computable

Interview | Dean Parsons (Sans Institute)Industriële controlesystemen (ICS) vormen de ruggengraat van onze kritieke infrastructuur – van energiecentrales en olieplatforms tot aan waterzuiveringsinstallaties en ziekenhuizen. Toch ligt de beveiliging ervan vaak in handen van it-teams die de ins en outs van operationele technologie (ot) onvoldoende kennen. Dean Parsons, hoofdtrainer bij het Sans Institute en cybersecurityadviseur, stelt dat in een goede ics/ot-cyberbeveiligingsstrategie vijf controlemechanismes niet mogen ontbreken. ‘Ics beschermen levens.’Dean Parsons.Cybersecurity is allang niet meer alleen een it-aangelegenheid. In de wereld van industriële controlesystemen liggen de risico’s minstens zo hoog – en zijn de gevolgen vaak vele malen ernstiger. Dean Parsons, cybersecurityexpert en als trainer verbonden aan het Sans Institute, begon zijn carrière in de it, maar maakte al snel de overstap naar de wereld van de ot. ‘Ik dacht dat ik goed was in cybersecurity, tot ik met ics in aanraking kwam. Toen ontdekte ik dat zo’n zeventig procent van wat ik wist, niet toepasbaar was bij ot.’Waar it draait op bekende systemen als Windows en Linux, werken industriële controlesystemen met technologieën zoals plc’s, rtu’s, relais, meters; systemen die vaak geen besturingssysteem hebben en waar geen antivirus op is te installeren. ‘It’ers krijgen vaak de verantwoordelijkheid voor ics-beveiliging, maar missen de kennis van die niet-it-assets. Dat is een risico’, stelt Parsons.Vitale sectorParsons reist de wereld over om naast het geven van trainingen te adviseren over ics-security bij bedrijven uit de vitale sector, zoals ziekenhuizen, olieplatforms, waterzuiveringsinstallaties en elektriciteitscentrales. Overal krijgt hij dezelfde vraag: ‘Wat zijn de zaken die ik nú moet regelen?’ Zijn antwoord is steevast dezelfde set van vijf cruciale controlemechanismen die je in je ics/ot-cyberbeveiligingsstrategie moet inbouwen:Ics-specifiek incident-response-plan‘Je moet kunnen reageren op incidenten in systemen die geen Windows of Linux draaien. Dat vereist een ander plan dan wat je voor it hebt. Een onderdeel is naast het zorgen voor technische herstelmogelijkheden het ontwerpen en regelmatig uitvoeren van incident-respons-specifieke oefeningen.Verdedigbare netwerkarchitectuur‘Segmentatie is cruciaal. Bijna de helft van de ics-incidenten komt via het it-netwerk binnen. Je moet je ics-netwerk dus afschermen van it en internet.’Netwerkzichtbaarheid en monitoring‘Continue netwerkbeveiligingsbewaking van de ics-omgeving met protocolbewuste toolsets en analysemogelijkheden geeft je inzicht in je assets, kwetsbaarheden en incidenten én helpt bij technische probleemoplossing. Als je maar één ding kunt doen, doe dan dit.’Veilige toegang op afstand‘Toegang op afstand is onvermijdelijk, zeker met leveranciers en integrators. Als die niet goed beveiligd is, is het een van de grootste aanvalsvectoren. Daarom zijn identificatie en inventarisatie van alle remote access points en toegestane bestemmingsomgevingen essentieel en gebruik mfa waar mogelijk.’Risicogebaseerd kwetsbaarheidsbeheer‘In de it patch je meestal elke dertig dagen. In de ot werkt dat niet. Het dreigingsoppervlak is anders; je kunt bijvoorbeeld niet mailen in een ics-omgeving. Je moet daarom de specifieke kwetsbaarheden van apparaten en systemen inzichtelijk maken en daar passende voorzorgsmaatregelen bij nemen.’OpblazenHet verschil tussen it- en ot-beveiliging is niet alleen technisch, maar ook fundamenteel qua impact, vindt Parsons. ‘In it draait het om datalekken, bij ot kun je na een lek een transformator opblazen of een pijpleiding onder druk zetten. Je kunt mensenlevens in gevaar brengen.’ Ook speelt de geopolitieke component bij ot meer dan bij it. Bij it voert bij digitale aanvallen het financieel gewin, af te dwingen via ransomware, de boventoon, terwijl het bij ot vaak gaat om spionage of het toebrengen van schade. In oorlogssituaties zie je ook een mix van cyberdreigingen en fysieke aanvallen door statelijke actoren, op bijvoorbeeld energiecentrales, aldus de security-expert.Toch is de Canadees optimistisch: ‘Ics zijn makkelijker te verdedigen dan it-systemen, omdat er minder gebruikers zijn en minder variatie. Maar je moet wel die zeventig procent extra kennis opdoen. Dat kan via job shadowing, in dit geval het meekijken met engineers, of via hands-on trainingen.’ICS Summit en Cybersec NetherlandsDe ot-sector heeft niet zoals de it-sector aparte branche- of beroepsverenigingen, zoals Isaca. Wel worden er regelmatig evenementen georganiseerd, zoals de ICS Summit die dit jaar voor de twintigste keer plaatsvond. Sans Institute riep dit evenement in het leven om tegemoet te komen aan de groeiende behoefte aan onderwijs, training, kennisuitwisseling en gemeenschapszin op het gebied van ics/ot-cyberbeveiliging.Tijdens de aankomende Cybersec Netherlands, die op 10 en 11 september in de Jaarbeurs Utrecht plaatsgrijpt, staat ot centraal. De dreiging op industriële netwerken en kritieke infrastructuren neemt toe. Daarom krijgt ot dit jaar op de vakbeurs speciale aandacht met een eigen OT Dome en een OT Paviljoen en inhoudelijke betrokkenheid van partner The Hague Security Delta. Voor het programma, klik hier. Geen garantieEn hoe zit het met het gebruik van artificiële intelligentie (ai) in ot-omgevingen? Parsons ziet het zeker opkomen in ics, maar waarschuwt voor overschatting. ‘Ai is nuttig voor detectie en voorspellend onderhoud, bijvoorbeeld om te zien wanneer een transformator waarschijnlijk faalt. Maar ai is geen wondermiddel en mag geen beslissingen nemen of netwerkverkeer blokkeren. Daar zijn we nog niet.’Hij benadrukt dat ai vooralsnog geen prioriteit is. ‘Het staat niet in mijn top vijf, zelfs niet in mijn top tien. Eerst moeten de basiscontroles op orde zijn. Ai kan daarna een team versterken, maar het vervangt geen mensen.’ Zijn boodschap aan ceo’s is dan ook helder: ‘Bij ics gaat het om ot, het is wat het bedrijf draaiende houdt. It, personeelszaken, boekhouding… dat zijn afdelingen die het bedrijf ondersteunen. Maar de kern is ics. Als dat uitvalt, stopt alles. Dus investeer in mensen, in training, in de juiste technologie. En begin met die vijf controles.’Over de aanscherping van de compliance, zoals in Europa de invoering van de NIS2-wetgeving en bijbehorende Critical Entities Resilience-richtlijn is Parsons tevreden. ‘Overheden doen hun best. Dat helpt. Hou wel steeds voor ogen dat tegenstanders niets geven om beleid. Compliance is goed, maar geen garantie voor veiligheid.’Synthwave-cyberpunkDean Parsons is naast zijn cybersecuritywerk een verdienstelijke multimedia-componist/muzikant van synthwave-cyberpunk. Hij laat zich daarbij inspireren door het werkveld. Eerder dit jaar lanceerde hij onder de naam Arcade Knights het album Cyberhack, dat geluiden bevat van industriële besturingssystemen uit het veld alsook die van vintage-drummachines en -synthesizers uit de jaren tachtig. Dat is sowieso een decennium waar de Canadees een passie voor heeft qua pc’s en games (denk aan de Commodore 64), muziek, actiefilms en (sf)-comics.Het Cyberhack-album vertelt een futuristisch verhaal van ethische hackers die de strijd aanbinden met kwaadaardige ai. Het is een volledige multimedia-ervaring met behalve muziek een begeleidende video, graphic novel en Arcade Knights-merchandise. Eerder was Parsons verantwoordelijk voor het Arcade Knights-project Justice.‘Het is belangrijk om technologie te omarmen, maar laat het je leven niet beheersen’, zegt Parsons in een interview met muzieksite Upcoming 100. ‘Ik hou van technologie. Maar het is een tweesnijdend zwaard.’

‘Wie ai ziet als administratief hulpmiddel, mist de essentie’ Artificial intelligence (ai) is een katalysator voor een fundamentele herinrichting van werk en dus ook human resource management. Dat beweren softwareleveranciers SAP en Dyflexis, maar ook arbeidsmarkt-onderzoeker Geert-Jan Waasdorp van Intelligence Group. SAP richt zich op hr als strategische navigator. Europa’s grootste softwareleverancier ziet agentic ai, (autonoom werkende ai), als een instrument dat hr helpt de koers te bepalen in plaats van te volgen. Hr wordt proactief dankzij datagedreven inzichten. De Nederlandse scale-up Dyflexis, leverancier van workforce management software, schetst een toekomstbeeld waarin ai de fundamentele motor achter de transformatie van personeelsplanning is. Ai maakt de operationele kant van die planning sterk strategisch en meer toekomstgericht. Planners simuleren scenario’s en sturen preventief.  Geert-Jan Waasdorp, directeur arbeidsmarkt bij arbeidsmarkt-dataspecialist Intelligence Group, onderschrijft de stelling van beide leveranciers dat ai een katalysator is die werk – en daarmee hr en recruitment – in een ongekend tempo fundamenteel verandert. ‘Wie ai ziet als administratief hulpmiddel, mist de essentie. Het geeft nieuwe inzichten en strategische sturing. Het vraagt om het aanleveren van nieuwe – digitale – vaardigheden, omscholing en een frisse blik op het samenstellen van nieuwe banen uit verschillende taken en skills. Ai neemt de randzaken weg, wat tijd geeft te focussen op de menselijke factor: ontwikkeling, retentie en welzijn. Dit vraagt om regie vanuit hr in plaats van een rol als uitvoerder.’ Buy, build, borrow, bot Ook voor de Intelligence Group zijn de veranderingen groot. Waasdorp: ‘Jarenlang werkten we in hr met de bekende drie B’s. ‘Buy’: nieuw talent ‘aankopen’ van buiten de organisatie. ‘Build’: eigen mensen opleiden. En ‘Borrow’: mensen ‘lenen’ door zzp’ers, uitzendkrachten of gedetacheerden in te huren. Nu hebben we de vierde B: ‘Bots’. Robots en ai-agenten zijn onderdeel van de capaciteit-strategie. Sterker nog, de vraag of Bots taken kunnen invullen, moet gesteld worden vóór de andere drie B’s.’ Waasdorp vervolgt: ‘De organisaties die als winnaar uit de bus komen, zijn degene die ai niet enkel werkbesparend inzetten, maar vooral inzetten voor het mooier maken van banen en het verbeteren van de dienstverlening naar klanten. Repetitief werk digitaliseren en het leuke werk behouden, daar gaat het om. Dit maakt blije medewerkers. Blije medewerkers maken blije klanten. Dat is waar voor hr een enorme kans ligt om strategisch van waarde te zijn in iedere organisatie.’ Mensgericht SAP en Dyflexis benadrukken dat technologie de mens moet versterken, niet vervangen. En stellen zij: wie nu begint met slimme, mensgerichte ai-toepassingen, bouwt aan een toekomstbestendige organisatie. Tijdens HR Connect 2025 luidden SAP SuccessFactors-experts András Csík en Josh Gosliner de noodklok: organisaties die ai binnen hr niet actief vormgeven, raken niet alleen achter op technologie, maar ook op de verwachtingen van hun medewerkers. Hun pleidooi: zet ai niet in om bij te blijven, maar om richting te geven. ‘Ai roept onzekerheid op over banen en vaardigheden. Toch biedt juist die onrust kansen,’ stelt Csík, Chief Customer Officer: ‘Wie ai inzet om medewerkers overzicht en eigenaarschap te geven, vergroot hun vertrouwen en betrokkenheid.’ Gosliner: ‘Wat vaak onderbelicht blijft, is dat ai niet alleen werk versnelt, maar ook menselijke besluitvorming versterkt. Ai kan scenario’s en datasets overzien op een schaal die voor mensen onhaalbaar is.’ Personeelsplanning Dyflexis ziet de manier waarop organisaties mensen inzetten fundamenteel veranderen. Klassieke planningssystemen voldoen niet meer, nu ai, data over stress, duurzaamheid en hyperpersonalisatie het nieuwe normaal zijn. Volgens dit Haagse techbedrijf is het tijd voor een radicale herziening van personeelsplanning. ‘Wie vasthoudt aan Excel of ouderwetse tools, loopt onherroepelijk achterstand op,’ waarschuwt ceo Matthijs van den Ende. Dyflexis identificeert vijf fundamentele verschuivingen.1. Van standaardrooster naar hyperpersonalisatieElke medewerker krijgt een gepersonaliseerd rooster, afgestemd op voorkeuren, capaciteiten en context. Ai-modellen analyseren individuele werkpatronen, biologische ritmes, takenvoorkeuren en zelfs verkeersdata om tot optimale werkindelingen te komen. Een medewerker die in de middag piekt en drie dagen per week mantelzorger is, krijgt een ander werkpatroon dan een collega die ‘s ochtends het meest productief is en ver moet reizen.2. Van beschikbaarheid naar belastbaarheidPlannen op basis van beschikbaarheid zegt niets over de fysieke of mentale toestand van medewerkers. Daarom schakelen organisaties over een jaar of tien over op belastbaarheidsplanning. Wearables en andere sensoren meten stress, hersteltijd, werkdruk en vermoeidheid, en koppelen deze data realtime aan het planningssysteem.Dankzij integraties met ‘welzijnstools’ en dashboards ziet de planner wie er daadwerkelijk inzetbaar is. Preventieve aanpassing van roosters op basis van welzijnsdata kan verzuim en verloop drastisch verlagen. Bovendien ontstaat een cultuur waarin welzijn niet wordt gemeten aan ziekmeldingen achteraf, maar aan data vooraf.3. Van kostengedreven naar klimaatbewuste planningWaar nu kosten en capaciteit leidend zijn, komt daar in 2035 een derde pijler bij: duurzaamheid. Elke dienst krijgt een CO₂-score, gebaseerd op factoren zoals vervoersmiddelen, energieverbruik op locatie en logistieke bewegingen tussen vestigingen.Planningssoftware toont straks per dienst de ecologische impact, zodat organisaties actief kunnen sturen op klimaatdoelstellingen. Bijvoorbeeld door thuiswerkdagen te plannen op piekmomenten van netbelasting, of door medewerkers samen te laten reizen via deelmobiliteit.Duurzaamheidsdoelen gaan niet langer alleen over beleid. Wie zijn workforce efficiënt plant én CO₂-bewust, voldoet niet alleen aan ESG-rapportages, maar bespaart ook op energiekosten en reputatieschade.4. Van ad hoc naar datagedreven simulatiePlanners kunnen roosters in de nabije toekomst vooraf testen in een virtuele omgeving. Met behulp van zogenaamde ‘workforce twins’, een soort digitale kopieën van teams, kunnen planners de impact van roosteropties simuleren voordat ze live gaan. Denk aan simulaties op stress-verdeling, verloop-risico’s, duurzaamheidsscores of teamcohesie.Wat gebeurt er als je diensten een uur eerder laat beginnen? Wat als je drie extra parttimers toevoegt? Het systeem rekent het voor je door, inclusief gevolgen op budget, CO₂ en medewerkerstevredenheid. 5. Van centrale aansturing naar decentrale intelligentieIn plaats van één centraal planningsregime per organisatie, ontstaat er in de komende jaren een netwerk van slimme, lokale planningseenheden. Iedere vestiging of afdeling krijgt eigen ai-ondersteunde intelligentie voor planning, gevoed door lokale omstandigheden zoals netcapaciteit, weersvoorspellingen of regionale OV-storingen.Volgens Dyflexis kan slimme software lokale en centrale eisen daarbij combineren. Planners krijgen realtime aanbevelingen op basis van lokale data. Het bedrijf stelt dat dit niet ten koste hoeft te gaan van de strategische samenhang op organisatieniveau.

BLOG – De intentie was goed: burgers beschermen tegen datamisbruik, bedrijven stimuleren tot zorgvuldige omgang met persoonsgegevens, en overheden verplichten tot transparantie en veiligheid. Maar de uitwerking van Europese regelgeving zoals de AVG, NIS2 en aanbestedingsrichtlijnen heeft een pijnlijk bijeffect veroorzaakt: het drijft Nederlandse overheden en bedrijven in de armen van de grote Amerikaanse hypercloudproviders. Microsoft, Amazon en Google beschikken over de middelen, schaalgrootte en juridische slagkracht om razendsnel te voldoen aan steeds zwaardere compliance-eisen. Europese aanbieders – laat staan kleinere Nederlandse partijen – staan daarbij al snel met 3-0 achter. De ironie is schrijnend: juist wetgeving bedoeld om digitale autonomie en burgerrechten te beschermen, leidt tot afhankelijkheid van buitenlandse techgiganten. Hyperscalers Neem de Algemene Verordening Gegevensbescherming (AVG). Deze vraagt om gedetailleerde dataverwerkingsovereenkomsten, logging, encryptie, audits en snelle incidentafhandeling. De hyperscalers leveren standaardcompliance als dienst: met een druk op de knop zijn logs, ISO-certificaten en juridische disclaimers beschikbaar. Lokale it-bedrijven moeten daarvoor enorme kosten maken, zonder de schaalvoordelen van hun Amerikaanse concurrenten en weten dus van tevoren dat ze nooit concurrerend zullen zijn. Zelfs al werd je dat wel, geeft elke eenheid van beslissers je het nadeel van twijfel. Men wil er later niet op aangesproken kunnen worden. De oplossing is niet minder regelgeving, maar betere regelgeving Ook in het aanbestedingsproces zijn de kaarten vaak al geschud. Wanneer een gemeente of ministerie Microsoft 365 gebruikt – wat standaard is – wordt Azure al impliciet de norm. Pogingen om met opensource of Nederlandse cloudoplossingen te concurreren, stranden op onvermogen om in hetzelfde tempo compliance en functionaliteit te leveren. Zelfs als de wil er is, ontbreekt vaak het budget of de capaciteit. En dan zijn er nog de beveiligingsrichtlijnen zoals NIS2. Deze vergen diepgaande monitoring, incidentrespons en continue evaluatie. Grote cloudproviders beschikken over wereldwijd ingerichte soc’s, threat intelligence, redundantie en failover. Voor een lokale it-dienstverlener is dat een nachtmerrie aan investeringen, en dus vaak geen optie meer. Stroperigheid De Europese Unie lijkt zich inmiddels vaag bewust van het probleem. Projecten als Gaia-X en Europese cloudcoalities zijn opgestart, maar kampen met stroperigheid, gebrek aan richting en soms zelfs met dezelfde bureaucratische overbelasting die ze trachten te doorbreken. In de praktijk zien we dit mechanisme al minstens twintig jaar terug — in aanbestedingen, projectkeuzes en strategische it-discussies. Het speelveld is scheef, niet omdat de grote spelers vals spelen maar omdat het spel onbedoeld in hun voordeel is ontworpen. De overheid vraagt en wij draaien. Totdat de overheid zichzelf weer eens een keertje tegenkomt. De oplossing is niet minder regelgeving, maar betere regelgeving. Proportioneel, doelgericht, met ruimte voor innovatie en schaalbare toepassing. Alleen dan krijgt de Nederlandse of Europese it-sector weer ademruimte om te concurreren, in plaats van zich noodgedwongen achter een Amerikaans compliance-loket te moeten verschansen.  Rob Koelmans, directeur MetaMicro Automatisering

Om een prijs te pakken in de categorie Digitale Transformatie van de Computable Awards moet je van goede huize komen, legt jurylid Richard Turk in deze video uit. Digitale transformatie gaat niet simpelweg over het inzetten van nieuwe tools of automatisering. Het draait om fundamentele, strategische én duurzame verandering binnen je organisatie. Het is het heruitvinden van je bedrijf: van strategie en technologie tot cultuur en klantrelaties. Het vraagt om visie voorbij de korte termijn, en om het meenemen van je hele organisatie in een nieuwe manier van werken. Het biedt kansen voor nieuwe businessmodellen en een toekomstbestendige koers. Digitale transformatie is geen it-project, maar een strategische uitdaging.   De 25 voordrachten zijn getoetst op complexiteit/risico’s, toegevoegde waarde, originaliteit/innovatieve kracht en de rol van de leverancier. Daaruit zijn de volgende tien genomineerden voortgekomen: Business Analytics Hub (Postcode Loterij Groep en Rewire) Circulair en biobased bouwen vanuit de digitale fabriek (EcoFab) (Hendriks, Avans Hogeschool, Fontys Hogeschool, Koning Willem 1 College en Technische Universiteit Eindhoven) Cloudtransformatie (Achmea, Red Hat en Microsoft Azure) Digitaal verkoopplatform (Wavin en Xebia) Modernisering IT-landschap (PZEM en Cegeka) Multi-store veilingplatform (Surplex en TBAuctions) PCP-WISE (Het Waterschapshuis en Stowa) Transitie en Transformatie Werkplekdiensten (UWV en Tata Consultancy Services (TCS)) Vaarkaart ‘Digitaal op Koers’ (Unie van Waterschappen, Het Waterschapshuis en alle 21 waterschappen) Wereldwijde efficiëntie versterken (Bleckmann en Soti MobiControl) Lees meer over de nominaties op deze pagina. Stemmen Het stemproces voor de Computable Awards 2025 is geopend en loopt tot 5 oktober. Publieksstemming bepaalt voor vijftig procent de winnaar. Breng hier uw stem uit. Ook buigen de betrokken juryleden zich over de genomineerden per categorie, een gemiddeld oordeel dat ook voor de helft meeweegt. Op 18 november worden per categorie de winnaars aangewezen. Dit gaan we doen in De Polar bij Jaarbeurs in Utrecht. Het thema van de avond wordt ‘Rebooting Reality’ waarmee we bij de Computable Awards 2025 speciale aandacht hebben voor de noodzaak om onze digitale wereld opnieuw te doordenken in een tijd waarin geopolitieke spanningen, ai, energiecrises en informatieoorlogen alles op scherp zetten. In een wereld waarin de werkelijkheid steeds minder vanzelfsprekend is, moeten we opnieuw kiezen wat we écht belangrijk vinden. ‘Rebooting Reality’ is een uitnodiging om de digitale samenleving van de toekomst opnieuw op te starten – bewuster, veiliger, menselijker. Partner Computable Awards 2025?Wilt u partner worden van de Computable Awards 2025, hét jaarlijkse festijn in de Nederlandse ict-markt? Verbind dan uw naam aan dit evenement en woon op 18 november de spectaculaire uitreiking bij!

Veilig omgaan met persoonsgegevens hoort ook bij de zorg voor patiënten. Daarom zijn er wettelijke normen voor informatiebeveiliging in de zorg; de NEN 7510 en NEN 7512. Wat houden die normen in en wie controleert of organisaties zich eraan houden? ‘De wetgever stelt dat er aantoonbaar aan de norm voldaan moet worden, maar geeft daar geen duidelijke handvatten voor.’ Deel 3 in een serie van 5 over informatiebeveiliging in de zorg. Het is duidelijk dat bij de hack van de systemen van het laboratorium Clinical Diagnostics, waarbij persoonsgegevens van honderdduizenden Nederlanders zijn gestolen, de nodige beveiligingsregels zijn genegeerd. Deze algemene regels of normen voor informatiebeveiliging in de zorg zijn vastgelegd in de NEN 7510 en NEN 7512. Irma Timmerman, woordvoerder van NEN, de organisatie die de normen opstelt, geeft tekst en uitleg aan Computable over de werking van deze normen. Wat doet de NEN? ‘Het is de rol van NEN om marktpartijen samen te brengen om met hen normen te ontwikkelen die als basis dienen voor certificering, en certificerende instellingen toetsen bedrijven op basis van die normen. De Raad voor Accreditatie waarborgt dat die certificeringen onafhankelijk, betrouwbaar en consistent worden uitgevoerd. Naast normontwikkeling beheert NEN ook een aantal certificatieschema’s. Deze slaan een brug tussen normen en certificering door praktische richtlijnen te bieden voor implementatie en toetsing.’ Zowel het lab als diens cliënten – zij die de data leverden aan het lab – zijn verplicht om aantoonbaar aan NEN 7510 en NEN 7512 te voldoen. Hoe werkt dat? ‘De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg verplicht zorgaanbieders, laboratoria en toeleveranciers die persoonlijke gezondheidsinformatie verwerken om aantoonbaar te voldoen aan NEN 7510 en, waar van toepassing, NEN 7512. Dat betekent dat zij moeten kunnen laten zien dat hun informatiebeveiliging goed is ingericht en werkt in de praktijk.’ ‘Concreet houdt dit in dat er een ISMS, een informatiebeveiligingsmanagementsysteem, moet zijn ingericht met beleid, uitgevoerde risicoanalyse, toegepaste beheersmaatregelen en een cyclus van continue check en verbetering. Organisaties moeten de goede werking van het ISMS regelmatig toetsen, onder andere via interne audits, en daarnaast ook onafhankelijk laten beoordelen.’ Dat klinkt vooral als een interne verplichting: je mag jezelf controleren. Klopt dat? ‘De norm vereist dat er een onafhankelijke audit wordt uitgevoerd. Een onafhankelijke beoordeling kan een interne audit zijn door iemand die niet is betrokken bij het opstellen van het informatiebeveiligingsbeleid, een externe audit of certificering. De wetgever heeft de externe beoordeling niet verplicht.’ ‘Certificering is niet wettelijk verplicht, maar biedt wel een erkende en objectieve manier om de naleving zichtbaar te maken. Het gaat er dus om dat een organisatie kan onderbouwen dat zij structureel en toetsbaar werkt volgens de normen. De wetgever stelt dat er aantoonbaar voldaan moet worden, maar geeft daar geen duidelijke handvatten voor.’ Wat controleert de certificerende instantie dan? ‘Een certificerende instelling toetst of de organisatie daadwerkelijk voldoet aan de eisen van de norm, en de juiste beheersmaatregelen heeft genomen gebaseerd op de uitgevoerde risicoanalyse. De toets van de certificerende instelling gebeurt via een onafhankelijke audit, waarbij beleid, processen en maatregelen uitgebreid worden beoordeeld. Als de uitkomst positief is, wordt een certificaat verstrekt dat bevestigt dat de organisatie werkt volgens NEN 7510. Het certificaat is dus geen stempel op een eigen verklaring, maar een externe beoordeling dat de norm in de praktijk is geïmplementeerd en nageleefd.’ ‘Overigens is certificatie geen zekerheid dat er nooit iets fout gaat of dat een organisaties niet gehackt kunnen worden. Certificatie is een betrouwbare manier om te toetsen of een organisatie een goed werkend managementsysteem heeft met beleid op informatiebeveiliging, risico’s in kaart heeft gebracht, hier mitigerende maatregelen voor heeft doorgevoerd en continu werkt aan verbetering van haar prestaties op het gebied van informatiebeveiliging.’ Welke instanties mogen certificeren? ‘In principe mag iedereen beweren dat hij NEN 7510 certificeert, want de term ‘certificatie’ is niet wettelijk beschermd. Het verschil zit in de betrouwbaarheid: alleen certificerende instellingen die werken onder accreditatie – volgens het officiële Nederlands Certificatieschema NCS7510 waarin de spelregels voor beoordeling staan en die onder toezicht staan van de Raad voor Accreditatie – bieden een toetsing waarop zorgorganisaties en hun partners echt kunnen vertrouwen. Dit maakt dat certificatie onder accreditatie een hoge mate van vertrouwen biedt dat gecertificeerde organisaties voldoen aan een norm.’ Hoeveel zorgorganisaties moeten aan de normen voldoen en hoeveel laten dat certificeren? ‘Precieze aantallen zijn niet bekend bij ons: alle zorgaanbieders die medische persoonsgegevens verwerken – van huisartsen, ziekenhuizen en ggz-instellingen tot apotheken, thuiszorg en laboratoria – moeten voldoen aan NEN 7510 en, waar relevant, NEN 7512. Ook leveranciers van software en ICT-diensten in de zorg vallen daaronder. Het totale aantal gecertificeerde organisaties, per mei 2025 is 920, waarvan 191 zorginstellingen en 729 leveranciers.’ Hoe zit het met NEN 7512? ‘NEN 7512 gaat over het veilig en betrouwbaar uitwisselen van medische gegevens tussen zorgorganisaties. Waar NEN 7510 vooral eisen stelt aan informatiebeveiliging binnen één organisatie, beschrijft NEN 7512 welke afspraken en maatregelen verplicht zijn tussen partijen die gegevens met elkaar delen. De norm werkt met risicoklassen en beveiligingsniveaus, afhankelijk van de gevoeligheid en het doel van de gegevens,’ aldus Timmerman. In NEN 7512 staat onder andere dat alle partijen die bij de gegevensoverdracht zijn betrokken moeten zijn aangesloten bij een erkende CERT-organisatie die gespecialiseerd is in het voorkomen en/of tijdig oplossen van cyberincidenten. De CERT-organisatie moet werkzaam zijn binnen het landelijk dekkend stelsel voor cybersecurity. De CERT-organisatie moet een formele aanwijzing en taakstelling hebben op grond van de Wet Beveiliging Netwerk- en Informatiesystemen voor Digitale dienstverleners. NEN zelf heeft geen keurende of controlerende rol. De implementatie van NEN 7510 en NEN 7512, bij het lab of bij welke zorgaanbieder dan ook, is volgens Timmerman ‘de verantwoordelijkheid van organisaties zelf.’ De andere delen van deze miniserie zijn hier te vinden. Cybersec NetherlandsDe recente ontwikkelingen op het gebied van cybersecurity komen ruim aan bod komen tijdens Cybersec Netherlands. De vakbeurs vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.

BLOG – Hoewel uit eerder onderzoek van CyberArk blijkt dat cloudsecurity nog altijd de grootste zorg is voor securitymanagers, is er ook een andere kant van de medaille. Security, en audits van die beveiligingsmaatregelen, als kans, als mogelijkheid te innoveren en verder te groeien. Geen rem, maar een versneller. Securitybedrijven praten graag in termen van fear, uncertainty doubt. Ook ik heb me er ongetwijfeld aan schuldig gemaakt. Maar in plaats van te denken in termen van bedreigingen en verplichtingen, zouden we cloudsecurity moeten zien voor wat het werkelijk is: een unieke kans om vertrouwen op te bouwen en risico’s om te zetten in grip op de zaak. Op die manier is cloudsecurity een fundament waarop innovatie en groei kan plaatsvinden.  Interventie Kijk eens naar audits. Vaak gezien als lastige interventie van het dagelijkse werk en een noodzakelijk kwaad. Een cloudsecurity-audit is echter veel meer dan een controle op naleving. Het is een moment van reflectie, optimalisatie en groei. Het is een kans om te toetsen of je cloud-infrastructuur nog aansluit bij je ambities en of je de juiste keuzes maakt voor je klanten, medewerkers en toekomst.  Vertrouwen is goud waard Organisaties die regelmatig audits uitvoeren, hebben doorgaans niet alleen minder incidenten, maar ook een duidelijker beeld van hun it-landschap. Ze weten welke data ze beheren, wie toegang heeft en hoe gevoelige informatie wordt beschermd. Dat brengt rust, vertrouwen en, niet onbelangrijk, een stevige propositie richting klanten en partners.  Sleutelrol De cloud is dynamisch, maar dat betekent niet dat controle onmogelijk is. Sterker, wie slim gebruik maakt van cloud-native monitoring, role-based access control en geautomatiseerde logging, heeft méér zicht dan ooit op wat er gebeurt. Identity & access management speelt hierin een sleutelrol. Door toegangsrechten goed in te regelen en multi-factor authenticatie breed toe te passen, voorkom je risico’s zonder innovatie te belemmeren. Identity security is een basiskenmerk van cloud-security  Hoe zit het met de veelbesproken gedeelde verantwoordelijkheid met de cloudprovider? Zie dat niet als een grijs gebied, maar als kans om proactief te bepalen wie waarvoor verantwoordelijk is. Hoe beter je die grenzen definieert, hoe sterker je organisatie wordt; ook in de samenwerking met it, risk en compliance.  Gids  Regelgeving als GDPR, ISO 27001 of Hipaa is niet bedoeld als struikelblok, maar als gids. Wie zijn audits slim voorbereidt met een duidelijke inventarisatie van resources, goed gedocumenteerde datastromen en een helder incident-responseplan, laat zien dat hij controle heeft. Dat levert niet alleen een gunstig auditrapport op, maar ook vertrouwen van klanten, investeerders en toezichthouders.  Dat vertrouwen is goud waard. In een tijd waarin digitale betrouwbaarheid een keiharde concurrentiefactor is, maken organisaties die security serieus nemen het verschil.  Weerbaarheid  Cloudbeveiliging raakt elk domein van de organisatie: van it tot hr, van marketing tot operations. Wie het als een integraal onderdeel van de strategie omarmt, bouwt niet alleen aan veiligheid, maar ook aan wendbaarheid en weerbaarheid.  Zo bezien is cloudsecurity geen kostenpost, maar een investering in continuïteit, reputatie en klantvertrouwen. Audits zijn daarbij geen eindstation, maar een meetpunt op een doorlopende reis. Een kans om te leren, te verbeteren en te laten zien waar je voor staat. Organisaties die dit omarmen, zetten beveiliging niet tegenover innovatie, maar maken het een onderdeel ervan.  Bart Bruijnesteijn, solutions engineering director North Europe CyberArk

De grootste security-risico’s, de overheid wil platformmisstanden aanpakken, cyber-security bovenaan gezochte ict-skills, Washington zoekt ruzie met Brussel over DSA, en de klokt tikt voor cio’s. Dat zijn de onderwerpen van dit nieuwsbericht. Afleiding, haast, onoplettendheid: de top drie security risico’s De belangrijkste reden dat men slachtoffer wordt van een hack, is dat men op het moment van de aanval is afgeleid, onder tijdsdruk staat, of te weinig security awereness heeft, zo concludeert beveiliger KnowBe4 naar aanleiding van een rondvraag bij Europese professionals. Van alle aanvallen blijft phishing de meest frequente, met 74 procent van het totaal. Bijna de helft daarvan imiteert een leidinggevende of bekende collega. Interessant is dat 86 procent van de ondervraagden ook aangaf vertrouwen te hebben in het eigen vermogen om zo’n phishing-aanval te herkennen. ‘Deze vertrouwensparadox vormt op zichzelf al een aanzienlijk risico,’ aldus het bedrijf. Overheid roept op platformmisstanden te melden De Autoriteit Consument & Markt (ACM) gaat meer informeren over gebruikersrechten op online platforms en wat ze kunnen doen als die geschonden worden. ‘De bekendheid met de Europese Digital Services Act (DSA) is onder gebruikers van online platforms opvallend laag. Veel consumenten en zakelijke gebruikers weten vaak niet wat hun rechten zijn’ zegt de organisatie. Misleiding door algoritmes, het zonder uitleg blokkeren van accounts of content, gebrekkige mogelijkheden om contact op te nemen: ‘dit mag niet volgens de DSA-wetgeving.’ De ACM roept daarom op om melding te doen als men denkt dat rechten worden geschonden. ‘Sinds februari 2025 is de ACM officieel bevoegd om toezicht te houden op de naleving van de DSA.’ Cyber-security bovenaan gezochte ict-skills Ict-werkgevers benadrukken dat ‘de juiste expertise op de werkvloer cruciaal is om concurrerend te blijven op een snel veranderende arbeidsmarkt waar ai een steeds grotere rol in speelt,’ zo concludeert recruiter Robert Half uit eigen onderzoek. De top vijf skills die werkgevers binnen de ict zoeken en waarvoor hogere salarissen geboden worden zijn: cyber security, data science & database management, software applications development, analysis & research, en business intelligence & reporting. ‘Bedrijven die investeren in training en bijscholing van hun teams op gebieden zoals data-analyse, duurzaamheid, en technologie behouden een voorsprong in de ‘war for talent’, en op hun concurrenten.’ Leidt DSA tot hooglopende ruzie Washington en Brussel? Washington zou overwegen om sancties op te leggen aan functionarissen van de Europese Unie of van de lidstaten ‘die verantwoordelijk zijn voor de implementatie van de Digital Services Act van het blok,’ aldus Reuters op basis van eigen bronnen. Als reden worden de klachten van de Amerikaanse Big Tech aangehaald die vinden dat de wet Amerikanen censureert en Amerikaanse tech-bedrijven kosten oplegt. Die anti-DSA lobby wordt geleid door Minister van Buitenlandse Zaken Marco Rubio. ‘Een dergelijke stap zou een ongekende actie zijn die de strijd zou intensiveren van de regering-Trump tegen wat zij ziet als de Europese poging om conservatieve stemmen te onderdrukken.’ De klokt tikt voor cio’s: nog zes maanden voor hun agentic-ai-strategie Veertig procent van de bedrijfsapplicaties zal in 2026 geïntegreerd zijn met taakspecifieke ai-agenten, tegenover minder dan 5 procent nu, zo concludeert Gartner uit eigen onderzoek. Het bedrijf verwacht dat agentic-ai over tien jaar goed zal zijn voor 30 procent van de omzet uit bedrijfsapplicatiesoftware, of meer dan 450 miljard dollar, tegenover net 2 procent dit jaar. ‘Cio’s hebben een cruciale periode van drie tot zes maanden om hun agentic-ai-strategie te definiëren, aangezien de sector zich op een keerpunt bevindt,’ waarschuwt het. ‘Organisaties die agentic-ai niet direct omarmen, lopen het risico achterop te raken bij hun concurrenten.’

Bluesky heeft zichzelf in de Amerikaanse staat Mississippi uit de lucht gehaald omdat het de kosten van compliance niet kan dragen. Het socialmedia-platform stelt dat te strenge wetten innovatie tegenwerken en big tech in de kaart spelen. Socialmedia startup Bluesky heeft in de Amerikaanse staat Mississippi de toegang tot de eigen dienst geblokkeerd, omdat het niet wil voldoen aan de nieuwe wet HB1126. Bluesky nam het besluit een dag nadat het Amerikaanse Hooggerechtshof bekendmaakte niet op te treden tegen de wet. Streng, strenger, strengst Wat deze wet anders maakt, is dat het leeftijdsverificatie vereist voor álle gebruikers, niet alleen voor minderjarigen. De wet in Mississippi gaat veel verder dan de toch al strenge en fel bediscussieerde Britse Online Safety Act, de OSA, die vorige maand in werking trad en ‘robuuste’ leeftijdscontrole vereist, maar alleen voor bepaalde content en bepaalde functies. In de rest van Europa zijn er vergelijkbare, maar minder strenge regels voor onder andere socialmedia. De Amerikaanse wet wil bovendien dat de platforms gevoelige informatie van alle gebruikers verzamelen en opslaan, volgens TechCrunch. In de praktijk is de OSA in het VK eenvoudig te omzeilen door vpn’s te gebruiken, wat ook een oplossing in Mississippi kan zijn. Interessant aan het uitzetten van Bluesky in die Amerikaanse staat is echter dat gebruikers elders er problemen door ondervinden, omdat hun mobiele providers het verkeer via servers in die staat leidden. Bluesky zegt daaraan te werken. Compliance vs innovatie? Bovenop de hogere kosten voor compliance komen de grotere consequenties voor niet-naleving. De OSA maakt leidinggevenden van overtredende bedrijven al meer aansprakelijk dan voorheen. Mississippi doet er nog een schepje bovenop door bij niet-naleving boetes tot tienduizend dollar per gebruiker te willen innen. Dat allemaal maakt het te veel voor Bluesky. ‘In tegenstelling tot techgiganten met diepe zakken, zijn wij een klein team dat zich richt op het bouwen van gedecentraliseerde sociale technologie die gebruikers de controle geeft,’ legt de startup uit. ‘Leeftijdsverificatiesystemen vereisen aanzienlijke investeringen en continue compliance monitoring,’ en dat zijn kosten die kleinere bedrijven niet kunnen dragen. ‘Deze dynamiek versterkt bestaande big-tech-platforms en vertraagt de innovatie en concurrentie die gebruikers ten goede komen.’

BLOG – De huidige digitale dreigingen zijn niet alleen geavanceerder, maar ook onvoorspelbaarder dan ooit. Van ai-gegenereerde phishing tot ransomware-as-a-service: elke organisatie kan doelwit worden. In zo’n realiteit is het niet genoeg om enkel reactief te handelen. Het versterken van je digitale weerbaarheid vraagt om een integrale en vooral proactieve aanpak. Over de assen identify, prevent, detect en respond, zoals ook benoemd in het NIST-framework, kijken we in vogelvlucht naar mogelijkheden die passen bij een risicogebaseerde manier van denken.Identify: weet wat er op je afkomtIdentify draait om het identificeren van wat je zelf beschermt. Denk aan je belangen, je properties, je apparaten en de dreigingen die daarop van toepassing zijn. Zoom je iets verder uit, dan kan je niet naar dreigingen kijken zonder daarbij ook te kijken naar de dreigingsactoren. Welke actoren zijn voor jouw organisatie belangrijk om in beeld te hebben en de manieren waarop deze actoren te werk gaan?Deep- en darkwebmonitoring speelt bij het identificeren van mogelijke dreigen een sleutelrol. Het is daarnaast belangrijk om te weten welke informatie er over jouw organisatie wordt gedeeld op het clear-, deep- en darkweb. Informatie met betrekking tot inloggegevens, kwetsbaarheden in je leveranciersketen of informatie over geregistreerde domeinen die sterk lijken op die van jouw organisatie kunnen jouw organisatie kwetsbaar maken.Prevent: verklein de kans op een incidentJe kunt niet alles tegelijk beschermen. Je begint daarbij met een aantal basismaatregelen, die altijd en voor elke organisatie gelden. Denk aan maatregelen als:Multi-factorauthenticatie (MFA) om toegangsbeheer te versterken;Endpoint- en network detection & response (edr/ndr) om security rondom devices en netwerken aan te scherpen;Security-awarenesstrainingen voor medewerkers;Vulnerability-management, om zicht te krijgen op kwetsbaarheden in je it-landschap en deze vervolgens aan te pakken.Cybersecurity vraagt in veel gevallen om meer dan alleen het treffen van de basismaatregelen. Voor het verder inrichten is risicogebaseerd werken essentieel. Dat begint met het in kaart brengen welke onderdelen van jouw organisatie cruciaal zijn voor de bedrijfscontinuïteit. Daar stem je je beveiligingsmaatregelen op af.Doel van deze exercitie: bedenk dat je niet alles kunt beschermen en zeker niet alles tegelijk. Breng in kaart wat je echt moet beschermen en investeer daarin. Deze risicogebaseerde aanpak leidt tot gerichte investeringen, in plaats van je beveiliging te verdelen over alles en iedereen.Detect: signaleer aanvallen voordat ze schade aanrichtenZelfs met de beste preventieve maatregelen moet je ervan uitgaan dat er ooit iets misgaat. Het is dan cruciaal dat je een aanval tijdig detecteert, voordat die zich verspreidt of blijvende schade aanricht. Moderne security operations centers (soc’s) gebruiken ai en gedragsanalyse om afwijkingen te signaleren die op een aanval kunnen wijzen. Daarbij geldt: hoe beter je detectie is afgestemd op jouw organisatie, hoe effectiever je kunt ingrijpen. Zo is de efficiëntie van soc’s de afgelopen tijd sterk verbeterd. Ai en automatisering helpen analisten door patronen te herkennen, meldingen te filteren en dreigingen sneller te beoordelen.Respond: herstel snel en effectiefWanneer een incident zich voordoet, is het allereerst belangrijk om de impact te bepalen. In de meeste gevallen is een incident klein en kan een soc dit prima (al dan niet geautomatiseerd) afhandelen. Wanneer een incident groter is en veel impact kan hebben op de bedrijfscontinuïteit, dan komt alles samen: techniek, communicatie, governance en leiderschap. De manier waarop je reageert, bepaalt niet alleen de omvang van de schade, maar ook het vertrouwen van klanten, toezichthouders en de eigen medewerkers. Een goede respons begint dan ook met voorbereiding. Tuig een multidisciplinair crisisteam op waarin it, security, communicatie, juridische zaken en directie vertegenwoordigd zijn. Leg verantwoordelijkheden en bevoegdheden vast in draaiboeken: wie mag besluiten om systemen offline te halen? Wie communiceert met de buitenwereld? Hoe informeer je ketenpartners? Waak ervoor dat je tijdens en ná een incident de juiste stappen zet. Denk aan de juridische opvolging, zoals de meldplicht bij een datalek. Incidentmanagement stopt echter niet bij herstel. Een evaluatie naderhand is essentieel: wat ging goed en wat moet een volgende keer anders? Kortom, een effectieve response vereist voorbereiding, samenwerking en de bereidheid om te leren.Vier fases, één geheelIdentify, prevent, detect en respond zijn geen losse onderdelen, maar een samenhangend geheel. Door deze fasen te benaderen vanuit je eigen risicoprofiel, versterk je stap voor stap de digitale weerbaarheid van jouw organisatie. Dit betekent dat cybersecurity niet alleen een verantwoordelijkheid is van it, maar een directie-aangelegenheid. In deze blog staan een aantal aandachtspunten op hoofdlijnen beschreven waarmee elke organisatie de eerste stap kan zetten om te voldoen aan de NIS2-richtlijn. Dat betekent zorgen dat je niet alleen beter beschermd bent tegen de dreigingen van vandaag, maar ook wendbaarder voor die van morgen.Erik de Jong, chief research officer Tesorion

In de categorie Customer Experience draait het allemaal om het creëren van een waardevolle, consistente en relevante klantreis. De nieuwste technologieën spelen daarin natuurlijk een rol, maar juist ook het samenspel tussen technologie en mens is in deze categorie van groot belang. Een groep van 21 Computable-experts heeft de 27 voordrachten in de categorie Customer Experience digitaal beoordeeld. Hun oordeel vormde de basis waaraan de hoofdjury van de Computable Awards 2025 wegingen toekende om zo de tien genomineerden te kunnen bepalen. De voordrachten zijn getoetst op klantdefinitie, klantgerichtheid, klantinnovatie en klantloyaliteit. Hoofdjury-lid Richard Turk (Prenatal) vertelt in deze video welke ontwikkelingen in deze categorie een rol spelen en waar de jury op let. De nominaties in de categorie Customer Experience zijn: Benthe: AI-gestuurd vacaturebeheer (Ciphix en Headfirst Group) Chapter Assistant Deep Search: AI-gestuurde winkelervaring (Shopware en Nosto) Empathy Lab by EPAM Gepersonaliseerde klantbeleving (Leaseweb en SAP) LeadBot Search and Discovery Suite (Media Distillery) Smart Recaps: AI-analyse klantfeedback (Mopinion) TCS Customer Satisfaction Excellence (Tata Consultancy Services) Vernieuwing e-commerceplatform (Prénatal, Valantic en Adobe Commerce) Meer over de genomineerden is te lezen op deze pagina. Stemmen Het stemproces voor de Computable Awards 2025 is geopend en loopt tot 5 oktober 2025. Publieksstemming bepaalt voor vijftig procent de winnaar. Breng uw stem hier uit! Ook buigen de betrokken juryleden zich over de genomineerden per categorie, een gemiddeld oordeel dat voor de helft de winnaar bepaalt. Winnaars Op 18 november worden per categorie de winnaars aangewezen. Dit gaan we doen in De Polar bij Jaarbeurs in Utrecht. Het thema van de avond wordt ‘Rebooting Reality’ waarmee we bij de Computable Awards 2025 speciale aandacht hebben voor de noodzaak om onze digitale wereld opnieuw te doordenken in een tijd waarin geopolitieke spanningen, ai, energiecrises en informatieoorlogen alles op scherp zetten. In een wereld waarin de werkelijkheid steeds minder vanzelfsprekend is, moeten we opnieuw kiezen wat we écht belangrijk vinden. ‘Rebooting Reality’ is een uitnodiging om de digitale samenleving van de toekomst opnieuw op te starten – bewuster, veiliger, menselijker. Partner worden van de Computable Awards 2025?Wilt u partner worden van de Computable Awards 2025, het belangrijkste, jaarlijkse festijn in de Nederlandse ict-markt? Verbind dan uw naam aan dit evenement en woon op op 18 november as de spectaculaire uitreiking bij!

Op 10 en 11 september 2025 vormt de Jaarbeurs in Utrecht opnieuw het podium voor Cybersec Netherlands. Twee dagen lang staat alles in het teken van digitale weerbaarheid, met toonaangevende sprekers,  innovatieve exposanten en sterke samenwerkingen.   Het programma brengt urgente thema’s samen: van cloudsoevereiniteit en quantum computing tot AI-ethiek, OT-beveiliging en geopolitieke cyberdreigingen. Keynotes van experts als Chris van ’t Hof, Fleur van Leusden, Frank Breedijk en Jake Moore confronteren bezoekers met de realiteit van vandaag én morgen, en bieden tegelijkertijd concrete handvatten om organisaties veiliger te maken.   Fotograaf: Daan Jeurens Ook de beursvloer is onmisbaar voor bezoekers. Meer dan honderd exposanten – waaronder ESET, Northwave, Cegeka en Fox-IT – presenteren hun nieuwste oplossingen. Nieuw dit jaar is het OT Security Paviljoen en de OT Dome, waar operationele technologie en kritieke infrastructuur centraal staan. Daarmee wordt duidelijk dat cybersecurity  niet alleen om IT gaat, maar ook om het beschermen van vitale processen en fysieke installaties.  Cybersec Netherlands zoekt actief de verbinding met andere domeinen. Zo vindt het event gelijktijdig plaats met Data Expo, hét evenement voor data en AI. Samen onder één dak ontstaat een unieke kruisbestuiving tussen data-experts en securityspecialisten. Daarnaast is er de samenwerking met The Hague Security Delta (HSD), die dit jaar nadrukkelijk de focus legt op OT-beveiliging. Hiermee wordt het belang van samenwerking tussen overheid, bedrijfsleven en kennisinstellingen nog eens onderstreept.  Cybersec Netherlands is gratis toegankelijk voor professionals die zich willen verdiepen in digitale veiligheid en innovatie.  👉 Ontdek het programma 👉 Bekijk de exposantenlijst 👉 Registreer je gratis Cybersec Netherlands vindt gelijktijdig plaats met Data Expo in de hal ernaast. 

Om misbruik van persoonsgegevens tegen te gaan, zijn er strikte regels voor informatiebeveiliging waar zorgorganisaties zich aan moeten houden. Hoe zit die regelgeving precies in elkaar? Deel 2 in een serie over informatiebeveiliging in de zorg.De hack waarbij onlangs persoonsgegevens van honderdduizenden Nederlanders zijn gestolen uit een systeem van het laboratorium Clinical Diagnostics Nederland (dochter van het Franse Eurofins), zet de schijnwerpers op de regels rond informatiebeveiliging in de zorg. Die zijn vastgelegd in de normen NEN 7510 en 7512. Computable vroeg toelichting over de samenhang van de regelgeving aan een woordvoerder van Z-CERT, de officiële organisatie voor het voorkomen en/of tijdig oplossen van cyberincidenten in de zorg.Welke zorgorganisaties moeten aan NEN 7510 en 7512 voldoen en is certificering verplicht?‘Alle zorgaanbieders die onder de Wet kwaliteit, klachten en geschillen in de zorg vallen en die persoonsgegevens van patiënten of cliënten verwerken, zijn verplicht om aantoonbaar aan de NEN 7510 te voldoen. ‘Aantoonbaar’ betekent in dit geval bijvoorbeeld certificering of een onafhankelijke audit. Veel zorginstellingen en zelfstandige zorgverleners vallen onder deze wet. Het is dus niet verplicht om te certificeren voor de NEN 7510. Certificeren maakt het aantonen natuurlijk wel makkelijker. De NEN 7512 is een uitwerking van de NEN 7510 en daarom ook verplicht, apart certificeren voor de NEN 7512 is niet mogelijk. De Inspectie Gezondheidszorg en Jeugd is verantwoordelijk voor de naleving.’Waar overlappen deze normen met andere cybersec-regels zoals NIS2?‘De NIS2 is een EU-richtlijn. Zo’n richtlijn heeft geen nationale rechtstreekse werking en dient daarom in alle Europese lidstaten te worden omgezet naar nationale wetgeving. In Nederland wordt dat de Cyberbeveiligingswet. Daarin zijn verschillende rechten en plichten opgenomen, waaronder de zorgplicht. Voldoen aan de NEN 7510 geeft voor zorgaanbieders invulling aan deze zorgplicht. De NEN 7510 is een zorgspecifieke verdieping op de – de facto – wereldwijde standaard voor het managen van informatiebeveiliging, de ISO27000. Daarnaast heeft de NIS2 aanvullende eisen. Naast zorgaanbieders vallen ook een aantal leveranciers in de zorg rechtstreeks onder de Cyberbeveiligingswet, zoals vervaardigers van medische hulpmiddelen, vervaardigers van farmaceutische basisproducten en bereidingen en entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen.’In NEN 7512 staat over de uitwisseling van persoonsgegevens tussen bijvoorbeeld lab en zorgaanbieder onder andere: ‘Communicatiepartijen moeten zijn aangesloten bij een erkende CERT-organisatie die gespecialiseerd is in het voorkomen en/of tijdig oplossen van cyberincidenten.’ Is het lab lid van een CERT-organisatie?‘Het gehackte lab is geen Z-CERT deelnemer. Geen enkel Eurofins-lab is deelnemer van Z-CERT. Wij zijn de aangewezen CERT voor de gehele zorgsector en maken, om de hele sector te kunnen beschermen, geen onderscheid tussen wie wel of niet voldoen aan de NEN of andere wetgeving. Omdat Z-CERT, in afwachting van de invoering van de Cyberbeveiligingswet, nog geen wettelijk mandaat heeft om partijen te dwingen tot actie, is gekozen voor een zorgvuldige aanpak: eerst de leverancier wijzen op hun ketenverantwoordelijkheid. Toen informatie en communicatie vanuit Clinical Diagnostics Nederland uitbleef, heeft Z-CERT besloten om zelf deelnemers te informeren. Dit gebeurde op basis van zogeheten metadata. Uit respect voor de privacy van patiënten is niet meer informatie ingezien dan nodig is om deelnemers en overige zorginstellingen te identificeren en de aard van het lek te duiden. Hierdoor was de beschikbare informatie beperkt, maar kon toch een aantal deelnemende zorginstellingen worden gewaarschuwd. Ook is er een waarschuwing uitgegaan naar de eerstelijnszorg, met name huisartsen, hoewel zij geen deelnemer zijn van Z-CERT.’Er zijn dus wettelijk verplichte normen, waarom is het dan fout gegaan?‘Helaas kunnen wij deze vraag niet beantwoorden. Wij hebben nog geen inzicht in waar het fout heeft kunnen gaan. Wel hebben wij vorige week onze tien tips tegen ransomware opnieuw verspreid. Normaal is deze content exclusief voor onze deelnemers. Gezien de ernst van de situatie hebben wij besloten om deze tien tips met de hele sector te delen.’ Tips tegen ransomware en uitleg staan hier.De andere delen van deze miniserie zijn hier te vinden.Cybersec Netherlands De recente ontwikkelingen op het gebied van cybersecurity komen ruim aan bod komen tijdens Cybersec Netherlands. De vakbeurs vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.

Sleutelen aan robotmaaiers bij Husqvarna Husqvarna…uit Zwéééden!’ Oudere generaties kennen deze slogan nog van de oerdegelijke naaimachines. Vandaag de dag staat het bedrijf bekend als fabrikant van robot-grasmaaiers. De eerste verscheen dertig jaar geleden, een mijlpaal waar Husqvarna nu uitvoerig bij stilstaat. Recent breidde het zijn draadloze Automower Nera-serie uit met twee nieuwe robotmaaiers. Het ontwerp- en ontwikkelwerk doet Husqvarna in huis, waarbij software-developers nauw samenwerken met werktuigbouwkundigen. De Husqvarna-fabriek in Huskvarna. Het fabriekscomplex van Husqvarna ligt aan de oever van de gelijknamige rivier bij de zuid-Zweedse plaats Huskvarna (met een k; in 1906 was er een grote spellinghervorming in Zweden waarbij de letter q werd vervangen werd door de letter k in veel woorden, maar het bedrijf deed er niet aan mee). Hoewel het hoofdkantoor van de Husqvarna Group zich in Stockholm bevindt, liggen hier de wortels van het technologieconcern die teruggaan tot 1689 toen het bedrijf startte met het produceren van wapens. Nadat de vraag naar wapens daalde, breidde het bedrijf zijn activiteiten uit met onder andere de productie van naaimachines, fietsen, motoren en meer, zoals in het Husqvarna Museum, gehuisvest op het fabrieksterrein, te zien valt. Denk aan keukens, ovens, pannen, jetski’s, een hot-dog-automatiek (!) én kettingzagen. Met die laatste productielijn startte de onderneming in 1959 (fun fact: het ontwerp voor een kettingzaag was geïnspireerd op de kettingkast van de motorfietsen) en die vormde de basis voor een sterke marktpositie in producten en oplossingen voor bos-, park- en tuinbeheer. Voor deze ‘buitenruimte’ kwam daar in 1995 de eerste robotmaaier bij. Onder de radar Niet dat de autonoom opererende maaier gelijk een doorslaand succes was, bleek tijdens de perspresentatie eerder dit jaar. Nadat de Belgische uitvinder André Colens in 1991 zijn blauwdruk van een automatische ‘solar sower’ bij Husqvarna onder de aandacht had gebracht, en de toenmalige directeur Bengt Andersson tot koop wilde overgaan, stak de hoofddirectie van het toenmalige moederbedrijf Electrolux er een stokje voor. De aankoopprijs zou te hoog zijn in een periode waarin het financieel-economisch niet voor de wind ging. Andersson was echter overtuigd van de potentie van deze uitvinding en zette de koop en het project toch door, zij het onder de radar (op YouTube is hierover de Husqvarna Automower-documentaire te zien). Er moest nog wel veel werk worden verricht: niet alleen marketing-wise, maar ook op technisch vlak. Zo bleek in de oorspronkelijke opzet het computergeheugen te beperkt en wist het begeleidingssysteem de maaier niet te begrenzen. Ook had de Belg Colens Assembler als programmeertaal gebruikt maar die was niet geschikt voor grootschalige industriële productie. In 1995 was het dan zover: de introductie van de eerste volautomatische gazonmaaier ter wereld. Het bleef niet onopgemerkt: er was internationaal veel media-aandacht voor deze Solar/Turtle-maaier (met begrenzingsdraad) met voeding door middel van zonnecellen. De Husqvarna-cloud Inmiddels is Husqvarna toe aan de vierde generatie robotmaaiers en is er in de afgelopen dertig jaar steeds meer tech bijgekomen. Om een paar dingen te noemen: verfijnde zonneceltechnologie, weertimers en vorstsensoren; maaiers die tekstberichten kunnen ontvangen en versturen; internet-connectie én smart-home-integratie voor onder meer stemaansturing; eigen gps-navigatie en ‘automatic passage handling’ en een app die advies geeft over tuinonderhoud. De nieuwste modellen hangen via satellietcommunicatie in de Husqvarna-cloud. Sinds 1995 zijn er ruim vier miljoen robotmaaiers verkocht via het wereldwijde dealernetwerk. Waar er in de begintijd logischerwijs nog wat kinderziektes waren, gaat het bedrijf tegenwoordig prat op de hoge kwaliteit van de robots. Veel gebruikers blijken ook gehecht aan hun strak gestylde apparaat (sommigen geven er zelfs een naam aan) en gebruiken hun robotmaaiers jarenlang. Husqvarna GroupHet productportfolio van Husqvarna bestaat uit robotmaaiers, zitmaaiers, kettingzagen, trimmers en tuinirrigatie. Het bedrijf behoort tot de Husqvarna Group, waartoe ook Gardena (tuingereedschap) en Husqvarna Construction (snij- en oppervlaktebehandelingsapparatuur voor de bouw- en steenindustrie) behoren. Het concern telt wereldwijd ruim twaalfduizend werknemers en de netto-omzet in 2024 bedroeg bijna vier miljard euro. Liverpool De nieuwste Automower-Nera-modellen zijn bedoeld voor de kleinere tuin. Bovendien krijgen alle Nera-robotmaaiers de mogelijkheid om systematisch, baan voor baan te maaien. Maar Husqvarna richt zich niet alleen op consumenten. De robotmaaier is ook niet meer weg te denken uit de wereld van de hoveniers, terreinknechten en groundsmen. Zijn het niet landerijen of gemeentes, dan is het wel een golfcourt of voetbalvereniging waar de robots een gazon, golfbaan of grasveld het uiterlijk van een strak biljartlaken geven. Via een field-services-app kunnen grasmeesters het onderhoud inregelen en het robotpark beheren. Husqvarna wist de afgelopen jaren diverse betaald-voetbalclubs te strikken voor zijn automowers, waaronder Liverpool. Op een van de buitenmuren op het fabriekscomplex hangt vol trots een groot spandoek met een aantal spelers van de huidige Britse kampioen, waaronder Virgil van Dijk. Het is een groot voordeel om alle disciplines dicht bij elkaar te hebben – Björn Mannefred, manager robotica & software design Robotbouwers In de Husqvarna-fabriek werken zo’n driehonderd robotbouwers. Een gemêleerde, internationale groep mannen en vrouwen, vertelt Björn Mannefred, manager robotica & software design, tijdens een rondleiding. ‘Die doen van alles, van de plastic en elektronische ontwerpen tot aan de software, apps, connectiviteit, testen en de backend-services. Het is een groot voordeel om alle disciplines dicht bij elkaar te hebben en dat de werktuigbouwkundigen direct kunnen overleggen met onder anderen de softwareontwikkelaars.’ Qua werving richt het bedrijf zich onder andere op universiteiten. Zo was er vorig jaar een groot project met de School of Engineering van de nabijgelegen Jönköping University om nieuwe functionaliteiten te bedenken voor de robotmaaiers. ‘Die studenten zijn uitzonderlijk getalenteerd en er zitten er diversen bij die we graag willen aannemen’, aldus Mannefred. Virtuele tuinen Bij het ontwikkelen van nieuwe generaties robotmaaiers komt ook steeds meer digitalisering om de hoek kijken. ‘Robotica gaat vandaag de dag niet alleen over het product en ingebouwde software voor de aansturing ervan, maar bijvoorbeeld ook over de interface van de apps die klanten gebruiken. Bovendien willen we dicht bij onze klanten staan en inzicht krijgen hoe zij de autonome maaiers gebruiken en waar fouten ontstaan. Daarvoor meten we veel en gebruiken we datadashboards en data-analyses.’ Ook wordt simulatie ingezet, waarbij er een virtuele kopie van tuinen van klanten wordt gemaakt en de ontwikkelaars kunnen testen hoe hun robotmaaier het beste parcours kan afleggen en omgaat met moeilijke omstandigheden, zoals hoog gras, kuilen (wat te doen als een maaier daardoor omvalt), zigzaggende grenzen van borders, allerhande obstakels, hellingen en slechte wifi (bijvoorbeeld door veel bomen). Verder spelen weersomstandigheden een rol, al gaat niemand bij slecht weer zijn gazon maaien, merkt Mannefred laconiek op. We geloven sterk in ‘vision technology’ waarbij de robotmaaier adviezen geeft – Patrik Jägenstedt, manager ‘advanced development robotic & product ai lab Vision Technology Voor de groep robotbouwers wachten nog genoeg innovatieve ontwikkelingen, blijkt uit een presentatie van Patrik Jägenstedt, manager ‘advanced development robotic & product ai lab’. Zo werkt Husqvarna aan een artificiële intelligentie (ai)-oplossing voor beeldherkenning waarbij automowers met camera’s worden uitgerust. Mocht de robotmaaier in een tuin een object tegenkomen dan herkent die dat straks als bijvoorbeeld een mens, dier, speelgoed, golfballetje of een stuk rots. ‘Of een voetbal die is blijven liggen. Dan begrijpt de robot: oké, dit is gewoon een bal die rondslingert, ik kan blijven werken en ik hoef hem niet eens te ontwijken. Ik kan zelfs de bal wegduwen zodat ik mijn maaipatroon niet hoef te onderbreken.’ Jägenstedt ziet in de nabije toekomst ruimte voor nog meer slimme, datagestuurde gazon-oplossingen, verrijkt met ai, camera’s en sensoren. ‘We geloven sterk in ‘vision technology’ waarbij de robotmaaier adviezen geeft over de graskwaliteit, de bio-diversiteit en het onderhoud. De Automower wordt meer en meer een tuin-supervisor.’ De oudste robotmaaierIn het kader van het dertigjarig jubileum van de eerste commerciële robotmaaier (zie foto hierboven) organiseerde Husqvarna dit jaar een wedstrijd om de oudste Husqvarna-robotmaaier ter wereld te vinden die nog in gebruik is. Er kwamen duizenden inzendingen binnen, waarbij eigenaren verhalen deelden over maaiers die al tientallen jaren in Europa hun werk deden. De winnaar werd de Zweed Ingemar Carlsson uit Motala. Die beschikt nog over een Husqvarna Solar Mower uit 1995, waarbij alleen de messen een keer zijn vervangen! Zijn prijs: de nieuwste draadloze Husqvarna robotmaaier.  Dit artikel staat ook in Computable Magazine 2025 #4.

Google Cloud is een van de grote drie hyperscalers, maar zeker in de Benelux speelt het een kleinere rol naast concurrenten als AWS en Microsoft. Bovendien krijgt het te maken met ai-specialisten als OpenAI. Toch ziet Joost Smit, sinds een klein jaar eindverantwoordelijk voor Google Cloud in de Benelux, duidelijke groeikansen. En het gaat snel. ‘In januari sprak bijna niemand over agentic ai, nu heeft iedereen het erover.’ In een gesprek met Computable legt Joost Smit uit hoe Google Cloud zich wil onderscheiden door in te zetten op vier speerpunten. Volgens hem zijn dit niet zomaar modewoorden, maar bepalende thema’s die de komende jaren ook bij klanten nog meer aan belang zullen winnen. 1. Ai ‘Ai is echt de next wave of massive change. Het is vergelijkbaar met de introductie van internet of de mobiele telefoon’, zegt Smit. ‘Veel bedrijven hebben er inmiddels mee geëxperimenteerd, maar het is vooral de snelheid van de ontwikkeling die iedereen verbaast. Dat maakt het uitdagend, maar ook buitengewoon boeiend.’ Concreet wijst hij op Veo 3, een tool die laat zien hoe eenvoudig het is om video’s van hoge kwaliteit te genereren. Maar de meerwaarde toont zich in bedrijven vooral in klantcases. Zo hielp Google Cloud samen met Accenture en Radisson om marketing relevanter en klantinteractie sterker te maken met behulp van ai. Bij Omoda, een retailer met 150 jaar geschiedenis, ondersteunt ai klanten alsof ze een persoonlijke kledingadviseur hebben: van advies voor een trouwoutfit tot dagelijkse kledingkeuze. Bij Just Eat Takeaway lag de focus meer op efficiëntie: Ai maakt hun digitale folders sneller en foutloos. ‘Wat we nu overal zien is dat customer service een van de belangrijkste domeinen wordt waarin ai impact maakt. Uit onze studies blijkt dat dit heel hoog op de agenda staat bij bedrijven.’ En daar is agentic AI Opkomende ontwikkelingen als agentic ai – waarbij ai-systemen zelfstandig taken uitvoeren en beslissingen nemen – ziet Smit als een volgende stap. ‘In januari sprak bijna niemand erover, nu praat iedereen erover.’‘Met onze eigen Agentspace kunnen bedrijven informatie ophalen en verwerken op basis van hun bestaande autorisatieprofielen. Dat kan leiden tot een advies, analyse of verhaal – in enkele minuten in plaats van uren. En dat werkt ook met niet-Google technologie, zoals Outlook. Dit is hoe ai een echte partner kan worden in het bedrijfsleven.’ 2. Soevereiniteit Een tweede speerpunt is data soevereiniteit. ‘Dé soevereiniteit bestaat niet. Er zijn verschillende vormen’, legt Smit uit. Projecten met onder meer Proximus tonen volgens hem dat er concrete oplossingen zijn. Ook in Luxemburg werken partijen als CSSF en CTIE al met Google Cloud-oplossingen. De vraag naar soevereiniteit is toegenomen door geopolitieke spanningen en veranderingen in de Amerikaanse administratie. ‘Een deel is ook sentiment, en dat mogen we niet negeren. Maar wij hebben de technologie om hiermee om te gaan.’ Google Cloud biedt daarom verschillende niveaus. Op het hoogste niveau is er Google Distributed Cloud air-gapped: volledig afgesloten en zonder verbinding met de publieke cloud. ‘Dat wekt veel interesse, maar het is complex. Ontwikkelingen komen er later beschikbaar, en ondersteuning kan alleen fysiek ter plaatse gebeuren.’ Een niveau lager is Google Cloud Dedicated, terwijl klanten met regional data kunnen kiezen waar hun data wordt opgeslagen – in Nederland, België, de Benelux of West-Europa, vaak via onafhankelijke operators. Het instapniveau is Google Cloud Data Boundary, waarbij klanten controle hebben over encryptie en toegangsrechten. ‘Soevereiniteit blijft een serieus onderwerp. Bedrijven en organisaties kijken hier heel nauwkeurig naar’, erkent Smit. ‘En ja, we krijgen soms de vraag: wat als de Amerikaanse overheid bepaalde beslissingen neemt? Dat is een complexe discussie, vol hypotheses. Maar de vraag leeft absoluut.’ 3. Openheid Voor Google Cloud is openheid geen nieuwe marketingstrategie, benadrukt Smit. ‘Nog voordat we met cloudinfrastructuur naar de markt gingen, waren we al open. Er zijn talloze voorbeelden.’ Zo kan Agentspace samenwerken met Outlook, en binnen Vertex AI – het platform dat de kern van Google’s AI vormt – is er ruimte voor niet-Google modellen. ‘DeepSeek kan bijvoorbeeld ook op Vertex draaien. En als je dat lokaal doet, gaat er geen data naar China. Dat is pas openheid.’ 4. Security Tot slot wijst Smit op het belang van security. ‘Dat wordt steeds belangrijker, zeker ook in België, waar we de afgelopen jaren genoeg incidenten gezien hebben.’ Zo lijfde zijn bedrijf, vaak na een intensieve onderhandelingsrace, onder meer Mandiant in – gespecialiseerd in incident response – en het in geavanceerde cloudbeveiliging gespecialiseerde Wiz. Google Cloud heeft met andere woorden zijn beveiligingsportfolio versterkt. ‘Die zetten we in om bedrijven beter te beschermen tegen steeds complexere dreigingen.’