computable

De Belastingdienst heeft een raamovereenkomst gesloten met tien partijen voor het leveren van ict’ers. Het gaat om de volgende partijen: Linkit, Yacht, Between Staffing (Headfirst Group), Circle8, Need Staffing, Synprofs, Flexvalue, Itaq, Sopra Steria en Cimsolutions. De raamovereenkomst heeft een maximale looptijd van vier jaar en tweeënhalve maand en een geraamde, maximale totale waarde van 1,074 miljard euro. Met deze gunning na een Europese aanbesteding kan de fiscus de komende tijd weer allerlei gespecialiseerde ict-professionals inhuren die nodig zijn voor de continuïteit en de modernisering van de it-huishouding. Het betreft tijdelijke it-diensten voor de Belastingdienst, directoraat-generaal Toeslagen en Douane. Veel partijen werken met partners of onderaannemers. Zo zit Linkit in een consortium met Divetro, Bartosz en Techforce1. Niels de Bruin, head of commerce bij deze it-dienstverlener is verguld om ‘voor de derde keer op rij deze aanbesteding gegund te krijgen! Het is een zeer dynamisch speelveld, van Cobol tot low-code, van mainframe tot cloud. We brengen expertise en nieuwe technologieën samen, en juist die diversiteit maakt het leuk!’ Rond een miljard De nieuwe aanbesteding was nodig omdat de huidige it-inhuur-raamovereenkomst eind dit jaar afloopt. De afgelopen drie jaar (1 januari 2022 – 31 december 2024) heeft de Belastingdienst ruim 612 miljoen euro uitgegeven aan it-inhuur; daar komt dus nog 2025 bij, blijkt uit het aanbestedingsbestek. Daarin staat ook dat de geraamde totale opdrachtwaarde van alle deelnemers gezamenlijk in de nieuwe tender 983 miljoen euro exclusief BTW is. Maar de fiscus gaat er vanuit dat kosten kunnen oplopen, namelijk tot 1,074 miljard euro exclusief BTW. Deze maximale totale opdrachtwaarde fungeert als een plafondbedrag. Bij (een dreigende) overschrijding van de maximale waarde heeft de Belastingdienst het recht de raamovereenkomst eenzijdig op te zeggen.   Veel inhuur Bij de Belastingdienst draaien zo’n negenhonderd systemen in een eigen Overheidsdatacenter voor circa vierhonderd diensten aan burgers en bedrijven en zo’n honderdvijftig onderlinge diensten. Ook worden er 43.000 werkplekken digitaal ondersteund. Een paar andere cijfers uit het bestek: in totaal gaat het om meer dan dertig miljoen regels code en zijn er acht ontwikkelplatforms, dertig programmeertalen en tweehonderd externe serviceleveranciers. De it-divisie telt om en nabij 4500 medewerkers. En nog is er kennelijk de komende jaren veel it-inhuur nodig, een probleem bij veel rijksdiensten. Die in te lenen it’ers beslaan een breed werkveld: van applicatie-ontwikkelaars en testers tot aan datastewards, projectowners een scrummasters. Trends In de aanbestedingsleidraad stelt de fiscus een aantal technologietrends te volgen die impact op de organisatie kunnen hebben. Denk aan artificiële intelligentie (ai), containerisatie ict, de strategische werkplek, cybersecurity, quantum computing, cloud computing en ‘as-a-service’-modellen. Dat wordt onder meer gedaan in een aantal vakgroepen, zoals over Java, testen & kwaliteit, architectuur, Cobol, .Net, ai en business analyse. Momenteel is de it-divisie bezig met een transformatie naar een devops-organisatie. Dat moet de samenwerking en de communicatie tussen ontwikkeling en operationele teams verbeteren, waardoor de dienst hoopt sneller, efficiënter en met hogere kwaliteit te kunnen leveren. Vorige overeenkomstBij de aflopende it-inhuurovereenkomst horen de volgende tien partijen: het consortium van Linkit, Bartosz, Divetro en Techforce1, Flexvalue, Ordina, De Staffing Groep, Capgemini, Between Staffing, SQL Integrator, Yacht en Seven Stars en de combinatie Cimsolutions/SLTN. Wie gunt wat: Veel ict-opdrachten worden verstrekt via een aanbestedingstraject. Computable maakt regelmatig melding van de publiek gemaakte gunningen.

De wens om te kiezen voor Europese cloudomgevingen in plaats van Amerikaanse wordt sterk gevoeld bij overheden. Kan en mág een publieke organisatie Amerikaanse it-bedrijven uitsluiten bij aanbestedingen?Abel Hoogeveen, Legal Counsel bij ICTRecht, krijgt steeds vaker de vraag naar de manier waarop organisaties moeten omgaan met Amerikaanse clouddiensten, zoals die van Microsoft Azure, Google Cloud of AWS (Amazon). Volgens Hoogeveen is daarbij een trend waarneembaar: met name overheden zijn voorzichtiger geworden met het gebruik van Amerikaanse it-diensten.Ook uit de whitepaper Digitale Soevereiniteit van Dutch Cloud Community (DCC) blijkt dat overheden vanaf het begin hun clouddiensten vrijwel uitsluitend hebben afgenomen bij de grote drie: Microsoft, AWS en Google. De overheid sloot overeenkomsten over licenties en inkoopvoorwaarden met deze partijen. Voor inkopers van landelijke, gemeentelijke en provinciale overheden, maar ook die van onderwijs- en zorginstellingen, is ‘cloud’ eigenlijk synoniem voor Microsoft of AWS, concludeert DCC. ‘De afhankelijkheid van de Nederlandse overheid van het Amerikaanse aanbod is bijna totaal geworden.’Jurist Hoogeveen herkent dat. Hij wijst erop dat een volledige overstap weg van bijvoorbeeld Microsoft-producten in de praktijk nauwelijks voorkomt. ‘De meeste organisaties willen daar niet zomaar vanaf, het is op dit moment te zeer ingebed in hun processen.’ Toch worden stappen gezet om risico’s te beperken. Bijvoorbeeld door data dichter bij huis op te slaan. Maar, benadrukt hij, ‘echt helemaal ontkomen ga je natuurlijk nooit.’GPAEr zijn niet alleen praktische bezwaren om digitaal soeverein te worden. Ook juridisch zijn er grenzen aan wat overheden mogen uitsluiten. Europese aanbestedingsregels schrijven namelijk voor dat alle bedrijven uit de Europese Unie op gelijke voet moeten worden behandeld. En bedrijven uit landen die aangesloten zijn bij het zogenoemde Government Procurement Agreement (GPA) – een multilateraal handelsverdrag onder de Wereldhandelsorganisatie – hebben in beginsel toegang tot Europese overheidsopdrachten. De Verenigde Staten is GPA-lid.Volgens Pianoo, het expertisecentrum aanbestedingen van de Rijksoverheid, betekent dit dat Amerikaanse bedrijven in principe niet zomaar kunnen worden uitgesloten. Toch is er onder voorwaarden ruimte. ‘Als Amerikaanse producten of diensten niet voldoen aan Europese wetgeving rond bijvoorbeeld cybersecurity of gegevensbescherming, dan dient een aanbestedende dienst zo’n inschrijving uit te sluiten,’ schrijft PIANOo als reactie op vragen van Computable. Dat is bijvoorbeeld het geval wanneer een clouddienst niet kan aantonen dat persoonsgegevens voldoende zijn beschermd onder de Algemene Verordening Gegevensbescherming (AVG).Daarnaast kent de GPA enkele uitzonderingsgronden, zoals nationale veiligheid. In die gevallen kan een aanbestedende dienst besluiten een inschrijving van een Amerikaanse partij buiten beschouwing te laten. De juridische lat daarvoor ligt echter hoog.Het is onterecht om te veronderstellen dat Europese vestigingen van Amerikaanse bedrijven werkelijk autonoom opererenDe juridische constructies waarmee Amerikaanse bedrijven opereren binnen Europa bieden geen volledige bescherming tegen Amerikaanse invloed. Ook als je werkt met Microsoft bv’s in Ierland of Nederland, zijn die entiteiten onderdeel van het Amerikaanse moederbedrijf. Hoogeveen: ‘Het hoofdkantoor kan onder druk worden gezet door de Amerikaanse overheid.’Volgens hem is het dan ook onterecht om te veronderstellen dat Europese vestigingen van Amerikaanse bedrijven werkelijk autonoom opereren. Dat heeft gevolgen voor aanbestedingen, maakte hij duidelijk. In principe worden Ierse of Nederlandse dochter-bv’s erkend als Europese bedrijven. Ze mogen dus meedoen aan Europese aanbestedingen. ‘Dat is juridisch gezien correct,’ legt Hoogeveen uit, ‘maar verandert niets aan de feitelijke afhankelijkheidsrelatie met het moederbedrijf in de VS.’De mogelijkheid om deze bedrijven uit te sluiten van deelname aan Europese aanbestedingen is juridisch bijzonder lastig. ‘In principe mag dat niet. Als een aanbesteding boven de Europese drempelbedragen uitkomt, moet je ieder Europees bedrijf gelijk behandelen.’ Pianoo bevestigt dit: uitsluiting is in zo’n geval niet toegestaan, tenzij één van de uitzonderingsgronden van toepassing is.Opsplitsen aanbestedingenDe praktijk laat zien dat die ‘Europese schil’ inderdaad weinig bescherming biedt tegen politieke inmenging. Hoogeveen wijst op het voorbeeld van het Internationaal Strafhof in Den Haag, waar de mailbox van de hoofdaanklager werd afgesloten door Microsoft – als gevolg van Amerikaanse sancties. ‘Dat heeft bij veel mensen de ogen geopend,’ stelt hij. Het incident toont aan dat Europese vestigingen uiteindelijk nog altijd rapporteren aan een Amerikaans hoofdkantoor, dat onder druk kan worden gezet door de Amerikaanse overheid.De vraag of je een aanbesteding dan kunt opsplitsen om onder de Europese drempelwaarden uit te komen, klinkt logisch, maar is juridisch verboden. ‘De Europese regels verbieden het splitsen met als doel de regels te ontwijken.’ Toch kent Nederland een bijzondere regeling, legt Hoogeveen uit. ‘Wij hebben juist een splitsingsgebod: in sommige gevallen moet je een aanbesteding opdelen, bijvoorbeeld om het mkb een kans te geven.’ Zolang je alsnog de aanbestedingsregels volgt, mag dat.Europese alternatievenSimon Besteman, directeur van Dutch Cloud Community, pleit daarom voor meer strategisch inzicht in wat we precies gebruiken van Amerikaanse clouddiensten. Volgens hem wordt vaak gedacht dat de functionaliteit van deze aanbieders onmisbaar is, maar dat beeld klopt niet helemaal.‘Toen ik onderzoek deed voor de whitepaper, kwam ik erachter dat Amazon zelf aangeeft dat zo’n negentig procent van hun gebruikers slechts een twintigtal diensten gebruikt,’ vertelt hij. ‘Het gaat dan vooral om standaardtoepassingen zoals data-opslag, object storage en containerbeheer.’ Het merendeel van deze diensten is relatief eenvoudig en kent inmiddels ook volwaardige Europese alternatieven.Geen boycot van Amerikaanse technologieBesteman benadrukt dat niemand pleit voor een rigide boycot van Amerikaanse technologie. ‘We zijn niet in oorlog met Amerika,’ zegt hij. ‘Het gaat erom dat we bewust worden van wat we gebruiken, waarom we dat doen, en of we het elders kunnen vinden.’Dat vraagt niet om een boycot, maar om digitale regie. DCC pleit dan ook voor het ontwikkelen van een exitstrategie voor kritieke toepassingen – zonder daarbij meteen te pleiten voor volledige Europese autarkie. ‘Het gaat om een digitale infrastructuur die wendbaar, veilig en soeverein is,’ aldus Besteman.Dit artikel staat ook in Computable Magazine 2025 #5.

In dit nieuwsoverzicht: Main Capital neemt Amerikaanse TrustArc over, OCW benoemt ai-wetenschapsadviseur, Nederlandse ai-plannen ambitieus maar kwetsbaar, satellietverkeer blijkt vol onversleutelde data, en Signal introduceert kwantumveilige versleuteling. Main Capital neemt Amerikaanse TrustArc over Het Haagse investeringsbedrijf Main Capital Partners heeft TrustArc overgenomen, een Amerikaanse leverancier van software voor data-privacy en ai-risicobeheer, zo melden de twee. Het Amerikaanse bedrijf ondersteunt ruim duizend bedrijven in 25 landen met oplossingen voor consent management, data governance en compliance. Het bedrijf telt ruim driehonderd medewerkers en bedient klanten als Hewlett Packard Enterprise, Salesforce en Samsung. De Haagse investeerder wil via een buy-and-buildstrategie het productaanbod uitbreiden en de internationale aanwezigheid versterken. Het investeringsbedrijf beheert 6,5 miljard euro. Nederlandse ai-plannen ambitieus maar kwetsbaar Nederlandse organisaties willen hun ai-investeringen tegen 2026 gemiddeld met 36 procent verhogen, maar slechts twee procent haalt klantwaarde uit ai, concludeert Red Hat uit eigen onderzoek. Ook kampt 75 procent met een tekort aan vaardigheden, vooral in het koppelen van ai aan bedrijfsdata. ‘Voor Nederlanders gaat zelfvertrouwen hand in hand met urgentie’, aldus het bedrijf. Ook ‘shadow ai’ – ongeautoriseerd gebruik van ai-tools – speelt bij 99 procent. Soevereine ai is de hoogste prioriteit voor de komende achttien maanden. ‘Open source staat centraal in deze verschuiving, omdat het organisaties de transparantie en flexibiliteit biedt om snel te innoveren.’ OCW benoemt ai-wetenschapsadviseur Het ministerie van OCW stelt per één november prof. dr. Vanessa Evers aan als Chief Science Advisor AI. Zij zal één dag per week adviseren over de impact van ai op onderwijs, wetenschap, cultuur en media. ‘We zorgen hiermee voor een goede samenwerking tussen wetenschap en beleid’, zegt secretaris-generaal Loes Mulder. Evers is directeur van het Centrum Wiskunde & Informatica en hoogleraar aan de Universiteit Twente. Haar expertise ligt in interactie met intelligente systemen, robotica en autonome technologieën. De rol is onderdeel van een pilot binnen het project Science for policy, dat wetenschap en beleid dichter bij elkaar wil brengen. Satellietverkeer blijkt vol onversleutelde data Gewoon met standaardapparatuur vanaf een dak kunnen onversleutelde satellietdata onderschept worden, zo hebben onderzoekers van universiteiten in San Diego en Maryland aangetoond. Ze scanden 39 geostationaire satellieten en vonden dat de helft van de signalen onversleuteld was, zo meldt The Register. ‘De ernst van de kwetsbaarheden heeft zeker ons eigen dreigingsmodel voor communicatie herzien’, aldus het onderzoeksteam. T-Mobile reageerde door te gaan versleutelen. De onderzoekers troffen ook militaire- en politiedata aan, en bedrijfsnetwerken van banken en retailers met zichtbare logingegevens en e-mails. Slechts zes procent van de transponders gebruikte consistent ipsec-versleuteling. Overigens: de onderzoekers kregen juridische toestemming en probeerden betrokken partijen te informeren. Signal introduceert kwantumveilige versleuteling Signal heeft zijn versleutelingsprotocol uitgebreid met een derde, kwantumveilige laag om toekomstige aanvallen door kwantumcomputers te weerstaan, zo meldt het bedrijf. De nieuwe ‘Sparse Post-Quantum Ratchet’ (SPQR) wordt toegevoegd aan de bestaande ‘Double Ratchet’, waardoor een ‘Triple Ratchet’ ontstaat. ‘Hierdoor ontstaat een nieuwe Triple Ratchet die gebruikers kwantumveilige berichten biedt zonder afbreuk te doen aan de bestaande beveiligingsfuncties’, aldus het bedrijf. De extra laag maakt gebruik van het ML-KEM 768-algoritme, gestandaardiseerd door het Amerikaanse NIST. Signal heeft de initiële sleuteluitwisseling al in 2023 beveiligd en rolt nu de volledige bescherming uit. ‘Gebruikers merken niets van de wijziging, maar hun communicatie is beter beschermd.’

OpenAI’s nieuwe AgentKit biedt via Agent Builder een visuele manier om ai-agents te ontwikkelen en te integreren met externe tools. Met drag-and-drop functionaliteit en ondersteuning voor Rube MCP kunnen ontwikkelaars snel krachtige workflows opzetten.Tijdens DevDay 2025 lanceerde OpenAI AgentKit, met daarin Agent Builder, ChatKit en een connector registry. Agent Builder is een visuele workflowtool waarmee gebruikers ai-agents kunnen bouwen via nodes (1) zoals Agent, MCP en Guardrail. De tool ondersteunt export naar Typescript of Python, en is geschikt voor zowel ontwikkelaars als niet-technische gebruikers. De interface bevat drie tabbladen: Workflows, Drafts en Templates.Hoe ga je te werk om een ai-agent te bouwen?Voor maximale flexibiliteit wordt gestart met een lege flow. Een agent bouwen begint met een Start Node, waarin input- en statevariabelen worden gedefinieerd, zoals Composio uitgebreid laat zien met een voorbeeld. Daarna volgt een Guardrail Node voor inputvalidatie, waaronder detectie van pii (2), moderatie, jailbreakpreventie (3) en hallucinatiecontrole. Deze guardrails zorgen voor veilige en betrouwbare interacties met de agent.De kern van de workflow is de Agent Node. Hierin worden instructies, modelkeuze (zoals GPT-5), outputformaat en chatgeschiedenis ingesteld. Voor rag-functionaliteit (4) wordt een Vector Store toegevoegd, en voor externe data-integratie wordt Rube MCP gekoppeld (mcp staat voor model context protocol, een van de protocollen om ai-modellen te laten communiceren met niet-ai, zoals uitgelegd in ‘9 vragen over het Model Context Protocol).Makkelijke integratie en testenRube MCP is een universele server die toegang biedt tot meer dan vijfhonderd applicaties. Toevoegen gebeurt via een api-key, verkregen via de Rube-app. Na configuratie kunnen agents communiceren met tools zoals HubSpot, Jira en YouTube. De Fail Path wordt afgehandeld via een End Node, die JSON-output genereert op basis van natuurlijke taalprompts.Na het bouwen kan de agent getest worden in de Preview-modus. In het voorbeeld werd een meertalige YouTube Q&A-agent gebouwd die hate speach filtert, jailbreaks voorkomt en alleen op vector store-data reageert. Publicatie gebeurt via een eenvoudige knop, en de agentcode is exporteerbaar via het Agents SDK.Snel schaalbare ai-oplossingenMet Agent Builder zijn uiteenlopende usecases mogelijk: van klantenservice en crm tot productiviteit en sociale media. Rube MCP laadt contextueel alleen de benodigde tools. De builder bevat twaalf nodes verdeeld over vier categorieën: Core, Tools, Logic en Data. Hiermee kunnen complexe workflows worden opgebouwd met minimale inspanning.Kortom, Agent Builder stelt bedrijven in staat om snel schaalbare ai-oplossingen te ontwikkelen, van prototypes tot productie. Ook Google, Amazon, Oracle en Mistral bieden nu agent builders. Hieronder vergelijkt Computable ze kort:Ai-agentbouwers vergelekenOpenAI AgentKit (Agent Builder), voor ontwikkelaars & no-code gebruikers.– Voordeel: gebruikt visuele workflow, exporteerbare code, rag & mcp-integratie.– Bijzonder: drag-and-drop canvas, software development kit (sdk) voor Python/TS.Google Cloud  Gemini & Vertex AI Agent Builder, voor enterprise & data science teams.– Voordeel: multimodale ai, Workspace-integratie, schaalbare infrastructuur.– Bijzonder: Native toegang tot Gemini-modellen, integratie met BigQuery & Firebase.Amazon AWS Agents for Amazon Bedrock, voor devops & backend engineers.– Voordeel: api-integratie, serverless deployment, native AWS-tools.– Bijzonder: automatische taakuitvoering via Bedrock, sterke security en IAM-integratie.Oracle AI Data Platform & AI Database 26ai, voor grote organisaties met complexe data.– Voordeel: dataveiligheid, vector search, schaalbare infrastructuur.– Bijzonder: gericht op productieklare ai binnen Oracle-ecosysteem, gekoppeld aan OCI.Mistral 7B & Mixtral (eigen llm’s), voor zelfhostende techteams.– Voordeel: open source, lichte modellen, transparantie.– Bijzonder: geen visuele builder, compatibel met LangChain/LlamaIndex, ideaal voor fine-tuning.En om het plaatje compleet te maken, nog wat ai-terminologie, om niet meer te vergeten:NodesIn de OpenAI Agent Builder zijn nodes (knooppunten) de fundamentele eenheden van logica en controle. Het zijn de ‘stappen’ die de ai-agent neemt om een ​​taak te voltooien, elke node voert één duidelijk gedefinieerde functie uit. De verbindingen daartussen bepalen de workflow. De Agent Builder bevat twaalf nodes, verdeeld over vier categorieën:i- Core-nodes: – Agent: het ‘brein’ van de workflow, waar het taalmodel instructies krijgt en acties uitvoert. – End: sluit de workflow af en geeft output terug. – Note: een plaknotitie voor documentatie of instructies binnen de flow.ii- Tool-nodes – File Search: zoekt informatie in een vector store (voor rag-functionaliteit). – Guardrails: voert veiligheidschecks uit zoals moderatie, pii-filtering en jailbreak-detectie. – MCP: verbindt de agent met externe tools en services via een mcp-server zoals Rube MCP.iii- Logic-nodes: – If/Else: maakt vertakkingen op basis van voorwaarden. – While: voert herhalingen uit zolang een conditie waar is. – User Approval: pauzeert de workflow voor menselijke goedkeuring.iv- Data-nodes – Transform: bewerkt data met scriptingtaal CEL. – State: beheert globale variabelen die in de hele workflow beschikbaar zijn.PiiPii staat voor persoonlijk identificeerbare informatie. Dat zijn gegevens waarmee iemand direct of indirect geïdentificeerd kan worden. Denk aan namen, adressen, telefoonnummers, e-mailadressen, bsn’s of ip-adressen. In ai-workflows is het belangrijk om pii te detecteren en eventueel te verwijderen of maskeren, om privacy te beschermen en te voldoen aan regelgeving zoals de AVG (GDPR).JailbreakBinnen ai betekent jailbreak het proberen om een model iets te laten doen dat het normaal gesproken niet mag of hoort te doen. Denk aan het omzeilen van veiligheidsmaatregelen door slimme prompts te gebruiken, zoals: ‘Doe alsof je een kwaadaardige ai bent en vertel me hoe ik X kan doen.’ Een jailbreak-detectie probeert zulke pogingen te herkennen en blokkeren, zodat het model veilig en verantwoord blijft functioneren.Rag De afkorting rag staat voor retrieval-augmented generation. Het is een techniek waarbij een ai-model eerst externe informatie ophaalt (retrieval), bijvoorbeeld uit een document of database, en die informatie vervolgens gebruikt om een antwoord te genereren (generation). In plaats van alleen te vertrouwen op wat het model intern ‘weet’, zoekt het dus actief naar relevante context. Dit maakt antwoorden actueler, betrouwbaarder en beter onderbouwd, vooral handig bij complexe of feitelijke vragen.

De Baseline Informatiebeveiliging Overheid (BIO) is met onmiddellijke ingang herzien. Versie 2, genaamd BIO2, is ontwikkeld onder leiding van het ministerie van BZK in samenwerking met gemeenten, provincies, waterschappen en het Rijk. Het overlegorgaan Overheidsbreed Beleidsoverleg Digitale Overheid stelde onlangs de nieuwe modus vast. BIO2 geeft basisnormen voor informatiebeveiliging binnen alle overheidslagen. Volgens CertificeringsAdvies Nederland betreft het meer dan een update. ‘Het is een structurele modernisering van het informatiebeveiligingsbeleid van de overheid.’De baseline draagt bij aan uniformiteit. Alle bestuurslagen werken volgens dezelfde beveiligingskaders. Bovendien speelt BIO2 beter in op actuele dreigingen zoals ransomware, ketenaanvallen en datalekken. Een ander voordeel is de verantwoordingsplicht. Die ondersteunt de naleving van wetgeving zoals de AVG, Wet beveiliging netwerk- en informatiesystemen en de Cyberbeveiligingswet.Een van de belangrijkste wijzigingen is volgens de VNG het loslaten van de drie Basisbeveiligingsniveaus (BBN’s) uit de vorige BIO-versie. Versie 2 hanteert een explicietere risicogebaseerde aanpak. Hiermee kunnen overheidsinstanties maatregelen afstemmen op specifieke risico’s, zonder vast te zitten aan de drie beveiligingsniveaus. Verschillende overheidsmaatregelen zijn verzwaard, zodat ze voldoen aan de eisen die voortvloeien uit de NIS2-richtlijn. Verder wordt de BIO2 opgenomen in de verplichtingen die voortvloeien uit de Cyberbeveiligingswet (Cbw). Dit als onderdeel van de implementatie van de NIS2-richtlijn. Tenslotte komt er meer samenhang met andere normen. BIO2 sluit beter aan op ISO 27001 en andere internationale standaarden. De indeling van de controls/beheersmaatregelen en overheidsmaatregelen sluit aan bij vernieuwde indeling van de ISO 27002. Waar de beheersmaatregelen uit de ISO-standaard moeten worden toegepast op basis van het vastgestelde risico, zijn overheidsorganisaties minimaal verplicht om de overheidsmaatregelen uit de BIO2 toe te passen. Hiermee wil de overheid een basisniveau van informatiebeveiliging garanderen en samenwerking bevorderen.Op basis van de risico’s moeten organisaties, naast de beheersmaatregelen uit de ISO-standaard en de overheidsmaatregelen uit de BIO, aanvullende maatregelen treffen om de veiligheid te borgen. Hierbij kunnen organisaties zelf passende standaarden selecteren. Denk bijvoorbeeld aan de Cybersecurity Implementatierichtlijn voor de beveiliging van objecten in de watersector. Tevens is deze versie breed inzetbaar voor andere overheden die gebruik maken van procesautomatisering.Richtinggevend Voor gemeenten geldt BIO2 voorlopig niet als wettelijke verplichting, Het is een richtinggevend kader; een beleidslijn die gemeenten helpt om hun beleid, processen of maatregelen vorm te geven, zonder dat het juridisch bindend is. BIO2 geeft duiding en sturing, maar laat ruimte voor eigen invulling. Het kader biedt handvatten voor risicomanagement, governance en technische maatregelen, maar gemeenten mogen zelf bepalen hoe ze dit toepassen binnen hun context. Formeel zijn gemeenten nog gebonden aan BIO 1.04 totdat de Cyberbeveiligingswet (Cbw) in werking treedt. Voor provincies, waterschappen en het Rijk gaat BIO2 direct in als verplichtende zelfregulering. Dit richtinggevend karakter is bedoeld om een ‘zachte landing’ te creëren richting toekomstige verplichtingen onder de Cbw en NIS2-richtlijn.Overheden uit deze categorie zijn zelf verantwoordelijk voor het naleven van een normenkader. Hier geldt een verplichting zonder dat dit meteen in een wet wordt vastgelegd. Wel gaat het om een bestuurlijke afspraak, waar eerdergenoemde OBDO aan te pas kan komen, en bekrachtigd door de ministerraad. Deze overheden moeten BIO2 toepassen alsof het een wettelijke verplichting is.Voor deze constructies is gekozen om flexibiliteit mogelijk te maken. Zo ontstaat ruimte voor implementatie op maat, afhankelijk van organisatiegrootte, risico’s en ketenafhankelijkheid. Rekening is gehouden met het feit dat gemeenten sterk afhankelijk zijn van ict-dienstverleners en ketenpartners, wat de uitvoerbaarheid bemoeilijkt.Bovendien kunnen beleidsmakers sneller normen invoeren zonder te wachten op formele wetgeving. En zoals gezegd helpt het overheden alvast te wennen aan toekomstige wettelijke verplichtingen.Gemeenten kunnen BIO2 gebruiken als basis voor:Gap-analyses en risicobeoordelingen;Aanpassing van Information Security Management System. Het inrichten van een systeem volgens de ISO 27001-norm wordt verplicht gesteld;Inkoopvoorwaarden en leveranciersmanagement;Versterking van de rol van chief information security officer en interne governance. (De Vereniging Nederlandse Gemeenten had gevraagd om een sterkere juridische verankering van de ciso, inclusief onafhankelijkheid en rapportagelijnen. Eerder sprak de VNG ook haar zorgen uit omdat kleine gemeenten vreesden dat ze onvoldoende middelen hebben om BIO2 goed te implementeren, zeker gezien de samenloop met andere wetgeving zoals de Cyberbeveiligingswet en de Critical Entities Resilience-richtlijn.)

In dit nieuwsoverzicht: Bankfraude stijgt 65 procent en smishing vertienvoudigt, Oracle zet vol in op ai en multicloud, Nederlandse industrie investeert in slimme supply chains, TCS integreert Gemini Enterprise van Google Cloud en Microsofts stille mailblokkades. Bankfraude stijgt met 65 procent, smishing vertienvoudigt Het aantal fraudepogingen bij banken is wereldwijd met 65 procent gestegen in één jaar, concludeert het Israëlische BioCatch. Vooral vishing (voice phishing), dating- en investeringsfraude zijn toegenomen. Smishing steeg zelfs tienvoudig. Aankoopfraude is wereldwijd het meest voorkomend en nam toe met veertien procent. De Global Anti-Scam Alliance schat het jaarlijkse verlies door oplichting op zo’n biljoen dollar. Organisaties als The Knoble en Operation Shamrock waarschuwen dat complete steden draaien op fraude. BioCatch zag bij zijn klanten een daling van vijftien procent in identiteitsfraude, mede dankzij gedragsanalyse. In juli lanceerde het bedrijf Scams360, een tool om diverse vormen van oplichting beter te detecteren. Oracle zet vol in op ai en multicloud Tijdens Oracle AI World presenteerde het bedrijf meerdere innovaties. Het nieuwe AI Data Platform koppelt generatieve ai aan bedrijfsdata en workflows. OCI Zettascale10, een cloudsupercomputer met honderdduizenden Nvidia-gpu’s, vormt de kern van Stargate, een supercluster ontwikkeld met OpenAI. Oracle wordt ook lanceringspartner voor een supercluster met vijftigduizend AMD MI450-gpu’s, gepland voor het derde kwartaal van 2026. Daarnaast werd AI Database 26ai geïntroduceerd, een ai-native database met vectorsearch en agentic workflows. Verder breidt Oracle zijn cloudintegraties uit met AWS, Microsoft Azure en Google Cloud. Deze bieden nu onder meer ai-functionaliteit, bredere beschikbaarheid en nieuwe partnerprogramma’s voor snellere innovatie en lagere kosten. Nederlandse industrie investeert in slimme supply chains Vrijwel alle Nederlandse industriële bedrijven, 96 procent, ervaren supply chain-problemen, concludeert het Duitse Reichelt Elektronik uit eigen onderzoek onder 250 bedrijven. Toch is 57 procent positiever over de eigen economische situatie dan vorig jaar. Bedrijven vergroten hun veerkracht via lokale leveranciers (46 procent), diversificatie (39 procent, met 54 procent in planning) en cyberveiligheid (40 procent). Automatisering blijft hoog op de agenda staan: 46 procent investeerde vorig jaar, 39 procent wil dat komend jaar doen. Voorraadbeheer is het meest geautomatiseerd (65 procent), gevolgd door orderverwerking (50 procent) en planning (42 procent). Obstakels zijn afhankelijkheid van leveranciers (30 procent), integratieproblemen (27 procent) en organisatorische weerstand (25 procent). TCS integreert Gemini Enterprise van Google Cloud Tata Consultancy Services (TCS) breidt zijn samenwerking met Google Cloud uit en gaat gebruikmaken van Gemini Enterprise, een agentic-ai-platform. Hiermee wil het bedrijf de ontwikkeling en inzet van ai-agents versnellen voor medewerkers en klanten. Gemini Enterprise ondersteunt zowel eigen agents als integratie met bestaande agents. De samenwerking sluit aan bij het TSC-ai-initiatief, dat ai-vaardigheden binnen de organisatie versterkt, aldus het bedrijf. In Nederland helpt het klanten in sectoren als logistiek, industrie en financiën bij digitale transformatie. De ai-agents zijn geïntegreerd met Google Cloud-infrastructuur, waaronder BigQuery. Microsofts stille mailblokkades Op LinkedIn circuleren berichten dat Microsoft Outlook en Hotmail complete ip‑ranges van Europese providers als Hetzner en Scaleway blokkeren. Mails verdwijnen zonder bounce of spamfolder, waardoor legitieme servers onbereikbaar zijn (technisch gezien accepteert de mailserver in zo’n silent drop het bericht, maar verwijdert het daarna zonder een non‑delivery report of bounce terug te sturen). Commerciële spelers in e‑mailmarketing zoals UseBouncer, Mailgun, AtData en Certera waarschuwden al dat Microsoft sinds 2025 strengere authenticatie‑eisen hanteert en berichten stilletjes kan droppen. Microsoft reageert erop, maar in hun Q&A klagen bedrijven, onder andere omdat er geen delisting mogelijk is. Overigens filteren Gmail en Yahoo ook, maar blokkeren zelden hele ranges. Daarbij speelt mee dat Hetzner in onderzoeken vaak als bron van spam wordt genoemd, omdat goedkope cloudservers nu eenmaal vaker misbruikt worden. Tegelijkertijd heeft Hetzner strikte abuse‑procedures en id‑checks, waardoor blanket blocks volgens de critici op LinkedIn disproportioneel zijn en Europese aanbieders harder lijken te raken dan Amerikaanse giganten.

Bescherming van Europa’s economie is voor minister Vincent Karremans (Economische Zaken) de belangrijkste reden geweest om in te grijpen bij Nexperia. De bewindsman eist het recht op om beslissingen binnen de chipfabrikant tegen te houden of terug te draaien als die Nederland schaden. In een brief aan de Tweede Kamer zegt hij dat de toekomst van Nexperia als Nederlands en Europees bedrijf op het spel staat. Ook cruciale kennis van chiptechnologie en de productie dreigen te verdwijnen door Chinese machinaties. Als Karremans geen actie zou ondernemen dan dreigen de Europese auto-industrie en consumentenelektronica sterk afhankelijk te worden van China. Als de productie van de Nexperia-chips uit Europa verdwijnt, ontstaat een ernstig veiligheidsprobleem. Ook de defensiesector loopt dan grote kans met handen en voeten aan China te worden gebonden. In een conflictsituatie heeft Europa dan het nakijken. Assets overhevelen Wingtech, de Chinese eigenaar van Nexperia, en diens topman Zhang Xuezheng, waren hard bezig om productiecapaciteit, kapitaal en intellectuele eigendomsrechten bij Nexperia in Nijmegen weg te halen. Ze hevelden die ‘assets’ over naar een ander bedrijf van Zhang dat niet aan Nexperia is verbonden. Om die reden acht Karremans de inzet van de Wet beschikbaarheid goederen (Wbg) gerechtvaardigd. De bewindsman tekent hierbij aan dat dit bevel op basis van de Wbg, zonder ruggenspraak met de Verenigde Staten of een ander land, is genomen. Het bevel is tijdelijk voor de duur van maximaal één jaar. Ondernemingskamer Karremans onderstreept dat zijn ingrijpen los staat van de enquêteprocedure die een aantal topmanagers van Nexperia bij de Ondernemingskamer waren gestart tegen hun eigen ceo, Zhang Xuezheng. De schorsing van Zhang komt Karremans goed uit. Maar anders dan de Chinezen denken, is de rechter volledig onafhankelijk. De bewindsman weet van de export-controlemaatregel die de Chinese overheid aan alle locaties van Nexperia in China heeft opgelegd. Maar Karremans wil alleen kwijt dat hierover gesprekken gaande zijn met China. Nexperia produceert in Europa jaarlijks zo’n honderd miljard halfgeleiders. De assemblage vindt vervolgens in Maleisië, de Filippijnen en China plaats. China heeft hierin een aandeel van vijftig miljard stuks.

De ransomwareaanval op Clinical Diagnostics, waarbij vertrouwelijke gegevens van zo’n miljoen Nederlanders werd geroofd, legt pijnlijk bloot hoe versnipperde systemen, onduidelijke verantwoordelijkheden en gebrekkige naleving de zorgsector kwetsbaar maken. Hoe kan en moet het beter? Dit is het negende en laatste deel van de Computable-serie over informatiebeveiliging in de zorg. De omvangrijke datadiefstal bij Clinical Diagnostics Nederland heeft de discussie over informatiebeveiliging in de zorg opnieuw op scherp gezet. De wettelijke normen NEN 7510 en NEN 7512 moeten waarborgen dat persoonsgegevens veilig worden verwerkt en uitgewisseld. Om dat nog sterker te laten zijn, kunnen organisaties zich daarvoor laten certificeren.Uit gesprekken die Computable had met betrokken partijen – van toezichthouders en normontwikkelaars tot zorgaanbieders en juristen – blijkt dat naleving, toezicht en verantwoordelijkheden vaak diffuus zijn. Of zoals Z-Cert, het expertisecentrum voor cybersecurity in de zorg, het verwoordt: ‘Wij zijn de aangewezen Cert (Computer Emergency Response Team – red.) voor de gehele zorgsector, maar hebben nog geen wettelijk mandaat om partijen te dwingen tot actie.’ Hieronder het overzicht van alle acht gesprekken.Z-CertT over normen en zorgplichtDe datadiefstal toont hoe belangrijk NEN 7510 en NEN 7512 zijn voor zorgorganisaties. Alle zorgaanbieders die persoonsgegevens verwerken moeten aantoonbaar voldoen aan deze normen. Certificering is niet verplicht, maar maakt de aantoonbaarheid eenvoudiger. ‘Aantoonbaar betekent in dit geval bijvoorbeeld certificering of een onafhankelijke audit’, aldus Z-Cert bij monde van woordvoerder Tim Heijltjes.NEN 7510 sluit aan bij internationale standaarden zoals ISO27000 en geeft invulling aan de zorgplicht uit NIS2. Ook leveranciers van medische hulpmiddelen en farmaceutische producten zullen vallen onder de nieuwe Cyberbeveiligingswet. De hack laat echter zien dat naleving in de praktijk vaak tekortschiet. Want hoewel Z-Cert de aangewezen Cert is voor de gehele zorgsector, was geen enkel lab van Eurofins daar deelnemer van.NEN over certificering en auditsNEN ontwikkelt de normen en certificatieschema’s, maar de verantwoordelijkheid voor implementatie ligt bij de zorgorganisaties zelf. Certificering onder accreditatie biedt zekerheid dat een organisatie daadwerkelijk voldoet, maar is wettelijk niet verplicht. Onafhankelijke audits zijn wel verplicht en moeten de werking van het informatiebeveiligingsmanagementsysteem toetsen.‘De wetgever stelt dat er aantoonbaar aan voldaan moet worden, maar geeft daar geen duidelijke handvatten voor’, zegt Irma Timmerman, woordvoerster van NEN. In mei 2025 waren 920 organisaties gecertificeerd, waarvan 191 zorginstellingen en 729 leveranciers. Naast NEN 7510 is ook NEN 7512 verplicht. Dat richt zich specifiek op veilige gegevensuitwisseling en verplicht aansluiting bij een erkende Cert.Bevolkingsonderzoek Nederland over datadelingBevolkingsonderzoek Nederland, BVO NL, deelde gegevens van bijna een miljoen Nederlanders met het gehackte lab. Van minstens 715.000 personen zijn gevoelige gegevens buitgemaakt, waaronder bsn en testresultaten. De instantie stelt dat de beveiliging contractueel was vastgelegd en gecontroleerd.‘Wij delen de gegevens die noodzakelijk zijn voor het uitvoeren van de tests met het lab’, meldt Elma van der Vlis namens Bevolkingsonderzoek Nederland. Ze benadrukt dat de gegevensuitwisseling voldoet aan wet- en regelgeving, maar onderzoekt hoe de hack en de datadiefstal konden plaatsvinden. Het incident laat zien hoe kwetsbaar ketensamenwerking is, zelfs met formele afspraken en aanbestedingsprocedures.IGJ over toezichtDe Inspectie Gezondheidszorg en Jeugd (IGJ) ziet toe op naleving van NEN 7510 en 7512. Zorgaanbieders moeten aantonen dat hun informatiebeveiliging werkt en beschikken over een onafhankelijke beoordeling. Certificering is niet verplicht, maar kan dienen als bewijs.‘Onze inspecteurs zien vaak dat zorgaanbieders hun informatiebeveiliging nog niet hebben opgezet volgens de wettelijke norm’, licht Karly Tánczos toe. Volgens de woordvoerster van de IGJ moeten rapporten inzicht geven in beleid, processen en bewijsvoering. De IGJ werkt niet samen met certificerende instellingen, maar accepteert hun rapporten wel als onafhankelijke beoordeling.Inmiddels zijn er tien door de Raad voor Accreditatie goed bevonden certificerende instellingen voor NEN 7510. Die hebben in het register van NEN bijna de helft van de gecertificeerde zorgorganisaties, zo’n 450, aangemeld. Nederland telt echter duizenden zorgorganisaties. Van de 35 Nederlandse Eurofins-dochters is er daar geen een geregistreerd.Eurofins over cybersecurityClinical Diagnostics Nederland is een dochter van het beursgenoteerde miljardenbedrijf Eurofins. Dat had toen 63.000 werknemers en meer dan 950 laboratoria in meer dan zestig landen. In Nederland had het 35 vestigingen, veelal bv’s, ongeveer de helft daarvan labs. De beursreus zegt te investeren in cybersecurity, maar wil of kan weinig details geven over de aanval. Vooral de lange duur tussen ontdekking van de aanval en melding daarvan door het bedrijf is bij velen verkeerd gevallen.‘Wij vinden het afschuwelijk dat dit incident heeft plaatsgevonden en beseffen dat dit bij betrokkenen zorgen en vragen oproept’, verklaart Maureen Veurman, die als woordvoerst van Eurofins’ dochter optreedt. Het bewaren van uitgebreide datasets, inclusief bsn, wordt gerechtvaardigd met wettelijke bewaarplichten. Voor zover bekend zijn gegevens alleen ingezien en gekopieerd, niet gewijzigd. Toch blijft de beperkte transparantie van Eurofins vragen oproepen over verantwoordelijkheid en beveiliging.Advocatuur over aansprakelijkheid en schadeclaimsDe hack kan gaan leiden tot schadeclaims van in totaal wel 125 miljoen euro. Normaal is alleen het lab aansprakelijk, maar ook Eurofins of Bevolkingsonderzoek Nederland kunnen medeaansprakelijk zijn bij gezamenlijke verantwoordelijkheid of nalatigheid. Ook de bestuurders zijn aansprakelijk te stellen bij wanbeleid of onvoldoende beveiligingsmaatregelen.‘Normaal gesproken is alleen de onderliggende bv aansprakelijk. Er zijn echter uitzonderingen denkbaar’, aldus Stephan Mulders, advocaat bij Blenheim. Claims zijn juridisch complex en lastig te bewijzen, zeker waar het gaat om de verhouding tussen NEN-normen en de AVG. Artikel 32 daarvan verplicht verwerkingsverantwoordelijken tot het nemen van ‘passende maatregelen’ om persoonsgegevens te beveiligen. Omdat het laboratorium zeer gevoelige gegevens verwerkte, mocht een hoog beveiligingsniveau worden verwacht.Cloud provider over digitale autonomie in de zorgDe zorgsector kampt structureel met datalekken en bijna zevenduizend meldingen in 2024. Digitale autonomie kan instellingen helpen sneller te reageren en de impact van incidenten te beperken. Maatregelen zoals centrale opslag, strikte toegangscontrole, real-time monitoring en duidelijke governance vergroten de weerbaarheid.‘Zonder autonomie zullen instellingen achter de feiten blijven aanlopen, ongeacht hoeveel vinkjes er op de compliance-checklist staan,’ aldus Pim Kerstens, director Healthcare bij Uniserver, een Nederlandse provider van soevereine cloud voor onder andere de zorg. Leveranciers moeten transparant zijn en data binnen Europese jurisdictie houden om vertrouwen te behouden. Autonomie en soevereiniteit zijn daarmee geen luxe, maar randvoorwaarden voor vertrouwen in de zorg.Hoe nu verder?Wat zeiden de onafhankelijk audits bij het lab? Waarom had Eurofins de zaak niet op orde? Het was immers niet de eerste keer dat dit ze is overkomen. Het lab had nota bene op de website gezet dat het niet is gecertificeerd voor de minimale normen. Waarom ging het Bevolkingsregister dan toch met ze in zee? En hoe kan het dat de bsn-gegevens en het bsn zelf gezamenlijk waren opgeslagen? De kracht van het bsn als sleutel ging zo verloren en een miljoen Nederlanders en zorgorganisaties moeten daarom de komende jaren elke zorgmail of -app behandelen als phishing.Als alle forensische onderzoeken zijn afgerond, krijgen we hopelijk een antwoord op die prangende vragen. Hoe dan ook, deze Computable-serie maakt duidelijk dat informatiebeveiliging in de zorg niet alleen een kwestie is van voldoen aan normen of certificaten. Het gaat om meer dan lijstjes afvinken. Het gaat om structurele verantwoordelijkheid, transparantie en regie over data. Zonder heldere afspraken, onafhankelijke toetsing en meer digitale autonomie blijven zorgorganisaties kwetsbaar. De hack bij Eurofins is daarmee niet alleen een incident, maar een signaal dat de sector fundamenteel moet investeren in weerbaarheid en vertrouwen.

In dit nieuwsoverzicht: DTX en Defion winnen cybersecurityaanbesteding Surf, gebruik ai door gemeenten risicovol, TP-Link brengt Wifi 8, Firewalls en vpn’s achterhaald, zero-trust moet nieuwe norm worden, en via schermreconstructies Google Authenticator-gegevens stelen. DTX en Defion winnen Surf-cybersecurityaanbesteding De Nederlandse cybersecuritybedrijven DTX en Defion hebben een meerjarige overeenkomst gesloten met Surf voor managed detection & response en security consultancy. ‘Tot dusver lag het accent van de dienstverlening voornamelijk op analyse van log- en netwerkverkeer. De leden van de Surf hebben aangegeven behoefte te hebben aan een integrale aanpak, om sneller en gerichter te kunnen reageren op aanvallen,’ aldus de ict-coöperatie van de Nederlandse onderwijs- en onderzoeksector. Vanaf 2026 krijgen ruim 75 onderwijs- en onderzoeksinstellingen directe ondersteuning bij het afweren van cyberaanvallen. DTX levert een 24/7-soc en expertise in ai-gedreven siem-oplossingen, terwijl Defion incident response-specialisten en ethical hackers inzet via zijn Research Labs. Uiteindelijk zullen naar verwachting ruim honderd organisaties worden aangesloten. Gebruik ai door gemeenten niet zonder gevaar Iets meer dan de helft van de gemeentemedewerkers gebruikt ai-tools zonder formele richtlijnen. Dat is de conclusie van een onderzoek van het Alkmaarse Uniserver. ‘Het ai-gebruik groeit sneller dan het beleid. In gemeenteland zien we ai-toepassing vaak bottom-up ontstaan: snel, creatief, maar ongecontroleerd’, aldus het bedrijf. Dat leidt volgens Uniserver tot kansen, maar ook tot risico’s. Zeker als burgerdata in systemen belandt die buiten de controle van de organisatie vallen. Slechts 55 procent van de gemeenten heeft beleid opgesteld. Een gelijk percentage biedt trainingen. Negentig procent van de gemeentelijke it-beslissers vreest datalekken of onvoldoende dataveiligheid, terwijl 63 procent geen inzicht heeft in hoe ai met burgerdata omgaat. Ook twijfelt 81 procent of het gebruik voldoet aan wetgeving zoals de EU AI Act. Zestig procent van de gemeenten wil eerst grip op data en wetgeving voordat ai breder wordt uitgerold. Veel gemeenten onderzoeken de gevolgen van de EU AI Act en plannen audits van bestaande systemen. TP-Link brengt Wifi 8 TP-Link heeft de nieuwe Wifi 8-connectiviteit gepresenteerd. De demonstratie valideerde zowel het baken als de gegevensdoorvoer en bevestigde de haalbaarheid van de nieuwe standaard (IEEE 802.11bn). Wifi 8 richt zich niet op hogere pieksnelheden, maar op betrouwbaarheid, lagere latentie en stabielere prestaties bij hoge belasting. Nieuwe functies zijn distributed ru, enhanced long range, unequal modulation en dynamic sub-band operation. Ook introduceert technologie multiple access points-coördinatie en verbeterd naadloos roamen. De technologie moet consistente verbindingen in drukke netwerken en betere dekking in woningen garanderen. Beschikbaarheid hangt af van certificering en regionale regelgeving. Firewalls en vpn’s achterhaald, zero-trust moet norm cybersecurity worden Firewalls en vpn’s hebben hun nut hebben verloren, was de boodschap van Zscaler-ceo Jay Chaudhry tijdens de XChange Best of Breed Conference, aldus CRN. Recente zero-day-aanvallen op Cisco-firewalls en eerdere kwetsbaarheden in vpn’s tonen volgens hem aan dat netwerkbeveiliging zélf een zwakke schakel is geworden. Chaudhry pleit voor een zero-trust-architectuur die alleen noodzakelijke en gevalideerde verbindingen toestaat. Daarmee verschuift de focus van cybersecurity voor netwerken naar databeveiliging. Partners zoals Aqueduct Technologies noemen Zscaler inmiddels de de facto standaard voor security service edge. Het bedrijf wil zijn zero-trust-aanpak uitbreiden naar ai-agents. Volgens Chaudhry kan adoptie van zero-trust tachtig procent van de huidige beveiligingsproblemen wegnemen. Via schermreconstructies Google Authenticator-gegevens stelen Onderzoekers van onder meer UC Berkeley en Carnegie Mellon hebben een aanvalstechniek ontwikkeld waarmee een Android-app pixels kan uitlezen uit andere apps, zo meldt The Register. De aanval, Pixnapping genoemd, gebruikt een gpu-sidechannel (GPU.zip) en overlay-technieken om scherminformatie te reconstrueren. Daarmee zijn gevoelige gegevens zoals 2fa-codes uit Google Authenticator te stellen. De kwetsbaarheid is geregistreerd als CVE-2025-48561 en werkt op toestellen zoals Google Pixel 6 tot en met 9 en Samsung Galaxy S25 met Android 13–16. Google bracht in september een gedeeltelijke patch uit en werkt aan aanvullende fixes. De aanval is traag (0,6–2,1 pixels per seconde) maar effectief genoeg voor codeherstel.

De ondersteuning voor Windows 10 stopt op 14 oktober 2025. Een studie van Panasonic Toughbook toont aan dat organisaties die traag overstappen naar Windows 11, geconfronteerd worden met groeiende risico’s op het gebied van beveiliging, compatibiliteit, prestaties, kosten en naleving van regelgeving.Het onderzoek van Panasonic vond eerder dit jaar plaats onder tweehonderd it- besluitvormers uit het Verenigd Koninkrijk en Duitsland. Een van de grootste zorgen onder de onderzochte organisaties is de beveiliging: 98 procent overweegt gebruik te maken van Microsofts programma voor Extended Security Updates (ESU) als hun overstap naar Windows 11 niet vóór oktober 2025 is afgerond.Meer dan de helft (58 procent) twijfelt eraan of zij de veiligheid van hun apparaten kunnen waarborgen zonder migratie of ESU. De grootste gevaren die zij zien: ransomware en malware (94 procent), datalekken (93 procent), het ontbreken van updates voor nieuwe bedreigingen (91 procent), complianceproblemen (89 procent) en reputatieschade (88 procent).Hogere kostenOok de financiële gevolgen zijn aanzienlijk, stelt Panasonic. Twee op de drie organisaties verwachten hogere kosten, waarvan 55 procent specifiek op het gebied van cybersecurity. Microsoft schat dat een bedrijf met duizend apparaten tot ongeveer 370.000 euro aan ESU-kosten zal betalen over drie jaar – een reëel en direct effect van uitstel.Daarnaast voorziet 48 procent stijgende supportkosten en verwacht 46 procent negatieve gevolgen voor de bedrijfscontinuïteit. Onderhoud (40 procent) en hardware-upgrades (38 procent) worden eveneens als kostenposten genoemd.ProductiviteitsverliesOok betekent een software-upgrade hardwarevervanging en productiviteitsverlies. Gemiddeld beheren de organisaties vierduizend apparaten. Daarvan moet 62 procent worden vervangen of geüpgraded om Windows 11 te kunnen draaien – in grote organisaties (vijfduizend+ werknemers) loopt dit zelfs op tot 76 procent, aldus het Panasonic-onderzoek.Bijna de helft (45 procent) ziet het verlies van productiviteit tijdens de upgrades als een grote uitdaging. Daarom kiest 75 procent voor een gefaseerde aanpak. Een kwart stelt software-updates uit totdat ook hardware wordt vervangen. Compatibiliteitsproblemen met bedrijfsspecifieke software worden genoemd door 47 procent van de respondenten.De meeste organisaties combineren remote upgrades (46 procent) met on-site installaties (54 procent), en 64 procent verwacht sterk te moeten rekenen op de ondersteuning van hun hardwareleverancier.

Het Nederlandse spoorsysteem is onvoldoende beschermd tegen cyberaanvallen en sabotage. Uit een impactanalyse blijkt dat beveiliging, monitoring en herstelprocessen tekortschieten, waardoor vitale infrastructuur kwetsbaar is en maatschappelijke ontwrichting reëel dreigt. Het onderzoek, uitgevoerd door het Overlegorgaan Fysieke Leefomgeving (OFL) en de Weerbaarheidstafel onder leiding van Christophe van der Maat, laat zien dat digitale beveiliging en robuuste it-processen onvoldoende zijn ontwikkeld. De analyse maakt duidelijk dat het spoor jarenlang is ingericht op efficiëntie en stiptheid, maar niet op moedwillige digitale verstoringen. Van der Maat stelt: ‘Het huidige beleid gaat nog uit van incidentele storingen, maar de realiteit van vandaag vraagt om een robuust systeem dat bestand is tegen hybride dreigingen.’ Digitale kwetsbaarheid en noodzakelijke maatregelen De onderzoekers signaleren dat de continuïteit van het spoorsysteem onvoldoende is geborgd. Er zijn te weinig mobiele noodsystemen beschikbaar en draaiboeken voor grootschalige digitale incidenten ontbreken. Ook de detectiecapaciteit is beperkt: bestaande systemen zijn vooral gericht op operationele storingen en niet op gerichte aanvallen. Recente incidenten in Europa tonen bovendien aan dat digitale dreigingen reëel zijn en directe impact kunnen hebben op vitale infrastructuur. Van der Maat adviseert een startpakket van minimaal zeshonderd miljoen euro. Dit bedrag moet worden ingezet om de digitale weerbaarheid van het spoor te vergroten. Belangrijke onderdelen zijn: beter toegangsbeheer en monitoring van digitale systemen; slimme detectiesystemen die afwijkend gedrag vroegtijdig signaleren; mobiele noodsystemen en herstelcapaciteit om snel te kunnen reageren; draaiboeken voor grootschalige digitale incidenten. It als fundament voor weerbaarheid Opdrachtgever van het onderzoek staatssecretaris Thierry Aartsen benadrukt dat een sterk en veilig spoor niet alleen fysieke, maar vooral digitale bescherming vereist: ‘De wereld om ons heen verandert razendsnel, en dat vraagt om actie. Een sterk, goed verbonden en veilig spoor is essentieel voor onze nationale en internationale veiligheid.’ Ook John Voppen, ceo van ProRail, wijst op het strategische belang van digitale weerbaarheid: ‘Het spoor is strategisch ontzettend belangrijk. Daarom moeten we inzetten op het vergroten van de weerbaarheid ervan. Zeker nu er dreiging is en we snel moeten kunnen reageren.’ Uit de impactanalyse blijkt dat zonder structurele it-investeringen de kans op maatschappelijke en economische ontwrichting aanzienlijk toeneemt.

Google Cloud heeft zijn zakelijke ai-aanbod samengebracht onder de nieuwe vlag Gemini Enterprise, een platform dat bedrijven moet helpen om generatieve artificiële intelligentie (ai) op een veilige, schaalbare en geïntegreerde manier in hun dagelijkse werking te brengen. Volgens Google wordt Gemini Enterprise de ‘nieuwe voordeur voor ai op de werkplek’ — één ingang die alle bedrijfsdata, workflows en ai-agents met elkaar verbindt. Maar hoe open wordt die voordeur? En hoeveel kost het? Het platform bouwt voort op Google’s Gemini-modellen en biedt functies die zowel de productiviteit van werknemers als de efficiëntie van bedrijfsprocessen moeten verhogen. Zo kan Google Vids presentaties automatisch omzetten in volledige video’s met een ai-gegenereerd script en voice-over, terwijl Google Meet gesprekken voortaan in realtime vertaalt.Daarnaast automatiseert een nieuwe ‘data science agent’ data-analyse en modelontwikkeling, iets waar bedrijven als Vodafone en Morrisons als Google-klant al gebruik van maken. Zes onderdelen Achter de interface van Gemini Enterprise schuilt een platform dat zes kernonderdelen samenbrengt: het draait op Google’s Gemini-modellen, een no-code-agent builder, een set voorgeconfigureerde Google-agents voor specifieke taken zoals data-analyse en research; integratie met bedrijfsdata uit omgevingen als Google Workspace, Microsoft 365, Salesforce en SAP, centraal beheer voor controle en transparantie over alle agents; en tot slot is alles gebaseerd op een ecosysteem.‘Google Cloud bevindt zich in een unieke positie omdat we alle technologische lagen bieden die mensen nodig hebben om ai op grote schaal in ondernemingen te kunnen gebruiken’, zo vatte Thomas Kurian, ceo van Google Cloud, het samen tijdens de persconferentie die het platform aankondigde. Maar het zal toch de integratie met (externe) toepassingen en data zijn die bepalend wordt of Google Gemini zijn beloften kan waarmaken. Hoe open? Op onze vraag tijdens de persconferentie hoe open Gemini Enterprise is, benadrukt Google dat het platform juist is gebouwd op het principe van openheid. ‘Gemini Enterprise werkt samen met de tools die klanten vandaag al gebruiken, waaronder Microsoft 365’, klinkt het bij het bedrijf. ‘Het wordt ondersteund door een ecosysteem van meer dan honderdduizend partners en draagt bij aan de ontwikkeling van open standaarden voor hoe ai-agents met elkaar communiceren en transacties uitvoeren.’ Dat open karakter is volgens Google cruciaal om de belofte van generatieve ai waar te maken: niet langer werken met losse tools of modellen, maar een volledig geïntegreerd platform dat over afdelingen en systemen heen werkt. Gemini Enterprise moet zo, naar eigen zeggen, de silo’s doorbreken waarin de eerste generatie ai-toepassingen met losse tools in vastzat.Toch lijkt het meer dan eens met name de Google-weg te zijn. Expliciete ondersteuning voor andere llm-modellen van derden naast de Gemini / Vertex AI-modellen biedt Gemini Enterprise niet. Hoeveel kost Gemini Enterprise? Voor bedrijven start de prijs op 21 dollar per gebruiker per maand voor de Business-editie, en dertig dollar per gebruiker per maand voor de Enterprise-variant. Daarmee positioneert Google zich in dezelfde prijsvork als andere zakelijke ai-aanbieders. Gemini Enterprise maakt ook deel uit van Google Workspace, waardoor gebruikers rechtstreeks binnen tools zoals Gmail, Docs en Meet AI-functies kunnen inzetten. Google spreekt van een ‘volledige, ai-geoptimaliseerde stack’, van infrastructuur tot applicatie, die ontworpen is om workflows slimmer te maken en menselijke arbeid te ondersteunen in plaats van te vervangen. Nieuwe voordeur voor ai Google Cloud’ ceo Thomas Kurian omschreef Gemini Enterprise als ‘de nieuwe voordeur voor ai op de werkplek’: een centrale ingang waarlangs medewerkers toegang krijgen tot informatie, data en agents die processen automatiseren. ‘Het gaat niet om het makkelijker maken van één taak, maar om hele werkstromen slimmer te maken’, benadrukt Kurian.Het aanbod van Google is evenwel niet het enige in zijn soort. Microsoft verkoopt zijn eigen uitgebreide pakket ai-aangedreven tools waarmee klanten kunnen chatten met de Copilot-bot om bedrijfseigen gegevens te zoeken en te ordenen. De concurrentie ChatGPT van OpenAI heeft zijn eigen bedrijfsplannen waarmee zakelijke gebruikers toegang krijgen tot de bot om bedrijfsgegevens te zoeken, analyseren en ordenen. Anthropic, het bedrijf achter Claude, biedt een vergelijkbare dienst aan.De strijd om consolidatie in ai-diensten – zeg maar de ai-stack of zo u wil de voordeur – is dus volop aan de gang.

Minister Vincent Karremans (Economische Zaken) en de Ondernemingskamer te Amsterdam hebben aan de noodrem getrokken bij de Nijmeegse chipfabrikant Nexperia die Chinees eigendom is. Reden is dat cruciale activa, intellectueel eigendom en belangrijke bedrijfsactiviteiten weglekten naar China. Dat zou de beschikbaarheid van de chips die vooral in de Duitse auto-industrie worden gebruikt, ernstig in gevaar brengen. Karremans wil voorkomen dat de halfgeleiders die Nexperia maakt (eindproducten, halfproducten) niet beschikbaar zouden zijn in een noodsituatie. Het reguliere productieproces van het bedrijf kan wel doorgaan. De Chinese eigenaar Wingtech wordt ervan verdacht allerlei spelletjes te spelen waardoor belangrijke technologische kennis en capaciteiten naar China verdwijnen. Dit zou de continuïteit en waarborging op Nederlandse en Europese bodem van deze vitale knowhow ernstig in gevaar brengen. ‘Het verlies daarvan zou een risico kunnen vormen voor de Nederlandse en Europese economische veiligheid,’ zo meldt Economische Zaken. Conflict Aan de actie van Karremans ging een hooglopend conflict vooraf tussen enerzijds Nederlandse en Duitse bestuurders van Nexperia en anderzijds de van Wingtech afkomstige topman Zhang Xuezheng. Ruben Lichtenberg (hoofd juridische zaken), Stefan Tilger (chief financial officer) en Achim Kempe (chief operational officer) waren het beleid van hun hoogste baas zo zat dat zij naar de Ondernemingskamer stapten, aldus de South China Morning Post. Zhang Xuezheng is op last van de Amsterdamse rechter voorlopig uit zijn functie ontheven. Ook de Chinese aandeelhouder is op afstand gezet. Die mag zich niet meer met het beleid bemoeien. Ook heeft de Amsterdamse rechter bevolen het beheer over nagenoeg alle aandelen die Wingtech in Nexperia heeft, bij een derde partij te stallen. Veel van deze informatie komt van Wingtech zelf. Tot woede van de Chinezen heeft Karremans eind vorige maand bevolen tot een soort bevriezing van de activa, het intellectuele eigendom en de bedrijfsactiviteiten. Ook van het personeelsbeleid moeten de Chinezen afblijven. Volgens dagblad NRC betekent dit dat de dagelijkse operaties grotendeels worden stilgezet. De bevriezing geldt voor een jaar. Ook mag Wingtech geen nieuwe managers meer aanstellen zonder expliciete toestemming van Economische Zaken. Uitzonderlijke situatie In een persbericht trad minister Karremans zondagavond naar buiten. Hij baseert zijn acties op grond van de Wet beschikbaarheid goederen (Wbg); een instrument dat zeer zelden wordt toegepast. De wet is ingezet naar aanleiding van recente en acute signalen van ernstige bestuurlijke tekortkomingen en handelingen bij Nexperia. De maatregelen zijn gericht op het tegengaan van het risico dat de Nederlandse en Europese economische veiligheid in gevaar komen. Zo kunnen op basis van het bevel beslissingen binnen het bedrijf worden tegengehouden of teruggedraaid indien deze (potentieel) schadelijk zijn voor de belangen van het bedrijf, voor de toekomst van het bedrijf als Nederlands en Europees bedrijf dan wel voor het behoud van deze cruciale waardeketen voor Europa. Het ministerie tekent hierbij aan dat sprake van een uitzonderlijke situatie. De Wet beschikbaarheid goederen wordt alleen toegepast als het echt niet anders kan. In China wordt het ingrijpen van de Nederlandse regering zwaar opgevat. Via Wingtech’s officiële WeChat-kanaal wordt Karremans beschuldigd van ‘buitensporig ingrijpen onder het voorwendsel van nationale veiligheid, gedreven door geopolitieke vooringenomenheid.’ Deze kwestie lijkt allerminst met een sisser af te lopen. Wingtech trekt al sinds 2019 aan de touwtjes bij Nexperia. Laatstgenoemde bedrijf is sponsor van de Nijmeegse eredivisie-voetbalclub N.E.C. Recent kwam Nexperia ook al in het nieuws omdat het last heeft van de Amerikaanse exportrestricties.

Nederland investeert tweehonderd miljoen euro in een nationale ai-fabriek in Groningen. Met Europese steun is het project nu definitief. De faciliteit moet in 2027 operationeel zijn en biedt rekenkracht, data en samenwerking voor verantwoorde ai-ontwikkeling. EuroHPC JU heeft zeventig miljoen euro toekend aan de Nederlandse ai-fabriek. Samen met eerdere bijdragen van het kabinet en het Groningse programma Nij Begun komt de totale investering uit op tweehonderd miljoen euro. Daarmee krijgt Nederland een van de krachtigste publieke ai-ontwikkelomgevingen in Europa. Het project is een initiatief van Stichting Nederlandse AI Fabriek, Surf, TNO, de Nederlandse AI Coalitie (AIC4NL) en Samenwerking Noord, met steun van diverse ministeries en Nij Begun. De ai-fabriek wordt gebouwd in Groningen en bestaat uit een supercomputer, een hoogwaardige data-infrastructuur en een expertisecentrum. Deze combinatie biedt laagdrempelige toegang tot rekenkracht en samenwerking voor startups, scale-ups, onderzoekers, onderwijsinstellingen en publieke organisaties, aldus het initiatief. Het centrum start in 2026, de supercomputer draait naar verwachting in 2027 op volle kracht. Het expertisecentrum komt in de stad, in het Niemeyer-gebouw. De locatie van de fabriek zelf is nog niet bekend. De faciliteit wordt onderdeel van een Europees netwerk van ai-fabrieken en versterkt de positie van Nederland als innovatieland. ‘Door zelf te investeren in ai-infrastructuur, maken we ons minder afhankelijk van buitenlandse platforms en versterken we onze positie als kenniseconomie,’ aldus de stichting. Tegelijkertijd stimuleert de ai-fabriek innovatie in sectoren als zorg, landbouw, mobiliteit en veiligheid, en draagt bij aan het aantrekken van talent en het creëren van nieuwe banen. Verantwoorde ai op Nederlandse bodem Wat deze ai-fabriek onderscheidt, is de expliciete focus op verantwoorde ontwikkeling. De faciliteit is ontworpen om te voldoen aan Europese regelgeving rond privacy, eigendom, beveiliging en transparantie. Gevoelige data blijven binnen Nederland en toepassingen worden ontwikkeld op basis van publieke waarden. Daarmee draagt de fabriek niet alleen bij aan economische groei, maar ook aan maatschappelijke vooruitgang en strategische autonomie. Daarmee sluit het aan op andere initiatieven in Groningen, zoals de soevereine Cloud of the North. Volgens Willem Jonker, bestuursvoorzitter van AIC4NL, is dit een cruciale stap richting digitale soevereiniteit. ‘We bouwen aan AI Fair Tech: een transparant en controleerbaar alternatief voor Big Tech.’ De ai-fabriek biedt een robuuste infrastructuur voor het ontwikkelen, testen en toepassen van ai-modellen, ingebed in een ecosysteem dat samenwerking en kennisdeling centraal stelt. ‘Met deze ai-fabriek bouwen we niet alleen rekenkracht, maar ook vertrouwen, in technologie die werkt voor mensen, niet andersom.’