computable

Interview | Matthijs van Amelsfort, directeur Nationaal Cyber Security CentrumRegelmatig duiken berichten op over hacks bij de overheid, zoals recent het Openbaar Ministerie en Bevolkingsonderzoek Nederland. Dat heeft de nodige impact op de bedrijfsvoering maar zeker ook op het vertrouwen in de overheid. Het Nationaal Cyber Security Centrum (NCSC) verwacht aan het einde van dit jaar 50.000 meldingen van een kwetsbaarheid. Vorig jaar was dit nog 40.000. Dat betekent volgens directeur Matthijs van Amelsfort maar één ding: cybercrime is here to stay.Het NCSC maakt zich hard voor digitale weerbaarheid; het vermogen om digitale dreigingen, zoals malware, phishing, quishing en desinformatie, te weerstaan. De organisatie is zelf ook niet verschoond gebleven: uit naam van het NCSC zijn begin juni phishingmails verzonden. ‘Dat het NCSC gebruikt wordt voor phishingcampagnes, betekent dat we als organisatie zichtbaar zijn maar dat er wel neveneffecten zijn’, stelt Matthijs van Amelsfort vast. ‘Het is niet anders dan BN’ers die gebruikt worden voor allerlei fraude. De naam van NCSC werd gebruikt samen met de politie en Europol.’Matthijs van AmelsfortMatthijs van Amelsfort is sinds september 2024 directeur van het Nationaal Cyber Security Centrum (NCSC), dat bedrijven helpt om de digitale weerbaarheid te vergroten door middel van advies, onderzoek en het delen van kennis. Het NCSC ressorteert onder het ministerie van Justitie en Veiligheid.Van Amelsfort was eerder werkzaam bij de Nationale Politie, Landelijke Eenheid Opsporing en Interventies, Dienst Landelijke Recherche (DLR) – locatie Driebergen. Hij leidde daar het Team High Tech Crime met een focus op cybercrime en digitale opsporing.Een jaar is voorbij gegaan sinds Van Amelsfort aantrad als directeur van het NCSC. ‘En in dat jaar is een hoop veranderd in de wereld. De situatie bij het Internationaal Strafhof (ISH) is daarbij het mooiste voorbeeld als eye-opener in de zin van de risico’s van digitale afhankelijkheid. Ofwel waar kun je nog op vertrouwen in je systemen, hoe moet je risico’s inschatten?’ Volgens de directeur kan dat gaan over vertrouwen in de opslag van de data en de beschikbaarheid, wat vaak speelt bij ransomwarezaken en vergelijkbare dreigingen. ‘Maar ook als data naar buiten komen, wat doet dat met jouw vertrouwen in hoe je gegevens zijn opgeslagen? Vertrouwen en veiligheid kennen verschillende aspecten en dus ook verschillende invalshoeken van waaruit je ernaar moet kijken.’Matthijs van Amelsfort, directeur NCSC (foto: Arie Cijfer).Van Amelsfort adresseert het onderwerp data aan de hand van verschillende fases. Hij gebruikt de termen at rest (opgeslagen), in use (actief gebruik ) en in transit (de data bewegen tussen gebruikers en systemen). Voor al die verschillende fases zou je specifieke encryptie maatregelen moeten nemen.‘De omgeving is complexer geworden’, stelt Van Amelsfort, doelend op ontwikkelingen als bring your own device en het thuiswerken dat post-corona gemeengoed is geworden. ‘Veel systemen worden aan elkaar gekoppeld, zowel it als ot, wat weer nieuwe risico’s met zich meebrengt. Wat dat betreft hebben we te maken met een veelkoppig monster en honderd procent veiligheid is een illusie. Wel moet je bij je vitale infrastructuur echt inzetten op die honderd procent. Daar streven we natuurlijk wel naar en dat betekent enerzijds de boel op orde hebben en anderzijds – en dat is het tweede aspect van weerbaarheid – als je dan toch slachtoffer wordt: hoe organiseer je dan je businesscontinuïteit? Wat heb je geregeld om te kunnen uitwijken, dat je niet in een vendor-lock terechtkomt, wat is je Plan B?”De geopolitieke situatie voedt de behoefte aan strategische digitale soevereiniteit in de EU. Wat betekent dat voor de positie van het NCSC daarin?‘Wij zijn altijd wel van het schetsen van het bredere plaatje. Dus als we praten over een soevereine datacloud in Nederland of Europa, dan is het een feit dat heel veel apparatuur die daarbij wordt gebruikt, die komt van buiten Europa. Denk aan servers, aan routers, aan softwarepakketten. In de basis is de vraag: welke risico’s loop je en welke risico’s vind je acceptabel? En wat is de voorspelbaarheid van die risico’s, vooral dat is de laatste tijd veranderd. Het is niet zo van ‘we hebben straks die cloud in Europa en dan zijn we klaar’. Veiligheid is een continu proces.’Ook het NCSC maakt – natuurlijk – die afweging qua risico acceptatie ten aanzien van waar het zijn data neerzet, zegt Van Amelsfort. ‘We hebben nu voor Nederland de registratieplicht bij het NCSC vanuit de Network and Information Security Directive (NIS2-richtlijn) die in de aanstaande Cyberbeveiligingswet is geïmplementeerd. Deze is gericht op de verbetering van de digitale en economische weerbaarheid van belangrijke en essentiële diensten en organisaties in Europa. Dat register is een van de kroonjuwelen van het NCSC en die beschermen we uiteraard maximaal.’SleutelrolAls hét centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland gaat het NCSC een sleutelrol spelen in het informeren van organisaties en bedrijven om hun cyberweerbaarheid te verhogen. Daarbij vindt er begin 2026 een integratie plaats met het Digital Trust Center (DTC), dat ressorteert onder het ministerie van EZ, en het Computer Security Incident Response Team voor digitale dienstverleners (CSIRT- DSP). Hierbij vallen ruim 2,3 miljoen entiteiten onder het NCSC.Van Amelsfort refereert aan the best of three worlds. Want ‘het gaat absoluut helpen als uiteenlopende doelgroepen – van zzp’ers tot mkb en van multinational  tot vitale bedrijven – kunnen bouwen op identieke adviezen. Om die reden hebben we vijf basisprincipes (zie kader) vastgesteld om duidelijkheid en uniformiteit te creëren.’Wat is de staat van cybersecurity in Nederland?‘Dat is moeilijk te meten. Het aantal meldingen van kwetsbaarheden wordt ongeveer 50.000 dit jaar. Dat is heel breed en heel divers, en ook de impact kan heel verschillend zijn. Het is gewoon lastig om vast te stellen wanneer hebben we ons weerbaar getoond en wat hebben we kunnen voorkomen door alle adviezen die we uitdragen? Meet je zo’n staat af aan het aantal keren dat het is fout gegaan of het aantal keren dat het is goed gegaan? Maar natuurlijk genereren we uit die informatie ook trends en analyses, die we delen met de Nationaal Coördinator Terrorismebestrijding en Veiligheid.”Is het dweilen met de kraan open?Met een glimlach: ‘Ik heb een ‘Loesje-spreuk’ die ik al vanaf het begin gebruik en die luidt: ‘Het is fijner dweilen als je weet dat iemand de kraan aan het repareren is.’ Die blijft wat mij betreft actueel. Dus dat doen we als het NCSC, wij zijn die kraan aan het repareren samen met onze publieke en private partners. Dat zie ik als een taak als je het hebt over Nederland digitaal weerbaar maken: met elkaar die kraan repareren.’Van Amelsfort spreekt van ‘een continu proces’ rond de vraag wat een geaccepteerd risico is. Dat bedrijven in Nederland en Europa qua marktpositie achterop zijn geraakt het laatste decennium wijt hij niet aan een gebrek aan kennis of innovatie, integendeel. ‘Maar door de globalisering en keuzes die in het verleden zijn gemaakt, zit je nu in een hele andere werkelijkheid en die draai je niet zomaar terug. Helemaal onafhankelijk kun je niet zijn en ik denk dat we vooral moeten streven naar een wereld waarin we met elkaar kunnen leven, misschien is dat wel het grotere doel. Eigenlijk heb je een soort wederzijdse afhankelijkheid nodig om in die balans te komen. Als ik kijk naar de innovatiekracht in Nederland, en naar alle startups die voorbij komen, dan denk ik dat we echt wel wat kunnen en dat je dat ook moet blijven stimuleren.’Member statesHet NCSC werkt samen met Europese partners waarbij Van Amelsfort aantekent dat de samenwerking onderling tussen EU-landen (hij spreekt van member states) anders is dan die met andere landen binnen de grenzen van Europa. ‘Ook tijdens ONE Conference zijn er veel ontmoetingen waarin met elkaar wordt overlegd over de geopolitieke situatie, maar ook over de uitdagingen die we gezamenlijk hebben, bijvoorbeeld als het gaat over implementatie van wetgeving. En we delen met elkaar ook successen. België heeft een Anti-Phishing Shield (Baps) dat uitermate succesvol is. Wij zijn nu gestart, samen met KPN, om te kijken hoe we dat kunnen adopteren en implementeren in Nederland. Dat ziet er op het eerste gezicht al veelbelovend uit.’Die samenwerking over de grenzen  is ook noodzakelijk bij het snel delen van informatie. ‘Een criminele actor kijkt niet snel naar landsgrenzen of een bepaalde sector als hij in de aanval gaat, die schiet met hagel en dan heeft-ie ergens raak en gaat daarop verder. Maar in de recente Citrix-lek, waardoor enkele organisaties, ook binnen de Rijksoverheid, konden worden gehackt, hebben we gezien dat het heel belangrijk is om internationaal informatie met elkaar te delen. De eerste signalen kregen wij toen vanuit een Europese instantie en daar konden wij weer op verder bouwen. We konden vrij snel reageren en proactief communiceren en scripts ter beschikking stellen binnen Europa zodat ook andere landen daarmee hun voordeel konden doen.’Data gedreven werken is een drijfveer. ‘We maken gebruik van ai om te kijken in welke mate we data-analyses geautomatiseerd kunnen doen. Natuurlijk, de check kent nog altijd de menselijke factor: wat het systeem ons vertelt, is dat in overeenstemming met wat wij ook zien? Maar dat soort technieken helpt ons natuurlijk wel om snelheid in processen te brengen.’Dat geldt ook voor een ontwikkeling als quantumcomputing. ‘Wij hebben een proactieve houding waar het gaat om het onderzoeken van wat nieuwe risico’s kunnen zijn, voorbij de horizon die we nu kennen. En toch, wat wij in de praktijk vooral zien: die vijf basisprincipes, dat is nog steeds waar het misgaat.’Niet of maar wanneerDe dreiging is groot, de materie complex en het wordt met een steeds meer digitaliserende samenleving ook niet makkelijker, stelt Van Amelsfort. ‘Het is niet de vraag óf maar wanneer je een keer slachtoffer wordt van cybercrime of cyberaanvallen, in wat voor mate dan ook. Dat kan variëren van een ddos-aanval tot een daadwerkelijk binnentreding van je systeem.’De boodschap: wees niet naïef, de wereld is veranderd. ‘Tegelijkertijd is bij mij het glas ook altijd wel weer halfvol. Dat is ook de reden geweest dat ik ben overgestapt na 25 jaar bij de politie naar hier om écht die kranen te gaan repareren, écht te gaan werken aan die weerbaarheid. Het is de taak van het NCSC om dat overkoepelende beeld te hebben en informatie te delen om die weerbaarheid te kunnen garanderen. Bij ernstige securityincidenten zijn er directe contacten met de AIVD, MIVD en de Nationale Politie. En ik denk dat in 2026, met onze nieuwe organisatie en de context van de nieuwe Cyberbeveiligingswet, we vanuit die informatiepositie goed geëquipeerd zullen zijn om die dreigingen het hoofd te kunnen bieden, en te zien en te horen en te voelen wat er gebeurt in de wereld van cybersecurity.’De 5 basisprincipes van weerbaarheidBasisprincipe 1: Breng je risico’s in kaart;Basisprincipe 2: Bevorder veilig gedrag;Basisprincipe 3: Bescherm systemen, applicaties en apparaten;Basisprincipe 4: Beheer toegang tot data en diensten;Basisprincipe 5: Bereid je voor op incidenten.Dit artikel is ook te lezen in GOV magazine nummer 21 van Atos.

Zeker driekwart van de tweehonderd miljoen euro die de regering voornemens is in de Groningse ai-fabriek te investeren, gaat naar hardware. Het bedrag van ruim honderdvijftig miljoen euro is inclusief alle operationele kosten van de supercomputer die speciaal voor het trainen van geavanceerde ai-modellen wordt ingericht.  Dit schrijft minister Vincent Karremans (Economische Zaken) in antwoord op vragen van het FvD-kamerlid Frederik Jansen. De rest van het geld wordt besteed aan een kenniscentrum met zo’n vijftig medewerkers ter ondersteuning van gebruikers. Dit expertisecentrum zal samen met de supercomputer de ai-fabriek vormen. Als vestiging van het kantoor is gekozen voor de voormalige tabaksfabriek Koninklijke Theodorus Niemeyer in Groningen. De supercomputer komt elders in een nog te kiezen datacenter.  De ai-fabriek richt zich op het aanbod van hoogwaardige rekenkracht en ai-expertise die relevant is voor meerdere maatschappelijke en economische sectoren. De doelgroep bestaat uit jonge bedrijven, het mkb en overheidsinstellingen.   Aanbesteding Hoe de supercomputer er precies technisch uit zal komen te zien, is nog afhankelijk van de aanbesteding die door de EuroHPC Joint Undertaking (EuroHPC JU) zal worden uitgevoerd in samenwerking met Surf, de it-dienstverlener voor het hoger onderwijs. Van deze aanbesteding is nog het precieze aantal gpu’s en cpu’s afhankelijk. Anders dan bij de Tsjechische ai-fabriek die vijfhonderd gpu’s en 1.600 cpu’s krijgt, voorziet het ontwerp van Groningen in meer gpu’s dan cpu’s.  Groningen maakt deel uit van het EuroHPC-programma, dat Europese samenwerking op het gebied van supercomputing en ai faciliteert. De financiering en het eigenaarschap zijn verdeeld tussen nationale en Europese bijdragen. Een deel van de ai-fabriek wordt nationaal beheerd. Het Rijk draagt bijna zeventig miljoen euro bij aan de bouw. Eenzelfde bedrag komt van de EU. De regio Groningen en Noord-Drenthe komt met maximaal zestig miljoen euro over de brug. Het is de bedoeling dat de supercomputer begin 2027 op volle toeren draait.

Het kabinet geeft concreet invulling aan drie moties rond digitale weerbaarheid die de Tweede Kamer eerder heeft aangenomen. Dat blijkt uit een brief van minister Foort van Oosten (Justitie en Veiligheid).  Ontwikkeld worden plannen om essentiële dienstverlening (zoals zorg, energie, transport) zoveel mogelijk in stand te houden bij een grootschalige digitale storing. Dit moet voorkomen dat de dienstverlening aan burgers en bedrijven volledig stilvalt. De Kamerleden Chakor en Kathmann (beiden GroenLinks-PvdA) hadden daarop aangedrongen. Verplicht Met de inwerkingtreding van de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) in het tweede kwartaal van 2026 zijn kritieke entiteiten wettelijk verplicht om een risicobeoordeling uit te voeren. Op basis daarvan moeten zij technische, operationele en organisatorische maatregelen nemen voor de beveiliging van hun netwerken en de informatiesystemen die worden gebruikt voor de verlening van hun diensten.  Ook moeten zij maatregelen nemen om incidenten te voorkomen of de gevolgen van incidenten te beperken. Dit omvat onder meer het in kaart brengen van (analoge) terugvalopties ten behoeve van de bedrijfscontinuïteit. Kamerlid Rajkowski (VVD) had daar in een motie om gevraagd.  Bovendien geeft het kabinet gehoor aan haar oproep tot het uitvoeren van een scan van apparatuur of software uit landen met een tegen Nederland gerichte offensieve cyberagenda die aanwezig is binnen (de kernsystemen van) de vitale sector. Op basis van een verkenning onder vitale aanbieders heeft TNO een zelfscan-tool ontwikkeld waarmee betrokken organisaties dit soort risico’s kunnen afwegen. Zo helpt deze opensource-cybersecuritytool (Soarca) om de digitale weerbaarheid te testen en versterken. Het is geen klassieke hr‑zelfscan, maar een instrument om cyberoperaties te automatiseren en zo offensieve en defensieve strategieën te evalueren.

AZL neemt per 1 januari 2028 de pensioenadministratie van Stichting Ahold Delhaize Pensioen (Ahold Delhaize Pensioen) over. De uitvoerder en het ondernemingspensioenfonds hebben hiervoor een intentieovereenkomst ondertekend. AZL start de komende periode met de begeleiding van de transitie naar het vernieuwde pensioenstelsel.  Ahold Delhaize Pensioen verzorgt de pensioenen voor ruim 127.000 deelnemers. Het gaat hierbij om deelnemers die werken, of gewerkt hebben, bij een van de volgende Ahold Delhaize-ondernemingen: Albert Heijn, Etos, Gall & Gall, Ahold Delhaize Coffee Company en Ahold Delhaize. Het ondernemingspensioenfonds maakt sinds 1 januari 2024 gebruik van het it-platform AllVida van APS (Achmea Pensioenservices), in samenwerking met technologiepartner IG&H. Daarvoor maakte het pensioenfonds gebruik van het it-platform Lifetime van Keylane. Alleen APS maakte in juli van dit jaar bekend om uiterlijk in 2030 te stoppen met hun pensioendienstverlening voor externe klanten. Na deze bekendmaking moest Ahold Delhaize Pensioen op zoek naar een nieuwe pensioenuitvoeringsorganisatie voor de toekomst. De keuze viel op AZL. Deze overstap betekende ook dat de transitie naar de nieuwe pensioenregeling met een jaar wordt uitgesteld naar 1 januari 2028. Inmiddels zijn de voorbereidingen voor de ‘dubbele’ transitie met alle betrokken partijen in gang gezet. Hierin speelt ook APS een belangrijke rol. De dienstverlener zal tot 1 januari 2028 de huidige pensioenuitvoering van het pensioenfonds voortzetten én zorgdragen voor een juiste en tijdige overgang van de pensioenadministratie naar de systemen van AZL. Gedegen planning en afstemming Op de vraag of de transitie naar een nieuwe it-omgeving ingewikkeld is, antwoordt eenwoordvoerster van Ahold Delhaize Pensioen: ‘Er zijn altijd veel aandachtspunten bij zo’n transitie. Bij de migratie naar het it-platform AllVida ging het niet alleen om een migratie van alle data, met alle noodzakelijke waarborgen, maar ook een livegang op een nieuw systeem waarop wij de launching customer waren. Ook bij de migratie naar AZL moeten alle data uiteraard weer juist en volledig over en betreft het tevens een wijziging naar het nieuwe pensioenstelsel WTP. Voordeel van deze aankomende transitie ten opzichte van die in 2024 is dat we geen launching customer zijn en dat het it-systeem tegen die tijd proven technology is.’ De zegsvrouw stelt dat elke transitie naar een nieuwe omgeving dus specifieke aandachtspunten kent en dus vraagt om een gedegen planning met goede afstemming tussen alle partijen. ‘Het is hierbij belangrijk tussentijdse meetmomenten in te bouwen om te valideren dat je nog steeds op de juiste koers ligt of dat er wellicht hier en daar wat bijgeschaafd moet worden.’ Afgelopen mei maakte AZL nog bekend per januari 2027 de pensioenadministratie van de Stichting Rabobank Pensioenfonds over te nemen. AZL, dochteronderneming van verzekeringsconcern NN Groep, werkt op it-gebied samen met onder andere pensioensoftwarebedrijf Festina Finance.

BLOG – Dit jaar werd Nederland meerdere keren opgeschrikt door grootschalige storingen bij mobiele-telecomaanbieders. KPN, VodafoneZiggo en Odido kampten met problemen die honderdduizenden tot miljoenen gebruikers troffen. Niet zelden gingen de storingen urenlang door. De impact? Van hinderlijk tot potentieel gevaarlijk. In een samenleving waar vrijwel alles leunt op draadloze connectiviteit komt een landelijke storing neer op een digitale black-out. Burgers en bedrijven vragen zich af: waarom gebeurt dit zo vaak, en kunnen we nog wel op deze netwerken vertrouwen? Wat deze storingen extra pijnlijk maakt, is dat onze afhankelijkheid van mobiele netwerken explosief is gegroeid. We gebruiken ze niet alleen voor bellen of internetten, maar ook voor thuiswerken, navigeren, zorg op afstand, betalingen, slimme apparaten in huis en op kantoor en zelfs cruciale meldsystemen, zoals NL-Alert of alarmering bij hulpdiensten. Waar vroeger een storing hinderlijk was, kan het nu directe gevolgen hebben voor onze veiligheid, bereikbaarheid en economie. En toch lijkt het alsof dergelijke incidenten zich steeds vaker voordoen. En waarom is dat specifiek in de afgelopen maanden zo vaak het geval? De recente toename van storingen lijkt geen toeval. Juist in de afgelopen maanden hebben zich verschillende trends en gebeurtenissen gekruist, die de stabiliteit van mobiele netwerken onder druk zetten. Virtualisatie De oorzaak is te zoeken in de invoering en toepassing van nieuwe technologieën. Mobiele operators zijn in 2024 en 2025 massaal overgegaan op virtualisatie van netwerkfuncties en het uitrollen van geavanceerde 5G-netwerkcomponenten, zoals software-defined networking, network function virtualization en cloud-native core networks. Deze technologieën zijn krachtig en flexibel, maar ook complex en gevoelig voor fouten. Eén foutieve configuratie of instabiliteit in een virtuele schakel kan uitval veroorzaken op grote schaal. Bovendien is het opsporen en oplossen van fouten in zo’n netwerk lastiger dan voorheen. Waarom zijn diensten zoals pinverkeer en alarmering nog steeds afhankelijk van één mobiel netwerk? Bovendien zijn de providers bezig met versnelde consolidaties, updates en systeemmigraties. De overgang van T-Mobile naar Odido brengt backend-veranderingen met zich mee. Operators rollen nieuwe softwareplatformen bij voorkeur uit tijdens rustige zomerperiodes. Deze ingrepen vergroten tijdelijk het risico op verstoringen. Odido geeft zelf aan dat de megastoring afgelopen zomer het gevolg was van onderhoudswerkzaamheden. Ten slotte zijn de meeste operators zijn al jaren bezig met het terugdringen van operationele kosten (opex). Dat leidt tot veel reorganisaties, waarbij ook de operations-teams niet worden gespaard. Cruciale kennis en ervaring gaat daarmee verloren, monitoring wordt geautomatiseerd, en de marges voor foutcorrectie worden kleiner. In een netwerk dat continu in verandering is, kan deze gereduceerde bezetting het verschil maken tussen een tijdige ingreep of een landelijke storing. Verdienen Transparantie is cruciaal. Na een storing volgt vaak een summier bericht met ‘de oorzaak wordt onderzocht’ of ‘de storing is verholpen’. Maar consumenten en bedrijven verdienen beter. Heldere communicatie over oorzaak, impact en maatregelen om herhaling te voorkomen is niet alleen informatief maar wekt ook vertrouwen. Daarnaast moeten we nadenken over redundantie en weerbaarheid. Waarom zijn sommige diensten (zoals pinverkeer en alarmering) nog steeds afhankelijk van één mobiel netwerk? Kunnen we kritieke functies niet dubbel uitvoeren via alternatieve netwerken of technologieën? Gelukkig wordt deze discussie meer en meer nadrukkelijker gevoerd. Want de vraag is niet of we dit nog een keer meemaken, maar hoe goed we erop voorbereid zijn. Gregor Hendrikse, management consultant, Highberg

Volgend jaar gaat een ingrijpende wet in: eEvidence. Bedrijven moeten dan zélf bijhouden of Europese organisaties vertrouwelijke digitale gegevens opeisen. Die moeten dan telkens binnen tien dagen overhandigd zijn, op straffe van boetes tot twee procent van de omzet. Deel één van een drieluik over eEvidence.De waarde van bedrijfsdata, het nieuwe goud, valt of staat met digitale zelfbeschikking. Het is dan ook geen verrassing dat digitale soevereiniteit hoog op alle agenda’s staat. Dat begint bij persoonlijke soevereiniteit, de wetgeving rond privacy. Die is zo belangrijk geworden, dat zelfs wetsvoorstellen om opsporingsdiensten meer armslag te geven om bijvoorbeeld kinderporno eens goed te kunnen aanpakken, daardoor sneuvelen.Maar intussen dreigt heel stilletjes een nog veel ingrijpender Europees voorstel tussen alle commotie door te glippen en vanaf volgend jaar wet te worden: het zogenoemde eEvidence. De voorstellen voor die nieuwe regels zijn al zeven jaar bekend bij rijksoverheden en zijn dusdanig ingrijpend, dat zelfs de nationale opsporingsdiensten buiten spel worden gezet. Als het voorstel zoals gepland vanaf volgend jaar wettelijk verplicht wordt, lijkt er niet veel over te blijven van onze privacy of digitale bedrijfssoevereiniteit. Computable duikt erin en praat erover met experts.Shoot firstOnder de nieuwe regels, aldus de officiële uitleg, ‘zijn bedrijven verplicht zich zodanig in te richten dat zij in staat zijn om binnen de gestelde termijnen aan bevelen te voldoen.’ Die bevelen – geen verzoeken dus – kunnen door willekeurig welke Europese opsporingsinstantie dan ook gedaan worden, zonder tussenkomst van de Nederlandse overheid. Zulke bevelen eisen overhandiging van digitale informatie, zoals ‘naam en contactinformatie van een gebruiker, informatie over het dataverkeer’ of, een mooie catch-all-definitie, ‘de inhoud van communicatie’.Een bedrijf heeft niet de keuze om eerst eens een advocaat of rechter naar het verzoek te laten kijken. De regels werken volgens het principe ‘shoot first, ask questions later’. Achteraf kan best blijken dat het verzoek ongeoorloofd was of de data helemaal niet ter zake deden, maar dan zijn die data dus al overhandigd aan die buitenlandse partij, een partij waarover de Nederlandse autoriteiten geen enkele controle hebben. Om het principe kracht bij te zetten, zijn de termijnen tussen bevel en deadline erg krap, slechts tien dagen, en de boetes bij niet op tijd voldoen torenhoog, tot twee procent van de wereldwijde omzet.Privacy, wat is dat?Het ministerie van Justitie en Veiligheid windt er geen doekjes om: ‘18 augustus 2026 gaat de eEvidence verordening officieel van kracht. Vanaf moment bent u wettelijk verplicht te voldoen aan alle verzoeken die u via het digitale platform ontvangt.’ Organisaties moeten vanaf dat moment zélf contact houden met het eEvidence-platform, dus zelf maar uitzoeken of er een instantie ergens in Europa hun data opeist, en dan telkens dus op zeer korte termijn voldoen aan eisen van welke Europese opsporingsbevoegde dan ook.Het is interessant dat Den Haag overheidsadviezen over deze ingrijpende voorstellen compleet lijkt te negeren. ‘De Verordening treedt volgend jaar in werking. Eerder, in 2018, heeft de European Data Protection Board (EDPB), waarin Europese gegevensbeschermingsautoriteiten deelnemen, een standpunt hierover ingenomen,’ legt Elizabeth Palandeng uit aan Computable. Zij is woordvoerder van de Autoriteit Persoonsgegevens (AP). Dat zeven jaar oude standpunt omvat maar liefst achttien aanbevelingen die een aantal van de meest vergaande excessen aanpakken. Zo zouden in het land van de organisatie die de gegevens moet verstrekken de bevoegde autoriteiten geraadpleegd moeten worden, om, aldus de aanbeveling, ‘subjectieve interpretaties van een enkele rechtbank te voorkomen.’Vrij spel voor de (s)pionnen van Poetin?Met andere woorden, een lokale overheid in bijvoorbeeld Hongarije zou niet zomaar – onder dwang van krappe deadlines en hoge en snel opeisbare boetes – de bezoekersgegevens moeten kunnen opeisen van een evenement in, zeg maar, Utrecht (zoals de verordening nu nog wél toestaat), zónder tussenkomst van een Nederlandse autoriteit. Daarom ook zegt de EDPB: ‘de verordening moet drempels opwerpen voor de uitvaardiging van bevelen en bevelen moeten worden uitgevaardigd of goedgekeurd door rechtbanken.’Dat het voorstel al die zaken zonder meer wil toelaten is op z’n minst schokkend te noemen. Alsof dat nog niet genoeg is, hanteert de verordening bijvoorbeeld een andere definitie van ‘wettelijk vertegenwoordiger’ dan de AVG, waardoor de nieuwe wet de toch al aanzienlijke regeldruk en bijkomende kosten voor het bedrijfsleven alleen maar verhogen. Palandeng: ‘Het ministerie van J&V is nog bezig met de implementatie en uitvoering van de Verordening. De AP zal dit wetsvoorstel toetsen aan de AVG. Op een later moment kunnen we daar meer over zeggen.’In deel 2 vraagt Computable de advocatuur om eens te kijken naar de onbegrijpelijk ingrijpende verordening.