computable

Industriebeurs staat in het teken van ‘industrial ai’ Nederland is ook in 2026 aanwezig op de Hannover Messe met een gezamenlijk NL Paviljoen. De industriële vakbeurs vindt plaats van 20 tot en met 24 april in Hannover en trekt jaarlijks meer dan 120.000 bezoekers uit ruim honderdvijftig landen. Bij deze editie is Brazilië het partnerland. Het ‘Oranje-paviljoen’ is te vinden in hal 13 en wordt georganiseerd door de Rijksdienst voor Ondernemend Nederland (RVO) in samenwerking met onder meer PSPS Business Abroad en verschillende topsectoren. In het NL Paviljoen presenteren mkb’s, startups, scale-ups en kennisinstellingen zich gezamenlijk onder één nationale branding. De focus ligt dit jaar op drie hoofdthema’s: Smart Industry, Hightech & Digital Solutions (1), Dual-Use & Security Technologies (2) en Sustainable & Smart Chemistry (3) met daarbij speciale aandacht voor defensietechnologie. Het wordt georganiseerd door Holland High Tech, samen met Rijksdienst voor Ondernemend Nederland (RVO), PSPS Business Abroad, de ministeries van Economische Zaken en Buitenlandse Zaken en topsectoren Chemie en ICT. Industrial ai Hannover Messe positioneert zich als ontmoetingsplaats voor industrie, technologie en beleid, waarbij de nadruk ligt op toepasbaarheid en schaalbaarheid van nieuwe technologieën. Gedurende vijf dagen presenteren ruim drieduizend exposanten in dertien hallen de nieuwste innovaties op het gebied van hightech, ict, energie en chemie. De editie 2026 staat in het teken van de praktische inzet van artificiële intelligentie (ai) in de maakindustrie. Exposanten laten zien hoe ai, robotica, automatisering en digitalisering kunnen bijdragen aan meetbare verbeteringen in productieprocessen. Als voorbeeld noemde organisator Deutsche Messe tijdens een persconferentie het bedrijf Agile Robots dat op de beurs zijn humanoïde robot Agile ONE, die zelfstandig kan opereren in industriële omgevingen, toont. Ook wees algemeen directeur Jochen Köckler op een ander Duits bedrijf, Sew‑Eurodrive, dat een ai‑gebaseerde chatfunctie presenteert waarmee machines via natuurlijke taal kunnen worden geconfigureerd, zonder gebruik te maken van grote taalmodellen. Het doel is het verkorten van inbedrijfstellingstijden. En op de Hannover Messe mag het Duitse techconcern Siemens niet ontbreken. Het Duitse techconcern demonstreert op de beurs onder meer een flexibele productielijn voor schoenen waarin robots niet alleen aanbevelingen geven, maar zelfstandig acties uitvoeren. Zowel een autonome verpakkingsrobot als een humanoïde robot zijn onderdeel van die opstelling. In totaal tonen circa vijftien bedrijven humanoïde robots, wat onderstreept dat deze technologie de stap maakt van onderzoek naar industriële inzet, aldus topman Köckler. Center Stage Nieuw dit jaar is het centrale podium ‘Center Stage’, waar bestuurders uit de industrie, politiek en wetenschap in gesprek gaan over de toekomst van productie en technologie. Zo spreekt op de openingsdag spreekt de Duitse bondskanselier Friedrich Merz met topbestuurders zoals Roland Busch van Siemens, Christian Klein van SAP en Tim Höttges van Deutsche Telekom. De gesprekken richten zich op de opschaling van ai binnen industriële processen. Een dag later zal Toto Wolff, teambaas van het Mercedes-AMG Petronas Formule 1-team, samen met Oliver Steil, ceo van softwarebedrijf TeamViewer, innovaties in de Formule 1 te bespreken en wat de industrie daarvan kan leren. Op het programma staat verder onder meer nog een discussie over de toekomst van humanoïde robotica, met bedrijven als Microsoft, Nvidia, Hexagon, Agile Robots, BMW en Schaeffler, en een videoboodschap van Barack Obama waarin hij aspirant-ondernemers aanspoort om ‘moedig te zijn in het vormgeven van de toekomst’. Geopolitiek en Brazilië Gedurende de beursweek komen ook thema’s als defensie-industrie, geopolitiek en energievraag aan bod. In de nieuwe themaruimte ‘Defense Production Park’ tonen ongeveer veertig bedrijven hoe productietechnologie kan worden opgeschaald voor veiligheidskritische toepassingen. Daarnaast staan discussies gepland over automatisering, innovatie-ecosystemen en arbeidsmarktveranderingen door ai. Partnerland van Hannover Messe 2026 is Brazilië. Tijdens de opening zijn zowel de Duitse bondskanselier Merz als de Braziliaanse president Luiz Inácio Lula da Silva aanwezig. Vooral tegen de achtergrond van de huidige geopolitieke situatie wint Brazilië – en daarmee Zuid-Amerika als geheel – aan belang als een betrouwbare handels- en industriële partner voor Duitsland en Europa, aldus de Deutsche Messe.

De Tweede Kamer heeft het wetsvoorstel voor de Cyberbeveiligingswet aangenomen. Met deze wet moeten duizenden Nederlandse bedrijven en organisaties voldoen aan meer verplichtingen op het gebied van cybersecurity. Ze moeten onder andere voldoen aan de zorgplicht, meldplicht en registratieplicht. De deadline voor de implementatie van de NIS2-richtlijn in nationale wetgeving was eigenlijk al in oktober 2024 verlopen, maar alleen België en Kroatië wisten de deadline te behalen. Gevraagd naar de enorme vertraging wees het ministerie van Justitie en Veiligheid onlangs op het complexe karakter van de wet. De ingewikkeldheid van de vertaling van de NIS2-richtlijn is volgens de huidige en voorgaande kabinetten onderschat. Verder verklaarde het ministerie het feit dat de Belgen en Kroaten veel eerder de implementatie klaar hadden uit een verschil in zorgvuldigheid.  Overigens moet het wetsvoorstel nog door de Eerste Kamer. De verwachting is dat de Nederlandse Cyberbeveiligingswet nog voor 1 juli aanstaande in werking treedt. Daarna moeten Nederlandse organisaties voldoen aan de strengere maatregelen voor de beveiliging van netwerk- en informatiesystemen. Naast de NIS2-richtlijn heeft de Tweede Kamer ook een wet gebaseerd op de CER-richtlijn, voor het beschermen van kritieke infrastructuur, aangenomen. Woensdag werd nog een motie van de Tweede Kamerleden Barbara Kathmann (GroenLinks-PvdA) en Laurens Dassen (Volt) aangenomen over het inrichten van één centraal meldloket. De Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten introduceren een ‘meldplicht’ met als risico een wildgroei aan losse meldloketten; de motie moet dit tegen gaan.

Bij ASML blijft de ontvangst van orders voor zijn chipmachines zeer sterk. 2026 ziet er heel goed uit. Het wordt een sterk jaar met krachtige groei, aldus financieel directeur Roger Dassen tijdens een toelichting op de resultaten over het eerste kwartaal. In die periode bedroeg de netto-omzet 8,8 miljard euro, de bruto-marge 53 procent en de nettowinst 2,8 miljard euro; zelfs nog iets beter dan verwacht. De halfgeleiderindustrie blijft doorgroeien, grotendeels gedreven door investeringen in ai-infrastructuur, waaronder datacenters. Dit vertaalt zich dus in een grote vraag naar geavanceerd geheugen en geavanceerde logica.  ASML verwacht zelfs dat het aanbod de vraag in de nabije toekomst niet zal kunnen bijbenen. Dit zorgt dus voor een sterke beperking in de eindmarkten, van ai tot mobiel en pc. Met name aan geheugens bestaat grote krapte. De geheugenchip-fabrikanten zijn voor 2026 al volgeboekt. En hun leveringsbeperkingen zullen ook na dit jaar aanhouden. Opschalen  Voor geavanceerde ‘logic’ ziet ASML dat klanten capaciteit opbouwen voor verschillende nodes, terwijl ze ook doorgaan met het opschalen van 2 nm om aan de vraag naar ai-producten te voldoen. Dit vertaalt zich in een hogere vraag naar ASML-machines. Ook wordt gewerkt aan betere prestaties van systemen. Onlangs kondigde ASML een doorbraak aan om met zijn zeer geavanceerde EUV-machines de modernste chips in grotere volumes te produceren. Groot is de vraag naar ‘Low NA EUV’ (extreem ultraviolette lithografie) systemen. Ook wordt een hogere omzet verwacht in de iets minder geavanceerde niet-EUV-activiteiten. Voorspoedig loopt de verkoop van immersion systems en duv-machines (deep ultraviolet) waarbij een laagje water tussen de lens en de siliciumschijf de resolutie verbetert. Afgelopen februari sprak ASML nog van een trage start, maar de vraag is nu omgeslagen.  China, VS en Zuid-Korea ASML verwacht dit jaar een omzet van 36 tot veertig miljard euro. Daarbij is rekening gehouden met mogelijk negatieve uitkomsten van de lopende discussies over exportcontrole, aldus ASML-topman Christophe Fouquet. De Verenigde Staten willen de uitvoer van chipmachines naar China verder beperken, ook die van ASML, waarin Amerikaanse componenten en software zitten. Afgelopen kwartaal was het aandeel van China in de omzet van ASML nog maar 19 procent. In dezelfde periode van 2025 was dat 36 procent, in het derde kwartaal van 2024 nog 47 procent. Zuid-Korea is met 45 procent nu veruit de grootste afnemer.   ASML verwacht in het lopende kwartaal een netto-omzet van tussen de 8.4 miljard euro en negen miljard euro, met een bruto-marge van tussen de 51 en 52 procent. De r&d-uitgaven bedragen zo’n 1,2 miljard euro. De inkoop van eigen aandelen wordt voortgezet. In het eerste kwartaal bedroeg die 1,1 miljard euro, volgens FNV Metaalbond-bestuurder Peter Reniers een gigantisch bedrag dat niet past in het beeld van de grote reorganisatie waarbij drieduizend banen op de tocht staan. Over die herstructurering deed ASML vandaag geen nieuwe mededelingen. In een vooraf opgenomen video-interview (ter toelichting van de situatie bij ASML) met de topmannen Fouquet en Dassen bleef dit onderwerp ook onaangeroerd.

In dit nieuwsoverzicht: verouderde it-systemen nemen werkplezier weg, Pointer ontmaskert Four Fingers als oplichter van amoureuze klanten, Caiway zet laatste klant over naar Delta, Wilco van Bezooijen nieuwe topman Ricoh Nederland, en virtual twin-technologie leidt tot snellere ontwikkeling cosmetica. Verouderde it schaadt productiviteit en werkplezier Verouderde it-systemen drukken zwaar op productiviteit en werkplezier, blijkt uit onderzoek van het Amerikaanse softwareleverancier Pegasystems en de Britse marktonderzoek YouGov onder circa 2.600 werknemers in de VS en het VK. Zo ervaart 64 procent dagelijks hinder van gebrekkige systemen en overweegt ruim een derde om van baan te veranderen. Ondanks investeringen in ai blijft de praktijk achter: slechts 41 procent vindt de gebruikte technologie effectief en 33 procent echt behulpzaam. Legacy-systemen spelen een negatieve rol: 31 procent werkt nog met verouderde technologie, waaronder desktopapps zonder web-interface en mainframes. Dit leidt tot frustratie, demotivatie en vertraging. Werknemers vragen vooral om snellere systemen, meer automatisering en hogere nauwkeurigheid. Tegelijkertijd onderschatten organisaties de impact van achterhaalde it op betrokkenheid en retentie. Opgelicht: Nederlands bedrijf houdt klanten via honderden nepdatingsites ‘aan de praat’ Het Nederlandse bedrijf Four Fingers Management misleidt klanten op honderden nepdatingsites door ze te laten chatten met nepprofielen. Dat blijkt uit onderzoek van KRO-NCRV-programma Pointer. Gebruikers op ruim 1.600 nepdatingsites in 32 landen denken met echte personen te chatten in de hoop op een afspraak, maar communiceren in werkelijkheid met medewerkers die worden betaald per bericht. De sites gebruiken foto’s van echte personen, onder wie influencers en (porno)actrices, voor nepprofielen. In tests kregen journalisten geen duidelijkheid over het nepkarakter, zelfs niet na expliciete vragen. Daarmee zouden structureel richtlijnen van de Autoriteit Consument & Markt (ACM) worden overtreden. Belangenorganisaties noemen de werkwijze ‘volstrekt verwerpelijk’ en roepen op tot ingrijpen. De ACM spreekt van een zorgelijk signaal, maar doet nog geen uitspraken over een mogelijk onderzoek. Delta rondt migratie Caiway-klanten af Caiway heeft zijn laatste klant overgezet naar Delta. Daarmee is de migratie van ruim 200.000 klanten afgerond. De overgang naar één merk en netwerk werd in 2024 aangekondigd en markeert het einde van een meerjarig integratietraject. Volgens Delta heeft de overstap een positief effect op de klanttevredenheid: de Net Promoter Score steeg met zes punten onder voormalige Caiway-gebruikers. De meeste klanten zijn overgezet naar een vergelijkbaar Flexpakket, vaak met meer mogelijkheden of lagere kosten. Met de afronding wil Delta sneller innoveren en de dienstverlening verbeteren. Klanten profiteren van hogere glasvezelsnelheden tot 8 Gbps en flexibele abonnementsopties. Wilco van Bezooijen nieuwe topman Ricoh Nederland Wilco van Bezooijen. Wilco van Bezooijen is benoemd tot managing director van Ricoh Nederland. Hij volgt Stephen Palmer op, die na een loopbaan van ruim veertig jaar met pensioen gaat. Met de benoeming kiest Ricoh voor een meer geïntegreerde aansturing van de organisatie, gericht op een consistente dienstverlening voor klanten. Ook wordt de samenwerking met dochterbedrijf Avantage versterkt: managing director René Hendriks gaat rechtstreeks rapporteren aan Van Bezooijen. De nieuwe topman richt zich op het vergroten van klantwaarde, met nadruk op sterke relaties, betrouwbare service en oplossingen die aansluiten op veranderende behoeften. Van Bezooijen was sinds april 2025 commercieel directeur bij Ricoh Nederland en bekleedde eerder functies bij Xerox, Veenman, Kyocera en Eshgro Cloud Services. Groupe Rocher zet virtual twins Dassault Systèmes in voor snellere ontwikkeling cosmetica Groupe Rocher gaat samen met Dassault Systèmes virtual twin-technologie inzetten om de ontwikkeling van natuurlijke cosmetica te versnellen. Het doel is om minder laboratoriumtests nodig te hebben en sneller effectieve formules te ontwikkelen. De aanpak combineert chemische modellering, simulatie en generatieve ai in een voorspellend raamwerk. Daarmee kunnen onderzoekers eerder bepalen welke ingrediënten en samenstellingen kansrijk zijn. Momenteel zijn gemiddeld zo’n dertig tests nodig per product; dit moet met circa twintig procent omlaag. De technologie wordt toegepast via het 3DExperience-platform van Dassault Systèmes. Volgens beide partijen leidt de inzet tot kortere ontwikkeltijden en een efficiëntere r&d.

Na zeven onderhandelingsrondes zijn ASML en de vakbonden nauwelijks tot elkaar gekomen over het sociaal plan dat de nadelige gevolgen van de geplande reorganisatie moet opvangen. De Metaalbond FNV vindt de concessies die de chipmachinefabrikant heeft gedaan, ronduit mager.  ASML neemt de wettelijke transitievergoeding als basis, vermenigvuldigd met een factor 2,5. Voorheen bood ASML een factor 2. Dit betekent dat medewerkers bij vertrek in plaats van tweederde maand per gewerkt dienstjaar in het nieuwe voorstel ongeveer driekwart maand per gewerkt dienstjaar meekrijgen. De bonden willen echter de kantonrechtersformule als basis nemen, wat veel verschil uitmaakt. Een ander geschilpunt blijft de plaatsmakersregeling. De bonden willen dat ook mensen die niet boventallig zijn daarvan (vrijwillig) gebruik kunnen maken. ASML is bereid die regeling toe te passen, maar alleen in gevallen waarin het bedrijf daarmee instemt. Het moet om een boventallige collega gaan die een functie heeft die onderling uitwisselbaar is. Volgens Peter Reniers, bestuurder Metaalbond FNV, lijkt dat een concessie maar zal het effect hiervan in de praktijk zeer beperkt zijn.  Financiële zekerheid De bonden dringen aan op meer financiële zekerheid voor mensen waarvan het dienstverband wordt beëindigd. Reniers: ‘ASML strooit met geheimhoudings- en concurrentiebedingen wat de terugkeer op de arbeidsmarkt kan belemmeren.’ Hij vindt dat dergelijke voorwaarden meer moeten worden gecompenseerd. In de komende slot-onderhandelingsronde zal ook de kwestie van de ‘farm-out’-regeling op tafel komen. De bonden vinden het onbegrijpelijk dat intern drieduizend banen op de tocht staan, terwijl er structureel werk blijft bestaan dat wordt verricht door externe inhuurkrachten. ASML heeft op dit punt wel water bij de wijn gedaan, maar volgens de bonden onvoldoende. ‘Structureel extern werk blijft grotendeels buiten schot,’ aldus Reniers. Over het sociaal plan zegt hij: ‘Er is beweging maar we hebben nog een hele weg te gaan.’

BLOG – In het artikel van Willem Beelen speelt impliciet een belangrijke vraag mee, die nog explicieter is te stellen: wat zijn de gevolgen van slecht op­dracht­ge­ver­schap bij de overheid? Wanneer de overheid haar eigen digitale basis niet eerst helder definieert, gebeurt bijna automatisch het volgende: leveranciers gaan gaten vullen die door publieke infrastructuur en publieke normering hadden moeten worden ingevuld. Vendors bouwen dan oplossingen rond problemen die in wezen voortkomen uit het ontbreken van een gedeelde architectuur en gedeelde standaarden. Daarom zou de overheid eerst voor zichzelf twee zaken moeten vastleggen. Ten eerste: welke lagen van de digitale infrastructuur moeten publiek, generiek, open en soeverein zijn? En pas daarna: op welke niet-kritieke of vervangbare lagen kunnen leveranciers meedoen? Fase 1: publiek huiswerk De overheid moet eerst zelf bepalen: Architectuurlagen; Open standaarden; Governance; Compliance-kaders; Referentie-implementaties; Portabiliteits- en exit-eisen. Als deze basis helder is, kan de markt daarop aansluiten. Fase 2: realisatie uitbreiding in­fra­struc­tuur Vervolgens organiseert de overheid een aantal generieke voorzieningen: Messaging-infrastructuur; Trust- en identity-voorzieningen; Document- en metadatastandaarden; Audit- en loggingvoorzieningen; Archief- en duurzaamheidseisen. De realisatie daarvan hoeft de overheid niet zelf te bouwen, want kan plaatsvinden met platformleveranciers zoals IBM/Red Hat, Microsoft, Cisco, Huawei, Google, Netgear, Sophos, Atos, Capgemini, Exact of anderen die zich daartoe geroepen voelen. Het is cruciaal dat deze lagen ‘commodity’ worden en op termijn nagenoeg gratis zijn. Daarbij moet dus gelden dat de infrastructuurlaag leverancierneutraal is. Net zoals een serverinfrastructuur van een ministerie of gemeente niet afhankelijk zou moeten zijn van één specifieke applicatieleverancier maar Linux, Unix, Apple e.d. een gezamelijke infrastructuur gebruiken. Daarbij moet wel gekeken worden naar wat de EU (aan tegenstrijdigs) op dat vlak heeft geformuleerd. Historisch was dat ook het idee achter platforms als Windows Server Enterprise met daarboven oplossingen als SharePoint voor document lifecycle management en compliance. Of vergelijk het met de telecomwereld: een isdn-modem werkte probleemloos met een PBX van Siemens, Avaya, Nortel, NEC, Philips of andere leveranciers. Tegenwoordig is https-443 feitelijk het universele transport. Alles daarboven wat niet tot een specifieke applicatie behoort maar elke applicatie nodig heeft, zou tot een generieke infrastructuurlaag moeten horen. Verticale toepassingen – van bijvoorbeeld Elastic, mintBlue, Palantir, Splunk of andere leveranciers – moeten zich daar vervolgens aan conformeren om überhaupt werkend te kunnen worden opgeleverd. Een staatssecretaris van Transport zou bij de aanschaf van een nieuwe trein waarschijnlijk vreemd opkijken als een leverancier vraagt: ‘Waar komt onze rail eigenlijk het station binnen? We gaan er namelijk vanuit dat geen enkel bestaand spoor geschikt is voor deze trein.’ In de digitale wereld gebeurt dat echter regelmatig: leveranciers worden betrokken voordat de rails – de generieke infrastructuur en standaarden – zijn vastgelegd. Doel Als digitale soevereiniteit werkelijk het doel is, begint die dus niet bij de keuze voor specifieke technologie of leveranciers, maar bij het vaststellen van een publieke digitale basisinfrastructuur waar iedereen op moet aansluiten. Anders blijft het moeilijk te begrijpen wat de rol van een staatssecretaris voor Digitale Economie en Soevereiniteit precies zou moeten zijn. Applicaties aanschaffen zoals van Elastic en mintBlue zal op zijn minst moeten wachten tot duidelijk is wat er absoluut niet toe mag behoren en ze dus als een virtuele test-infrastructuur erbuiten moeten meeleveren. Rob Koelmans, directeur MetaMicro Automatisering

ChipSoft is na een week nog niet in staat om conclusies te trekken over oorzaak, omvang, bron en impact van het ransomware-incident dat de software-maker heeft getroffen. Het forensisch onderzoek bij de leverancier van het elektronisch patiëntendossier (epd) HiX heeft meer tijd nodig.  Zelfs security-experts die ChipSoft bijstaan, hebben nog maar weinig informatie gekregen over wat er nu precies is gebeurd. Als de Cyberbeveiligingswet al van kracht was geweest, had ChipSoft binnen 72 uur rapport moeten uitbrengen.  Voorlopig blijft de toegang tot mogelijk getroffen systemen geblokkeerd. Sinds woensdag 8 april zijn de verbindingen met het Zorgportaal, HiX Mobile (alle apps) (HAS Relay) en het Zorgplatform uitgezet.  Via dat laatste platform zijn geen gegevens uit te wisselen. Ziekenhuizen hebben verbindingen naar systemen van andere zorgverleners uitgeschakeld. Intern zijn dossiers wel toegankelijk. De patiëntenportalen die door ChipSoft worden gehost, zijn extern niet beschikbaar. Ook werken in sommige ziekenhuizen de aanmeldzuilen niet. Website onbereikbaar ChipSoft krijgt veel vragen uit de zorgwereld. Op LinkedIn kondigt het bedrijf een nieuwe webpagina aan met de laatste informatie en antwoorden op vragen. Zodra deze pagina online staat, zal ChipSoft de link delen. De eigen website is onbereikbaar.  De systemen van ChipSoft worden gebruikt om diagnoses, medicatie, laboratorium-rapporten en psychiatrische notities op te slaan. Om die reden vereisen ze het hoogste niveau van beveiliging. Want in handen van criminelen kunnen die data mensen zwaar benadelen. Overigens zijn er geen aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd. Behalve software voor patiëntendossiers levert ChipSoft ook andere digitale systemen voor ziekenhuizen. Behalve ziekenhuizen zijn ook een aantal huisartsenpraktijken en andere zorgverleners door de hack geraakt. 💡 Lees ook ons e-zine-verhaal over de lessen die uit de hack van het Bevolkingsonderzoek-laboratorium getrokken kunnen worden.

Een open source-onderzoeksdatabase voor Parkinson klinkt in eerste instantie als een wetenschappelijk project. Maar er gaat ook een technisch en organisatorisch vraagstuk achter schuil. Hoe verzamel je jarenlang medische data van honderden deelnemers via wearables, scans, klinische metingen en lichaamsmateriaal, zonder dat privacy en beveiliging in het gedrang komen? En hoe geef je onderzoekers wereldwijd toegang tot die data, zonder de controle kwijt te raken? Precies met die vragen houdt het Expertisecentrum Parkinson en Bewegingsstoornissen van het Radboudumc zich al jaren bezig. Binnen de zogeheten Personalized Parkinson Project-studie worden deelnemers sinds 2017 langdurig gevolgd. Die studie begon als een grote observationele cohortstudie, waarin 520 mensen met Parkinson gedurende twee tot drie jaar werden gemonitord. Zij kwamen jaarlijks naar het ziekenhuis voor een brede reeks metingen, van motorische en cognitieve testen tot bloedafname, ECG’s en MRI-scans. Tegelijk droegen zij thuis continu een studiehorloge dat data verzamelde over hun dagelijks functioneren. Privacy, beveiliging en governance Volgens Elbrich Postma, senior onderzoeker ‘Leefstijl en Parkinson’, was al vroeg duidelijk dat zo’n studie om meer vraagt dan alleen een goede onderzoeksopzet. De ambitie was namelijk niet alleen om de data in eigen huis te gebruiken, maar ook om die beschikbaar te maken voor andere onderzoekers in binnen- en buitenland. ‘Omdat dit project heel veel data oplevert en er bovendien expertises zijn die wij niet persé in huis hebben, maar die andere onderzoekers wel hebben’, zegt Postma. Daarmee ontstond direct een complex speelveld van privacy, beveiliging en governance. Die wens klinkt logisch, maar maakt de technische architectuur ingewikkeld. Zeker omdat het hier niet gaat om één type gegevens, maar om een combinatie van klinische data, continue metingen via wearables, MRI-scans, ECG’s en materiaal uit een biobank. Inmiddels is de onderzoeksomgeving uitgegroeid tot een dataset van circa 52 terabyte. Dat volume zegt iets over de schaal. De combinatie van verschillende databronnen maakt de omgeving bovendien extra gevoelig. Juist daardoor is volledige anonimisering volgens Postma niet realistisch. Pseudonimisering in plaats van anonimisering ‘We hebben het nooit over anonieme data, want met dit soort datasets kan dat niet. Er moet een link bijven met de individuele deelnemer’, zegt zij. Daarom is gekozen voor pseudonimisering. Dat verschil is cruciaal. De data zijn voor onderzoekers of externe partijen niet rechtstreeks herleidbaar tot een persoon, maar de koppeling tussen verschillende datastromen blijft binnen een streng gecontroleerd systeem wel mogelijk. Zonder die koppeling zou het wetenschappelijke nut van de database grotendeels verdwijnen. De technische basis daarvoor is gelegd in een systeem dat samen met een team van de Radboud Universiteit is ontwikkeld: PEP, voluit Polymorphic Encryption and Pseudonymization. Dat is als database-omgeving de centrale schakel in het project en is bovendien als open source beschikbaar. In plaats van alle gegevens onder één direct herkenbare deelnemerscode op te slaan, werkt het systeem met aparte pseudoniemen per datastroom. Klinische gegevens krijgen dus een andere code dan horlogedata, MRI-data of biomateriaal. Pas binnen de database-omgeving worden die verschillende codes gekoppeld aan één centrale PEP-ID. Dit betekent dat de centrale database de enige plek is waar alle losse datastromen technisch samenkomen. Het systeem weet welke gegevens bij dezelfde deelnemer horen, maar doet dat zonder dat alle betrokken partijen zicht hebben op de identiteit van die deelnemer. Dat is vooral relevant vanwege de samenwerking met Verily, voorheen bekend als Google Life Sciences. Dit zusterbedrijf van Google leverde de studiehorloges. Koppeling met persoonsgegevens De horloges werden door het studieteam van het Radboudumc uitgegeven. Daardoor wist alleen dat team welke deelnemer welk horloge droeg. Verily zag volgens Postma uitsluitend de horlogenummers en de bijbehorende binnenkomende meetgegevens. De directe koppeling met persoonsgegevens bleef dus buiten bereik van de leverancier van de wearables. Ook de route van de data is zo opgezet dat er geen rechtstreekse lijn loopt van horloge naar de centrale onderzoeksdatabase van Radboud. De horlogedata gingen eerst naar de omgeving van Verily en werden van daaruit actief geüpload naar de PEP-database. Volgens Postma gebeurde dat bovendien niet via een gewone smartphonekoppeling, maar via een speciale hub die bij de deelnemer thuis stond. Dat verkleint de kans dat data via allerlei consumentenelektronica gaan zwerven. De hub zorgde onder andere voor de versleuteling van de data. De beveiliging van de data rust op een end-to-end encryptiearchitectuur. Data wordt al aan de bron versleuteld voordat deze het systeem binnenkomt en pas weer ontsleuteld aan de kant van de onderzoeker die daarvoor geautoriseerd is. In de opslagomgeving blijft de data dus permanent versleuteld. De sleutelstructuur is bovendien opgesplitst over twee onafhankelijke componenten: een zogeheten Transcryptor en een Access Manager. Beide zijn op verschillende locaties ondergebracht en zijn gezamenlijk nodig om toegang tot de data mogelijk te maken. De encryptie- en decryptiesleutels bevinden zich daarmee nooit bij de cloudopslagprovider zelf. Voor het ontsleutelen van data zijn altijd twee afzonderlijke sleutelsegmenten nodig die bij verschillende partijen worden beheerd. Dit ontwerp moet het risico op datalekken verder beperken, omdat toegang tot de opslagomgeving op zichzelf nog geen toegang tot leesbare data oplevert. De data worden opgeslagen in Google Cloud, mede omdat die hosting onderdeel was van de samenwerking rond de horloges. Maar opslag betekent in dit geval zeker geen bruikbare toegang. ‘De opslag daar is versleuteld’, zegt zij. ‘Als je de bucket waarin de data is opgeslagen opent, kun je niks met die gegevens.’ Twee-ogen-principe De data kunnen alleen via de gebruikersinterface van de database worden gedownload. Dit kan alleen wanneer een onderzoeker daarvoor eerst een sleutel ontvangt. Daarmee komt governance nadrukkelijk in beeld. Onderzoekers krijgen niet zomaar toegang tot de volledige dataset. Zij moeten eerst een onderzoeksvoorstel indienen waarin staat welke data zij nodig hebben en met welk doel. Daarbij wordt niet alleen gekeken naar de wetenschappelijke relevantie van het voorstel, maar ook naar de manier waarop de aanvrager met de data wil omgaan. Zo bevat het aanvraagproces ook een sectie over data hosting en security. Onderzoekers moeten toelichten waar zij de data opslaan, wie erbij kan en hoe de technische omgeving is ingericht. Na goedkeuring volgt een overeenkomst, de zogeheten Qualified Researcher Agreement, waarin voorwaarden staan over gebruik, opslag, delen en verwijdering van de data. Ze mogen de data bijvoorbeeld niet doorgeven aan anderen en moeten die na afloop van het werk verwijderen. Daarna volgt nog een extra stap. Het team dat de database technisch beheert, moet de sleutel verstrekken waarmee de data daadwerkelijk kunnen worden gedownload en gebruikt. Daarmee is het proces bewust opgeknipt. Het onderzoeksteam kan niet op eigen houtje toegang geven zonder betrokkenheid van de beheerders. Postma spreekt in dat verband van een ’twee-ogen-principe’. Uitgeven en ontvangen Ook intern is de toegang strak georganiseerd. Per gebruikersgroep wordt bijgehouden wie toegang heeft, tot welke data en tot wanneer. Dat gebeurt via registratieformulieren die gedeeld worden tussen het Radboudumc en het universiteitsteam. Periodiek wordt gecontroleerd of toegangsrechten nog actueel zijn, bijvoorbeeld wanneer medewerkers uit dienst zijn of projecten zijn afgerond. Dat proces is volgens Postma deels nog handwerk, maar wel beheersbaar. Daarnaast wordt ook beheertoegang geregistreerd. Als het technische team van de Radboud Universiteit in de database moet zijn om iets te controleren, wordt dat teruggekoppeld en vastgelegd. Daarmee ontstaat niet alleen operationele controle, maar ook bestuurlijke verantwoording over wie wanneer in de omgeving is geweest en waarom. Interessant is dat de database niet alleen is ingericht voor het uitgeven van data, maar ook voor het terugontvangen ervan. Onderzoekers die bijvoorbeeld analyses uitvoeren op lichaamsmateriaal kunnen hun resultaten weer uploaden naar de database. Via de juiste pseudonimisatiecode worden die uitkomsten vervolgens opnieuw gekoppeld aan de bestaande klinische en biologische data. Dat voorkomt dat schaarse samples onnodig worden gebruikt en maakt de dataset in de loop van de jaren rijker. Openheid in combinatie met duidelijke grenzen Het project laat daarmee zien dat open science in de medische wereld alleen werkt als openheid gepaard gaat met stevige technische en organisatorische grenzen. Niet iedereen krijgt alles te zien, niet elke dataset verlaat zonder meer de omgeving en niet elke onderzoeker mag zelf bepalen hoe lang data blijven circuleren. Juist die combinatie van pseudonimisering, versleuteling, gecontroleerde sleuteluitgifte, contractuele afspraken en toegangsbeheer maakt deze infrastructuur werkbaar, vertelt Postma. Volledig risicoloos is geen enkel systeem. Zeker niet wanneer onderzoekers wereldwijd met gevoelige medische data werken. Maar de Parkinson-database van Radboudumc laat wel zien waar het in de praktijk op aankomt: niet op één enkele securitymaatregel, maar op een keten van technische, juridische en organisatorische controles van deelnemer tot onderzoeker.

Het reisplatform Booking.com is opnieuw slachtoffer van cybercriminelen. Onbevoegde derden kregen toegang tot boekingsgegevens van klanten zoals namen, adressen en telefoonnummers. ‘Alle informatie die je mogelijk met de accommodatie hebt gedeeld, kan geraadpleegd zijn’. Het is niet de eerste keer dat het reisplatform in opspraak komt rond beveiliging.Zondagavond bevestigde Booking.com dat er een beveiligingsincident heeft plaatsgevonden. Getroffen klanten ontvingen een e-mail waarin het bedrijf meedeelde dat ‘onbevoegde derden mogelijk toegang hebben gehad tot bepaalde boekingsgegevens.’Volgens Booking.com is het probleem inmiddels onder controle en zijn de betrokken gasten geïnformeerd. Over de exacte timing van de aanval en het aantal getroffenen blijft het bedrijf vaag. Het bedrijf reageert ook niet op mails van klanten via hun Klantenservice, die ‘24/7 bereikbaar is’.Uit de officiële communicatie van Booking.com naar klanten blijkt dat de reikwijdte van het lek – inzake gecompromitteerde data – alvast aanzienlijk kan zijn. Het bedrijf schrijft naar klanten dat ‘de geraadpleegde gegevens kunnen bestaan uit boekingsdetails, naam of namen, e-mailadressen, fysieke adressen en telefoonnummers die aan de boeking zijn gekoppeld, en alle overige informatie die je mogelijk met de accommodatie hebt gedeeld.’Lastig it-parcoursAls directe maatregel heeft Booking.com de pincodes van getroffen reserveringen gereset. Klanten worden gewaarschuwd waakzaam te zijn voor phishing: het bedrijf benadrukt dat het nooit zal vragen om creditcard-gegevens via e-mail, telefoon, sms of WhatsApp, en ook niet om afwijkende bankoverschrijvingen. Het is zeker niet het eerste incident bij het reisplatform. Een tijdje geleden was Booking.com als platform al prominent doelwit van cybercriminelen die hotels op het platform infecteerden met malware, phishingkits bouwden specifiek gericht op de dienst, en zelfs valse accommodaties aanmaakten. Toen benadrukte het bedrijf dat de hack niet rechtstreeks bij hen plaatsvond. Deze keer heeft Booking het over ‘verdachte activiteiten die van invloed zijn op een aantal reserveringen’.Inzake it en security lijkt Booking.com alvast een lastig it-parcours. Onlangs ondervond het bedrijf ook al ernstige problemen bij het upgraden van de backend-systemen.Toen waren de moeilijkheden zo groot dat het online-platform maanden niet in staat was om een deel van de verhuurders van accommodaties te betalen.

Een consortium van Tech Tribes, UbiOps en Y.digital heeft het ai‑platform Deltaworks AI geïntroduceerd. Het platform is ontwikkeld voor organisaties die ai willen toepassen binnen de kaders van Europese wet- en regelgeving en tegelijkertijd controle willen houden over data en infrastructuur.Deltaworks AI richt zich met name op sectoren met hoge compliance-eisen, zoals overheid, financiële dienstverlening en veiligheid.Het Belgisch/Nederlandse Tech Tribes en de Nederlandse bedrijven UbiOps en Y.digital combineren in het platform expertise op het gebied van private ai, data engineering en orkestratie. Deltaworks AI ondersteunt on‑premises-, hybride en multicloud-implementaties en sluit aan op bestaande zakelijke omgevingen via opensource en open standaarden.Afgeschermde infrastructuurVolgens de betrokken partijen maakt het platform het mogelijk om ai-modellen, waaronder llm’s (large language models), lokaal of binnen een afgeschermde infrastructuur te draaien. Gevoelige data hoeven daarbij niet naar publieke cloudomgevingen of externe diensten te worden verplaatst. Dit moet organisaties helpen te voldoen aan regelgeving zoals de AI Act, GDPR, Dora en NIS2.Deltaworks AI werkt met bestaande Kubernetes‑omgevingen, waaronder Red Hat OpenShift en Suse Rancher. Toepassingen variëren van geautomatiseerde documentverwerking en metadatering tot ai‑assistenten die grote documentcollecties doorzoekbaar maken, inclusief bronverwijzing en audittrail. Het platform is per direct beschikbaar voor Europese organisaties, stellen de initiatiefnemers.

In dit nieuwsoverzicht: LumoLabs en Liof steunen Maeconomy, Haarlemmermeer kiest Linkit, DiVetro & Bartosz, Odin koopt Duvak, Maarten Jonker nieuwe cto TKP Pensioen en KPN en Thales bouwen definitief een Defensie-cloud. Maeconomy haalt miljoenen op voor circulair grondstoffenplatform De Nederlandse ai-startup Maeconomy heeft een miljoeneninvestering ontvangen van investeerder LumoLabs en Liof, de ontwikkelingsmaatschappij van de provincie Limburg. Het bedrijf uit Heerlen ontwikkelt een platform dat met behulp van data uit publieke bronnen en ai inzicht geeft in herbruikbare materialen uit gebouwen en infrastructuur. Overheden en marktpartijen kunnen daarmee de hoeveelheid, kwaliteit en restwaarde van materialen bepalen en hergebruik plannen. Maeconomy werkte onder meer voor de gemeente Heerlen en wordt nu door meerdere gemeenten ingezet. Met het nieuwe kapitaal wil het bedrijf het team uitbreiden en het platform verder uitrollen binnen Nederland. Het precieze bedrag is niet bekend gemaakt. Maeconomy kreeg bij het zoeken naar kapitaal hulp van Brightlands Smart Services Campus. Linkit-consortium haalt Haarlemmermeer binnen De gemeente Haarlemmermeer heeft een nieuwe raamovereenkomst afgesloten voor de inhuur van ict‑specialisten. Linkit is, in combinatie met DiVetro en Bartosz, geselecteerd binnen perceel 1 van de aanbesteding. In totaal zijn maximaal vijf leveranciers gecontracteerd. De overeenkomst heeft een looptijd van twee jaar en kan worden verlengd tot zes jaar. De geraamde waarde van de opdrachten binnen dit perceel bedraagt circa vier miljoen euro per jaar, met een maximum van 36 miljoen euro.   Odin Groep neemt it-dienstverlener Duvak over Odin Groep uit Hengelo heeft overeenstemming bereikt over de overname van Duvak, een it‑dienstverlener uit Nieuw‑Vennep. Met de overname breidt dochterbedrijf Previder zijn aanwezigheid in West‑Nederland verder uit. Duvak blijft vanuit Nieuw‑Vennep opereren en het team en de klantcontacten blijven ongewijzigd. Het bedrijf levert onder meer consultancy, security en diensten rond werkplek- en cloudomgevingen. Eerder versterkte Previder zijn positie in deze regio al via overnames van onder andere Proxsys, Nexxt Managed Services en Inisi. Klanten krijgen daarnaast toegang tot de kennis en schaal van Odin Groep. Maarten Jonker is nieuwe chief technology officer TKP Pensioen TKP Pensioen benoemt per 1 mei 2026 Maarten Jonker als nieuwe chief technology officer (cto). Hij volgt hiermee Jonathan Koopmans op, die ruim vier jaar bij TKP werkt en zijn loopbaan voortzet bij moederbedrijf ASR. Jonker werkt nu nog als waarnemend chief information officer (cio) bij de Dienst Toeslagen, onderdeel van het ministerie van Financiën. Daarvoor werkte hij een aantal jaren als cio bij het UWV. Jonker heeft ruim 30 jaar ervaring in de financiële dienstverlening en de publieke sector. Hij bekleedde ook nog diverse cio-, cdo- en cto-posities bij de Belastingdienst, Achmea en Bank Nederlandse Gemeenten (BNG). Jonker heeft brede bestuurlijke ervaring, waaronder als lid van de Auditcommissie van de Nationale Politie en van meerdere landelijke digitaliseringsprogramma’s. Soevereine cloud voor staatsgeheimen Defensie gaat door Defensie gaat met de Nederlandse bedrijven KPN en Thales definitief een cloud bouwen voor staatsgeheime gegevens. De staatssecretaris heeft dit de Tweede Kamer laten weten. Vorig jaar juni sloten partijen hiervoor al een intentieverklaring. Omdat Defensie minder afhankelijk wil zijn van de Verenigde Staten werkt de militaire organisatie samen met Nederlandse bedrijven. De geheime cloud draait in het eigen datacenter. Zo blijft Nederland zelf de baas over de gegevens. Defensie gebruikt meerdere clouds naast elkaar en kiest per situatie welke het beste past. De staatsgeheime cloud past in dat plan. Door daarop als proef twee militaire toepassingen te testen, kijkt de organisatie hoe de cloud in de praktijk werkt.

De recente ransomware‑aanval op ChipSoft, leverancier van het HiX‑epd dat door het merendeel van de Nederlandse ziekenhuizen wordt gebruikt, laat opnieuw zien hoe kwetsbaar de zorgketen is. Niet omdat één partij wordt geraakt, maar omdat de hele sector leunt op dezelfde zwakke fundamenten. De incidenten van de afgelopen jaren — van de Eurofins‑labhack tot datalekken bij bevolkingsonderzoeken — zijn geen uitzonderingen, maar symptomen.Dit zijn zeven structurele kwetsbaarheden die de Nederlandse zorg keer op keer tot doelwit maken.1. Ketenafhankelijkheid: één hack raakt meteen tientallen zorginstellingenDe zorg is een van de meest verweven sectoren van Nederland. Ziekenhuizen, labs, huisartsen, bevolkingsonderzoeken en epd‑leveranciers zijn digitaal met elkaar verknoopt. Een aanval op één partij — zoals ChipSoft of Eurofins — kan direct tientallen organisaties raken. De hack op Clinical Diagnostics LCPL leidde tot datadiefstal bij zowel het lab als bij Bevolkingsonderzoek Nederland. Ziekenhuizen moesten patiëntportalen sluiten na de aanval op ChipSoft. De keten is zo sterk als de zwakste schakel en die schakel bevindt zich vaak buiten het ziekenhuis zelf.2. Verouderde en versnipperde it‑landschappenVeel zorginstellingen draaien op een lappendeken van systemen die in de loop der jaren aan elkaar zijn geknoopt. Dat maakt patchen lastig, monitoring is onvolledig en incidentrespons komt vaak traag op gang. In de Eurofins‑zaak bleek bijvoorbeeld dat systemen zonder encryptie en zonder netwerkscheiding draaiden, een klassiek symptoom van technische schuld.3. Medische apparaten zijn een open deurTienduizenden medische apparaten zijn verbonden met internet terwijl ze met standaardwachtwoorden beveiligd zijn. Het gaat bijvoorbeeld om bloedanalyse‑machines, röntgensystemen, infuuspompen en apparatuur voor gebouwbeheer. Die devices zijn vaak oud, niet te patchen of niet ontworpen met security in gedachten. Ze vormen een ideale ingang voor aanvallers die zich lateraal door een ziekenhuisnetwerk willen bewegen.4. Normen bestaan, maar naleving is inconsistentDe zorgsector kent strenge normen zoals NEN 7510, NEN 7512 en binnenkort NIS2. Maar in de praktijk zijn audits niet altijd verplicht, is certificering vaak optioneel en ontbreekt toezicht op naleving.5. Z‑CERT heeft geen mandaat om in te grijpenZ‑CERT is het sectorale kennis- en informatiecentrum voor cyberdreigingen in de zorg, maar kan organisaties niet dwingen om kwetsbaarheden te patchen, incidenten te melden of beveiligingsmaatregelen te nemen. Daardoor blijven structurele problemen bestaan, zelfs als Z‑CERT ze al jaren signaleert.6. Medische data is extreem waardevol — en niet te wijzigenGezondheidsdata is blijvend gevoelig, niet te resetten (zoals een wachtwoord) en bruikbaar voor identiteitsfraude, chantage en verzekeringsfraude. Dat maakt de zorgsector aantrekkelijk voor ransomwaregroepen. In de Eurofins‑zaak werden medische onderzoeksresultaten gestolen die vervolgens werden gebruikt voor gerichte phishing.7. Menselijke fouten blijven een dominante factorPhishing, misconfiguraties, verkeerde autorisaties en onduidelijke verantwoordelijkheden spelen een grote rol in vrijwel elk zorgincident. Voorbeelden: Organisaties werden pas een maand later geïnformeerd over de datadiefstal bij Bevolkingsonderzoek Nederland. Incidentrespons bij Clinical Diagnostics werd vertraagd door versnipperde verantwoordelijkheden. Veel zorginstellingen hebben geen 24/7‑monitoring of capaciteit voor een security operation center (soc). De menselijke factor blijft daarmee een van de grootste risico’s.De zorg is kwetsbaar door structuur, niet door incidentenDe aanval op ChipSoft is geen op zichzelf staand probleem, maar een symptoom van een sector die zwaar afhankelijk is van leveranciers, werkt met verouderde systemen, onvoldoende toezicht kent en data beheert die voor criminelen goud waard is. Zolang deze structurele kwetsbaarheden blijven bestaan, zullen nieuwe incidenten zich blijven voordoen ongeacht hoeveel audits, protocollen of beleidsdocumenten er worden opgesteld, waarschuwen verschillende experts.Lees ook het e-zine over IT in de zorg:

Digitale autonomie wankelt De energie-intensieve industrie is zeer afhankelijk van niet-Europese clouds, maar deze afhankelijkheid is nog nét niet acuut. De operatie komt bij uitval van de cloud niet direct in gevaar. Maar, binnen enkele uren of dagen is dat wél het geval. Dit blijkt uit het rapport Digitale autonomie binnen de energie-intensieve industrie van Bert Hubert. Cybersecurity-expert Bert Hubert heeft deze studie opgesteld op verzoek van Energy Innovation NL (voorheen: Topsector Energie) in opdracht van RVO (Rijksdienst voor Ondernemend Nederland). Hubert concludeert dat de cloudafhankelijkheden steeds verder oprukken, aangevoerd door leveranciers en it-management zonder ot-affiniteit. Ook ai voert de druk op. Tijdens calamiteiten lijkt de cloudafhankelijkheid, onbedoeld en ongemerkt, gevaarlijk groot geworden te zijn, waarbij lang niet overal duidelijk is dat benodigde gegevens nog offline of op eigen computers beschikbaar zijn. Hubert: ‘In zijn algemeenheid lijkt de situatie op dit moment zorgwekkend, en de tendens richting verdere afhankelijkheden is zeker alarmerend.’ De energie-intensieve industrie is onmisbaar voor onze strategische autonomie. Ze vormt de basis van ons verdienvermogen, biedt werkgelegenheid en levert producten die essentieel zijn voor woningbouw, infrastructuur, voedselvoorziening, gezondheid, defensie én de energietransitie zelf. Onderbelicht In de aanpak voor een toekomstbestendige industrie constateert Energy Innovation NL dat digitale autonomie onderbelicht blijft. Terwijl grip op (goed beveiligde) digitale infrastructuur essentieel is voor het functioneren van een industrie die in rap tempo digitaliseert. De groeiende afhankelijkheid van een beperkt aantal Amerikaanse cloudleveranciers brengt een bijzondere kwetsbaarheid met zich mee: delen van de digitale infrastructuur staan hierdoor onder buitenlandse controle. De afhankelijkheid is opgetrokken tot aan, maar nog net niet in, de meest cruciale operationele systemen. Hubert legt uit dat de kleppen en pompen in machines nog worden bediend met lokale computers en voorzieningen. Maar, een sensor op deze apparatuur is vaak al 24/7 afhankelijk van de cloud, of dat geldt in ieder geval vaak voor het bijbehorende dashboard. Deze sensor en dat dashboard zijn strikt gezien net niet kritisch voor de bedrijfsvoering. Wegvallen Respondenten geven uniform aan dat het wegvallen van deze ‘net-niet operationele’ faciliteiten op termijn gevolgen heeft, zeker in crisissituaties. Iets soortgelijks speelt met logistiek, documentbeheer en asset tracking. Als de cloud langduriger wegvalt is dit niet direct een probleem, maar op termijn komt de operatie toch tot stilstand. Waar moeten de producten heen? Wanneer is er nieuwe aanvoer? Waar zijn alle spullen? Wat heeft onderhoud nodig, en wanneer? Partijen waarmee Hubert sprak, bevestigen dat het nuttig is om cloudafhankelijkheden te sorteren op ‘time to impact’. Als een klep in de raffinaderij niet meer bestuurd kan worden is het direct over. Maar als een ‘performance dashboard’ korte tijd niet werkt kan men nog best even verder.  Industriebreed is er bij uitvoerende afdelingen ongemak over de groeiende afhankelijkheden. Leveranciers leveren steeds minder apparatuur die ‘on-premises’ kan werken, en men doet daar ook steeds moeilijker over. De werkvloer moet zo meer en meer naar de cloud verhuizen, terwijl de eindverantwoordelijkheid toch echt bij het eigen bedrijf blijft.  Procesautomatisering Operationele technologie (ot), ook bekend als procesautomatisering (pa), had historisch gezien een bijzondere status binnen bedrijven en fabrieken. Vroeger waren de apparaten aan de ot/pa kant zelfs niet herkenbaar als computers, wat ze automatisch een status aparte gaf. In het kort, de beheerder van de printer op het kantoor had niets te zoeken in de fabriekshal, en kon zich ook niet bemoeien met de apparatuur daar. De overgrote meerderheid van it-specialisten komt niet uit het operationele veld. Ook het it-management heeft grotendeels een achtergrond in ‘administratieve it’. Dit zijn computertoepassingen waar storingen vervelend zijn, maar niet potentieel levensbedreigend, of zouden kunnen leiden tot ernstige milieuvervuiling of het stilvallen van de economie. Dit zijn kantoorautomatiseerders.  De dominantie van ‘normale it’ leidt ertoe dat zelfs het meest operationele bedrijf steeds meer kantoorautomatiseerders in dienst neemt, waardoor de operationele cultuur automatisch verdunt. Vrijwel iedere organisatie die voor dit rapport is ondervraagd, herkent hoe de it-cultuur een steeds grotere invloed heeft op de ot-wereld. En in de it-wereld is 100 procent cloudgebruik inmiddels de norm.  Er zijn inmiddels energie-intensieve partijen die besloten hebben het onderscheid tussen it en ot los te laten, en verder te gaan met it/ot-convergentie In de it-wereld zijn de verwachtingen over ai hooggespannen. In de industriële wereld bestaat grote behoefte aan efficiëntieverhogingen. Ai-oplossingen zijn ondertussen vrijwel zonder uitzondering afhankelijk van buitenlandse clouds, en dit leidt tot spanningen. Er zijn inmiddels energie-intensieve partijen die besloten hebben het onderscheid tussen it en ot los te laten, en verder te gaan met it/ot-convergentie. Dit is specifiek een risicofactor daar de it-wereld inmiddels vrijwel niet meer zonder cloud kan functioneren, en men deze werkwijze dan meeneemt naar machines en apparaten vol ontvlambare chemicaliën.  De energie-intensieve sector wijkt verder af van generieke kantoren omdat er altijd rekening gehouden moet worden met crises en verstoringen. Men heeft dikwijls een eigen brandweer bijvoorbeeld, en ook is men voorbereid op noodsituaties. Plannen, kaarten, schema’s, bellijsten en dergelijke moeten ook beschikbaar zijn bij it-uitval. Enkele respondenten hebben geoefend met wat er nog werkt als de it niet meer beschikbaar is. Dit heeft her en der geleid tot wanden vol mappen met afgedrukte plannen en diagrammen.  Op andere plekken heeft de ‘it-afdeling’ de overhand en staan deze plannen online in producten als Microsoft SharePoint, waarbij maar de vraag is of de (Microsoft-)cloud nog bereikbaar is tijdens een stroomstoring of brand. Opvallend is ook dat bij lang niet alle bedrijven it en cybersecurity direct vertegenwoordigd zijn in de directie, board of managementteam. Vaak moet de financieel directeur het woord hierover voeren. Andere (vaak meer ervaren) organisaties hebben deze rol wel een directe stem gegeven in het bestuur.

Welkom in het tijdperk van de ‘ai attack factory’ Anthropic heeft een nieuw ai-model ontwikkeld dat zo krachtig is dat het bedrijf het bewust niet publiek uitbrengt. Claude Mythos Preview kan zelfstandig beveiligingslekken opsporen in software, maar even goed exploits ontwikkelen om die lekken te misbruiken. Die dubbelzijdigheid maakt het model tot een van de meest controversiële ai-releases van het moment. Mythos wordt uitgerold via Project Glasswing, een samenwerkingsverband van tientallen technologiebedrijven. Zo zijn onder meer Amazon Web Services, Apple, Google, Microsoft, Nvidia, Cisco, CrowdStrike en Palo Alto Networks betrokken. Zij krijgen als eersten toegang tot de testversie, net als meer dan veertig organisaties die kritieke software-infrastructuur bouwen of beheren. Anthropic investeert daarvoor honderd miljoen dollar aan gebruikerscredits, aangevuld met vier miljoen dollar aan donaties aan opensource-beveiligingsorganisaties. Mede omdat het al duizenden ernstige kwetsbaarheden heeft gevonden, hanteert Mythos Preview een selectieve aanpak. Het gaat volgens hen om lekken in elk groot besturingssysteem en elke grote webbrowser, waarvan sommige al 27 jaar onopgemerkt. ‘Ai-modellen hebben een zodanig niveau van programmeervaardigheid bereikt dat ze elke mens, behalve de meest vaardigen onder ons, kunnen overtreffen in het opsporen en misbruiken van kwetsbaarheden in software’, schrijft Anthropic in zijn aankondiging. Aanvallen als softwareproductie Volgens Jonathan Zanger, cto bij Check Point Software Technologies, luidt Mythos het tijdperk in van de ‘ai attack factory’. ‘Aanvallen worden systematisch, schaalbaar en reproduceerbaar, vergelijkbaar met softwareproductie.’ Ook Nanne van ’t Klooster, ai-security-expert bij het Amsterdamse adviesbureau Rewire, ziet in Mythos een indicatie van een fundamentele verschuiving. ‘Zo is het nu mogelijk om ai-agents doorlopend te voorzien van de laatste inzichten, en 24 uur per dag te laten zoeken naar zwakheden in de cyberbeveiliging’, zegt hij.Bedrijven moeten hun voorzorgen nemen. ‘Het vereist een tegenreactie waarbij organisaties hun eigen cybersecurity-agents moeten inzetten die eveneens continu speuren naar de laatste dreigingen’, aldus van ’t Klooster. Al blijft mensen in de loop houden volgens hem essentieel. ‘Als niemand meer begrijpt hoe het eigen beveiligingssysteem werkt, ben je juist extreem kwetsbaar.’ Geen paniek stoken Dat Anthropic zijn ai-model, en de conclusies ervan, helemaal voor zichzelf en zijn partners wil houden, klopt ook niet helemaal. Het ai-bedrijf wil de bevindingen van Mythos publiekelijk delen via het responsible disclosure-principe, waarbij bedrijven doorgaans negentig dagen krijgen om een kwetsbaarheid te verhelpen voordat die openbaar wordt gemaakt.Al plaatst de Nederlandse cio en security-expert Fleur Van Leusden tenslotte wel kritische kanttekeningen bij de Mythos-hype die in één dag tijd opdook. Ze wijst er via LinkedIn op dat Anthropic ‘over 99 procent van de bevindingen niets kan zeggen, want die zijn nog niet gepatched.’ Bovendien, zo stelt ze, lijkt het te gaan om een whitebox-test waarbij Mythos toegang had tot de volledige broncode van de onderzochte applicaties. ‘Dat is nog steeds knap, maar wel wat anders dan closedsource-software.’Van Leusden deelt evenwel de zorgen over de impact. ‘Wel denk ik dat we moeten uitkijken met de angst en paniek die lijkt te ontstaan op basis van het – zoveelste – staaltje promotie van Anthropic’, waarschuwt ze. ‘Eerst zien, dan geloven.’