business

Hoe blijft je organisatie overeind na een cyberaanval? Dat is de vraag waar de projecten uit de Computable Awards-categorie Cyber Resilience om draaien, legt Jurylid Fred Streefland uit in deze video. Cyber Resilience gaat verder dan cybersecurity – een organisatie moet veerkrachtig zijn om de zaak draaiende te houden. Daarbij gaat het om het in kaart brengen van de stakeholders, bepalen van de strategie, beschermen van de bedrijfsactiviteiten en het monitoren van kwetsbaarheden.    Uit de zestig voordrachten in deze categorie heeft de jury deze tien nominaties geselecteerd: 6de Overheidsbrede Cyberoefening (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Ictu, KPMG en Spitz) CCV-keurmerk Cybersecurity Awareness Training (Centrum voor Criminaliteitspreventie en Veiligheid) Cisco AI Defense Commvault Cloud Rewind Cybersecurityvisie en -strategie (NS) Dynatrace AI-Powered Log Management and Analytics European Cloud Campus (Leaseweb) HarfangLab EDR Proofpoint Data Security Platform Universal DDI Product Suite (Infoblox) Meer informatie over de cases is te vinden op deze pagina: Deze 10 initiatieven zijn het weerbaarst! Stemmen Het stemproces voor de Computable Awards 2025 is geopend en loopt tot 5 oktober. Publieksstemming bepaalt voor vijftig procent de winnaar. Breng hier uw stem uit. Ook buigen de betrokken juryleden zich over de genomineerden per categorie, een gemiddeld oordeel dat ook voor de helft meeweegt. Op 18 november worden per categorie de winnaars aangewezen. Dit gaan we doen in De Polar bij Jaarbeurs in Utrecht. Het thema van de avond wordt ‘Rebooting Reality’ waarmee we bij de Computable Awards 2025 speciale aandacht hebben voor de noodzaak om onze digitale wereld opnieuw te doordenken in een tijd waarin geopolitieke spanningen, ai, energiecrises en informatieoorlogen alles op scherp zetten. In een wereld waarin de werkelijkheid steeds minder vanzelfsprekend is, moeten we opnieuw kiezen wat we écht belangrijk vinden. ‘Rebooting Reality’ is een uitnodiging om de digitale samenleving van de toekomst opnieuw op te starten – bewuster, veiliger, menselijker. Partner Computable Awards 2025?Wilt u partner worden van de Computable Awards 2025, hét jaarlijkse festijn in de Nederlandse ict-markt? Verbind dan uw naam aan dit evenement en woon op 18 november de spectaculaire uitreiking bij!

Wat betekent leiderschap eigenlijk? 'De leiders die ik me herinner zijn in mijn ogen niet in de eerste plaats leiders, maar mensen.'

Het Chinese bedrijf Hello, actief in deelfietsen en deelauto’s en gesteund door fintech-gigant Ant Group, heeft zijn eerste volledig autonome taxi onthuld. Met deze stap wil Hello zich meten met sterke lokale spelers zoals Baidu, WeRide en Pony.ai. De robotaxi, de Hello Robot1, is gebaseerd op de Venucia VX6 SUV, een model dat voortkomt uit een joint venture tussen Dongfeng Motor en Nissan. Volgens medeoprichter Yu Qiankun is de auto uitgerust met 14 high-resolutie camera’s, acht lidar-sensoren en 18 extra sensoren om de omgeving te verkennen. Deze stap volgt op de aankondiging in juni dat het bedrijf zich intensiever zou gaan richten op autonome taxi’s. Inmiddels heeft de robotaxi-afdeling van Hello meer dan 3 miljard yuan (ongeveer 421 miljoen dollar) aan initiële investeringen ontvangen van Hello zelf, Ant Group en batterijfabrikant CATL.

Anthropic, de maker van AI-chatbot Claude, heeft onderzocht waar bedrijven de technologie voor inzetten.

Een nieuwe technologie tegen kledingdiefstal in zijn winkels blijkt een soort smeerolie in digitale en omnichannel verkopen en retouren. Bij de presentatie van de halfjaarcijfers vorige week vertelde de directie van het Spaanse modeconcern dat het zijn zogeheten soft-tag technologie over alle detailformules gaat uitrollen. Sinds 2023 wordt ermee getest bij Zara, wat leidde tot een volledige uitrol. Nu volgen Bershka en Pull&Bear. Wat begon als antidiefstaltechnologie is verworden tot een facilitator van crosschannel commerce. Inditex nam een systeem in gebruik dat de grote hardplastic labels aan kleding overbodig maakte. Die werden vervangen door amper zichtbare labels. Tijdens de proeven ermee werd duidelijk dat het ook goed kon worden gebruikt om unieke kledingstukken te identificeren. In de toelichting op de financiële cijfers zegt de modegroep: “Dit programma breidt het bestaande technologische ecosysteem in de winkel uit met Click & Collect-silo’s (foto), sorteermachines, kassahulp en afleverpunten. Het zorgt voor een aanzienlijke verbetering van de klantervaring, vergemakkelijkt de interactie met onze producten en verbetert het aankoopproces.” “Het vormt de basis voor onze verdere digitalisering van winkels en de integratie ervan met online platforms in de komende jaren. Het nieuwe systeem is nu volledig operationeel bij Zara en wordt uitgerold bij Bershka en Pull & Bear.” Of en in hoeverre de omzet verhoogt, is niet bekend. Wel is duidelijk dat klanten makkelijk retouren aanbieden in fysieke winkels. BNR bericht, dat twee van de drie retouren in een winkel worden afgehandeld. Inditex maakt geen onderscheid tussen fysieke en digitale verkopen, omdat de kanalen te nauw met elkaar zijn verbonden om ze als silo’s te behandelen. Stelt CFO Andrés Sánchez in reactie op een vraag van een financieel analist. Voor de rest van het jaar verwacht het aanhoudend sterke groei in online verkopen.

PwC heeft succesvol de implementatie van SAP Cloud ERP afgerond voor meer dan 100.000 medewerkers in 19 landen. Het project wordt omschreven als een van de grootste ERP-transformaties wereldwijd en vervangt verouderde legacysoftware door een geïntegreerd platform. PwC blijft gebruikmaken van SAP’s Joule-copilot en Business AI-mogelijkheden. Deze tools moeten nieuwe kansen voor efficiëntie en bedrijfsinformatie […]

Cloud Hypervisor, een open source-hypervisorproject voor cloudomgevingen, trekt een duidelijke lijn: AI-gegenereerde code is niet welkom. Met de release van versie 48 geldt een nieuw beleid dat bijdragen geschreven met behulp van grote taalmodellen weigert. De oorsprong van Cloud Hypervisor ligt in 2018, toen Google, Intel, Amazon en Red Hat gezamenlijk begonnen aan het rust-vmm-project om […]

Nog geen week nadat bekend werd dat de Franse investeerder Cédric Meston Tupperware France heeft gekocht en het merk in Europa nieuw leven wil inblazen, koerst de Nederlandse dochter af op een faillissement. Dit onderdeel verkeert in surseance. Nadat het moederbedrijf vorig jaar failliet ging in de Verenigde Staten, heeft een Franse investeerder het initiatief genomen om het merk opnieuw te lanceren in vijf landen: Frankrijk, Duitsland, België, Italië en Polen. Nederland hoort daar vooralsnog niet bij. De voorlopige surseance van Tupperware Nederland op 12 september verstrekt door de rechtbank Amsterdam. Het Tupperware-verhaal begint in de jaren veertig. In die tijd richtte Earl S. Tupper, een chemicus en een van de eerste gebruikers van polyethyleen in de huishoudelijke sector, de Tupper Plastic Company op en bracht in 1946 als een van de eerste producten zijn wonderschaal op de markt. Aanvankelijk werden de Tupperware-producten verkocht in warenhuizen, bouwmarkten en andere winkels. In 1948 begon men Tupperware-producten te presenteren in privéwoningen, de Tupperware Party. Wat de surseance betekent voor Nederland is onduidelijk. De Nederlandse website meldde een dezer dagen nog dat men ondanks de veranderingen op Europees niveau producten uit de bestaande voorraad wil blijven aanbieden. ‘Alle artikelen in onze winkel zijn direct leverbaar en kunnen zonder aarzelen worden besteld – zolang de voorraad strekt.’  De website van Tupperware Nederland wordt beheerd door Tel Sell.

VMware staat de komende jaren voor een grote uitdaging. Gartner voorspelt dat tegen 2028 meer dan een derde van het huidige aantal workloads op VMware elders zal draaien.  Onderzoeksdirecteur Julia Palmer gaf tijdens Gartner’s IT Symposium in Australië aan dat met name klanten die VMware via hyperscalers gebruiken, de overstap zullen maken naar alternatieven. Sinds […]

Google presenteert VaultGemma, een AI-model dat gevoelige data beschermt zonder in te leveren op prestaties. Het 1 miljard-parameter model gebruikt differential privacy en komt beschikbaar als open source. Google Research en Google DeepMind zitten achter VaultGemma, een taalmodel dat de privacy-problemen van traditionele AI oplost. Het model bouwt voort op Google’s Gemma-architectuur en toont aan […]

Nu sociale mediaplatformen steeds vaker gebruikmaken van advertenties die zijn ingebed in de tijdlijn, blijft de vraag hoe gebruikers deze gesponsorde berichten daadwerkelijk waarnemen. Nieuw onderzoek van de UT en Ruhr West University of Applied Sciences toont aan dat gesponsorde posts aanzienlijk minder aandacht krijgen dan niet-gesponsorde content, ondanks hun ‘natuurlijke’ vormgeving. Voor de studie namen 152 deelnemers deel aan een experiment met drie verschillende Instagram-feeds, waarin zowel gesponsorde als organische posts waren opgenomen. Met behulp van eye-tracking werd gekeken naar kijktijd en oogfixaties. Daarnaast gaven deelnemers in interviews toelichting op hun keuzes en interpretaties via de cued-retrospective think-aloud (CRTA)-methode. Uit de metingen bleek dat gesponsorde berichten gemiddeld minder lang en minder intensief werden bekeken dan organische posts. Zodra deelnemers al vroeg oog kregen voor de advertentievermelding of een call-to-action-knop, daalde hun betrokkenheid onmiddellijk. Deze elementen fungeerden als ‘waarschuwingssignalen’ die automatische advertentie-vermijding in gang zetten. In de interviews gaven sommige deelnemers aan zich misleid te voelen door de subtiele vormgeving van gesponsorde berichten, terwijl anderen de aanduiding pas veel later opmerkten. De resultaten wijzen op een nieuwe vorm van ‘native ad blindness’, waarbij gebruikers in hoog tempo posts scannen en minimale reclamesignalen voldoende zijn om ontwijkend gedrag te activeren. Daarmee scherpt dit onderzoek bestaande theorieën over banner blindness en reclameherkenning aan, en biedt het waardevolle inzichten voor adverteerders die balanceren tussen transparantie en gebruikersbetrokkenheid.

Roel Engels en Tijmen van Diepen begonnen allebei met een technische studie in Enschede en werken nu als consultants bij nlmtd. Beiden zijn vader, actief in de energietransitie en zoeken betekenisvol werk.

In april werd het nieuwe distributiecentrum van Stedin in Vianen opgeleverd. Een belangrijke mijlpaal, want het pand verdubbelt in één klap Stedins opslagruimte. En die kan de netbeheerder heel goed gebruiken in de strijd tegen netcongestie.

De Nederlandse (semi-)overheid heeft veel data gegeven aan een kleine bv die in handen is van een grote buitenlandse multinational. Veel van die data werden gestolen. Nu komt de nasleep. Want hoe zit het met de bestuurlijke verantwoordelijkheid en de schadeclaims van meer dan honderd miljoen euro? Deel 7 over databeveiliging in de zorg. Een kleine bv, Clinical Diagnostics Nederland, werd slachtoffer van een ransomware-aanval. De persoons- en onderzoeksgegevens van zo’n miljoen Nederlanders werden gestolen. Het losgeld is betaald, maar de messen worden al geslepen voor de volgende ronde: de schadeclaims, die kunnen oplopen tot 125 miljoen euro. Het bv-tje is namelijk één van de 950 laboratoria wereldwijd van het beursgenoteerde Eurofins. En het kreeg al die data van Nederlandse (semi-)overheidsorganisaties. Wie is er dan eigenlijk aansprakelijk (te stellen) en wie draait er voor die schadeclaims op? Computable vroeg het aan Stephan Mulders, advocaat bij Blenheim en gespecialiseerd in het Privacyrecht. Alle focus is nu op dat lab, een kleine Nederlandse bv, maar het is een dochteronderneming van de grote multinational Eurofins. Wie is dan de eindverantwoordelijke voor een schadeclaim? ‘Normaal gesproken is alleen de onderliggende bv aansprakelijk. Er zijn echter uitzonderingen denkbaar. Het ligt eraan wie verwerkingsverantwoordelijke of verwerker is. De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de verwerking bepaalt. Dat zou normaal gesproken het lab zelf zijn, omdat die bepaalt hoe de gegevens worden verwerkt. Soms worden die beslissingen hoger in de organisatie genomen, bijvoorbeeld door het hoofdkwartier. De NIS2 verordening kent aanvullende bestuurdersaansprakelijkheid indien onvoldoende beveiligingsmaatregelen genomen zijn. Het is echter onbekend hoe de NIS2 zich verhoudt tot het AVG-schadebegrip. Het bestuur kan ook volgens het normale recht aansprakelijk zijn als sprake is van wanbeleid. Dat is echter wel een hoge norm.’ Het lab gaf zelf aan niet gecertificeerd te zijn voor NEN7510 en NEN7512, de wettelijke normen voor informatiebeveiliging in de zorg. In hoeverre maakt dat het Bevolkingsonderzoek mede-aansprakelijk? ‘Zorgaanbieders zijn inderdaad wettelijk verplicht om zich aan deze NEN-normen te houden. Ze hoeven niet per se gecertificeerd te zijn, maar moeten zich wel aan de normen houden. De overtreding van deze Nederlandse wet is niet per se een overtreding van de AVG. De AVG vereist namelijk enkel dat er passende beveiligingsmaatregelen genomen worden. Het ligt voor de hand daarbij aan te sluiten bij de algemeen aanvaarde NEN-normen, maar dat hoeft niet. Soms heb je extra beveiligingsmaatregelen nodig, soms kom je met minder weg. Of het Bevolkingsonderzoek mede-aansprakelijk is voor de gebrekkige beveiligingsmaatregelen hangt af van twee factoren. In de eerste plaats in hoeverre het Bevolkingsonderzoek (gezamenlijk) verwerkingsverantwoordelijk is voor de verwerking van persoonsgegevens door het lab. Zoals al aangegeven is het lab normaal gesproken alleen verwerkingsverantwoordelijke, maar het kan in specifieke gevallen anders zijn. Als het Bevolkingsonderzoek (gezamenlijk) verwerkingsverantwoordelijke is, dan is zij hoofdelijk aansprakelijk. En in de tweede plaats, als je gegevens overdraagt moet je ook enigszins rekening houden met de gevolgen van die overdracht. Als je dus weet dat iemand de gegevens niet goed beveiligt, en je draagt de gegevens toch over, dan kun je daarvoor aansprakelijk zijn. Een dergelijke claim is wél veel lastiger dan directe aansprakelijkheid.’ Hoe en voor hoeveel zijn de bestuurders van het lab, moeder Eurofins, en het Bevolkingsonderzoek aansprakelijk?  ‘Normaal gesproken is alleen het lab aansprakelijk. Er zijn wel uitzonderingen waarin andere partijen aansprakelijk kunnen worden gesteld. Zo’n claim is echter veel lastiger dan een normale claim. Rechtspersonen en beperkte aansprakelijkheid bestaan namelijk niet voor niets, en dat wordt niet makkelijk doorbroken. Het moederbedrijf kan aansprakelijk worden gesteld indien het (gezamenlijk) verwerkingsverantwoordelijke is. De bestuurders en feitelijk leidinggevenden kunnen aansprakelijk zijn op grond van bestuurdersaansprakelijkheid of de NIS2. Dan moet je dus aantonen dat er onvoldoende beveiligingsmaatregelen zijn genomen, of dat er wanbeleid is gevoerd. Meestal zijn die bestuurders verzekerd voor dergelijke claims, tot op zekere hoogte.’ Het lab had in principe alleen de bsn’s nodig om testresultaten te koppelen aan personen. Toch kreeg het van bijvoorbeeld het Bevolkingsonderzoek alle gegevens daarachter. Hoe zit het als men (ongevraagd?) veel meer vertrouwelijke gegevens doorgeeft dan noodzakelijk? ‘Het Bevolkingsonderzoek is in principe verwerkingsverantwoordelijke voor de overdracht van de gegevens. Als diej dus meer gegevens overdraagt dan nodig, dan kan dat een onrechtmatige verwerking van persoonsgegevens vormen. Om schadevergoeding te kunnen vorderen moet er echter een causaal verband bestaan tussen de overmatige overdracht (onrechtmatige verwerking) en de ontstane schade (het datalek). Een dergelijk causaal verband wordt lastiger aan te tonen als de verwerking en de schade verder uit elkaar liggen, omdat de schade ook redelijkerwijs toe te rekenen moet zijn aan de onrechtmatige verwerking. In dit geval zou je als advocaat van de duivel kunnen betogen dat het op voorhand niet voorzienbaar was dat de overmatige overdracht zou leiden tot een datalek. Daar kun je weer tegen in brengen dat het Bevolkingsonderzoek had kunnen weten dat het lab niet NEN-gecertificeerd is. Overigens kan het zijn dat er een goede reden was om meer gegevens dan het bsn over te dragen. Het criterium voor ‘noodzakelijk’ is namelijk dat het beoogde resultaat niet redelijkerwijs met minder bezwarende middelen kan worden bereikt. Als het Bevolkingsonderzoek dus een goede reden had om deze gegevens mee te sturen, bijvoorbeeld omdat het lab de uitslagen direct aan de betrokkene stuurt, dan mochten die gegevens gewoon verzonden worden.’ Het lijkt erop dat het lab de gegevens niet eens versleuteld had, wat weer doet vermoeden dat de brongegevens die het ontving van bijvoorbeeld het Bevolkingsonderzoek dat ook niet waren. Hoe kan zoiets aangetoond worden? ‘In principe moet de verwerkingsverantwoordelijke (het lab en/of het Bevolkingsonderzoek) aantonen dat er voldoende beveiligingsmaatregelen zijn genomen. Een eiser heeft daarnaast diverse mogelijkheden om bewijs te vergaren. Zo gaan diverse inspecties (AP, IGJ) de kwestie onderzoeken, die rapporten kunnen via een WOO-verzoek openbaar worden gemaakt. Verder kan de rechter op verzoek een deskundige aanwijzen die dit onderzoekt. En getuigen kunnen worden gehoord. In principe moet iedereen die wordt opgeroepen, getuigen. Dus ook de ciso van het lab kan als getuige worden opgeroepen. Die kan vast antwoord geven op die vragen.’  De andere delen van deze miniserie zijn hier te vinden. Is de labhackschade te verhalen?Het mogelijk grootste datalek ooit in Nederland maakt veel los. Persoons- en medische gegevens van zo’n miljoen Nederlanders werden gestolen. De reacties op sociale media waren fel, mede door de zakelijke toon van de brief waarmee slachtoffers werden geïnformeerd. Als de schuldvraag is beantwoord zal de schadevraag volgen. Hoewel de impact groot lijkt, is het juridisch vaak lastig om schade na een inbreuk op de Algemene verordening gegevensbescherming (AVG) te bewijzen. Het traditionele schadebegrip sluit slecht aan bij de digitale realiteit.De inbreuk Een datalek is op zichzelf geen overtreding van de AVG. Artikel 32 AVG verplicht verwerkingsverantwoordelijken tot het nemen van ‘passende maatregelen’ om persoonsgegevens te beveiligen, niet tot het volledig uitsluiten van incidenten. Wat passend is, wordt bepaald via een risicoanalyse, waarbij kosten en uitvoerbaarheid worden meegewogen.Omdat het laboratorium zeer gevoelige gegevens verwerkte, mocht een hoog beveiligingsniveau worden verwacht. Toch kan zelfs dan een datalek optreden. Volgens het arrest C‑340/21 moet de verwerkingsverantwoordelijke aantonen dat destijds een zorgvuldige risicoafweging is gemaakt en passende maatregelen zijn genomen. Het datalek kan een aanwijzing zijn van onvoldoende beveiliging, maar is geen sluitend bewijs. Voor dit betoog wordt aangenomen dat de beveiliging tekortschiet en er dus sprake is van een inbreuk op de AVG. Schade naar Nederlands rechtOp grond van C‑300/21 moet schade worden aangetoond. In dit geval zijn zeer gevoelige persoonsgegevens buitgemaakt, waaronder bsn’s en medische uitslagen, naast contactgegevens. Er is circa 300 GB aan data gestolen, een klein deel (100 MB) is op het darkweb verschenen. Wat er met de rest is gebeurd, is onbekend.Onder Nederlands aansprakelijkheidsrecht moet schade in causaal verband staan met de overtreding. Dat verband is moeilijk te bewijzen, omdat persoonsgegevens jarenlang bruikbaar blijven en vaak niet is vast te stellen welke gegevens zijn misbruikt. Identiteitsfraude kan jaren later plaatsvinden. Persoonlijkheidsschade wordt door de Hoge Raad alleen erkend in uitzonderlijk ernstige gevallen (onder andere de Groninger Nieuwjaarsrellen en Baby Kelly).Europees recht: ruimer schadebegripHet Hof van Justitie heeft bepaald dat ‘schade’ autonoom moet worden uitgelegd (C‑300/21), los van nationaal recht. Daarbij kunnen ook minder tastbare vormen van schade worden vergoed, zoals: – Privacyschade: gevoelige informatie is bij onbevoegden terechtgekomen, wat de persoonlijke levenssfeer raakt (C‑746/18). – Angstschade: gegronde vrees voor toekomstig misbruik (C‑340/21, C‑687/21). – Verlies van controle: het onvermogen om te bepalen wat er met de eigen gegevens gebeurt (C‑456/22, T‑354/22).In overweging 75 AVG worden expliciet vormen van schade genoemd, zoals verlies van gegevens onder beroepsgeheim, identiteitsdiefstal (C‑182/22) en verlies van controle (C‑456/22).Traditionele regels versus digitale realiteit‘Het klassieke aansprakelijkheidsrecht schiet tekort bij datalekken. Digitale gegevens zijn eenvoudig te kopiëren, onbeperkt houdbaar en vaak onzichtbaar in gebruik. Daardoor zijn risico’s en nadelen moeilijk te vangen in het traditionele schadebegrip,’ legt Stephan Mulders, advocaat bij Blenheim, uit.‘Een breder Europees schadebegrip kan dit gat dichten. Het voorkomt dat negatieve gevolgen volledig bij de betrokkene terechtkomen, terwijl organisaties de baten van gegevensverwerking incasseren. Door potentiële schadevergoedingen mee te nemen in hun afwegingen, zullen verwerkingsverantwoordelijken kritischer kijken naar het verzamelen van gevoelige gegevens en eerder investeren in beveiliging.’‘Zo kan een ruimer schadebegrip niet alleen zorgen voor betere compensatie, maar ook als preventieve prikkel dienen om datalekken te voorkomen.’