business

Micron Technology en Anthropic hebben een strategische samenwerking aangekondigd rond AI-infrastructuur. De chipfabrikant gaat geheugen- en opslagtechnologie leveren voor de systemen waarop Anthropic zijn AI-modellen ontwikkelt en uitrolt. Daarnaast neemt Micron deel aan de meest recente investeringsronde van het AI-bedrijf. De overeenkomst onderstreept volgens Reuters hoe belangrijk gespecialiseerde hardware is geworden voor de ontwikkeling van […]

Cloudflare heeft Mozilla, Google en Microsoft achter een nieuw protocol gekregen dat moet aantonen dat webverkeer te vertrouwen is, zónder de gebruiker te identificeren of te volgen. De technische partijen gaan samen het zogeheten Private Access Control Tokens-systeem ontwikkelen. Kortweg: PACT. Het doel daarvan is tweeledig. Enerzijds het irritante klikwerk van captcha’s wegnemen uit de werel van de internetgebruiker. En aan de andere kant de verborgen praktijken van fingerprinting overbodig maken. Het achterliggend idee is simpel. Een site die een gebruiker goed kent, kan een anoniem token uitgeven. Een soort muntje dat bevestigt een soort vriend van een vriend te zijn. De webbrowser toont dat token aan andere sites om te bewijzen dat er een mens aan de knoppen zit. Die sites kunnen er niemand mee volgen of herleiden naar surfgedrag. Maar de wetenschap dat het geen script of bot is, is voldoende om geen technische drempels op te werpen. Het feit dat naast Google Chrome ook Shopify ook meedoet, vergroot de poel met ‘bekende gebruikers’ aanzienlijk. De techniek bouwt voort op Privacy Pass, dat Cloudflare al sinds 2017 gebruikt en dat als RFC is vastgelegd. Apple draait er met zijn Private Access Tokens al jaren op, maar de browsers bleven achter. Recente cijfers van Cloudflare laten zien, dat websites tegenwoordig meer bezoekersverkeer krijgen van AI-bots dan van mensen. Foto: Adil Edin / Unsplash

De Cyberbeveiligingswet (Cbw) herschrijft de spelregels van IT-sourcing, en de meeste contracten zijn er nog niet klaar voor. Dit creëert een structurele spanning in de kern van IT-outsourcing, schrijven experts van Metri Consulting.

Cloudflare, Mozilla Firefox, Google Chrome, Microsoft Edge en Shopify kondigen samen PACT aan, voluit Private Access Control Tokens. Het is een privacyvriendelijk protocol dat websites helpt onderscheid te maken tussen mensen, legitieme bots en kwaadaardig geautomatiseerd verkeer, zonder invasieve tracking of hinderlijke captcha’s. Jarenlang hebben website-eigenaren geworsteld met een lappendeken van verdedigingsmechanismen (captcha’s, gedwongen logins, […]

Veel organisaties beschikken nog altijd over aanzienlijke blinde vlekken in hun it-omgeving. ‘We zijn als sector steeds beter geworden in het identificeren van kritieke kwetsbaarheden, maar het daadwerkelijk aanpakken ervan blijft een grotere uitdaging.’Dat stelt Dan Schiappa, chief product and services officer bij Arctic Wolf, dat recent het rapport the State of the Cybersecurity Attack Surface uitbracht, gebaseerd op geaggregeerde en geanonimiseerde gegevens van meer dan 800.000 it-assets wereldwijd.Volgens de onderzoekers kampen bedrijven niet alleen met kwetsbaarheden, maar ook met een gebrek aan zicht op systemen, configuraties en beveiligingsmaatregelen. Dit zijn de grootste blinde vlekken.1. Assets buiten patch- en configuratiebeheerVolgens het onderzoek valt 18 procent van de it-assets buiten het patch- en configuratiebeheer. Daardoor bestaat het risico dat bekende kwetsbaarheden niet of te laat worden verholpen.Opvallend is dat voor de tien meest misbruikte kwetsbaarheden in incident response-onderzoeken al een beveiligingspatch beschikbaar was. Het probleem ligt, zo moet blijken uit het onderzoek, vaak niet bij het ontbreken van updates, maar bij het uitrollen ervan.2. Ontbrekende endpointbeveiligingTien procent van de onderzochte it-assets beschikt niet over endpoint security. Dergelijke systemen vormen een aantrekkelijk doelwit voor aanvallers omdat verdachte activiteiten minder snel worden gedetecteerd.Eén onbeveiligd of onbewaakt systeem kan namelijk voldoende zijn om toegang tot een netwerk te verkrijgen. Een voorbeeld is de onbewaakte printer die in het tv-programma Hacked werd misbruikt door hackers. Zij kregen via een slecht beveiligde printer toegang tot het netwerk en wisten van daaruit controle over cruciale systemen te krijgen.3. Verouderde technologieBijna één op de vijf it-assets (19 procent) heeft volgens het onderzoek de end-of-life-status bereikt. Het gaat om hardware of software waarvoor leveranciers geen beveiligingsupdates meer uitbrengen.Hierdoor blijven bekende kwetsbaarheden vaak permanent aanwezig. Vooral in complexe it-omgevingen blijken verouderde systemen lastig te vervangen of uit te faseren.4. Misconfiguraties en vertrouwensrelatiesAanvallers richten zich steeds vaker op verkeerd geconfigureerde systemen en bestaande vertrouwensrelaties binnen it-omgevingen.Het aandeel incidenten waarbij dergelijke technieken werden misbruikt, steeg volgens het onderzoek van minder dan één procent naar acht procent van alle niet-BEC-incidenten (Business Email Compromise). Dit soort risico’s blijft vaak onopgemerkt omdat traditionele vulnerability scanners er beperkt zicht op hebben.5. Onzichtbare systemenNaast de genoemde aandachtspunten blijkt ook dat meer dan 17 procent van de it-assets buiten het bereik van traditionele vulnerability management-oplossingen blijft en daardoor niet wordt gecontroleerd op bekende kwetsbaarheden. Organisaties kunnen risico’s alleen aanpakken als ze weten dat systemen bestaanDe rode draad door het onderzoek is het gebrek aan zichtbaarheid binnen de it-omgeving. Volgens Dan Schiappa van Arctic Wolf zullen organisaties die hun kans op een datalek echt willen verkleinen, moeten investeren in continue zichtbaarheid van hun aanvalsoppervlak. ‘Niet alleen in het reageren op de nieuwste kwetsbaarheden.’

Een van Europa’s grootste retailers, OTTO Group, sluit een strategische samenwerking met Google om diens AI-diensten groepsbreed af te nemen. In een tijdsgewricht waarin soevereiniteit een hot topic is, gaat OTTO Group volledig voor een AI-cloud van Google. De bedrijven kondigden vorige week een samenwerkingsverband aan voor de merken Crate & Barrel, Bonprix en OTTO. De Duitsers zien AI niet als een van de vele digitale grillen, maar schatten het in als drijver van vernieuwing in de retailsector. “Met een bewezen staat van dienst in het succesvol managen van elke grote verandering in de retailsector gedurende decennia, slaat de Otto Group nu de weg in naar AI-commerce. Het bedrijf beschouwt AI-commerce als een bepalende verandering die een AI-gerichte denkwijze vereist en technologie een integraal onderdeel maakt van het denken, de besluitvorming en de werkwijze van de organisatie.” Concreet betekent dit, dat de retailgroep zijn medewerkers gaat trainen op een AI-first denk- en werkwijze. “Technologie is een integraal onderdeel van het denken, de besluitvorming en de werkwijze van de organisatie.” De Google-investering is onderdeel van een breder pakket waarbij het bedrijf 350 miljoen euro investeert in vernieuwende IT. De eerste zichtbare AI-initiatieven uit het Google-kamp zijn: een digitale shopping agent bij Crate & Barrel die de ’kenmerkende gastvrijheid en hoogwaardige selectie van het merk’ overbrengt en, als tweede, productontwikkeling bij Bonprix. Daar loopt momenteel een pilot die de eerste fases dekt: trendontdekking, passendheid bij het eigen assortiment en productdesign. En bij het merk OTTO zelf krijgt diens app en tekst- en spraakinteractie in combinatie met kennis over de volledige productcatalogus.

Kleinere Nederlandse bedrijven zijn vaker dan grote concerns al deels overgestapt op Europese cloud- en software-oplossingen. Waar 17 procent van het MKB de stap richting Europese aanbieders al heeft gezet, blijft het grootbedrijf op 12 procent steken. Dat blijkt uit het Cybertrends-rapport 2026 van ABN AMRO dat vanochtend verschijnt. Dat is opvallend, omdat grote bedrijven op andere punten betere scoren. Ze hebben vaker responsplannen klaarliggen voor een cyberaanval (49 tegenover 26%), oefenen vaker en investeren een hoger deel van de omzet in beveiliging. Het MKB is meer praktisch dan strategisch ingesteld en kijkt vooral naar de prijs, wat cyberveiligheid als IT-investering kost. Volgens de schrijvers van het rapport is de verklaring voor de sterkere EU-focus van kleine bedrijven eenvoudig: ze schakelen sneller. Maar ook: een groter concern heeft vaak een complex contract met Microsoft-achtige groep. Overstappen is een een langdurig proces van processen ontvlechten. Bijna de helft van de Nederlandse bedrijven is deels of zelfs heel sterk afhankelijk van Amerikaanse cloud- en AI-aanbieders. Het gaat om 35 procent van de zzp’ers, 46 procent van het MKB en 60 procent van het grootbedrijf. De cloudmarkt is voor zo’n 70 procent in handen van Amerikaanse techreuzen. Wel stelt het rapport dat inmiddels tweederde van de organisaties actie onderneemt om die afhankelijkheid te verkleinen door alternatieven te onderzoeken. Begin april overhandigde de Open Cloud Alliantie, een initiatief van Centric, Info Support, Intermax, KPN, Nebul, Previder en Uniserver, een manifest waarin ze het kabinet en de Tweede Kamer oproepen een voorkeur uit te spreken voor Nederlandse en Europese cloudoplossingen bij overheidsopdrachten. Naast soevereiniteit geeft het onderzoek ook ruim aandacht voor digitale veiligheid in bredere zin. Het aandeel bedrijven uit midden- en kleinbedrijf dat door cyberboeven werd benaderd, daalde van 72 naar 60 procent. Onder zzp’ers ging dat van 57 naar 48 procent en het deel van de bedrijven dat daadwerkelijk schade leed zakte van 20 naar 15 procent. ABN AMRO ziet daarin echter geen reden tot gerustheid. De daling komt vooral voort uit verbeterde basishygiëne: e-mailbeveiliging die phishing tegenhoudt en endpoint-monitoring die verdachte activiteit in de kiem smoort en sneller optreden bij dreiging. Daar staat tegenover dat aanvallen sneller en geloofwaardiger worden en makkelijker op te schalen.

Hoe je AI veel slimmer wordt van jouw eigen data, zonder die af te staan aan een techreus.

Organisaties lopen zelden vast door een gebrek aan strategie, maar meestal door een gebrek aan samenhang in de uitvoering en besturing. Paul Joore, bedenker van het ICR Organizational Operating System, legt uit hoe een geïntegreerd operating system zorgt voor voorspelbare executie en schaalbare organisatiekracht.

Een coalitie van uitgevers en CB lanceert een nieuw platform om het gebruik van boeken door AI-partijen in goede banen te leiden: Bookpact.ai. Daarop kunnen uitgevers via opt-in per titel bepalen óf en hoe een boek gebruikt mag worden door AI-bedrijven, een vergoeding voor dat gebruik afspreken en inzicht houden in het gebruik. Boeken worden momenteel wereldwijd massaal gebruikt voor AI-trainingen en andere toepassingen, vaak zonder toestemming en zonder vergoeding aan auteurs of uitgevers. ‘Het hebben van een eigen AI-infrastructuur voor boeken levert auteurs en uitgevers controle en een sterkere onderhandelpositie op om afspraken te kunnen maken met AI-partijen. Maar het allerbelangrijkste aan Bookpact.ai is dat auteurs en uitgevers zeggenschap houden over hun eigen boeken. Deelname is vrijwillig, en kan per titel en per gebruikstype verschillen. Training is iets anders dan samenvatting, vertaling is iets anders dan citeren. Wie niet wil, kan ‘nee’ zeggen. Wie wel wil, bepaalt zelf de voorwaarden,’ aldus Sander Ruys, oprichter Maven Publishing & initiatiefnemer Bookpact.ai. De Europese regelgeving rond AI en auteursrecht is volop in beweging. De EU AI Act is van kracht, en de verplichtingen rond transparantie en copyright compliance voor AI-bedrijven worden concreter. Bookpact.ai biedt naar eigen zeggen een oplossing voor AI-bedrijven om op een gestructureerde en schaalbare manier afspraken te maken, met gedocumenteerde toestemming, heldere licentievoorwaarden en aantoonbare vergoeding aan rechthebbenden. Voor uitgevers en auteurs betekent dit dat er nu een infrastructuur bestaat die hen in staat stelt actief te beslissen over óf en hoe hun werk wordt gebruikt. Het Nederlandse boekenvak neemt hiermee een voortrekkersrol in Europa. Uitgevers die zich aansluiten gaan de komende tijd in gesprek met hun auteurs over deelname. Bookpact.ai is toegankelijk voor alle geïnteresseerde uitgeverijen en wordt ondersteund door Lannoo Groep, VBK, WPG en Maven Publishing en door CB. De zes uitgangspunten van Bookpact.ai: De AI-economie verandert bijna wekelijks en ook de wetgeving is nog volop in ontwikkeling. Daarom werken we vanuit zes uitgangspunten: 1. Toestemming vooraf: Auteurs en uitgevers hebben het recht om vooraf te bepalen óf en hoe hun werk gebruikt mag worden door AI partijen. Toestemming wordt gegeven per titel, per AI-klant, per gebruik en met een specifieke looptijd. 2. Eerlijke vergoeding: Auteurs en uitgevers hebben recht op een eerlijke vergoeding voor het gebruik van hun werk. De mogelijkheid om ‘nee’ te kunnen zeggen tegen specifieke afspraken, nu en in de toekomst, is hier een voorwaarde voor. 3. Inhoudelijke integriteit en bronvermelding: AI-toepassingen geven meestal een inhoudelijke interpretatie van het werk in plaats van een exacte weergave. Of het nu een samenvatting, visualisatie, interactieve toepassing of anderszins is: auteurs hebben er recht op dat het inhoudelijk klopt en met correcte bronvermelding. 4. Traceerbaarheid: Auteurs en uitgevers hebben recht op traceerbaarheid, meetbaarheid en heldere rapportage van hoe hun werk gebruikt wordt binnen elke AI-toepassing, inclusief trainingsdata. 5. Europese focus: Bookpact.ai is ontworpen zodat het niet afhankelijk is van één technologisch platform en kiest waar mogelijk altijd voor open source en Europese alternatieven. 6. Duurzaamheid: AI is energie-intensief. Bookpact.ai geeft voorrang aan AI-partijen die hun energie- en klimaatimpact transparant rapporteren en aantoonbaar beperken.

De marktgroep Financial Services van KPMG ondersteunt financiële dienstverleners bij hun meest strategische vraagstukken. De ongeveer 500 professionals hebben uiteenlopende expertises, maar werken samen als één team.

Hoe vertaal je ingrijpende wetgeving naar een uitvoerbare verandering binnen een organisatie die dagelijks volop in bedrijf is? Willeke van de Vorst van Conclusion Consulting ondersteunt de Belastingdienst bij deze opgave.

Sourcing Champions is een strategische samenwerking aangegaan met REVIVER, een specialist op het gebied van duurzame inkoop. Samen willen de twee partijen inkoopteams helpen hun kennis en vaardigheden op het gebied van duurzaam en verantwoord inkopen verder te ontwikkelen.

Vereenvoudiging van de NIS2-richtlijn kan leiden tot méér complexiteit, precies het tegenovergestelde van wat de Europese Commissie beoogt. Het kabinet waarschuwt voor te zware certificeringsverplichtingen voor de it-markt. Certificering mag geen papieren tijger worden en toezicht niet vervangen. Toezichthouders moeten audits kunnen blijven uitvoeren. Dat blijkt uit antwoorden van minister David van Weel (Justitie en Veiligheid) op Kamervragen. Aanleiding zijn de EU-voorstellen voor de herziening van de Cybersecurity Act (CSA; Europese verordening voor de certificering van it-producten, -diensten en -processen binnen de Europese Unie) en de vereenvoudiging van de NIS2-richtlijn (Europese wetgeving die de digitale en fysieke weerbaarheid van organisaties in vitale sectoren moet versterken). Het kabinet plaatst stevige kanttekeningen bij de risico’s van certificering. Ook dreigen verlies van nationale beleidsruimte, te ruime EU-bevoegdheden en onduidelijke criteria voor risicoleveranciers. Brussel Nationale toezichthouders moeten ruimte houden voor risicogebaseerd toezicht. Nederland wil zich daar in Brussel hard voor maken. Certificering mag daarnaast niet leiden tot onnodige beperkingen van auditbevoegdheden. Het kabinet wil voorkomen dat certificering als extra laag bovenop bestaande nationale toezichtsystemen komt. Concreet zet het kabinet in op een duidelijke samenhang tussen certificering en toezicht, het voorkomen van dubbele verplichtingen – zoals parallelle audits en certificering – en praktische uitvoerbaarheid voor bedrijven, vooral organisaties die in meerdere lidstaten actief zijn. Als certificering wordt ingezet, moet deze aantoonbaar bijdragen aan lagere toezichtlasten en niet leiden tot een stapeling van verplichtingen. Het kabinet benadrukt dat certificering moet aansluiten bij reële dreigingen en risico’s. Het is geen vervanging voor het daadwerkelijk nemen van beveiligingsmaatregelen. Het certificeringsraamwerk moet daarom adaptief en flexibel worden ingericht. Nederland wil dit punt actief inbrengen tijdens de onderhandelingen met de EU. Het kabinet heeft ook bedenkingen bij het voorstel van de Europese Commissie om auditbevoegdheden te beperken wanneer certificering aanwezig is. Certificering kan waardevol zijn, maar dekt niet altijd alle ict-onderdelen, is vaak een momentopname en geeft niet altijd inzicht in actuele risico’s en kwetsbaarheden. Nederland wil daarnaast ruimte houden voor strengere nationale eisen. Het kabinet plaatst kanttekeningen bij maximumharmonisatie: lidstaten moeten bij nationale dreigingen aanvullende eisen kunnen blijven stellen. Bij maximumharmonisatie verliezen lidstaten de mogelijkheid om, zoals nu nog wel kan, aanvullende bepalingen vast te stellen of te handhaven die een hoger cyberbeveiligingsniveau waarborgen. Zorgen over aanwijzen risicoleveranciers In Den Haag bestaan zorgen over de voorgestelde bevoegdheid van de Europese Commissie om landen of leveranciers als ‘hoog risico’ aan te wijzen. Het kabinet vindt de criteria daarvoor onduidelijk, te breed en mogelijk geopolitiek gevoelig. Nederland wil dat lidstaten meer zeggenschap houden. Het aanwijzen van een derde land als geheel kan volgens het kabinet verstrekkende economische, juridische en geopolitieke gevolgen hebben. Het risico hangt sterk af van het specifieke ict-onderdeel, de te beschermen belangen, de geleverde kritieke dienst en de genomen technische en organisatorische maatregelen. PRO (voorheen GroenLinks-PvdA) stelt dat de Cybersecurity Act verschuift van een instrument om cyberveiligheid te vergroten naar een wet die ook wordt ingezet voor Europese economische veiligheid en diplomatieke doeleinden. Volgens de fractie is de herziening niet los te zien van de wens om met name Chinese leveranciers van de Europese markt te weren. Het kabinet erkent dat de herziening van de Cybersecurity Act niet uitsluitend een technisch cybersecurity-instrument is, maar ook een geopolitieke en economische dimensie heeft. Het vindt het legitiem dat de Europese Unie bij cyberveiligheid rekening houdt met die bredere context, maar benadrukt dat voorstellen risicogebaseerd, casusgericht, proportioneel en juridisch houdbaar moeten blijven.