering en zorgt ervoor dat alle ministeries en rijksdiensten, ongeacht de grootte, kunnen profiteren van goede en voordelige voorwaarden. De raamovereenkomst is de eerste in zijn soort. De afspraken gelden per direct. Minister David van Weel (Justitie en Veiligheid): ‘Met deze overeenkomst zetten we een belangrijke stap in het verkleinen van onze afhankelijkheid van partijen buiten Europa en versterken we onze digitale weerbaarheid.’ Eerder deze week werd al bekend dat ook De Nederlandsche Bank voor clouddiensten een contract met Schwarz Digits/StackIT is aangegaan. De Europese Commissie heeft eveneens afspraken met StackIT gemaakt. De Schwarz Groep heeft de ambitie StackIT te laten uitgroeien tot een hyperscaler. Het bedrijf steekt elf miljard euro in een datacenter in de Duitse deelstaat Brandenburg.

Een hackersgroep die zich Embargo noemt, heeft deze week gedreigd om patiëntgegevens van ChipSoft online te zetten. De zorgleverancier levert systemen aan onder meer huisartsen. Op dinsdag 7 april werd bekend dat het bedrijf is gehackt. Het duurde vervolgens meer dan een week voordat ChipSoft toegaf dat persoonlijke gegevens van patiënten waren gestolen, waaronder medische data.Afgelopen maandag verscheen op het darkweb een bericht waarin Embargo claimt 100 GB aan data van ChipSoft in handen te hebben. Op de site stonden twee aftelklokken die deze week zouden aflopen, aldus de NOS.‘Die klok is erop gericht om hun slachtoffers onder druk te zetten‘, zegt Harm Teunis, security evangelist bij het cybersecurity-bedrijf Eset Nederland. Zo’n klok is ook het doel van zo’n site op het darkweb. ‘Daarmee laten ze zien dat ze gegevens in handen hebben en dreigen die te publiceren.’OnderhandelingenHet dreigement is inmiddels van de website verdwenen. ‘Vaak gebeurt dat pas als het bedrijf heeft betaald om te voorkomen dat de gegevens worden gepubliceerd’, zegt Teunis. Maar hij houdt ook rekening met de mogelijkheid dat Embargo de naam heeft weggehaald omdat dat tijdens de onderhandelingen is afgesproken.ChipSoft bevestigt aan de NOS dat onderhandelingen met de cybercriminelen nog gaande zijn. Het bedrijf onthoudt zich van een verdere reactie. Zo is niet duidelijk of de leverancier van elektronische patiëntendossiers bereid is om losgeld te betalen. Telecomprovider Odido weigerde dat onlangs. Geen statelijke actorEmbargo is een relatief onbekende hackersgroep. Over de herkomst en identiteit van de hackers valt niets te zeggen. De groep ontkent een statelijke actor te zijn. Op het darkweb omschrijft de groep zichzelf als een ‘internationaal team zonder politieke banden’.Uit een lijst met recente slachtoffers blijkt dat Embargo ervaring heeft met aanvallen op de zorgsector. Zo werden ziekenhuizen uit de Verenigde Staten belaagd. Eset volgt de groep sinds juni 2024. ‘Dat is vlak nadat we ze voor het eerst hebben gezien. Hun werkwijze is in die jaren niet veel anders geworden’, licht Teunis toe. ‘Wat ze doen, noemen we dubbele afpersing. Daarbij worden bestanden van het bedrijf niet alleen versleuteld, maar downloaden de hackers ook gegevens om het bedrijf af te persen.’AfpersingChipSoft maakte eerder zelf bekend dat het bedrijf slachtoffer is geworden van een ransomware-aanval. Daarbij maken criminelen bestanden ontoegankelijk door ze te versleutelen: de bestanden worden ‘gegijzeld’. Daarna vragen de hackers losgeld, in ruil voor de digitale sleutel. Daarmee kan het slachtoffer zijn bestanden weer toegankelijk maken.Met de gestolen gegevens kunnen zij het slachtoffer ook chanteren door te dreigen om die te publiceren. Bij dubbele afpersing worden bestanden versleuteld én gevoelige gegevens gestolen, zodat het slachtoffer op twee fronten onder druk staat. Het slachtoffer moet dan twee keer betalen: om weer aan het werk te kunnen, en om te voorkomen dat er gegevens openbaar worden. Teunis: ‘Medische gegevens zijn extra gevoelig. De druk om te betalen kan daardoor hoger worden. Maar het kwaad is natuurlijk al geschied: de criminelen hebben de gegevens al in handen.’De Landelijke Huisartsen Vereniging heeft alle huisartsen die getroffen zijn door de hack bij ChipSoft, geadviseerd om hun patiënten daarover te informeren. De vereniging zegt dat er mogelijk gegevens van ‘enkele tientallen huisartsenpraktijken’ zijn gestolen, maar zegt niet te weten hoeveel het er precies zijn. Behalve bij huisartsen zijn ook bij andere zorginstellingen zoals het Oogziekenhuis Rotterdam patiëntgegevens gestolen. Om welke instellingen het precies gaat en om hoeveel personen, maakt ChipSoft niet bekend.

Bij de cyberaanval van vorige maand bij de gemeente Epe zijn zeer waarschijnlijk persoonsgegevens van bijna alle inwoners buitgemaakt. Dat meldt de gemeente na Uit forensisch onderzoek. De gemeente Epe maakte eerder bekend dat hackers op 10 maart 2026 via een zogeheten ClickFix‑aanval toegang kregen tot het gemeentelijke netwerk. Twee dagen later werden circa 552.000 bestanden gedownload (zo’n 800 gigabyte). Uit forensisch onderzoek blijkt nu dat de hackers toegang hadden tot één netwerkschijf met ongestructureerde bestanden. Volgens de gemeente zijn daarbij waarschijnlijk van vrijwel alle inwoners gegevens gelekt, waaronder naam, adres, geslacht, geboortedatum, geboorteplaats en burgerservicenummer (bsn). Inloggegevens van DigiD zijn niet buitgemaakt, omdat de gemeente daarover niet beschikt. Verder bleek na onderzoek dat in sommige bestanden ook andere persoonsgegevens kunnen voorkomen. Het gaat om contactgegevens, bankrekeningnummers of kopieën van identiteitsbewijzen van inwoners die bijvoorbeeld een aanvraag hebben gedaan of bezwaar hebben ingediend, meldt de Gelderse gemeente in een verklaring. Inwoners van wie een kopie van een geldig identiteitsbewijs is aangetroffen, ontvangen daarover nog bericht. Zij kunnen het document vervolgens kosteloos laten vervangen. Cyberaanvallen Het datalek bij Epe past in het rijtje recente cyberaanvallen waarbij klantgegevens zijn gestolen. Zo werden deze week bij cosmeticaketen Rituals lidmaatschapsgegevens van klanten gedownload, waaronder naam, adres, e‑mail en telefoonnummer. Wachtwoorden en betaalgegevens zijn volgens het bedrijf niet gelekt. Het aantal betrokken klanten is niet bekendgemaakt. Afgelopen februari werd telecomaanbieder Odido nog getroffen door een grootschalig datalek waarbij gegevens van ongeveer 6,2 miljoen (oud-)klanten zijn buitgemaakt, waaronder bsn’s, Iban’s en documentnummers van identiteitsbewijzen. Het incident leidde tot Kamervragen en een deze week aangekondigde collectieve rechtszaak door Consumentencollectief CUIC (Consumers United in Court). In januari meldde reisplatform Interrail dat een beveiligingslek heeft geleid tot de diefstal van klantgegevens. Het gaat hierbij om voor- en achternamen, e-mailadressen, telefoonnummers, woonadressen en geboortedata. Mogelijk zijn ook paspoort- of id-kaartinformatie van klanten blootgesteld.

Bij Unica is het omzet-aandeel van gespecialiseerde bedrijvenclusters, met name op gebied van ict, vorig jaar gestegen naar 45 procent. De technische dienstverlener doorbrak in 2025 de omzetgrens van één miljard euro. Unica zet steeds meer in op digitalisering en innovatiekracht om integrale oplossingen te bieden waarbij het de regiefunctie bekleedt. Unica ICT Solutions (dienstverlening) en Unica Datacenters (ontwerp, bouw en onderhoud van datacenters) groeiden mee met hun klanten die steeds digitaler worden Hetzelfde geldt voor Unica Industry Solutions (industriële automatisering/procestechnologie), Unica Building Intelligence (intelligente gebouwautomatisering) en Unica Access & Security (toegangsverlening en beveiliging). De bedrijfsomzet groeide met 9 procent tot 1,017 miljard uro (2024: € 937 miljoen). Daarbij liet het operationele resultaat (ebitda) een groei zien naar 133 miljoen euro, een groei van 15 procent ten opzichte van 2024 (117 miljoen euro). De nettowinst nam toe met 17 procent naar 62,8 miljoen euro (2024: 53,9 miljoen). Veiligheid Unica constateert een toenemende behoefte aan veiligheid, vanwege de spanningen en onzekerheden in de wereld. Met oplossingen op het gebied van onder meer technische beveiligingsoplossingen, brandveiligheid, toegangscontrole, dataveiligheid en industriële veiligheid voorzien tal van Unica-bedrijven in deze toenemende behoefte. Het merendeel van de omzetgroei werd organisch gerealiseerd, aangevuld met drie acquisities. In maart 2025 nam Unica smart data en service specialist MPL over, een specialist op het gebied van smart building concepten en data-integratie. Daaropvolgend werd meet- en regeltechniek specialist Erco overgenomen en eind 2025 sloot Niemeijer Installatietechniek zich aan bij Unica. Het bedrijf telt ruim 4.750 medewerkers. De aanhoudende schaarste op de arbeidsmarkt, met name in de ict en techniek, blijft voelbaar.

China staat waarschijnlijk op gelijke voet met de Verenigde Staten op het gebied van offensieve cybercapaciteiten. Dat meldt de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) in haar jaarverslag over 2025.Het Chinese Volksbevrijdingsleger reorganiseerde in 2024 zijn cyber-eenheden en bracht daarbij technische capaciteiten samen. Dit stelt Chinese hackers in staat hun tooling en infrastructuur voortdurend aan te passen en zeer flexibel in te spelen op kansen en veranderende omstandigheden. Tot die conclusie komt de MIVD. De dienst schat in dat China hierdoor offensieve cybercapaciteiten beter kan integreren met militaire operaties.De MIVD verwacht dit jaar een verdere toename in het aantal campagnes gericht op het misbruiken van kwetsbaarheden, waaronder in edge devices zoals routers, firewalls en vpn-oplossingen. Chinese statelijke actoren hebben toegang tot specialistische kennis over westerse hard- en software. Dit is mogelijk door een divers en uitgebreid ecosysteem van Chinese bedrijven en kennisinstellingen die offensieve cyberoperaties faciliteren. Ook het Chinese Volksbevrijdingsleger, de gewapende vleugel van de Communistische Partij van China en met ruim twee miljoen actieve leden het grootste leger ter wereld, zoekt naar ingangen in westerse technologie. De MIVD onderkende in 2025 dat meerdere onderdelen binnen dezelfde eenheid zelfs concurreren om kwetsbaarheden te vinden in een bepaald type edge device.CyberspionageDe militaire inlichtingendienst neemt structurele Chinese cyberspionage waar die gericht is tegen de westerse defensie-industrie. Door hun gebruik van onbekende software kwetsbaarheden (zero days) en snelle operationalisering van reeds gepubliceerde kwetsbaarheden wordt de weerbaarheid hiertegen steeds lastiger. De MIVD stelt vast dat detectie, respons en mitigatie vaak onvoldoende opgewassen zijn tegen de omvangrijke en professionele Chinese cyberdreiging.De dreiging vanuit Noord-Koreaanse it’ers was eerst voornamelijk gericht op de VS. Deze dreiging heeft zich echter ontwikkeld richting Europa. De MIVD maar ook de Algemene Inlichtingen- en Veiligheidsdienst (AIVD; voor binnenlandse veiligheid) hebben verschillende cyberaanvallen tegen Nederlandse bedrijven en personen waargenomen. Een aantal van deze operaties is zeer waarschijnlijk uitgevoerd door of met behulp van Noord-Koreaanse it’ers. Deze aanvallen waren voornamelijk gericht op het ontvreemden van cryptocurrency en mogelijk ontvreemden van bedrijfsinformatie.   De Noord-Koreanen laten zich onder valse identiteit inhuren door buitenlandse organisaties om it-werkzaamheden te verrichten. Zij voeren hun werkzaamheden als voltijds-medewerker of contractant op afstand uit. Doorgaans voeren zij uitsluitend hun contractuele taken uit en werken vaak tegelijkertijd voor meerdere bedrijven. Het primaire doel van deze werkwijze is financiering van het regime door inkomen af te staan. Noord-Korea probeert zeer waarschijnlijk op deze wijze buitenlandse valuta te verkrijgen. Naast deze Noord-Koreaanse it’ers zijn er ook werknemers die legitiem arbeid verrichten en tevens cryptocurrency of data stelen.RussischNet als voorgaande jaren zijn Russische cyber-actoren zeer actief op het gebied van offensieve cyberoperaties richting Europa. Het gaat hierbij zowel om actoren die direct gelieerd zijn aan de Russische inlichtingendiensten, als om pro-Russische aanvallers die verder afstaan van de Russische overheid maar wel worden gesteund door de staat. Het aantal verschillende Russische cyber-actoren neemt tevens toe. Hun operaties variëren van relatief eenvoudig spear phishing tot het gebruik van geavanceerde malware om toegang te krijgen tot systemen van overheden, bedrijven en instanties.

Event | Hannover Messe 2026 Het Franse Dassault Systèmes en de Japanse technologieleverancier Omron werken samen om productieomgevingen slimmer, flexibeler en beter beheersbaar te maken. Daarvoor willen ze digital-twin-technologie voor ontwerp en planning koppelen met de machines, robots en sensoren op de werkvloer. Dat melden de bedrijven op de industriebeurs Hannover Messe. Volgens Dassault Systèmes en Omron werken in veel fabrieken productontwerp, automatisering en productie nog te veel langs elkaar heen. Dat leidt tot langere opstarttrajecten, een grotere kans op fouten en minder ruimte om snel bij te sturen. Door de virtuele en fysieke wereld directer met elkaar te verbinden, kunnen fabrikanten en machinebouwers productiesystemen sneller ontwerpen, realistischer testen en betrouwbaarder uit te rollen, luidt de verwachting van beide bedrijven. Virtual Twin of Production Systems De samenwerking brengt het platform 3D UNIV+RSES van Dassault Systèmes samen met Omrons Sysmac-platform voor industriële automatisering. Daarmee kunnen fabrikanten productiesystemen in één doorlopende digitale omgeving ontwerpen, simuleren, valideren en voorbereiden op ingebruikname. Een belangrijk onderdeel daarvan is de zogeheten Virtual Twin of Production Systems, een virtuele kopie van een productielijn waarmee bedrijven bijvoorbeeld robotgedrag, logistieke stromen en de werking van een nieuwe lijn kunnen testen voordat er fysiek iets wordt gebouwd. Virtual Companions Die koppeling tussen it (informatietechnologie) en ot (operationele technologie) creëert een digitale keten die al begint vóór de ingebruikname en daarna doorloopt in de operatie, stellen de partijen. Productielijnen worden eerst in een virtuele omgeving ontworpen en getest, met steun van Virtual Companions. Bedrijven kunnen daar scenario’s voor prestaties, veiligheid en onderhoud doorrekenen en fouten opsporen voordat ze in de praktijk problemen veroorzaken. Zodra de fysieke productielijn draait, worden realtime-data van sensoren, controllers en robots teruggekoppeld naar de virtuele tweeling. Daardoor kunnen bedrijven verschillen tussen simulatie en werkelijkheid sneller zien, systemen nauwkeuriger afstellen en voorspellend onderhoud inzetten. Dat helpt om kosten en risico’s te verlagen. Nieuwe fase ‘De maakindustrie gaat een nieuwe fase in. Samen met Omron bouwen we aan levende productiesystemen: ai-gedreven, zelfverbeterend en softwaregedefinieerd, waarin de virtuele en fysieke wereld in één continue leerlus samenkomen”, zegt Pascal Daloz, ceo van Dassault Systèmes, softwareleverancier voor 3d-ontwerp, planning en product lifecycle management (plm). Volgens Motohiro Yamanishi, topman van de Industrial Automation Company van Omron, verwacht door de samenwerking klanten ‘een integrale oplossing te kunnen bieden, van simulatie tot volledig geïmplementeerde, intelligente productie. In Nederland is Omron onder meer actief in Den Bosch; Computable nam kortgeleden een kijkje in de fabriek. Het Japanse concern levert medische precisietechnologie een produceert apparaten en systemen voor industriële toepassingen.

COLUMN – Op zich goed nieuws van de week. Oekraïne heeft een overwinning behaald met inzet van alleen maar robots en drones. Er kwam op het slagveld geen mens aan te pas en er vielen dus ook geen slachtoffers. Tenminste, aan de kant van Oekraïne. In Rusland dachten ze daar heel anders over; zij hadden wel veel slachtoffers. Maar op zich was dit dus goed nieuws. Ik zeg erbij ‘op zich’, want als het zo kan, dan kan het ook andersom. We denken dat techniek altijd voor ons gaat werken, maar het kan ook de andere kant op vallen. Kunnen we dan nog wel terug? De angst die Robert Oppenheimer ook voelde bij de ontwikkeling van de atoombom. Nee, we komen geen mensen maar robots te kort Wat als het tegen je keert? Een soort Planet of the Apes, maar dan met robots. Ik zag het schrikbeeld waarin robots door de straten marcheren en wij angstig in onze huizen zitten. Dictators hebben geen handlangers meer nodig, een paar robots is genoeg. En goede wifi natuurlijk. Voor je het weet, is Elon Musk de baas. Of is hij dit al? Knopje We hebben op een knopje gedrukt en kunnen niet meer terug. Ik las van de week ook dat Defensie mensen te kort komt. Ik dacht: nee, we komen geen mensen maar robots te kort. Toevallig hebben we al een robot als premier. Als je hem een vraag stelt, dan verblikt of verbloost hij niet, maar volgt er een volkomen voorgeprogrammeerd antwoord. Ik vermoed dat Jetten een rechtstreekse verbinding met ChatGPT heeft. Dus misschien kunnen we Robot Jetten inzetten. Het zal niet genoeg zijn, we zullen er meer moeten hebben. Het is niet meer een kwestie van wie het sterkst is en de meeste mankracht heeft, maar wie over de beste techniek beschikt. En laten we proberen dat we die techniek zelf in handen krijgen én houden. Robot Jetten, doe er iets aan. Jacob Spoelstra is columnist/stand-upcomedian. Kijk hier voor meer informatie.

Nederland krijgt tien toezichthouders die gaan letten op de naleving van de ai-verordening. Het merendeel richt zich op een specifieke sector en speelt daar al een rol in. Dit blijkt uit een brief van staatssecretaris Willemijn Aerdts (EZK) aan de Tweede Kamer.Coördinatie en kennisdeling liggen bij de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI). Voor de toezichtgebieden uit de ai-verordening die niet aansluiten op bestaande bevoegdheden van toezichthouders, wordt voorgesteld om de AP als markttoezicht-autoriteit aan te wijzen. Dit gaat om een groot deel van de hoog-risicotoepassingsgebieden, de transparantieverplichtingen en de verboden ai-praktijken.De Nederlandse uitvoeringswet treedt naar verwachting later in werking dan wordt voorgeschreven vanuit de ai-verordening. Het gaat om een nieuw stelsel waarin veel bestaande autoriteiten met elkaar zullen moeten samenwerken. De ai-verordening is op 1 augustus 2024 in werking getreden en heeft als doel de ontwikkeling en toepassing van veilige en betrouwbare ai-systemen te bevorderen, om zo de grondrechten van EU-burgers te beschermen en om innovatie te stimuleren.Bestaande taken en bevoegdhedenOmdat ai breed wordt ingezet, hebben veel toezichthouders al met ai te maken vanuit hun bestaande taken en bevoegdheden. Zo kan de Autoriteit Consument en Markt (ACM) al ingrijpen wanneer algoritmes worden gebruikt om consumenten te misleiden. De Rijksinspectie Digitale Infrastructuur (RDI) kan al toezien op algoritmes die worden gebruikt voor de stabiliteit en veiligheid van telecomnetwerken. De AP heeft al ruime handhavende bevoegdheden vanuit de Algemene verordening gegevensbescherming (AVG). De privacywaakhond kan ingrijpen wanneer een (voorgenomen) verwerking van persoonsgegevens voor of door algoritmes niet rechtmatig, behoorlijk of transparant plaatsvindt. De ai-verordening is aanvullend op een bestaand veld van regelgeving en toezicht. Behalve de RDI let ook de Inspectie Leefomgeving en Transport (ILT) op kritieke infrastructuur. Voor financiële dienstverlening door financiële instellingen zijn de Autoriteit Financiële Markten (AFM)  en De Nederlandsche Bank de aangewezen partijen. Op ai in producten die onder bestaande productregelgeving vallen, houden toezicht de Nederlandse Voedsel en Warenautoriteit (NVWA), de Nederlandse Arbeidsinspectie (NLA), de Inspectie Gezondheidszorg en Jeugd (IGJ) en de eerder genoemde ILT en RDI. Voor het toezicht op hoog-risico ai-systemen die worden ontwikkeld en gebruikt in het juridisch apparaat wordt de procureur-generaal bij de Hoge Raad (PGHR) aangewezen. 

Een overgrote meerderheid van de Tweede Kamer doet een dringend beroep op de regering om af te zien van verlenging van het DigiD-contract met Solvinity. Deze Nederlandse it-dienstverlener dreigt namelijk in Amerikaanse handen te vallen. Daniël van den Berg (JA21) stemde als enige tegen. Volgens hem generaliseert de motie alle Amerikaanse bedrijven ten onrechte als potentiële doorgeefluiken van persoonlijke gegevens van Nederlandse burgers aan de regering Trump. Ook zou de motie op gespannen voet staan met het aanbestedingsbeleid.  De indieners van de motie, Barbara Kathmann (PRO) en Chris Stoffer (SGP), zien die bezwaren niet. Volgens hen kan het beheer van het DigiD-platform in 2028 bij het aflopen van het contract met Solvinity naar een Nederlands bedrijf worden overgeheveld dat buiten de invloedssfeer van de Amerikaanse overheid valt. De veiligheid en betrouwbaarheid van DigiD zouden daarmee gebaat zijn. Vooral uitval van DigiD als de regering in Washington Nederland wil ‘straffen’ is een doemscenario dat de Kamer vreest. Waarschuwing Welke gevaren Nederland loopt, krijgt de Tweede Kamer binnenkort vertrouwelijk te horen. Dit naar aanleiding van waarschuwing van de hoogste privacy-ambtenaar van Logius, Pieter van Oordt, dat de Kamer in februari van dit jaar informatie is onthouden over hoe de overname van DigiD de veiligheid van Nederland kan bedreigen. Het ministerie van BZK stuurde de Kamer toen een samenvatting, maar de volledige ciso-impactanalyse (het meest relevante technische advies) ontbrak. Deze analyse concludeerde dat mitigerende maatregelen onvoldoende zijn om de beschikbaarheid en privacy te waarborgen. Staatssecretaris Eric van der Burg (BZK) suggereert in zijn brief van vandaag dat Van Oordt informatie uit deze impactanalyse – een gerubriceerd document – met de media heeft gedeeld. De privacy-officer ontkent dit en meldt dat hij juist een verzoek van NRC afgewezen om het document te verstrekken; de krant bevestigt dat ook. Van Oordt beklaagt zich erover dat zijn superieuren hem over deze kwestie niet hebben gehoord en meteen hun conclusies hebben getrokken. Van Oordt start uit het oogpunt van reputatieschede een juridische procedure op.

Het Duitse technologieconcern Schaeffler heeft tijdens de opening van de Hannover Messe de Hermes Award 2026 ontvangen. De prijs werd toegekend voor een platform voor sterk geïntegreerde actuatoren, bedoeld voor toepassing in de gewrichten van humanoïde robots. Actuatoren zijn onderdelen die een stuur- of regelsignaal omzetten in een beweging of kracht. Ze vormen de ‘spieren’ van een machine of systeem. Bij het bekroonde actuatorplatform van Schaeffler is de benodigde installatieruimte ongeveer twintig procent kleiner dan bij bestaande oplossingen in de markt. Dat moet grootschaliger inzet van servicerobots, waaronder humanoïde robots, mogelijk maken. De Hermes Award, een innovatieprijs, wordt al meer dan twintig jaar jaarlijks uitgereikt door Deutsche Messe aan een exposant van de Hannover Messe. Op de industriële vakbeurs is dit jaar extra veel aandacht voor humanoïde robots in industriële omgevingen. Hermes Startup Award 2026 naar BTRY De Hermes Startup Award 2026 is toegekend aan BTRY. De startup uit Zwitserland ontwikkelt ultradunne en volledig flexibele solid state (‘vaste stof’)-batterijen. Deze batterijen laden snel op, werken bij temperaturen tot 150 graden Celsius en bevatten geen vloeibare elektrolyten. Met een dikte vanaf 0,1 millimeter kunnen ze binnen een minuut worden opgeladen en ontladen. De productietechniek is afkomstig uit de halfgeleiderindustrie en gebruikt geen toxische oplosmiddelen. De batterijen zijn bedoeld voor toepassingen als iot-sensoren, wearables en medische apparatuur.

De Nederlandse sourcingindustrie staat er in 2026 goed voor. Dat blijkt uit de Dutch IT Sourcing Study 2026 van Eraneos en Whitelane Research. Het onderzoek laat een markt zien die volop in beweging is, met verschuivingen richting insourcing en vooral nearshoring, terwijl ai wel breed wordt toegepast maar nog weinig veranderingen teweegbrengt. Hoewel 36 procent van de organisaties de komende twee jaar meer wil uitgeven aan externe it-leveranciers, kiest een groeiend deel voor de tegenovergestelde richting, blijkt uit de Dutch IT Sourcing Study 2026 van Eraneos en Whitelane Research, gebaseerd op bijna tweeduizend klant‑leveranciersrelaties bij ruim 350 grote organisaties (met een omzet boven de één miljoen). Ruim een kwart (26 procent) plant juist minder externe it-uitgaven (in 2025 was dit 20 procent). Deze organisaties nemen eerder uitbesteed werk weer in eigen beheer, waarmee de insourcingtrend die sinds 2023 zichtbaar is, verder doorzet. Volgens Marcel Blommestijn, lead sourcing advisory bij Eraneos NL, heeft die groei een duidelijke oorzaak. ‘Vijf jaar geleden lag insourcing rond de twaalf à dertien procent. Nu zitten we op 26 procent. Organisaties willen kritieke kennis behouden en zien dat ze bepaalde activiteiten financieel aantrekkelijker zelf kunnen uitvoeren.’ Vooral key‑applicaties en ontwikkel‑ en beheeractiviteiten worden terug naar binnen gehaald, net als delen van cybersecurity. Blommestijn plaatst daarbij wel een kanttekening: ‘Voor offshore‑deliverymodellen kun je je afvragen of je dat intern veel goedkoper kunt doen. Maar sommige sectoren, zoals de overheid, de financiële dienstverlening en de nutssector, worden door regelgeving beperkt in wat ze extern mogen neerzetten.’ Nearshoring groeit door Dat verklaart ook waarom nearshoring zo sterk groeit. Maar liefst 36 procent van de organisaties wil meer gebruikmaken van nearshore‑capaciteit, terwijl slechts negen procent dat wil afbouwen. Nearshoring biedt zowel culturele als regelgevende voordelen en wordt gezien als compromis tussen kostenbeheersing en soevereiniteitsbehoeften. De vraag is zo groot dat tarieven in nearshoremarkten aantoonbaar stijgen. ‘Je ziet die tarieven langzaam omhooggaan’, bevestigt Blommestijn. ‘Maar nearshoring blijft aantrekkelijk vanwege de balans tussen kosten, kwaliteit en compliance. Die trend zie je overigens ook op internationaal niveau; Nederland wijkt daarin niet af. Deze ontwikkeling past bij een volwassen markt waarin organisaties bewuste strategische keuzes maken.’ Outsourcing blijft ondertussen een stabiele pijler van de Nederlandse it‑sector. Organisaties geven aan dat vooral schaalbaarheid (53 procent), toegang tot nieuwe technologie (49 procent) en focus op kernactiviteiten (46 procent) bepalend zijn. In veel sectoren, waaronder overheid en financiële dienstverlening, staat kostenreductie bovendien hoger op de agenda dan in andere domeinen. Applicatie‑ en infrastructuurdiensten blijven veruit de grootste groeicategorieën onder outsourcingkopers. Ai: wijdverspreid, maar nog niet transformerend Ai en generatieve ai hebben inmiddels hun weg gevonden naar vrijwel alle grote organisaties in Nederland. Slechts twee procent gebruikt geen enkele ai‑toepassing. De meeste organisaties werken met generieke tools zoals ChatGPT en Microsoft Copilot, terwijl twintig procent experimenteert met eigen ai‑oplossingen. Toch blijft de échte impact beperkt. Slechts vijftien procent ziet ‘aanzienlijke zakelijke impact’, en slechts één procent noemt de impact transformerend. De overgrote meerderheid gebruikt ai om processen efficiënter te maken. ‘AI wordt nog vooral als productiviteitsmiddel gezien,’ zegt Blommestijn. “Organisaties focussen vooralsnog op automatiseren, niet op vernieuwen.’ Soevereiniteit drukt zwaar op cloud- en sourcingsbeslissingen Volgens het onderzoek krijgt it‑soevereiniteit een steeds grotere rol in de strategische besluitvorming. Gemiddeld zegt 37 procent dat het een ‘gemiddelde tot grote’ invloed heeft op de it‑strategie, maar in de publieke sector stijgt dat tot 62 procent, bij financiële dienstverleners tot 64 procent. De zorgen richten zich op de afhankelijkheid van Amerikaanse hyperscalers, de schurende wetgeving tussen EU‑regels en Amerikaanse regelgeving, en de wens om gevoelige data volledig onder Europese jurisdictie te houden. ‘De publieke sector gelooft niet dat hyperscalers hun soevereiniteitsproblemen gaan oplossen’, zegt Blommestijn. ‘Veertig procent zegt letterlijk dat de oplossing níét bij hyperscalers vandaan gaat komen.’ Het gevolg is dat organisaties hun cloudstrategie aanpassen. Een kwart van de respondenten wil de afhankelijkheid van hyperscalers afbouwen. Bij de overheid gaat dat zelfs om 45 procent. De beweging richting private cloud of Europese alternatieven wordt steeds sterker, al blijft het gebruik van de publieke cloud als geheel wel verder groeien – alleen minder snel dan enkele jaren geleden werd voorspeld. Ondertussen proberen leveranciers en beleidsmakers de discussie te structureren via Europese frameworks. Toch blijft er veel onzekerheid, zegt Blommestijn. ‘De definitie van soevereiniteit verschilt per organisatie. Die discussie is flink in beweging.’ Nederlandse providers De studie van Eraneos en Whitelane laat zien dat Nederlandse it‑dienstverleners wederom sterk presteren, vooral op applicatiegebied. Schuberg Philis en Levi9 voeren zelfs de algemene tevredenheidslijst aan met een score van 89 procent. Ook Sogeti Nederland scoort bovengemiddeld op applicatieservices, net als Ilionx (op zowel applicatiediensten als cloud- en infrastructuur-services). Nederlandse providers bedienen vaak een ander segment dan internationale spelers. Ze richten zich meer op business‑kritische systemen en complexe applicaties, en minder op grootschalige cloud‑ en infrastructuurdiensten. ‘Je kunt die segmenten eigenlijk niet op één hoop gooien’, zegt Blommestijn. ‘Applicatieservices scoren traditioneel hoger dan infrastructuur, dat ligt niet aan de aanbieders maar is een andere waarderingscultuur.’ Volwassen markt Over het geheel genomen scoort geen enkele provider in het onderzoek onder de 6,7. Dat betekent dat de markt volwassen en stabiel is, met weinig uitval. ‘De markt neemt eigenlijk nauwelijks afscheid van partijen’, aldus Blommestijn. ‘Dat is tekenend voor een gezonde sector.’ Het Franse Atos bijvoorbeeld heeft internationaal moeilijke jaren achter de rug, maar is in Nederland niet weggezakt. De prestaties zijn stabiel en op sommige onderdelen is zelfs verbetering zichtbaar. ‘Gezien de turbulentie is dat echt knap’, zegt Blommestijn. ‘Atos heeft veel voor zijn kiezen gehad, maar blijft overeind.’ De Eraneos-adviseur wijst ook nog op de Amerikaanse dienstverleners Epam en DXC, die aan een opmars bezig zijn. Epam is succesvol met nearshore-diensten, terwijl DXC goed presteert met applicatieservices en netwerkdiensten. De integratie van het in 2019 gekochte Zwitserse (oorspronkelijk Russische) Luxoft blijkt een succes, aldus Blommestijn. Indiase leveranciers veranderen hun model Over de Indiase it‑dienstverleners stelt hij dat die hun strategie aanpassen. Door de groeiende vraag naar nearshoring investeren ze meer in Europese deliverycenters en (Nederlandse) lokale teams. Overnames doen ze zelden; ze bouwen liever zelf capaciteit op. TCS is met afstand de grootste speler. Het bedrijf telt in Nederland ongeveer tweeduizend medewerkers en draait naar schatting één miljard euro omzet. Bovendien is TCS één van de weinige Indiase spelers die zich actief richt op de publieke sector. ‘Als je voor de overheid werkt, moet je in Nederland mensen hebben. Dat heeft TCS goed begrepen’, zegt Blommestijn. De Dutch IT Sourcing Study 2026 laat een Nederlandse markt zien die vol beweging zit, stelt Blommestijn. De diversiteit in aanbieders – van Nederlandse spelers en nearshorebedrijven tot internationale dienstverleners en Indiase giganten – maakt de markt flexibel en concurrerend. ‘De it-boardroom heeft het drukker dan ooit. Maar het beeld is gezond: de Nederlandse sourcingmarkt is volwassen, divers en strategisch sterker dan veel mensen denken.’ Recordaantal providers in tevredenheidsranglijst De algemene tevredenheidsranglijst omvat 43 it-dienstverleners, het hoogste aantal tot nu toe in de Dutch IT Sourcing Study 2026. Levi9 en Schuberg Philis delen de eerste plaats (89 procent), gevolgd door EPAM (87 procent), TCS (82 procent) en CGI (81 procent). Daarnaast behalen in totaal tien aanbieders uitzonderlijke prestaties in de categorieën: •             Applicatieservices: DXC Technology, Epam, Levi9, Schuberg Philis •             Cloud- en infrastructuurdiensten: CGI, Schuberg Philis, T-Systems, Wipro •             Werkplekdiensten: TCS •             Netwerk- en connectiviteitsdiensten: DXC Technology, Schuberg Philis •             Beveiligingsdiensten: Deloitte, Northwave, Schuberg Philis

In de rubriek De Overstap gidst de doorgewinterde ict-journalist Robbert Hoeffnagel de ict-pro en -beslisser naar alternatieve zakelijke oplossingen. Deel 3: opensource-consortia, tweederde Europeanen wil weg bij Big Tech, ATproto is open protocol voor soevereine data-uitwisseling, weg bij Notion en veel tips en trics voor thuis en op kantoor.Door de trend richting digitale soevereiniteit wint opensource-software snel terrein. Vaak gaat het om uitstekende software die functioneel gelijkwaardig is aan closedsource-software, maar dan wel met als voordeel dat er geen vendor lock-in is en er bovendien een community achter zo’n project staat.Voor grotere enterprise-organisaties die willen overstappen naar opensource-oplossingen is met name service en support cruciaal. ‘Grote klanten willen één aanspreekpunt, één contract, één verantwoordelijke partij’, vertelde Ronny Lam, directeur van de Dutch Opensource Business Alliance, in een interview. DOSBA werkt daarom aan een innovatieve constructie om dit goed te regelen. Het idee? Opensource-bedrijven bundelen hun krachten per klant, onder een speciale merknaam. Lam noemt dit ‘consortia’: meerdere specialisten en individuele opensource-bedrijven die nauw samenwerken en richting de klant optreden als één geoliede supportorganisatie. ‘De klant merkt niet dat er achter de schermen meerdere bedrijven betrokken zijn’, legt Lam uit. ‘Zij zien één contract, één supportteam, één domeinnaam, één factuur—precies zoals ze gewend zijn bij traditionele leveranciers.’Deze aanpak kan een gamechanger worden, denkt Lam. Niet alleen voor opensource-bedrijven, die zo grote klanten kunnen bedienen, maar juist ook voor die klanten zelf. Zij krijgen toegang tot innovatieve, open technologie, zonder in te leveren op service en zekerheid. Volgens Lam is het dan ook een win-win-situatie. Opensource-bedrijven kunnen opschalen zonder hun identiteit te verliezen, terwijl grote organisaties de support krijgen die ze nodig hebben. Zo maken we opensource niet alleen technisch, maar ook organisatorisch toekomstbestendig.’Een groeiende roep om digitale onafhankelijkheidDigitale soevereiniteit is een onderwerp dat steeds meer aandacht krijgt in Europa. Uit recent onderzoek van YouGov, gedeeld met Tech Policy Press, blijkt dat bijna tweederde van de Europeanen het een goed idee vindt om Amerikaanse technologieën te vervangen door Europese alternatieven. Toch zijn er nog wel twijfels of deze verschuiving realistisch is.Uit de enquête, gehouden onder meer dan duizend respondenten in vijf grote EU-landen, blijkt dat 62 procent van de Europeanen openstaat voor Europese alternatieven voor Amerikaanse datadiensten en betalingssystemen. Voor videoconferentie, zoals Zoom, is dit 59 procent. Slechts 13 procent vindt het een slecht idee om over te stappen, terwijl 25 procent onzeker is.Toch is er nog wel wat twijfel over de haalbaarheid van deze transitie. Zo’n 41 procent van de respondenten vindt het onrealistisch om Amerikaanse techdiensten volledig te vervangen, tegenover 40 procent die het wel haalbaar acht. In Duitsland is het pessimisme het grootst: 51 procent denkt dat een verschuiving onrealistisch is. Frankrijk is juist het meest optimistisch, met 45 procent dat de overstap wel mogelijk acht.Een opvallende bevinding is dat veel Europeanen, ondanks de politieke ambities, weinig weten over concrete plannen. Zo had 89 procent van de Franse respondenten nog nooit gehoord van het plan om Zoom en Microsoft Teams te vervangen door een Frans alternatief tegen 2027.Op zoek naar Europese alternatieven?Als de migratie naar Europese it-infrastructuren en -applicaties net zo voortvarend verloopt als er websites worden opgezet om de weg te wijzen naar Europese alternatieven, dan zitten we wel goed. Want er is alweer een nieuwe website bij gekomen: Go European. De website was op het moment van schrijven nog in beta (vandaar dit adres: https://beta.goeuropean.org/, het wordt straks https://goeuropean.org). We hebben in deze rubriek al eerder vergelijkbare websites genoemd, maar bij Go European kwam ik toch weer een flink aantal – voor mij in ieder geval – nieuwe bedrijven en producten tegen die zich met name op professionele it richten.Voor wie zelf weg wil bij de bekende Amerikaanse aanbieders kan zijn hart ophalen bij Reddit. Ik geef toe, dat is een Amerikaanse firma, maar subreddits als r/DigitalEscapeTools, r/BuyFromEU, r/LinuxQuestions of r/DeGoogle bieden tijdens de migratie die we nastreven toch wel degelijk erg veel inspiratie en advies voor wie op zoek is naar Europese dan wel opensource-alternatieven voor privé te gebruiken applicaties.Overigens is Reddit ook erg interessant voor wie vastloopt in een migratie. Kanalen als r/SelfHosted, r/Nextcloud of r/MistralAI fungeren in feite als forums waar gebruikers elkaar helpen als er ergens iets mis gaat met een migratie, installatie of bijvoorbeeld het zelf opzetten van AI-agents. Voor een eigen projectje heb ik dankbaar gebruik gemaakt van die hulp via r/Proxmox.Ook interessant om te lezen: ‘Getting off US tech: a guide’. Dit is een blog post van Paris Marx. Ook deze Canadese techwatcher wil zoveel mogelijk afstand doen van Amerikaanse tech.Werken met CharlesDaarnaast stuurde Yanis Kerdjana mij een bericht. Hij is een van de oprichters van het in Parijs gevestigde Ideta. Deze firma helpt bedrijven om eenvoudig gespreksassistenten (chatbots) te creëren op diverse communicatiekanalen, zoals Messenger, SMS, Slack, WeChat, Skype for Business, en zelfs spraakgestuurde platformen zoals Google Home.Met zijn bericht wilde hij graag iets vertellen over Charles, een side project waar hij aan werkt. Het is een (jawel) Chrome-extensie, maar dan eentje met een interessant doel.Hij schrijft: ’Ik werk aan een klein project (…). Het heet Charles en is een Chrome-extensie die tijdens het surfen Europese alternatieven voor GAFAM-diensten voorstelt. Het idee is om soevereiniteit zichtbaar en bruikbaar te maken in het dagelijks gebruik, niet alleen in beleidsplannen.’Voor de goede orde: GAFAM staat uiteraard voor Google, Apple, Facebook (nu Meta), Amazon en Microsoft. Ik heb het inmiddels toegevoegd aan Chrome op mijn Mac Mini. Zodra ik er meer ervaring mee heb, zal ik dat hier laten weten.ATproto: een open protocol voor soevereine data-uitwisselingATproto, het open protocol waarop Bluesky – het bekende alternatief voor X/Twitter – is gebouwd, ontwikkelt zich in rap tempo tot meer dan alleen een fundament onder nieuwe sociale netwerken. Voor enterprise-omgevingen is het vooral interessant als bouwsteen voor soevereine, schaalbare en interoperabele data-uitwisseling.Tijdens de tweede ATmosphere-conferentie (ATmosphereConf 2026), eind maart aan de Universiteit van British Columbia in Vancouver, werd duidelijk dat het AT Protocol (ATproto) langzaam opschuift van experimentele technologie richting serieuze enterprise-toepassingen. Hoewel het binnen traditionele it-omgevingen nog relatief onbekend is, is het erg relevant voor wie bezig is met onderwerpen als digitale soevereiniteit, datacontrole en vendor lock-in.In de kern is ATproto een open standaard voor het publiceren en distribueren van zelf-authentiserende data in een gedecentraliseerd model. Dat klinkt lekker abstract, maar het komt hier op neer: waar klassieke platforms data centraliseren en daarmee controle en afhankelijkheid creëren, draait ATproto dit model om. Organisaties blijven eigenaar van hun data, identiteit en interacties, en bepalen zelf waar en hoe die data wordt opgeslagen en gedeeld. Voor enterprise-gebruikers betekent dit dus dat zij niet langer volledig afhankelijk zijn van de infrastructuur en voorwaarden van grote techbedrijven.Die controle wordt technisch mogelijk gemaakt via zogeheten personal data repositories (PDS’en). Dit zijn opslagomgevingen waarin data per gebruiker of organisatie wordt beheerd. Bedrijven (maar hetzelfde geldt voor consumenten die een op ATproto gebaseerde app gebruiken) kunnen deze zelf hosten of onderbrengen bij een vertrouwde partij. Daarmee ontstaat een architectuur waarin data fysiek en juridisch beter te positioneren is, wat direct relevant is voor compliance met regelgeving zoals de AVG.Voor enterprise-organisaties ligt de waarde van ATproto dan ook niet in het sociale aspect, maar in de onderliggende principes. Het protocol past binnen de bredere ontwikkeling richting data sharing-ecosystemen. Hiermee kunnen organisaties gecontroleerd data uitwisselen met partners, klanten of overheden. Denk aan ketens in de logistiek, samenwerkingen in de zorg of gegevensuitwisseling in de financiële sector. In dergelijke omgevingen is het cruciaal dat data niet alleen veilig wordt gedeeld, maar ook dat eigenaarschap en herkomst aantoonbaar blijven. In sommige toepassingen wordt er zelf een zogeheten billing-mechanisme in opgenomen, zodat het ook mogelijk is om voortoegang of gebruik van bepaalde data een vergoeding te vragen.Zover is het rond ATproto zeker nog niet. Het protocol is nog volop in ontwikkeling. Er wordt gewerkt aan verdere standaardisatie binnen de Internet Engineering Task Force (IETF), wat belangrijk is voor bredere adoptie in enterprise-architecturen. Tegelijkertijd ontstaat er steeds meer apps en diensten die het protocol benutten, zoals Margin, Semble en Surf. Ik gebruik momenteel zelf Surf. Het is een soort zoekmachine in social berichten over een bepaald onderwerp. Ook tools als Graze.social laten zien hoe flexibel het model is. Zie het als een soort marktplaats voor feeds. Je kunt zelf een feed samenstellen en via Graze beschikbaar maken. Andersom geldt ook: interesse in een bepaald onderwerp? Er bestaat ongetwijfeld al een feed over die je nu heel simpel kunt gaan volgen.Voor enterprises is ATproto niet zozeer een kant-en-klare oplossing is, maar eerder een nieuwe architectuurbenadering. Het vraagt om een andere manier van denken over data: minder als iets dat binnen één platform leeft, maar meer als een asset die onafhankelijk van applicaties kan worden beheerd en gedeeld.Wil je weg bij Notion? Kijk dan eens naar DocmostNotion is een soort alles-in-een workspace die functies combineert voor notities, databases, projectmanagement, wiki’s en samenwerking. Het is een heel flexibel platform dat zich aanpast aan verschillende gebruiksscenario’s, van persoonlijke planning tot complexere bedrijfsprocessen. Het is vooral populair door zijn modulaire opzet en gebruiksvriendelijkheid. Voor grote organisaties wordt het vaak ingezet als aanvulling op omgevingen als SAP, SharePoint of Confluence. Veel mensen gebruiken het ook privé.Ook ik gebruikte Notion lange tijd. Het is echter closedsource-software. Tijd dus om een alternatief te zoeken. Docmost is dan zeker een kandidaat. Het wil vergelijkbare functionaliteit bieden, maar dan op basis van een opensource-licentie, met een enterpriselicentie voor wie grootschalige omgevingen wil opzetten. Het is self-hosted en positioneert zichzelf als collaboratieve wiki- en documentatiesoftware.Productief met Europese techIn Europa wordt keihard gewerkt aan het ontwikkelen van talloze tools die de zakelijke gebruiker met Europese dan wel opensource-tools kunnen helpen om maximaal productief te zijn. Daarbij gaat het vaak om relatief bescheiden functies die in de dagelijkse praktijk echter zeer handig zijn. Een mooi voorbeeld daarvan is een uitbreiding die Proton voor zijn online agenda heeft uitgebracht. Hiermee kunnen gebruikers eenvoudig afspraken laten inplannen via hun agenda. De feature maakt het mogelijk om beschikbare tijdslots te delen met anderen, waarna zij zelf een geschikt moment kunnen kiezen en direct een afspraak kunnen vastleggen, zonder handmatige afstemming. Wereldschokkend nieuw? Nee, zeker niet. Maar wel superhandig voor wie weg wil bij Big Tech en toch heel makkelijk afspraken voor calls of meetings willen kunnen maken.Deze zogeheten appointment scheduling-functionaliteit is – zoals gezegd – geïntegreerd in Proton Calendar en sluit aan bij bestaande mogelijkheden zoals het beheren van agenda’s, het versturen van uitnodigingen en het inzichtelijk maken van beschikbaarheid. Het onderscheid zit vooral in de combinatie van gebruiksgemak en privacy: afspraken en bijbehorende gegevens blijven end-to-end versleuteld, waardoor zelfs Proton zelf geen inzicht heeft in de inhoud. Daarmee is het een privacyvriendelijk alternatief voor bekende planningsdiensten, terwijl het tegelijkertijd inspeelt op de groeiende behoefte aan Europese productiviteitstools.Ook fraai: IntraVox. Dit is een app waarmee gebruikers binnen het Nextcloud-platform een compleet intranet kunnen optuigen. Ontwikkeld in Nederland, maar daarover in de volgende aflevering van deze rubriek meer.Ik wil weg maar hoe dan?Tenslotte nog een tool voor de categorie ‘ik-wil-weg-maar-weet-niet-zo-goed-hoe’. Het gaat om Jasper. Dit is een oplossing voor mensen die willen stoppen met Instagram, maar wel graag hun foto’s en video’s mee willen nemen. Ik heb het niet geprobeerd want heb geen Instagram-account, maar uit wat ik er over lees werkt het prima.Heb je naar aanleiding van deze rubriek tips, reacties of opmerkingen, stuur ze naar redactie@computable.nl.