computable

Een reconstructie in vijf vragen EXPERTVERSLAG – Op 14 mei 2023 kondigden het ministerie van Financiën en het onderdeel de Belastingdienst ( [1]) de aanbesteding aan voor softwarediensten voor de omzetbelasting, een cruciaal proces voor het functioneren van de overheid. Op 6 november 2024 ging de voorlopige gunning naar het Amerikaanse Fast Enterprises, op 20 maart van vorig jaar gevolgd door de definitieve gunning. Daarmee rolde de bal naar een oplossing die op gespannen voet staat met het Europese streven naar digitale autonomie. Een reconstructie van die besluitvorming op basis van openbare bronnen en met aandacht voor de geopolitieke situatie. Nederland lijkt zich als medeoprichter van het European Digital Infrastructure Consortium (EDIC) te positioneren als voorloper op het vlak van Europese digitale autonomie. Of misschien toch niet? In een interview met NRC van 7 juli 2025 geven de algemeen directeur Informatievoorziening (IV) en de chief information officer (cio/concerndirectie IVenD) van de Belastingdienst aan dat ze ‘de autonome droom’ delen, maar vragen ze zich af of deze ‘binnen zes jaar’ is te realiseren, en wat ‘in de tussentijd’ te doen. Het zou niet realistisch zijn om simpelweg afscheid te nemen van clouddiensten, omdat goede alternatieven ontbreken. Dit terwijl op dat moment een politieke discussie speelt over de afhankelijkheid van cloudleveranciers en over de overstap van de Belastingdienst naar Microsoft Office Cloud-technologie waar de Tweede Kamer tegen heeft gestemd (en waartoe in december 2025 alsnog wordt besloten). En terwijl op hetzelfde moment Denemarken en Duitsland voorbereidingen treffen om daarvan afscheid te nemen. Ook wordt benoemd dat de belangrijkste systemen bij de Belastingdienst on-premises draaien, dus niet afhankelijk zijn van clouddiensten. Dit terwijl de Belastingdienst zojuist een project is gestart voor on-premises applicatiediensten voor de omzetbelasting (OB) met een Amerikaans bedrijf als leverancier, voor een maximale looptijd van twintig jaar en met een jaarlijkse waarde van negentien miljoen euro voor de eerste tien jaar. Dat betreft geen ondersteunend proces zoals kantoorautomatisering maar een kritisch bedrijfsproces. Circa 35 tot 40 procent van de belastingopbrengst komt uit de omzetbelasting. Oftewel, cruciaal voor het financieren van de overheid, inclusief zaken als veiligheid en defensie. Tactische afwegingen doorslaggevend voor ‘kopen’ Speelden strategische afwegingen überhaupt een rol bij de Make or Buy beslissing? Modernisering van de software voor de omzetbelasting staat al jaren op de agenda van het ministerie. Als algemeen geldende vuistregel geniet voor kritische (doorgaans primaire) bedrijfsprocessen met het oog op maximale zeggenschap over productiemiddelen ‘maken’ (Make) de voorkeur boven ‘kopen’ (Buy). Als dan continuïteit van dienstverlening in gevaar komt vanwege een tekort aan mensen en middelen of slechte performance van de eigen organisatie, dan komt ‘uitbesteden’ in beeld. Maar bij de voorbereiding van het besluit spelen niet deze strategische maar tactische overwegingen de hoofdrol. Het rapport ‘Maken of kopen’ van McKinsey (13 juni 2022) heeft kennelijk de hoofdrol gespeeld bij het maken van de uiteindelijke keuze voor kopen. De studie benoemt twee koopopties (pakketten), te weten GenTax van Fast Enterprises en SAPTRM van SAP (met Capgemini als implementator). Het rapport neemt het pakket van Fast Enterprises als uitgangspunt voor evaluatie en zet dit bedrijf daarmee op pole position voor het scenario ‘kopen.’ Het rapport was tot voor kort van internet te downloaden maar is inmiddels verwijderd. Het beoordeelt scenario’s op basis van de criteria Technologie, Strategische Fit, Financieel, Vaardigheden & Capaciteiten, en Implementatiesnelheid & Risico’s. Over Strategische Fit wordt gesteld dat zelfbouw de dominante ontwikkelrichting is bij de Belastingdienst. De componenten waarop de Strategische Fit wordt bepaald zijn vervolgens weinig strategisch: Functionele Eisen, Systeemdoelstellingen, Klantervaring, Impact op Belastingdienstmedewerkers, en Impact op Processen. Op het onderdeel Strategische Fit scoort Buy beter indien risicodetectie ten behoeve van compliance (dit is het verschil tussen enerzijds de mogelijke en anderzijds de gerealiseerde belastingopbrengst) niet via het aan te schaffen pakket wordt gedaan. Voor Implementatiesnelheid & Risico’s zijn de componenten waarop wordt gescoord Tijd tot Waarde, Mogelijkheid tot Bijsturing, Complexiteit van Migratie (waaronder het risico onderbreking van processen), Implementatievertraging, en Alternatieven. De adviseurs verwachten dat de ‘pakketoplossing’ aanzienlijk sneller is te realiseren dan zelfbouw. Op het aspect Alternatieven (dit komt het dichtst bij een strategisch criterium, te weten continuïteit) scoort Make iets beter dan Buy omdat voor Make de stap naar een pakket altijd mogelijk blijft en voor Buy er maar één alternatief pakket is en overstap naar zelfbouw bovendien heropbouw van kennis en capaciteit vergt. Continuïteit is geen eigenstandig criterium voor beoordeling. De term valt in de context van de criteria Strategische Fit (impact op medewerkers: minder handmatig werk bij Buy), Financieel (uitvalbehandeling: sneller nieuwe functionaliteit bij Buy) en vaardigheden en capaciteiten (capaciteit: opschaling mogelijk lastig bij Make, kennis van de Engelse taal mogelijk lastig bij Buy). McKinsey adviseert Buy, en wel het zogenoemde aangescherpte buy-scenario. Het scenario Buy kreeg op Tijd tot Waarde een relatief zeer hoge score. Volgens het rapport heeft Buy nog als optiewaarde dat door uitbreiding naar andere middelen dan OB schaalvoordelen kunnen ontstaan. Een opmerking die potentieel explosief is voor de eigen directie IV en die gezien de gangbare adviespraktijk niet zonder overleg met de opdrachtgever zal zijn opgeschreven. Continuïteit Was Buy werkelijk de voorkeursoptie gelet op de continuïteit van dienstverlening door de Belastingdienst? De dienst heeft een robuuste IT-afdeling die ongeveer vijftien procent van het personeelsbestand beslaat (circa vierduizend medewerkers). Er is een opgave voor het op peil houden van de personele capaciteit, waarbij de beschikbare capaciteit beperkend werkt om alle initiatieven te kunnen realiseren. Bij inzet en werving van capaciteit heeft de Belastingdienst het voordeel dat haar it-ontwikkelafdelingen vooral in het oosten des lands zijn gehuisvest en niet in de Randstad waar de concurrentie het grootst is. De op zich gunstige arbeidsvoorwaarden bij de overheid zijn eveneens een pré. Het it-jaarbudget bedraagt in de jaren 2022 en 2023 ongeveer 850 miljoen euro. De it-performance van de eigen it-directie van de Belastingdienst is rond de start van de aanbesteding gewoon goed. Het lukt om de technische schuld voor ict-systemen terug te brengen. In 2023 blijkt de technische schuld van de Belastingdienst sinds 2018 te zijn gehalveerd: van 52 procent van het aantal systemen naar 26 procent in 2022. Daarbij werd tevens gemeld de modernisering van systemen voor omzetbelasting via de markt en via aanbesteding voor een pakketoplossing te laten verlopen, waarbij werd aangegeven dat nieuwe projecten in de bestaande eigen it-omgeving doorgang vinden, met name voor het implementeren van Europese regelgeving. Specifiek voor omzetbelasting was de technische schuld op dat moment sinds 2017 nog onverminderd hoog, waarbij prioritering op het vlak van resources medeoorzaak lijkt te zijn geweest. Tijdsdruk op modernisering van de omzetbelastingsystemen lijkt vooral ingegeven door het niet kunnen realiseren van nieuwe fiscale regelgeving. Qua performance weten we dat uitbestedingsprojecten riskant zijn. Cijfers over het slagen of falen van projecten hebben gemeen dat ze tonen dat de faalkans hoog is (bijvoorbeeld PMI, Wellingtone, de Standish group, en de overheid in de VK). Ook blijkt dat voor projecten met een omvang van meerdere miljoenen euro’s de risico’s groter zijn dan gemiddeld. Het rapport van McKinsey bevat geen overzichtelijke en vergelijkende evaluatie van projectrisico’s in het licht van ervaringen bij uitbesteding. Uiteindelijke winnaar Fast Enterprises is een specialist op het gebied van belastingsoftware met circa 2.200 werknemers en heeft binnen de EU twee referentieprojecten. Een project in Finland is geslaagd, een project in Polen verliep blijkbaar conflictueus. Het succesvolle Finse project wordt door McKinsey wel genoemd als referentie, het Poolse project niet. Het rapport meldt wel dat de Belastingdienst een track record heeft van problematische koop-projecten (McKinsey noemt ETM en CRM/OSWO). De Directie IV&D heeft klaarblijkelijk wel oog voor het continuïteits-criterium. In een aan de internetversie van het McKinsey-rapport toegevoegde adviesnota van deze concerndirectie van 1 juli 2022 lezen we het voorstel om tussentijdse evaluatiemomenten in te bouwen in het contract met daarbij exit-mogelijkheden. Vroege signalen voor het project omzetbelasting in wording vanuit het Adviescollege ICT-toetsing bleken al in april 2024 zorgwekkend te zijn. Geopolitiek Wat zijn nu precies geopolitieke risico’s? Beheersing van geopolitieke risico’s betreft factoren die leiden tot de mogelijkheid van chantage van een maatschappij of land door afhankelijkheid van een vijandig regime of een daaruit afkomstig bedrijf. Dit betreft minimaal zogenoemde kritische infrastructuur. Een tweede factor is de mogelijkheid dat de transactie met een bedrijf uit een vijandig land bedreigd kan worden, ook al zou dat bedrijf zelf goedwillend zijn. Voor het tweede risico komt de bedreiging van zowel het vijandige regime als de partner bij de transactie en van de eigen overheid. Dit laatste omdat de bescherming van Europese economische belangen in het geval van (economische) conflicten kan worden ‘uitgevochten’ tot op het niveau van individuele bedrijven. Een recent Nederlands voorbeeld van een bedrijf dat in een geopolitieke storm belandde is Nexperia. Bij geopolitieke risico’s gaat het dus niet alleen over de partners bij een transactie maar over een maatschappij/land of zelfs een groep van landen (bijvoorbeeld de EU). Als de Amerikaanse overheid met een beroep op veiligheid (de ratio achter de Patriot Act en de Cloud Act) gebruikmaakt (via een Amerikaans bedrijf) van data van een Nederlandse instelling is dat een beperking van zeggenschap van die instelling. Maar als gebruik van deze data wordt ingezet als instrument van geopolitieke chantage, dan ontstaat een kwalitatief nieuwe situatie met betrokkenheid van Nederland als maatschappij/land. Risico’s ontstaan niet alleen door toegang tot data (bijvoorbeeld op grond van de Patriot Act of de Cloud Act) maar door afhankelijkheid van (in dit geval Amerikaanse) technologie sec, ook als ‘on premises’ het implementatiemodel is. Het gaat er om of de Amerikaanse regering een bedrijf als chokepoint kan gebruiken tegen Nederland en dat kan net zo goed als de software van dat bedrijf on premises draait in Nederland. Het Amerikaanse bedrijf blijft immers eigenaar en de klant blijft van de leverancier afhankelijk voor implementatie en beheer. Bij geopolitieke risico’s gelden businesscases op het niveau van de individuele organisatie minder of zelfs niet meer. De Rijksdienst Voor Ondernemend Nederland noemt als geopolitieke risico’s bij inkoop en aanbesteding de sterke afhankelijkheid van partijen en landen met andere geopolitieke belangen: nationale sancties of politieke druk en – in ernstigere gevallen – dreiging en manipulatie. De VS komen niet voor op de lijst van risicolanden waarvoor inkopers aan een specifieke zorgplicht moeten voldoen. Juridische verboden gelden voor landen die vallen onder een sanctieregime (zoals nu Rusland) en voor vitale sectoren. Het proces van belastingheffing is kennelijk door de NCTV vooralsnog niet als vitaal aangemerkt. Aanloop naar het besluit Was er aanleiding om onderweg naar het gunningsbesluit van eind 2024 van koers te veranderen? Sinds 2022 wordt op Europees niveau invulling gegeven aan het concept van strategische autonomie onder andere voor software omdat onder meer de VS (bedrijfs)economische relaties als chokepoint gebruiken. Gelet op Europese autonomie ontstaan binnen het scenario ‘kopen’ twee varianten en wel binnen de EU en buiten de EU. Het scenario ‘buiten EU’ komt voor belastingsoftware de facto neer op: in de VS. De voorkeursvolgorde voor scenario’s gelet op geopolitiek is dan ook: zelf doen, kopen binnen de EU en kopen buiten de EU. Welke expert zou in de loop van 2024 gelet op Europees en opkomend Nederlands beleid niet hebben geprobeerd om het ministerie te behoeden voor het doorzetten van een OB-deal met een Amerikaans bedrijf? In de aanloop van de gunningsbeslissing aan Fast worden geopolitieke risico’s van afhankelijkheid van Amerikaanse technologie steeds duidelijker. De VS zijn al als risicoland te beschouwen sinds de inwerkingtreding van de Patriot Act (2001) en Cloud Act (2018). Nederland is al geruime tijd kwetsbaar voor chantage door de VS wat op het niveau van de rijksoverheid in ruime mate bekend, was bijvoorbeeld door de gang van zaken rond ASML al sinds 2019.[2] In Nederland wees TNO in een studie uit 2022 met beleidsmakers als doelgroep op risico’s rond digitale soevereiniteit. Specifiek op het gebied van regulering in het digitale domein krijgen spanningen tussen de VS en Europa, in 2022 een extra impuls met de komst van de Digital Services Act (DSA). Discussies rond afhankelijkheid van Amerikaanse Big tech kregen sinds de zomer van 2024 een boost met het rapport ‘Wolken aan de Horizon’, overigens in een bredere Europese context. Uit openbare stukken blijkt niet dat de keuze binnen of buiten de EU een rol heeft gespeeld bij het scenario ‘kopen’. Welke expert zou in de loop van 2024 gelet op Europees en opkomend Nederlands beleid niet hebben geprobeerd om het ministerie te behoeden voor het doorzetten van een OB-deal met een Amerikaans bedrijf? Discussie met de Kamer Spelen geopolitieke afwegingen geen zichtbare rol in de openbare discussie over strategie rond de uitbestedingsbeslissing? De Strategie Directie IV 2021-2025 (14 juni 2021, kort voor de beslissing tot uitbesteding) merkt op dat een duidelijke sourcingstrategie ontbreekt. Ze formuleert het voornemen tot het opstellen van een toekomstige sourcingstrategie met als uitgangspunt dat waar mogelijk standaardoplossingen van derde partijen te gebruiken in lijn met het ‘re-use, before buy, before build’-principe. En ten tweede: voor geselecteerde systemen die bijvoorbeeld niet bedrijfsspecifiek zijn, uitbestedingsopties te onderzoeken (bijvoorbeeld binnen het infradomein). Volgens een bericht aan de Tweede Kamer van de staatssecretaris van 14 oktober 2024, dus kort voor de beslissing van 6 november tot voorlopige gunning aan Fast Enterprises, werd ‘de sourcingstrategie’ gebruikt in het beleidsproces rond modernisering van ict. De voorkeur is om standaardoplossingen uit de markt te gebruiken, zodat de Belastingdienst marktconform kan werken. Daarnaast wordt waar mogelijk gekozen voor de realisatie van ict door derde partijen. Zelf doen is het beleid voor activiteiten: Waarvoor uitvoering door de Belastingdienst vereist is door wet- en regelgeving en/of dit noodzakelijk is om de continuïteit van processen van de Belastingdienst en/of de informatieveiligheid te kunnen borgen; Die van belang zijn om de eindverantwoordelijkheid waar te kunnen maken en de kennis te borgen. Bijv. het omzetten van wetgeving in fiscale processen. Ook wordt aangegeven dat geen zaken wordt gedaan met leveranciers uit risicolanden, e.e.a. ‘conform Rijksbeleid.’ Het bericht bevat geen verwijzing naar het rapport van McKinsey. Gezien de inhoud van de Strategie Directie IV 2021-2025 en de weergave van zaken door de staatssecretaris lijkt uitbesteding van it voor omzetbelasting niet het beleid. En toch gebeurt het. Op 6 maart 2025 bericht de staatsecretaris van Financiën de Kamer dat gunning definitief is geworden en dat ingrijpende wijzigingen in de omzetbelasting daarmee op zijn vroegst in 2027 mogelijk zijn. Dit bericht meldt niet dat de gunning de pakketoplossing betreft van een Amerikaans bedrijf. De keuze voor Buy lijkt alles overziende vooral te berusten op het willen realiseren van nieuw fiscaal beleid voor een domein dat al geruime tijd wordt ontzien op basis van een ‘beleidsluwte’. Het bericht wordt verstrekt in aanloop naar het commissiedebat Belastingdienst van de vaste commissie voor Financiën op 13 maart 2025. In dit commissiedebat verwijst de staatssecretaris terloops naar de gunning aan “het programma van Fast Enterprises, GenTax, wat in verschillende Europese landen wordt gebruikt voor btw-inning.” De commissieleden gaan hier niet verder op in. Weinig opties Leverancier Fast en daarmee ook de VS hebben vrijwel zeker nu toegang tot Nederlandse omzetbelastingdata. Uit de National Security Strategy (NSS) van de VS blijkt dat het land streeft naar een politieke reset in Europa in de richting van een donker verleden (autoritair, racistisch en nationalistisch) én Amerikaanse bedrijven ziet als een verlengstuk voor het uitoefenen van buitenlands-politieke invloed. We lezen dat de VS beschikt over ‘de meest geavanceerde, meest innovatieve en meest winstgevende technologiesector ter wereld, die (…) onze wereldwijde invloed versterkt’ en dat ‘het succesvol beschermen van ons halfrond nauwere samenwerking vereist tussen de Amerikaanse overheid en de Amerikaanse private sector. Al onze ambassades moeten zich bewust zijn van grote zakelijke kansen in hun land, vooral grote overheidscontracten. Elke Amerikaanse regeringsfunctionaris die met deze landen in contact komt, moet begrijpen dat een deel van zijn of haar taak is om Amerikaanse bedrijven te helpen concurreren en slagen.’ Voorbeelden van invloed door chokepoints zijn toepassing van de Digital Services Act (DSA) en zeer waarschijnlijk ook druk op tech-regulering in Europa (het Omnibus-voorstel) beide voor het kunnen manipuleren van verkiezingen in Europa, Microsoft (relatie met het International Criminal Court), SAP (DEI-beleid), en waarschijnlijk ook Oersted (de Deense overheid). Het OB-traject introduceert een chokepoint op de regering van de vijfde economie van de EU voor de komende twintig jaar (de looptijd van het project). Niemand kan voorspellen wat er gebeurt als de EU of Nederland de VS tegen de haren instrijkt. Zo bezien is een nieuw en ander plan nodig voor de omzetbelasting. Het OB-project introduceert een potentieel grote kwetsbaarheid, maar is qua projectkosten klein gelet op de omvang van het IV-budget van de Belastingdienst. Het alternatief in de vorm van het verkrijgen van volledige controle over de software van Fast lijkt, los van implementatieproblemen, ook moeilijk omdat een leverancier gewoonlijk niet bereid zal zijn daarmee akkoord te gaan. Marcel van Kooten schreef dit artikel op persoonlijke titel. [1] De Belastingdienst is een organisatieonderdeel van het ministerie van Financiën dat destijds onder politieke leiding stond van de staatssecretaris voor Fiscaliteit en Belastingdienst Van Rij (CDA). [2] Diederik Baazil, Cagan Koc (2025), De Belangrijkste Machine ter Wereld.

De cybercriminelen die zeggen dat zij Odido hebben gehackt, dreigen de gestolen klantgegevens online te zetten op het dark web. Ze eisen dat de zwaar getroffen telecomprovider meer dan één miljoen euro betaalt. Volgens hen loopt de deadline aanstaande donderdagochtend af. Als de gegevens echt worden gepubliceerd, kunnen andere criminelen ze makkelijk misbruiken, bijvoorbeeld voor phishing. De informatie zou dan voor iedereen toegankelijk zijn. Beveiligingsexpert Dominic Alvieri berichtte op X als eerste over de chantage-poging van de aanvallers, die zich ShinyHunters noemen. Deze criminele hackersgroep is naar verluidt betrokken (geweest) bij een groot aantal datalekken. ShinyHunters zou zich meerdere malen hebben bezondigd aan chantage. Als de criminelen hun zin niet krijgen, plegen ze hun dreigementen waar te maken. Ze gaan dan daadwerkelijk over tot publicatie van gestolen data zodat iedereen die kan misbruiken. Dat zou een golf van phishing kunnen leiden. Met name voor malafide telefoontjes valt te vrezen. Salesforce De criminele groep die al sinds 2019 bestaat, heeft het vooral gemunt op Salesforce-omgevingen. Ook Odido gebruikt een klantcontactsysteem van die leverancier.  Volgens Alvieri heeft de bende 21 miljoen records buit gemaakt waaronder plain text wachtwoorden (niet versleuteld). Odido blijft volhouden dat er geen wachtwoorden van Mijn Odido of andere inlogsystemen zijn gelekt. Maar de criminelen hebben tegenover RTL Nieuws het tegendeel verklaard. Odido suggereert dat het mogelijk gaat om verificatiewoorden tijdens telefonische contacten met de helpdesk. Het datalek trof 6,2 miljoen Odido-klanten. Volgens ShinyHunters gaat om acht miljoen klanten en 21 miljoen regels aan data. Nog steeds heeft Odido niet kunnen verklaren waarom de massale datalek in het weekeinde van 7 en 8 februari lange tijd onopgemerkt bleef. Security-experts vragen zich af of Odido de logging en monitoring van systemen wel goed in orde had.

Digitale zaken wordt in het nieuwe kabinet-Jetten overgeheveld van het ministerie van BZK naar het ministerie van Economische Zaken en Klimaat (EZK). Zo blijkt uit de nieuwe portefeuilleverdeling van het kabinet.  Eric van den Burg, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (BZK), krijgt de taak de overheid slagvaardiger te maken. Maar het zwaartepunt van de Rijks-it gaat naar staatssecretaris Willemijn Aerdts (EZK) die politiek verantwoordelijk wordt voor de digitale economie en soevereiniteit. Ook moet zij de Nationale Digitaliseringsstrategie (NDS) implementeren waar een ander ministerie (BZK) het fundament voor heeft gelegd. Hoe ziet de verdeling van alle ‘digitale’ portefeuilles eruit? De minister van Economische Zaken en Klimaat krijgt: Innovatiebeleid; Industriebeleid;  Rijksdienst Ondernemend Nederland (RVO);  Aanpak regeldruk; Vestigingsklimaat, concurrentievermogen en productiviteitsgroei;  Nationale Investeringsinstelling; CPB, CBS, ACM, DICTU, Kamers van Koophandel. De staatssecretaris van Digitale Economie en Soevereiniteit gaat over: Digitale economie en infrastructuur; Coördinatie digitalisering en soevereiniteit; Telecom en RDI;  Digitale samenleving;  Digitale overheid; Normering en regulering van beleid t.a.v. digitalisering, technologie en soevereiniteit in samenleving en overheid, waaronder ai en algoritmes (incl. aanspreekpunt algoritme-autoriteit bij de AP);  Nederlandse Digitale Dienst;  Open data;  Digitale Wallet;  Europees en internationaal digitaliseringsbeleid;   Adviescollege ICT Toetsing;  Nationale Digitaliseringsstrategie (NDS). De staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties wordt verantwoordelijk voor: De slagvaardigheid van de rijksoverheid; Verminderen regeldruk; CIO-Rijk;  Informatieveiligheid voor (rijks)overheid;  SSC-ICT;  Wet open overheid;  Openbaarheid van bestuur en informatiehuishouding;  Programma Open Overheid, ACOI, Rijksorganisatie voor Informatiehuishouding (RvIHH), Rijksorganisatie ODI; Identiteit (onder andere paspoort, ID-kaart), Basisregistratie Personen (BRP); Rijksdienst voor Identiteitsgegevens (RvIG);  Coördinatie ai binnen de rijksoverheid;  Toegankelijke en mensgerichte digitale dienstverlening, GDI;  Human it capital voor de (rijks)overheid;  Logius en Ictu. Minister van Volkshuisvesting en Ruimtelijke Ordening: Digitaal Stelsel Omgevingswet;  Stelsel van geo-informatica. Minister van Defensie: Strategisch industriebeleid en contacten grote leveranciers;  MIVD.   Staatssecretaris van Defensie: Industriebeleid en innovatie gericht op realisatie materieel;  It/digitalisering (nationaal en internationaal). Minister van Justitie en Veiligheid: Politie; OM;  NCTV;  Cybersecurity; Missiekritische communicatie en meldkamers. 

HIGH PERFORMERS – In deze columns hebben we het tot nu toe vooral gehad over bedrijven en organisaties als high performer. Maar naast alle aandacht voor de nodige bedrijfsprocessen is het minstens zo waardevol om de ondernemers zelf – de menselijke factor –onder de loep te nemen. De grote winnaar bij de Computable Awards 2025 in de categorie high performers was ASML. Een zeer terechte keuze vonden zowel de vakjury als het publiek. Bovendien toont de leiding van ASML visie: het bedrijf gaat één miljard euro investeren in de Europese cloud. Vergeleken met de Amerikaanse biljoenen dollars lijkt dat misschien een druppel op een gloeiende plaat, maar het is een begin. Zelfs de runners-up in de strijd om de award waren tevreden met de overwinning van de Nederlandse techgigant. Zo hoorde ik iemand zeggen: ‘In hetzelfde rijtje staan als ASML is een eer. Dan is verliezen niet erg.’ Een heel belangrijke eigenschap van een high performer – als persoon – is dat hij of zij na een val gewoon weer opstaat en doorgaat. Ook daarvan weet awardwinnaar ASML alles. In het begin – we spreken over de jaren negentig van de vorige eeuw – maakte het bedrijf alleen maar verlies en had het het imago van een losersclubje van een paar honderd man. In het uiteindelijke succes speelde één persoon een grote rol, iemand die we gerust de waardering mogen geven die hij verdient: high performer en Philips-topman Jan Timmer. Hij had het vertrouwen om ASML los te weken van Philips en er vervolgens veel geld in te investeren. Die investering maakte de ontwikkeling mogelijk van de PAS 5500-machine, het systeem dat later de basis zou vormen voor de internationale doorbraak. ‘Een aardige prestatie’, zo noemde geestelijk vader Timmer het ooit toen ik hem daarover sprak. Inmiddels weten we dat dit een understatement is: ASML is een wereldspeler waar zowel Donald Trump als Xi Jinping soms slapeloze nachten van hebben. En het bedrijf is gewoon in Veldhoven gevestigd, in Noord-Brabant. High performers weten dat dingen kunnen misgaan. Dat geldt ook voor de winnaar van de Computable Lifetime Achievement Award 2025: Chris Ouwinga. In mijn ogen nog zo’n high performer. In zijn podiumspeech benadrukte Chris ondernemerschap en technologie. Zijn bedrijf, Unit4, werd in de beginjaren meerdere keren door de banken onder druk gezet, vertelde hij. Maar telkens wist hij het vertrouwen terug te winnen. Juist tegenslagen leren je wie je collega’s zijn en wie je zelf bent. Aan starters gaf hij het advies om vooral vol te houden. “Baan had met flinke tegenslagen te maken, maar juist dan is de mentaliteit van een high performer doorslaggevend: opstaan en doorzetten” Een hoogtepunt voor hem was de beursgang van Unit4. Daarbij verwees hij in zijn speech naar Jan Baan, ook een Computable Lifetime Achievement-laureaat. Baan had met zijn bedrijf Baan Systems al bewezen dat een Nederlands bedrijf it internationaal kon neerzetten. Vliegtuigfabrikant Boeing boekte mede successen dankzij de software van Baan Systems. Na de beursnotering op de Nasdaq was Baan op een gegeven moment zelfs meer waard dan KLM. Vervolgens had Baan met flinke tegenslagen te maken, maar juist dan is de mentaliteit van een high performer doorslaggevend: opstaan en doorzetten. Er is nog een derde Lifetime Achievement Award-winnaar die ik na de uitreiking sprak: Ad Nederlof. Hij bouwde in de Verenigde Staten en China aan bedrijven waarvan Genesys later voor een aanzienlijk bedrag werd overgenomen en richtte daarna de Vanad Group op. Nederlof is een pionier in de ontwikkeling van software-as-a-service en ziet met zijn internationale blik kansen voordat ze gemeengoed worden. Deze drie awardwinnaars hebben stuk voor stuk de genen van een high performer. Ze weten alle drie wat tegenslagen zijn en hoe je die te boven komt. Ze gingen door fases van mislukte pogingen, harde keuzes en moeilijke jaren. En ze hebben alle drie uiteindelijk de stap gezet om nieuwe ondernemers te ondersteunen en hun kennis door te geven. De loopbanen van Baan, Nederlof en Ouwinga laten zien dat succes zelden ontstaat door één briljant inzicht, maar door een combinatie van vakmanschap, doorzettingsvermogen en de aanwezigheid van mensen die bereid zijn te investeren in talent en visie. Succes draait niet alleen om het najagen van een doel, maar om het vermogen om verder te kijken dan de eerste hobbel, om te leren van de generaties voor je en om sponsors te vinden die durven te geloven in wat jij nog moet waarmaken. Niemand bereikt high performance alleen. Elke stap voorwaarts bouwt voort op een keuze, een kans of een vertrouwen dat eerder door iemand anders is gegeven. Ook al zegt de bank het vertrouwen in je op, ook al dringen mensen om je heen erop aan dat je moet stoppen: je moet doorzetten. Dat is een van de belangrijkste disciplines die je nodig hebt als je een high performer wilt zijn: opstaan en weer doorgaan. Ik ben eigenlijk wel benieuwd hoe Ouwinga, Baan en Nederlof hun eigen high performance zien! High PerformersIn deze rubriek laat it-mediator prof. dr. Hans Mulder zijn gedachten gaan over de vraag: wat maakt dat sommige organisaties in dit digitale tijdperk het (veel) beter doen dan andere? Wat zijn de unieke eigenschappen van deze ‘High Performers’? En welke rol speelt it hierin?

Van hobbyproject tot OpenAI: de vliegende start van OpenClaw Een maand geleden was OpenClaw nog een hobbyproject. Vandaag werkt de maker ervan bij OpenAI om ‘de volgende generatie persoonlijke agents’ te bouwen. Het verhaal van de Oostenrijkse ontwikkelaar Peter Steinberger en zijn ai-agent illustreert niet alleen de snelheid waarmee ai zich ontwikkelt, maar mogelijk ook de toekomst van hoe we met (ai-)technologie zullen werken. Intussen is zijn geesteskind al drie keer van naam veranderd: van Clawdbot ging het naar Moltbot om nu als OpenClaw door het leven te gaan.Maar in wezen komt het altijd op hetzelfde neer. Peter Steinberger bouwde een ai-agent die namens gebruikers taken uitvoert: agenda’s beheren, vluchten boeken, communiceren met andere ai-agents. Wenen is het nieuwe Silicon Valley Het project ging al snel viraal, met ook de nodige reserves. Maar bovenal trok het binnen weken de aandacht van techmagnaten als Mark Zuckerberg (Meta), Satya Nadella (Microsoft) en Sam Altman (OpenAI). Uiteindelijk koos Steinberger voor OpenAI, terwijl OpenClaw zelf wordt ondergebracht in een stichting en open source blijft.Dat de snelheid waarmee ai evolueert hoog en ongezien is, erkent ook Wim Casteels, coördinator it & ai aan de AP Hogeschool. ‘Eén individuele ontwikkelaar kan in weken bouwen wat maanden geleden nog een heel team vergde’, stelt hij vast. ‘De afstand tussen experiment en product wordt steeds kleiner.’Opvallend is ook dat Peter Steinberger zijn toepassing bouwde vanuit Wenen, en niet vanuit Silicon Valley. Al bleek OpenClaw voor hem wel zijn visitekaartje om in Silicon Valley aan de slag te gaan. Systemen die modellen verslaan En dan is er nog het technologische aspect. ‘OpenClaw is misschien geen technologische doorbraak, maar het zou wel eens een eerste glimp kunnen zijn van hoe de standaardinterface voor ons werk en leven er in de toekomst uit zal zien’, zo analyseert Jan Vanalphen, ai strategy & advisory lead bij Faktion in een post op Linkedin.Vanalphen identificeert een aantal redenen waarom OpenClaw wijst naar de toekomst van agentic ai. Ten eerste functioneert de assistent als een persoonlijke runtime. Door te draaien op een lokale machine of private server wordt de agent iets dat gebruikers echt bezitten en controleren, vergelijkbaar met een browser. ‘De data, credentials en workflows blijven bij de gebruiker, terwijl het ai-model een vervangbare component wordt.’ Daarnaast bewijst OpenClaw dat het model niet langer het product is. De agent levert waarde, zelfs met goedkopere, zwakkere modellen. ‘Wat gebruikers ervaren als intelligentie is niet het model zelf, maar de orkestratie: geheugen, tools, feedback en context die samenwerken als een systeem. Of met andere woorden: systems beat models’, aldus Vanalphen. Interface van de toekomst die er geen is Voorts signaleert OpenClaw het einde van gefragmenteerde bot-landschappen. ‘Gebruikers willen geen aparte bots voor financiën, HR of research. Ze willen één assistent die hen kent en over alles heen werkt’, oppert hij. Volgens hem toont de explosieve groei van ClawHub, OpenClaw’s zogenaamde skills marketplace, aan dat agent-platforms evolueren naar plugin-ecosystemen.Tenslotte – en last but not least – verspreidt OpenClaw zich niet door een prachtige interface, maar juist door het ontbreken ervan. De agent leeft binnen WhatsApp, Telegram en Teams, waarbij gebruikers niets hoeven te veranderen aan hun gedrag. ‘Distributie en workflow-integratie zijn hierbij productfeatures.’ ChatGPT-moment Of OpenClaw zelf een grote winnaar wordt, is minder relevant dan wat het project symboliseert: een verschuiving van ai-modellen als eindproduct naar ai-agents als persoonlijke, persistente assistenten die naadloos integreren in bestaande workflows.Sommigen spreken in dit kader over het ChatGPT-moment voor agentic ai. Waar ChatGPT de conversationele ai mainstream maakte, kan OpenClaw hetzelfde doen voor autonome agents.Al is er natuurlijk wel een fundamenteel verschil: waar ChatGPT nog reactief is, wordt OpenClaw proactief. De assistent wacht niet op vragen, maar handelt namens de gebruiker.Voor Vanalphen is het alvast duidelijk. ‘We worden elke dag in duizend richtingen getrokken door de ai-nieuwscyclus. Het meeste daarvan is ruis’, erkent hij. ‘Maar af en toe springt er iets uit. OpenClaw is zo’n moment.’

De meeste cyberaanvallen slagen niet zozeer omdat criminelen zo slim zijn maar door pure verwaarlozing van de basale cybersecurity-hygiëne. Achterstallig it-onderhoud, zwakke identiteitsbeveiliging en gebrekkige monitoring vormen onder andere de echte oorzaak.Dit blijkt uit het ‘2026 Hunt & Hackett Trend Report‘ van het Nederlandse cyberbeveiligingsbedrijf van Ronald Prins en Jurjen Harskamp. Ook de geruchtmakende hack bij Odido deed twijfels ontstaan over de identiteitsbeveiliging en monitoring daar. En het Forum Standaardisatie signaleert dat het veel overheden maar niet lukt om hun internetdomeinen veilig te configureren.Het nieuwe trendrapport laat zien dat relatief eenvoudige aanvalstechnieken al een grote impact kunnen hebben op organisaties. Dit terwijl de complexiteit van de dreigingen in hoog tempo toeneemt. In de meeste gevallen waren de gebruikte technieken al lang bekend, uitvoerig gedocumenteerd en detecteerbaar met de juiste controles.StapelenIn ingewikkelde it- en ot-omgevingen blijkt het lastig voor organisaties om die controles structureel en op grote schaal te implementeren en te onderhouden. Volgens Jurjen Harskamp van Hunt & Hackett is het dan geenszins eenvoudig om alles veilig te houden. ‘In de loop der tijd stapelen kwetsbaarheden zich op door legacy-systemen, ingebedde componenten en complexe afhankelijkheden die vaak slechts gedeeltelijk worden begrepen. Omdat systemen gelaagd en onderling verbonden zijn, kan het oplossen van één kwetsbaarheid elders gevolgen hebben. Juist van deze hiaten en vertragingen maken aanvallers gebruik.’Van alle 54.000 incidenten die voor het rapport werden geanalyseerd, was 71 procent financieel gemotiveerd. Ransomware kwam het meest voor (43 procent), gevolgd door mailfraude (29 procent).Verder blijkt dat aanvallers vooral misbruik maken van zwakke plekken in de identiteitsbeveiliging; precies zoals bij Odido gebeurde. Overigens heeft het telecombedrijf nog steeds weinig over het datalek bekendgemaakt.Vier prioriteitenHet rapport van Hunt & Hackett benoemt vier prioriteiten die het risico direct verlagen:Versterk identiteitsbeveiligingBeperk overmatige toegangsrechten, bescherm beheerdersaccounts en dwing sterke multifactor-authenticatie af;Beperk blootstellingPatch internet-gerichte systemen snel en verwijder onnodige diensten van het publieke internet;Vergroot zichtbaarheidZorg dat kritieke systemen security-logs genereren, monitor deze actief en bewaar deze lang genoeg voor incidentonderzoek, proactieve detectie en threat hunting;Test responsOefen response-scenario’s en zorg dat forensisch bewijs snel veiliggesteld kan worden.

Nederland telt een groeiend netwerk van ai-hubs die de kloof tussen onderzoek naar ai en de inzet van ai-toepassingen in de praktijk moeten dichten. Van medische beeldvorming tot forensische opsporing en slimme logistiek. Deze publiek-private initiatieven brengen ai naar het werkveld. Computable zet de belangrijkste ai-hubs op een rij. Wie het Nederlandse ai-landschap probeert te doorgronden, komt al snel terecht in een woud van hubs, labs, fieldlabs, programma’s en consortia. De termen worden vaak door elkaar gebruikt, maar achter die labels schuilt een duidelijke structuur. Die structuur bepaalt hoe ai‑innovatie in Nederland wordt ontwikkeld, getest en uiteindelijk toegepast in het werkveld. De kern: Ai‑hubs bouwen het ecosysteem, ai‑labs bouwen de technologie. Ofwel: hubs bouwen netwerken, labs bouwen toepassingen. Een ai‑hub is in essentie dus een regionaal of sectoraal samenwerkingsverband. Het verbindt bedrijven, overheden, kennisinstellingen en maatschappelijke organisaties om innovatie te versnellen. Hubs richten zich op ecosysteemvorming: het samenbrengen van partijen, het organiseren van programma’s, het stimuleren van opschaling en het creëren van een regionale of sectorale ai‑strategie. Ze opereren op het niveau van provincies of economische clusters, zoals Zuid-Holland, Brainport of Noord-Nederland. Ai-hubs Koepelorganisatie de Nederlandse AI Coalitie (NL AIC)  werkt met zeven regionale ai‑hubs. 1. AI‑hub Zuid-Holland Deze hub omvat de regio Leiden – Den Haag – Rotterdam. Partners zijn TU Delft, Erasmus Universiteit, Universiteit Leiden, TNO, Medical Delta en grote bedrijven uit de Rotterdamse haven zoals Shell en DSM. Er zijn ongeveer driehonderd onderzoekers betrokken via universiteiten en tientallen bedrijven. De focus ligt op ai voor havenlogistiek, zorg, veiligheid en energie. 2. AI‑hub Oost-Nederland Deze ai-hub omvat bedrijven en instellingen in de provincies Gelderland en Overijssel. Partners zijn de Universiteit Twente, Radboud Universiteit, OnePlanet en Health Valley. Er zijn ongeveer tweehonderd onderzoekers aangesloten die werken aan ai voor sterke publiek-private samenwerking in de zorg en maakindustrie. De focus ligt op zorg, semiconductors en robotica. 3. Ai‑hub Noord-Nederland Deze hub is verspreid over de provincies Groningen, Friesland en Drenthe. Partners zijn Rijksuniversiteit Groningen, Hanzehogeschool, UMCG. Het gaat om zo’n 150 onderzoekers. De focus ligt op ai voor energie, landbouw en taaltechnologie. 4. Ai‑hub Amsterdam Deze ai-hub in de metropoolregio Amsterdam bestaat onder meer uit de partners Universiteit van Amsterdam, Vrije Universiteit, Hogeschool van Amsterdam, CWI, AMS-IX, Booking en Adyen. De hub bestaat uit zo’n vierhonderd ai‑onderzoekers en vormt daarmee één van de grootste concentraties van ai-activiteiten. De focus van hun werk ligt op computer vision, natural language processing (nlp), ai‑ethiek en fintech. Internetgigant Google investeert in een nieuwe ai‑hub die uiteindelijk moet groeien tot 10.000 vierkante meter vloeroppervlak. 5. Ai‑hub Brainport (Eindhoven) De partners van deze hub zijn TU/e, Philips, ASML en High Tech Campus. Met zo’n vijfhonderd ai‑professionals in het ecosysteem (indicatief) vormt deze hub één van de grootste clusters van ai-onderzoek in Nederland. De focus ligt op high-tech systemen, embedded ai en slimme ai-toepassingen voor de industrie. 6. Ai‑hub Brightlands (Limburg) Deze hub op de Brightlands campussen, Maastricht University en Zuyd Hogeschool (Heerlen) telt zo’n 150 onderzoekers. De focus is ai voor chemie, gezondheid en voedsel. 7. Ai‑hub Midden-Nederland Deze hub in de provincie Utrecht bestaat uit partners van de Universiteit Utrecht, HU, UMC Utrecht en bedrijven in de mobiliteit en zorg. Het gaat om zo’n tweehonderd onderzoekers die zich focussen op ai voor gezondheid, mobiliteit en toepassingen in de publieke sector. Ai-labsEen ai‑lab is veel concreter dan een ai-hub. Labs zijn plekken waar onderzoekers, promovendi en bedrijfsengineers samenwerken aan toegepaste ai‑vraagstukken. Hier worden algoritmes ontwikkeld, datasets opgebouwd, prototypes getest en pilots uitgevoerd. Labs zijn vaak verbonden aan universiteiten of onderzoeksinstituten en werken in nauwe samenwerking met één of meerdere bedrijven of overheidsorganisaties. Waar hubs de infrastructuur en het netwerk bouwen, leveren labs de daadwerkelijke innovaties. Het verschil is dus vergelijkbaar met dat tussen een bedrijventerrein en een fabriek: de hub organiseert de ruimte en samenwerking, het lab produceert de technologie.Bekende voorbeelden zijn: ➡️ Amsterdamse ICAI Labs (Innovation Center for Artificial Intelligence) vormt het grootste Nederlands netwerk van ai‑labs. Het bestaat op dit moment uit ruim dertig labs. Partners zijn de Universiteit van Amsterdam en bedrijven als Ahold, KPN, ING, NS, Qualcomm en Elsevier. Elk lab telt tussen de 15 en 40 onderzoekers. In totaal gaat het om ruim zeshonderd onderzoekers die zich richten op toegepaste ai in industrie, media, zorg, taal en veiligheid. Voorbeelden zijn: ING AI Lab (fraudedetectie, risk modelling), Ahold Delhaize Lab (retail en personalisatie met ai), KPN Responsible AI Lab (ai en privacy), National Police Lab (forensische ai-toepassingen en -opsporing), AI for Retail Lab Delft (AIRLab), (robotica en logistiek).➡️ TNO werkt in tientallen labs samen met de industrie en de overheid. Het gaat om ongeveer driehonderd  ai‑experts. Voorbeelden van die labs zijn: Appl.AI (toegepast ai‑onderzoek), AI4Boundaries (grensbewaking) en Smart Industry Fieldlabs (ai in de maakindustrie). De financiering van de labs komt vaak deels vanuit betrokken bedrijven en gedeeltelijk van universiteiten. Er zijn ook labs die (mede)gefinancierd worden vanuit de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO). Dat financiert bijvoorbeeld wetenschappelijk onderzoek naar kwaliteit en vernieuwing. Het gaat om rondes tussen de een en vijf miljoen euro. Onder NWO-programma’s vallen labs zoals Appl.AI, Human-Centered AI en KIC.➡️ Daarnaast zijn er de labs per sector. In de zorg zijn dat onder meer: UMCU AI Lab (medische beeldvorming), Radboud AI for Health Lab (radiologie, pathologie) Amsterdam UMC AI Lab (klinische AI). Er zijn labs rondom Industrie en robotica, zoals: RoboHouse (TU Delft), (robotica en ai) en Brainport Industries Campus Fieldlabs, dat gericht is op smart manufacturing. Binnen de domeinen overheid en veiligheid zijn er National Police Lab AII (opsporing) en AI4Gov Labs (publieke dienstverlening). Rondom media en taal zien we CLARIAH & NLeSC Labs (taaltechnologie) en MediaLab (NPO), (ai voor media-analyse).

Twee op de drie domeinen schieten tekort; Justitie en Financiën diep in het roodDe overheid boekt nagenoeg geen verbetering bij de toepassing van verplichte (informatieveiligheid)standaarden. Slechts een op de drie internetdomeinen (36 procent) voldoet aan alle regels. Zo blijkt uit metingen die het Forum Standaardisatie in maart 2025 heeft gedaan. Deze adviescommissie heeft zo’n 12.000 overheidsdomeinen laten controleren. Vergeleken met de meting daarvoor (augustus 2024) is de vooruitgang minimaal. Overheden die internetdomeinen niet veilig configureren nemen onnodige risico’s. Het gaat daarbij om een verhoogde kans op phishing uit naam van overheidsorganisaties. Ook bestaat er gevaar op manipulatie en afluisteren van web- en e‑mailverkeer. Vooral het ministerie van Justitie en Veiligheid en die van Financiën bakken er weinig van, , zo blijkt uit de Meting Informatieveiligheidsstandaarden. Deze departementen hebben nog veel werk te verzetten om e‑mailvervalsing namens haar domeinnamen te voorkomen.ImpasseDemissionair staatssecretaris Van Marum (Digitalisering) kondigt maatregelen ter verbetering aan. Bestaande implementatieteams die nu letten op de naleving van standaarden voor data-uitwisseling, gaan meer op de informatieveiligheid letten. Overheidsbreed zijn afspraken gemaakt om moderne internetstandaarden voor websites en e‑mail versneld te adopteren. Maar daar is tot nog toe bar weinig van terecht gekomen.Ook uit de Monitor Open Standaarden 2025 die Van Marum tegelijk naar de Tweede Kamer heeft gestuurd, blijkt een impasse. Overheidsorganisaties vragen gemiddeld 51 procent van alle standaarden uit die in een aanbesteding relevant zijn. Sinds 2018 is dit percentage niet omhoog gegaan. Alleen Rijkswaterstaat, de Belastingdienst, RDW, ICTU en de gemeenten Amsterdam en Sittard-Geleen zijn goede voorbeelden. Gebrek aan kennis, onduidelijke governance en dominante leveranciersBelangrijkste reden waarom de adoptie stagneert, is het gebrek aan kennis bij aanbestedende diensten. Ook leveranciers missen vaak inzicht in open standaarden. Een andere verklaring ligt in de machtsverhouding tussen aanbestedende diensten en leveranciers, stelt het rapport. Er wordt vaak gewezen op het probleem van (grote, dominante) leveranciers die open standaarden niet willen of kunnen toepassen. Dit vanwege gebrek aan kennis, conflicterende technologie of commerciële belangen. Men is bang dat als de open standaarden geëist worden, er minder of zelfs geen inschrijvingen komen op aanbestedingen. Een derde verklaring is het ontbreken van een duidelijke governance bij overheidsorganisaties: de rollen zijn versnipperd en de verantwoordelijkheden zijn niet belegd. Het is niet altijd duidelijk wie binnen de organisatie het beleid rond open standaarden bepaalt en toeziet op de naleving daarvan.Het Forum Standaardisatie heeft een ‘Pas toe of leg uit’-lijst ontwikkeld met standaarden waar overheidsinstantie gebruik van moeten maken. De verplichting geldt voor gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties. Maar de naleving is een probleem en verbetert ook niet.

BLOG – De roep om meer ict-autonomie klinkt onweerlegbaar. Minder afhankelijk van Amerikaanse hyperscalers. Meer grip op data. Minder geopolitiek risico. Maar het debat adresseert het verkeerde risicotype.Het geopolitieke scenario – ‘een buitenlandse regering draait de knop om’ – is een laagfrequent, extreem scenario. Het risico bestaat, maar is zeldzaam en speculatief. De dagelijkse werkelijkheid van it-onveiligheid is anders: phishing, misconfiguraties, identity-sprawl, trage patching, tokenmisbruik, gebrekkige detectie en respons. Operationele zwakte waardoor systemen daadwerkelijk omvallen, ook nog steeds na conformeren aan 25 jaar NIS, GDPR, Dora, enz.Toch richten we ons beleid op het zeldzame risico en niet op het structurele. Dat is geen toeval. Ons bestuurlijk systeem wordt afgerekend op zichtbare calamiteiten, niet op onzichtbare gemiste kansen. Regelgeving minimaliseert aantoonbare schade, maar verandert ook kansverdelingen. Innovatie is geen lineair proces, het is een staartverschijnsel. Doorbraken ontstaan uit variatie, experiment en een hoge fouttolerantie. Wie variatie dempt, dempt de kans op nieuw succes. Dat zie je niet terug want gemiste successen laten geen sporen na.We richten ons beleid op het zeldzame risico en niet op het structureleDe Europese halfgeleidergeschiedenis laat zien hoe dat werkt. Ambitieuze programma’s halen zelden hun oorspronkelijke doel maar de opgebouwde competenties blijken later ook veel waardevoller dan het beoogde resultaat. Toevallige combinaties van mensen, technologie en marktkansen leveren uiteindelijk de doorbraken op. Juist die toevalligheid moet meer onderdeel van het mechanisme worden gemaakt.DrempelsAls we vandaag autonomie definiëren als het systematisch uitsluiten van bestaande aanbieders, stapelen we drempels in een ecosysteem dat leeft van doorlaatbaarheid. Subsidie- en aanbestedingsregimes verschuiven risico’s naar ondernemers, terwijl beslissingsmacht richting toetsingskaders van overheden verschuift. Private investeerders worden risicomijdend als exit-scenario’s juridisch verstarren. Groei wordt ‘bet-the-company’, omdat terugschalen juridisch en financieel onvoorspelbaar of zelfs voorspelbaar onhaalbaar is.Ict-autonomie dreigt zo het verkeerde probleem te lossen en oude problemen weer te introduceren. Voorstanders van strengere kaders hebben een valide punt: zonder regulering ontstaan machtsconcentraties en systeemrisico’s. Maar regulering die uitsluitend schade wil voorkomen, zonder systematisch te toetsen wat zij aan kansruimte vernietigt, is bijziend voor haar eigen keerzijden.Minder afhankelijkDe kernvraag rond ict-autonomie is dus niet: hoe worden we minder afhankelijk maar verschuiven we afhankelijkheid niet ook naar een systeem dat minder schaal, minder incidentervaring en minder herstelvermogen heeft? Veiligheid is niet alleen juridische soevereiniteit. Veiligheid is operationele competentie. Die ontstaat door jarenlange innovatie en de noodzaak om te overleven. Dat vermogen kopieer je niet bij voorbaat door leveranciers te nemen. Wie niet innoveert, kan niet falen. Wie niet groeit, hoeft niet te herstructureren. Beleid lijkt zo te werken terwijl de kansruimte krimpt.Misschien moeten we autonomie niet definiëren als uitsluiting, maar als het vergroten van keuzevrijheid, experimenteerruimte en terugschakelbaarheid. Dat is wellicht een ongemakkelijke gedachte in een tijd waarin maximale controle als grootste deugd geldt.Rob Koelmans, directeur MetaMicro Automatisering

In dit nieuwsoverzicht: investeringen in Aizy en Clonable, nieuwe zorgplatform Syncura van Info Support, QRC loopt Wiconic en Graduate Ventures haalt de FT-top 180. Aizy krijgt 2 miljoen extra van bestaande investeerders AI‑marketingbedrijf Aizy uit Breda heeft twee miljoen euro opgehaald bij zijn huidige investeerders: oprichter/directeur Stefan Nuijten, Michiel Mol, Joost van der Klooster en Gijs Nagel. Zij investeerden in augustus al 1,5 miljoen euro in het bedrijf. Aizy ontwikkelt een ai‑platform dat mkb‑ondernemers helpt advertentiebudgetten voor onder meer Google en sociale media efficiënter in te zetten. Met het nieuwe kapitaal wil het bedrijf de software verder uitbreiden en beschikbaar maken voor marketingbureaus in binnen‑ en buitenland. Aizy telt vijfentwintig medewerkers en werkt voor meer dan honderdvijftig klanten in sectoren als de detaihandel, e‑commerce en automotive. Info Support introduceert zorgplatform Syncura voor veilige data-uitwisseling Info Support heeft Syncura gelanceerd, een cloudplatform voor zorgorganisaties dat veilige data-uitwisseling en beter it beheer moet ondersteunen. Het platform gebruikt standaarden zoals OpenEHR en FHIR, waardoor systemen eenvoudiger met elkaar kunnen communiceren. Zorginstellingen houden controle over hun gegevens en kunnen dankzij open standaarden toepassingen makkelijker integreren of vervangen. In de zorgsector zijn gebrekkige data-uitwisseling en verouderde it-systemen veelvoorkomende problemen. Zo sloeg de Federatie Medisch Specialisten (FMS) eerder dit jaar alarm dat gebrekkige data-uitwisseling patiënten in gevaar kan brengen. Syncura ondersteunt tweezijdige synchronisatie, zodat wijzigingen direct in alle gekoppelde systemen worden doorgevoerd. Het platform biedt daarnaast ruimte voor maatwerkapplicaties binnen een schaalbare omgeving. Syncura is inmiddels operationeel en wordt bij meerdere zorgorganisaties ingevoerd. Clonable haalt 1 miljoen aan groeikapitaal op voor internationale uitbreiding Clonable uit Gemert heeft één miljoen euro aan groeikapitaal opgehaald bij het Bossche Investeringsfonds, Imec.Istart en een groep angel‑investeerders. Het bedrijf biedt een saas‑platform waarmee organisaties hun websites kunnen klonen, vertalen en onderhouden voor internationale markten. Clonable heeft ruim driehonderd klanten in onder meer e‑commerce en toerisme en breidt zijn activiteiten uit richting Duitsland en Scandinavië. De investering wordt gebruikt om het platform verder te ontwikkelen, meer systemen te ondersteunen en de lokalisatie‑ en personalisatiefuncties te verbeteren. Daarnaast investeert het bedrijf in marketing en partnerprogramma’s om de volgende groeifase te realiseren. QRC Group neemt Wiconic over QRC Group uit Amstelveen heeft Wiconic ingelijfd. Dit Utrechtse bedrijf helpt organisaties helpt hun softwareontwikkeling en it‑processen te versnellen en te verbeteren. De overname volgt op een recente overname van Ditp. Volgens QRC-dircecteur Shahrooz Safarghandi past Wiconic bij de ambitie om een netwerk van specialistische bedrijven te bouwen. QRC Group bestaat onder meer uit QRC Infra & Cloud, QRC Finance, QRC Security, QRC AI, Ditp, Curelytics en nu dus Wiconic. Graduate Ventures voor het eerst in FT‑ranking beste Europese startup hubs Graduate Ventures uit Rotterdam en Delft is opgenomen in de lijst Europe’s Leading Start‑Up Hubs van de Financial Times, techplatform Sifted en onderzoeksbureau Statista. De ranking beoordeelt ruim drieduizend Europese startup hubs op onder meer mentoring, toegang tot kapitaal en netwerk. Graduate Ventures werd in 2021 opgericht door alumni van TU Delft, Erasmus Universiteit en Erasmus MC en richt zich op het versnellen van ondernemerschap vanuit deze kennisinstellingen. Het fonds haalde in vijf jaar tijd bijna zestig miljoen euro op en investeerde in meer dan vijfenzeventig startups. Het platform richt zich vooral op deeptech, medtech en climatetech en wordt gedragen door ruim tweehonderd betrokken alumni‑ondernemers. De lijst van dit jaar omvat 180 hubs in vijfentwintig landen in Europa. Het Verenigd Koninkrijk, Duitsland en Spanje waren de thuisbasis van de meeste winnaars in het algemeen. De top drie was zelfs helemaal Duits: UnternehmerTUM, Start2 Group en BayStartUP (alle drie uit Beieren). Naast Graduate Ventures (plek 96) zijn er nog acht andere Nederlandse vermeldingen van startup-hubs in de top 180: UtrechtInc (15), Startupbootcamp (33), Esa Bics (43), Yes!Delft (51), Techleap (53), Unknown University of Applied Sciences (73), Climate KIC (93) en StartLife (111).

Professor Bram Nauta over ai-processoren Het Eindhovense Euclyd zou zomaar over pakweg tien jaar de nieuwe Nvidia kunnen zijn, zo meent Bram Nauta, hoogleraar Micro Chip Design aan de Universiteit Twente. ‘Maar een chipfabriek zie ik hier niet gebouwd worden.’ Europa heeft de chipproductie uit handen gegeven. Siemens Nixdorf was in de jaren negentig de grootste producent van processoren in Europa, maar gooide al in 1999 de handdoek in de ring. Philips volgde in 2006 toen het zijn eigen chipdivisie afstootte, waarmee NXP werd geboren. Dit bedrijf, evenals bijvoorbeeld Nexperia, draait mee in de wereldtop van chipontwerp en -productie. En natuurlijk ASML als afsplitsing van Philips. De productie van de meeste chips vindt evenwel in Taiwan plaats. ‘De productiefaciliteit van NXP in Nijmegen wordt gesloten’, vertelt Bram Nauta, wereldwijd erkend expert in het ontwerpen van chips. ‘Alles gaat weg. Deels door laksheid, desinteresse. Mensen hebben heel lang gedacht dat het niet uitmaakt waar je ze maakt. Dus komen ze nu vooral uit Taiwan. Tien jaar geleden kwam ik bij het ministerie van Economische Zaken het belang van chip-ontwerp en -productie bepleiten. Dat vonden ze niet interessant. Toen kwam corona en vervolgens viel alles stil. En toen ontdekten we dat chips wel belangrijk zijn, maar we maken ze niet meer. Ze hebben gewoon niks gedaan. Dus ja, dan is het weg.’ Frankrijk neemt in Europa op it-gebied nog wel een zelfstandige rol in. Zo maakt STMicroelectronics nog zelf chips. Nauta: ‘Zij gebruiken 22 nanometer-technologie. Maar dat is niet geschikt voor de meeste geavanceerde processoren. Dat is meer voor wearables of bluetooth radio’s, wifi, auto-elektronica.’ Energiezuinigheid Daar komt bij dat de opkomst van ai het speelveld compleet heeft veranderd. ‘Het bijzondere aan processoren voor kunstmatige intelligentie is dat ze heel snel parallel kunnen rekenen’, vervolgt Nauta. ‘Een gewone processor haalt een instructie uit het geheugen, voert dan iets uit en zet het resultaat terug in het geheugen. Allemaal na elkaar. Grafische processoren doen heel veel dingen parallel. Nvidia is als producent van grafische processoren daarom heel groot geworden in ai. Die processoren bestonden al en de softwareomgeving bestond al. Maar het is nog niet optimaal. Die dingen zijn gemaakt voor grafische kaarten om tekenfilms te maken of games. Maar het zijn nog steeds chips die heel veel energie vreten. Je praat toch over een chip met een vermogen van 2000 watt. Die wordt zo heet dat hij in de olie moet hangen om te koelen.’ Euclyd zou zomaar Nvidia van de troon kunnen stoten. Dan zouden we in Europa Craftwerk-chips kunnen maken Nauta ziet een nieuwe generatie ai-chips aankomen die honderd keer zuiniger is dan de huidige. Onder andere het Eindhovense Euclyd (met een nevenvestiging in San Jose, Californië) produceert die nieuwe generatie. Zij maken een enorme chip met 16.384 SIMD-processoren (parallelle rekenkernen) en 1 tb geheugen die zelfs sneller is dan Nvidia’s paradepaardje. Het systeem onder de naam Craftwerk, is afgelopen september geïntroduceerd op de Kisaco Infrastructure Summit in Santa Clara. ‘De grote kosten van ai zijn de stroomkosten. Het is nu al zo dat als je een groot datacenter neerzet, er eigenlijk een kerncentrale naast moet om de stroom te leveren. Dat maakt Euclyd – opgezet door, jawel, oud-Philips mensen – bijzonder interessant’, verklaart Nauta. ‘Ze zouden zomaar Nvidia van de troon kunnen stoten. Dan zouden we in Europa een fabriek kunnen bouwen om de Craftwerk-chips te maken. Het is logisch om dat door TMSC te laten doen, want dit Taiwanese bedrijf bouwt de ene chipfabriek na de andere. Zij maken geen fouten meer. Maar Nederland is te klein voor een chipfabriek; de energieprijs hier is veel te hoog. Waarschijnlijk komt er dan een fabriek in Dresden of rond Grenoble in Frankrijk.’ Nauta verwacht trouwens dat meer bedrijven wereldwijd iets bouwen dat Euclyd maakt. ‘Het is de logische, volgende stap in processorontwerp. Het is wel heel moeilijk om ze te ontwerpen.’ Mijn grootste zorg is de afnemende belangstelling om technologie te studeren. We hebben de ingenieurs hard nodig Twente Intussen floreert het chiponderzoek in Twente. De Universiteit Twente werkt veel samen met bedrijven wereldwijd, vertelt Nauta. ‘Wij ontwerpen chips en laten ze bakken in Dresden. In de buurt van onze universiteit zitten negen chipontwerpbedrijven. Eentje maakt infraroodcamera’s voor professionele toepassingen zoals inspectie bij productieprocessen. Een andere maakt radars voor auto’s en andere bedrijven maken weer bluetooth-ontvangers en -zenders. Ze lopen allemaal goed.’ ‘Allerlei bedrijven komen naar ons toe als ze een probleem hebben waar ze zelf niet uitkomen. Dan laten ze ons onderzoeken. Als wij het oplossen, krijgen zij de patenten. Dat is ons verdienmodel. Wij verdienen er genoeg mee; we hebben haast geen subsidie meer nodig.’ Nederlandse politici zijn inmiddels overtuigd van het belang een eigen it-industrie te hebben. ‘Mijn grootste zorg is de afnemende belangstelling om technologie te studeren’, verzucht Nauta. ‘We hebben de ingenieurs hard nodig.’ Cruciale sector in NederlandDe Nederlandse halfgeleiderindustrie groeide van € 39,1 miljard in 2021 naar ongeveer € 65 miljard in 2024 en bleef in 2025 rond de € 65–70 miljard omzet. De groei komt vooral door ASML, NXP en ASM International. De sector blijft cruciaal voor zowel economie als geopolitiek. De cijfers komen van de Nederlandse overheid die op een website investeerders warm wil maken om geld in deze industrie te steken. Dit artikel staat ook in Computable Magazine 2026 #1.

COLUMN – Het nieuwe kabinet is druk bezig vorm te krijgen en de eerste bewindspersoon is alweer naar huis gestuurd. Of ze heeft zelf haar conclusies getrokken. Beoogd staatssecretaris Van Berkel had haar cv opgeleukt. En hoewel we dat allemaal doen, mag dat niet. Het was ook niet nodig. Als je een keer de avondvierdaagse hebt gelopen, heb je al meer op je cv staan dan sommige ministers uit het vorige kabinet. Dat is ook het grote voordeel van dit kabinet: slechter kunnen de bewindsvoerders het niet doen. Het vorige kabinet is alleen maar bezig geweest met het pesten van asielzoekertjes. En zelfs dat is niet gelukt. Zowat alle belangrijke dossier zijn blijven liggen. In het overdrachtsdocument van het vorige kabinet voor het nieuwe kabinet stonden maar twee woordjes: succes ermee! In het overdrachtsdocument van het vorige kabinet stonden maar twee woordjes CDA en D66 hebben er zin in. Van de VVD weten we het nog niet. De VVD zit natuurlijk alleen maar in het kabinet om de hypotheekrenteaftrek en box 3 te bewaken. Het eerste lijkt al gelukt, bij het tweede weten ze dat ze daar niks aan hoeven te doen. Ze begrijpen daar dat het tot en met 2075 duurt voordat er aanpassingen in de systemen van de belastingdienst zijn door te voeren. Plank Maar er wachten genoeg uitdagingen. Vooral ook op digitaal vlak. Want er ligt genoeg op de plank. Denk alleen maar aan cybersecurity, gegevensuitwisseling en het te kort aan digitale professionals. Daarbij komt nog eens dat de systemen die we daarbij inzetten uit Amerika, het land van onze voormalige bondgenoot, komen. Bovendien zijn die systemen alleen te benaderen met een 5G-netwerk uit China, onze hopelijk toekomstige bondgenoot. Wat dat betreft geef ik het vorige kabinet gelijk: succes ermee! Jacob Spoelstra is columnist/stand-upcomedian. Kijk hier voor meer informatie.

D66-politica Nathalie van Berkel, in opspraak na publicaties in De Volkskrant over onvolkomenheden in haar cv, heeft ook onjuiste informatie over haar opleidingen verschaft toen zij toetrad tot de raad van bestuur van het UWV. FvD wil nu van de minister weten of de Algemene Bestuursdienst (ABD) cv’s van topambtenaren afdoende controleert. Nadat Van Berkel zich afgelopen maandag had teruggetrokken als beoogd staatssecretaris van Financiën, gaf zij dinsdag ook haar Kamerlidmaatschap voor D66 op. De gevallen politica Van Berkel was van 2019 tot augustus 2025 lid van de raad van bestuur. De eerste vier jaar ‘deed’ Van Berkel behalve het UWV Werkbedrijf ook de ict, wat tot de nodige kritiek leidde. Met het aantreden van ict-professional René Steenvoorden in de raad van bestuur werd er meer kennis over digitalisering binnengehaald. Van Berkel bleef nog wel betrokken bij het ict-beleid. Ze steunde de door Van Steenvoorden gestarte, omstreden operatie Verandermotor die vooral de it van UWV op zijn kop zet. Kamervragen Bij haar aantreden als bestuurslid stuurde het UWV een persbericht uit waarin stond dat Van Berkel Nederlands recht aan de Erasmus Universiteit Rotterdam studeerde en Bestuurskunde aan de Universiteit Leiden. In werkelijkheid had ze alleen een HBO-propedeuse had en rondde ze het toelatingstraject voor de master nooit af. De genoemde studie Rechten heeft ze nooit afgemaakt. Tweede Kamerlid Pepijn van Houwelingen (FvD) vraagt naar aanleiding van de berichtgeving opheldering van minister Frank Rijkaart (Binnenlands Zaken). Hij wil weten of de Algemene Bestuursdienst (ABD) wist dat de cv van Van Berkel was opgepoetst. Van Houwelingen wil ook van de bewindsman weten of de cv’s van ambtenaren die vallen onder de ABD worden gecontroleerd. En zo nee, waarom niet. Hij dringt erop aan om de cv van betrokken ambtenaren door een extern bureau te laten controleren. Dit zou op zijn minst moeten gebeuren bij de ambtenaren die behoren tot de Topmanagementgroep van de ABD. Materiekennis René Jan Veldwijk, ict-expert bij de Ockham Groep en jarenlang UWV-watcher, was in een LinkedIn-post verbaasd dat Van Berkel werd beoogd als staatssecretaris van Financiën, zonder fiscale kennis en zonder een goede track record op gebied van ict (hij wijst erop dat zij destijds zelfs de lichtste portefeuille bij het UWV – Werkbedrijf – niet aan kon).Terwijl zo’n bewindspersoon effectief de eindbaas is van de Belastingdienst, een organisatie die op ict-gebied veel problemen kent.  Veldwijk alsook een andere UWV-watcher, Daan Rijsenbrij, vinden de discussie over haar cv uiteindelijk eigenlijk minder relevant. Het werkelijke probleem in hun ogen is dat er te veel bestuurders/managers zonder materiekennis op posities worden geplaatst die voor de samenleving cruciaal zijn. Met veel maatschappelijke probleemdossiers tot gevolg.

D66 wil strengere eisen stellen aan telecomproviders om grootschalige datalekken te voorkomen zoals bij Odido is gebeurd. Ook zouden er meer toezichtmaatregelen moeten komen. Dit blijkt uit vragen van de Tweede Kamer-leden Sarah El Boujdaini en Jan Schoonis aan minister Vincent Karrermans (Economische Zaken) en staatssecretaris Eddie van Marum (Digitalisering).Beide D66-Kamerleden vragen zich af of de eisen, die momenteel worden gesteld aan telecomproviders voor wat betreft cyberbeveiliging en gegevensbescherming, nog aan de huidige dreigingscontext voldoen. Veel aanvallen zijn verschoven naar identiteiten in plaats van firewalls. De meeste grote incidenten vinden momenteel via geldige accounts plaats, merkt Ronald Prins, medeoprichter van het cybersecuritybedrijf Hunt & Hackett op.El Boujdani wil ook weten of er sprake is van nalatigheid dan wel onvoldoende naleving van de Europese privacy- en beveiligingsverplichtingen, zoals de Algemene verordening gegevensbescherming (AVG), door Odido.Lampje branden?Veiligheidsexperts vinden het opmerkelijk dat de monitoring bij Odido geen alarm sloeg, terwijl massale data-exfiltratie van 6,2 miljoen records plaatsvond. Als dit ook ‘s nachts of buiten de kantooruren gebeurt en de hele dag voortduurt, had er volgens Prins toch ergens een lampje moeten gaan branden. Pieken in het netwerkverkeer dienen te worden gesignaleerd, zegt hij.Momenteel is nog niet duidelijk wat de aanvallers met de ‘buit’ gaan doen. D66 vraagt het kabinet het risico te beoordelen dat de bij Odido gestolen persoonsgegevens in de toekomst alsnog openbaar worden gemaakt, en welke gevolgen dit kan hebben voor de veiligheid en privacy van betrokken burgers.