business

De datahack bij Clinical Diagnostics, afgelopen zomer, maakte opnieuw duidelijk hoe kwetsbaar digitale zorgketens zijn. Cyberincidenten komen in de zorg al langer voor, maar deze aanval roept bredere vragen op over informatiebeveiliging, certificering en samenwerking binnen de sector.Hoewel elke cyberaanval uniek is, keren dezelfde problemen vaak terug. Complexe it-landschappen, afhankelijkheden tussen organisaties en beperkte informatie-uitwisseling maken zorginstellingen kwetsbaar. De hack bij Clinical Diagnostics onderstreept hoe groot de impact kan zijn wanneer diagnostische systemen of data worden getroffen.Hoe zat het ook alweer? In de zomer van 2025 drongen hackers de systemen binnen van Clinical Diagnostics, een medisch diagnostisch laboratorium in Rijswijk dat bevolkingsonderzoeken en medische tests uitvoert voor zorginstellingen. De buit bestond uit grote hoeveelheden patiëntgegevens, waaronder namen, adressen, burgerservicenummers en medische onderzoeksresultaten. Aanvankelijk leek het om ongeveer 485.000 mensen te gaan, maar later werd de vrees bewaarheid dat gegevens van zo’n 941.000 personen waren ingezien of gestolen.De criminelen probeerden het laboratorium vervolgens af te persen. Toen betaling van een geëist bedrag in cryptovaluta uitbleef, verscheen een deel van de data op het darkweb. De zaak is in onderzoek door de Autoriteit Persoonsgegevens (AP), het Nationaal Cyber Security Centrum, het Openbaar Ministerie, Bevolkingsonderzoek Nederland en PwC. Daarbij wordt gekeken naar mogelijke overtredingen van de AVG en naar de vraag hoe de aanval kon plaatsvinden en wie erachter zit.SchakelDiagnostische organisaties vormen een essentiële schakel in de zorgketen. Laboratoriumuitslagen, medische analyses en testresultaten vormen immers de basis voor diagnoses en behandelbeslissingen. In de praktijk zijn deze processen vrijwel volledig gedigitaliseerd. De it-omgeving van diagnostische laboratoria bestaat daardoor uit een complex ecosysteem van systemen. Denk aan laboratoriuminformatiesystemen, medische apparatuur met netwerkverbindingen, koppelingen met ziekenhuizen en huisartsen, cloudplatformen voor dataopslag en analyse en integraties met elektronische patiëntendossiers.Juist deze uitgebreide integraties vergroten de kwetsbaarheid. Wanneer een aanvaller toegang krijgt tot één onderdeel van het netwerk, kan dat gevolgen hebben voor meerdere organisaties in de zorgketen. Een incident bij één partij kan daardoor directe gevolgen hebben voor zorginstellingen, patiënten en andere ketenpartners.Het incident bij Clinical Diagnostics laat zien dat cybersecurity in de zorg niet alleen een kwestie is van individuele organisaties beveiligen, maar ook van ketenbrede digitale weerbaarheid.Zwakke plekken Cyberincidenten in de zorg blijken vaak het gevolg van een combinatie van technische en organisatorische tekortkomingen. Hoewel het onderzoek naar de hack nog loopt, wijzen eerste analyses op verschillende mogelijke kwetsbaarheden.·      Onvoldoende toegangsbeveiligingWanneer aanvallers toegang krijgen tot systemen met patiëntgegevens blijkt regelmatig dat authenticatiemaatregelen tekortschieten, bijvoorbeeld door het ontbreken van multi-factorauthenticatie of slecht beveiligde accounts.·      Gebrekkige netwerksegmentatieDat hackers grote hoeveelheden data konden buitmaken suggereert dat systemen met gevoelige informatie niet strikt genoeg waren gescheiden van andere delen van het netwerk.·      Beperkte monitoring en detectieHet feit dat de datadiefstal niet direct werd gestopt kan erop wijzen dat realtime monitoring en detectie onvoldoende effectief waren ingericht.·      Kwetsbaarheden in de ketenLaboratoria hebben veel koppelingen met zorginstellingen en ict-leveranciers. Daardoor bestaat de kans dat aanvallers via een indirecte ingang toegang hebben gekregen.CertificeringIn de berichtgeving rond het incident kwam ook de rol van certificering volgens de informatiebeveiligingsnorm NEN 7510 naar voren. Deze norm beschrijft hoe zorgorganisaties hun informatiebeveiliging moeten organiseren. Irma Timmerman, woordvoerder van NEN, benadrukt dat het normalisatie-instituut zelf geen toezichthouder is. ‘NEN-normen zijn in essentie afspraken,’ zegt zij. ‘Ze gaan over veiligheid, kwaliteit en prestaties van producten en diensten, met als doel de betrouwbaarheid en veiligheid in de praktijk te vergroten.’NEN brengt marktpartijen samen om zulke normen te ontwikkelen. Die vormen vervolgens de basis voor certificering. De beoordeling of organisaties daadwerkelijk aan de normen voldoen ligt bij onafhankelijke certificerende instellingen, waarvan de kwaliteit weer wordt bewaakt door de Raad voor Accreditatie. Voor zorgorganisaties en hun leveranciers betekent dit dat zij moeten kunnen aantonen dat hun informatiebeveiliging voldoet aan normen zoals NEN 7510.Certificering is geen wettelijke verplichting, benadrukt Timmerman, maar wel een objectieve manier om te laten zien dat een organisatie de norm toepast. ‘Een certificerende instelling beoordeelt of beleid, processen en maatregelen voldoen,’ zegt zij. ‘Een certificaat is dus geen formaliteit, maar een bevestiging dat de norm in de praktijk wordt toegepast.’ Tegelijk biedt certificering geen garantie tegen incidenten. ‘Het is geen waterdichte verzekering, maar een manier om vast te stellen dat een organisatie structureel werkt aan informatiebeveiliging.’SamenwerkingNaast technische maatregelen speelt samenwerking een rol bij het beperken van de impact van cyberincidenten. Wanneer meerdere organisaties in een zorgketen betrokken zijn, kan het lastig zijn snel een volledig beeld van de situatie te krijgen. Volgens Edwin Feldmann, communicatieadviseur bij Z-Cert, het expertisecentrum voor cybersecurity in de zorg, was dat ook bij deze hack het geval. ‘Het was ingewikkeld om een volledig overzicht te krijgen van de situatie, omdat de communicatie met Clinical Diagnostics langzamer op gang kwam dan gewenst.’ Volgens Feldmann heeft dat te maken met de huidige wettelijke situatie. ‘Omdat de cyberbeveiligingswet nog niet van kracht is, kunnen wij samenwerking en informatie-uitwisseling niet afdwingen. Ook zijn niet alle ketenpartners in de zorg bekend met onze rol.’Over de precieze aanvalsmethode of de beveiligingsmaatregelen van het laboratorium deelt Z-Cert geen details. Cybersecurityorganisaties proberen te voorkomen dat kwetsbaarheden openbaar worden voordat organisaties hun systemen hebben kunnen verbeteren. Wel benadrukt Feldmann dat Z-Cert in de afgelopen jaren veel kennis heeft opgebouwd over cyberincidenten in de zorg. Op basis daarvan zijn best practices opgesteld voor zorgorganisaties, waaronder een lijst met basismaatregelen tegen ransomware.De komende jaren moet nieuwe wetgeving helpen om informatie-uitwisseling binnen de sector te verbeteren. Zo werkt Nederland aan de Cyberbeveiligingswet, de nationale implementatie van de Europese NIS2-richtlijn. Volgens Feldmann zullen hierdoor veel organisaties in het zorgdomein een wettelijke meldplicht krijgen voor cyberincidenten. ‘Met die meldplicht zullen wij sneller een beeld krijgen van de impact van cyberincidenten en kunnen we andere zorginstellingen eerder waarschuwen voor actuele dreigingen en kwetsbaarheden.’ Snellere informatie-uitwisseling kan volgens hem helpen om herhaling bij andere organisaties te voorkomen.TerughoudendCybersecurityautoriteiten zijn doorgaans terughoudend zolang een incidentonderzoek nog loopt. Job Holzhauer, woordvoerder van het Nationaal Cyber Security Centrum (NCSC), bevestigt dat beleid. Volgens hem kunnen vragen over het incident beter worden gesteld aan de organisatie zelf of aan Z-Cert.Ook AP wil niet inhoudelijk reageren. Volgens woordvoerder Mark Schenkel zou dat op gespannen voet staan met de rol van de toezichthouder zolang het onderzoek nog loopt. Wel is bekend dat de toezichthouder onderzoekt wat er precies is misgegaan en of de privacywetgeving onder de AVG is overtreden. AP stemt haar aanpak af met de Inspectie Gezondheidszorg en Jeugd (IGJ), die zelfstandig onderzoek doet naar de informatiebeveiliging bij het laboratorium. Die inspectie wil eveneens weinig kwijt over de zaak. ‘Algemeen is onze boodschap dat zorgaanbieders aan de NEN 7510 moeten voldoen,’ laat een woordvoerder weten. Ook het getroffen lab wenst geen inhoudelijke vragen te beantwoorden over het datalek en verwijst naar zijn website.Spraakzamer is de brancheorganisatie Samenwerkende ICT-Leveranciers in de Zorg (Silizo). Zij benadrukt dat informatieveiligheid in de zorg een gedeelde verantwoordelijkheid is van zorginstellingen en hun ict-leveranciers. Volgens woordvoerder Robert van Wijk moeten beide partijen voldoen aan strenge normen en regelgeving, zoals de NEN-normen en Europese kaders als de AVG en de MDR. Tegelijk wijst hij erop dat absolute veiligheid in een sterk verbonden zorgketen nauwelijks haalbaar is. Zorginstellingen, leveranciers en zorgprofessionals wisselen steeds meer gegevens uit via digitale netwerken, waardoor kwetsbaarheden sneller kunnen worden misbruikt.Volgens Van Wijk moet de nadruk daarom niet alleen liggen op preventie, maar ook op voorbereiding. Organisaties moeten risico’s beperken, draaiboeken hebben voor incidenten en voorbereid zijn op crisiscommunicatie wanneer een hack plaatsvindt. Om de digitale weerbaarheid van de zorg te vergroten pleit Silizo voor nauwere samenwerking tussen leveranciers en zorgorganisaties, het delen van dreigingsinformatie en het regelmatig trainen van medewerkers. Informatieveiligheid moet daarbij nadrukkelijk op bestuurlijk niveau worden aangestuurd.Brede lessenHoewel nog niet alle details van het incident bekend zijn, zijn er wel bredere lessen te trekken.1. De hack onderstreept dat cybersecurity niet alleen een technisch vraagstuk is, maar ook een organisatorisch en bestuurlijk probleem. Het gaat niet alleen om firewalls en antivirussoftware, maar ook om governance, samenwerking en crisismanagement.2. Daarnaast laat het incident zien hoe afhankelijk de zorg is van digitale infrastructuur. Diagnostische data, patiëntinformatie en medische systemen vormen de ruggengraat van moderne zorgprocessen. Raakt een cyberaanval deze systemen, dan heeft dat directe gevolgen voor zorgverlening en patiëntvertrouwen.3. Cyberincidenten zijn pijnlijk, maar kunnen ook een katalysator zijn voor verbetering. In de praktijk investeren organisaties vaak pas structureel in cybersecurity nadat zij – of hun partners – met een aanval te maken krijgen.4. Voor de zorgsector ligt de uitdaging vooral in het versterken van samenwerking en het verbeteren van het zicht op risico’s in de keten. Normen zoals NEN 7510 bieden daarbij een belangrijk kader, terwijl sectororganisaties zoals Z-Cert helpen om kennis over dreigingen te delen.5. De belangrijkste les van de hack bij Clinical Diagnostics is dan ook dat cybersecurity geen optionele extra meer is. In een zorgomgeving waarin data steeds centraler staat, is digitale weerbaarheid een randvoorwaarde voor betrouwbare en veilige zorg.SlotwoordVolgens Arwi van der Sluijs, directeur van cybersecuritybureau Nederlands Forensics en Incident Response (NFIR), vraagt een cybercrisis vooral om openheid, regie en voorbereiding. ‘Wat we in 2025 en 2026 hebben gezien, is dat organisaties te vaak in stilte proberen een incident te beheersen, terwijl schade in de zorg zich juist razendsnel door een hele keten kan verspreiden.’ Volgens hem wordt digitale weerbaarheid niet alleen bepaald door firewalls of certificaten, maar vooral door de volwassenheid van het incidentresponseproces: weten wat er geraakt is, snel handelen, transparant communiceren en samenwerken met partijen als Z-Cert, AP, de IGJ en de politie. ‘Dat is geen zwaktebod maar professioneel crisismanagement.’Volgens Van der Sluijs kan de zorg zich geen langdurige onduidelijkheid of gesloten communicatie veroorloven. Patiëntgegevens zijn te gevoelig en de maatschappelijke impact is te groot. Cyberincidenten moeten daarom sneller, opener en met een ketenbrede aanpak worden aangepakt. Alleen wanneer elke partij zijn verantwoordelijkheid neemt, kan herhaling worden voorkomen en kan het vertrouwen behouden blijven dat zorgorganisaties dagelijks nodig hebben om hun werk veilig te doen.Computable schreef een uitgebreide serie artikelen over inhoud, toepassing en handhaving van informatiebeveiliging in de zorg, naar aanleiding van de labhack.Dit artikel staat ook in Computable Magazine 2026 #3.

Organisaties investeren volop in ai, digitale platformen en nieuwe manieren van samenwerken. Daarentegen verandert de manier waarop professionals kennis ontwikkelen veel langzamer. Juist daar ontstaat een groeiend knelpunt binnen digitale transformaties. Technologie, ai en nieuwe manieren van werken volgen elkaar in hoog tempo op, terwijl veel organisaties nog grotendeels leunen op klassieke opleidingsmodellen en losse veranderinterventies. Die blijven waardevol, maar sluiten niet altijd meer aan op de snelheid en complexiteit van moderne organisaties. In de praktijk raakt digitale transformatie zelden nog één team of afdeling. Vraagstukken rondom samenwerking, besluitvorming en waardecreatie spelen gelijktijdig op meerdere niveaus in de organisatie, van teams en agile release trains tot programma- en portfolioniveau. Wat lokaal goed werkt, blijkt niet automatisch effectief binnen de bredere context van een organisatie. Daar ontstaat een herkenbaar spanningsveld. Kennis ontwikkelt zich versnipperd, terwijl de vraagstukken juist steeds meer met elkaar samenhangen. Een groot deel van leren gebeurt buiten het klaslokaal. Formele trainingen blijven voor veel organisaties een belangrijk startpunt, maar een groot deel van het daadwerkelijke leerproces ontstaat in de dagelijkse praktijk. Professionals leren vooral door samen te werken, ervaringen uit te wisselen en vraagstukken gezamenlijk op te lossen. Juist daar lopen veel organisaties tegen dezelfde uitdaging aan. Professionals die actief verandering proberen te realiseren, hebben vaak beperkt toegang tot peers die vergelijkbare situaties herkennen. Dat geldt voor uiteenlopende rollen. Van developers en scrum masters tot architecten, productprofessionals, programmamanagers en leiders die de verbinding proberen te maken tussen strategie en uitvoering. Veel van deze professionals vervullen een belangrijke informele rol binnen organisaties. Zij signaleren knelpunten, verbeteren samenwerking en helpen beweging creëren binnen complexe veranderomgevingen. Tegelijkertijd opereren zij regelmatig relatief geïsoleerd binnen hun eigen afdeling of programma. Daardoor ontstaat steeds vaker behoefte aan aanvullende vormen van kennisdeling, niet als vervanging van training of consultancy, maar als aanvulling daarop. Dagelijkse praktijk Steeds meer organisaties zoeken daarom naar manieren om leren dichter bij de dagelijkse praktijk te organiseren. Niet alleen via opleidingen of tijdelijke veranderprogramma’s, maar ook via professionele netwerken waarin ervaringen continu zijn uit te wisselen. Volgens Rutger Bruins, community lead bij Connected Movement, ontstaat juist daar vaak een belangrijk deel van de versnelling binnen transformaties: ‘De snelheid van verandering vraagt om een andere manier van leren. Niet alleen kennis opdoen, maar vooral continu in gesprek zijn met anderen die met vergelijkbare vraagstukken bezig zijn.’ Binnen grotere organisaties blijkt vooral behoefte te bestaan aan uitwisseling tussen verschillende rollen en niveaus. Veel veranderinitiatieven blijven namelijk hangen binnen één discipline of afdeling, terwijl de daadwerkelijke complexiteit organisatiebreed is. Bredere groep Steeds meer gespecialiseerde practitioner-netwerken openen zich daarom voor een bredere groep professionals. Daarin worden ervaringen gedeeld tussen mensen die dagelijks werken aan digitale transformatie, productontwikkeling en organisatieverandering. Ook Connected Movement heeft zijn practitioner-community, die sinds 2019 actief is, toegankelijk gemaakt voor professionals uit verschillende organisaties en sectoren. Binnen dergelijke netwerken staat peer learning centraal: professionals die praktijkervaringen delen over samenwerking, besluitvorming, agile-werken, portfolio-aansturing en de implementatie van nieuwe technologieën zoals ai. Volgens betrokken professionals helpt deze vorm van kennisuitwisseling om inzichten sneller toepasbaar te maken in de praktijk. Niet door opnieuw modellen of frameworks toe te voegen, maar door mensen met vergelijkbare vraagstukken structureel met elkaar in contact te brengen.

SpaceX en Tesla zijn van plan om gezamenlijk 55 miljard dollar te investeren in Terafab, de chipfabriek in Texas die het in samenwerking met Intel hoopt te construeren. Uiteindelijk kan de totale investering oplopen tot 119 miljard dollar. De hoogte van de financiële bijdrage werd duidelijk via een aanvraag die vandaag openbaar werd. De fabriek, […]

Deadline verstrijkt vandaag: wordt het contract met Solvinity niet opgezegd, dan loopt het nog twee jaar door.

COLUMN – Nog geen twee jaar geleden vroegen we ons nog weleens af of ai niet de ondergang van de mensheid inluidt. Niemand die die vraag nog stelt want we kunnen niet meer terug. We zijn er ingestapt, op de gok. Nu maar hopen dat het goed gaat. Het is een beetje een experiment, net zoals het een experiment is om Donald Trump president te maken van het machtigste land ter wereld. Je hebt er grote verwachtingen van, maar geen enkel idee over de uitkomst. Elke keer als hij iets doms doet, denk je dat het misschien onderdeel uitmaakt van een groots plan dat hij heeft maar wij nog niet zien. Maar veel vaker blijkt het inderdaad gewoon iets doms te zijn. Inmiddels zijn we vooral aan het repareren wat hij kapot maakt. Niemand wilde áltijd bereikbaar zijn Met ai kan het die kant ook op gaan. Het is ook als: we hebben een hond gekocht, maar geen idee hoe hij zich gaat gedragen. We vroegen nog wel even aan de verkoper of ‘ie lief is. ‘Ik denk het wel’, antwoordde de verkoper. Als je het monster eenmaal in huis hebt, dan raak je eraan gehecht, dan doe je hem niet meer weg. Kijk maar naar je telefoon. Niemand wilde áltijd bereikbaar zijn. Maar als je accu onder de twintig procent zit, dan begin je al te hyperventileren. En je noemt hem ook liefkozend ‘mijn iPhone’. Beste vriend Met ai hebben we nog geen idee welk monster we in huis hebben gehaald. Wordt het onze beste vriend of juist niet? We hebben het gekregen zonder handleiding. Je moet maar gewoon op een knopje drukken en kijken wat er gebeurt. Er stond op de doos wel ‘handle with care’, maar dat doen we allang niet meer. Dus de vraag of ai de ondergang van de mensheid gaat worden, is allang een gepasseerd station. Of aieen beetje lief voor ons is? Ik denk het wel. Jacob Spoelstra is columnist/stand-upcomedian. Kijk hier voor meer informatie.

Veel organisaties hebben inmiddels een goed beeld van klassieke cyberdreigingen zoals phishingcampagnes, DDoS‑aanvallen en ransomware. Maar moderne aanvallen ontstaan steeds vaker buiten het zicht van de traditionele beveiliging. In plaats van te jagen op kwetsbaarheden in applicaties, richten ze zich steeds vaker op het onderliggende Domain Name System (DNS). Bovendien ontwikkelen ze nieuwe en geraffineerde […]

AI-engineers gaan bedrijven helpen om AI-modellen toe te passen.

Universiteiten van Nederland (UNL) heeft de Commissie Digitale Autonomie Universiteiten (DAU) ingesteld om de afhankelijkheid van Big Tech aan te pakken. De commissie bestaat uit bestuurders van UNL, SURF en de directeur CIO Rijk en werkt aan een gezamenlijke visie en roadmap. Aanleiding is vendor lock-in, geopolitieke risico’s en verlies van controle over digitale infrastructuren. […]

Projecten mislukken zelden door een slechte planning. Dat ziet trainer Barbara Pals, adviseur en trainer bij Next Ground, keer op keer terug in de praktijk. Ze deelt waarom de start van een project allesbepalend is, wat projectleiders onderscheidt en waarom de laatste fase vaker wordt overgeslagen dan je denkt.

FTI Consulting heeft zijn senior team in Amsterdam versterkt met Anand Raghuraman, een professional met jarenlange ervaring in de consultancysector. De nieuwe Senior Managing Director was eerder partner bij Roland Berger, Riveron, EY-Parthenon en Boston Consulting Group.

Van de eerste schroef of chip af-fabriek tot het pakketje aan de voordeur. Amazon stelt vanaf nu álle vervoersmodaliteiten die het in huis heeft open voor derden. Dus ook bijvoorbeeld grondstofvervoer naar fabrieken en transatlantisch transport over zee. Dat doet de e-commercereus onder de naam Amazon Supply Chain Services (ASCS). Dat werd eerder deze weel aangekondigd. Het netwerk omvat uiteraard de Amazon-busjes die tot aan de voordeur rijden bij consumenten en de vrachtwagens die tussen de magazijnen heen en weer rijden. Maar Amazon beschikt ook over een luchtvloot, capaciteit voor zeevervoer en opslagloodsen tussen elk van deze schakels. Deze hele infrastructuur wordt met ASCS voor derde partijen opengesteld. Met deze lancering breidt Amazon zijn capaciteit uit voor bedrijven in sectoren zoals de gezondheidszorg, de auto-industrie, de maakindustrie en de detailhandel te ondersteunen. Het wordt in die zin een steviger concurrent voor partijen als DHL, UPS en FedEx. “Amazon brengt de infrastructuur, de intelligentie en de schaal van zijn supply chain-diensten naar bedrijven overal ter wereld zoals Amazon Web Services dat deed voor cloudcomputing”, aldus Peter Larsen, verantwoordelijk voor Amazon Supply Chain Services. Foto: Ian Taylor / Unsplash

Wanneer een familiebedrijf overgaat naar de volgende generatie, verandert er meer dan alleen de naam op het visitekaartje. Toch worden opvolgers zelden gericht voorbereid op wat het eigenaarschap werkelijk van hen vraagt.

AllChiefs heeft een nieuw playbook gelanceerd dat verandermanagers helpt bij een van hun meest prangende uitdagingen: het vertalen van hun veranderambities naar tastbare en blijvende resultaten. Het nieuwe e-book gaat in op een bekend fenomeen: organisaties steken veel tijd en energie in het ontwikkelen van veelbelovende en goed gestructureerde strategische plannen, maar toch lukt het velen niet om deze plannen te vertalen naar effectieve uitvoering.

Met GRiP – Gezond Resultaat in Projecten – introduceert HillFive een integrale benadering waarmee projectorganisaties hun risicobeheersing, besluitvorming en data-inzicht versterken om tot voorspelbaardere en gezondere projectresultaten te komen.