computable

Bescherming van Europa’s economie is voor minister Vincent Karremans (Economische Zaken) de belangrijkste reden geweest om in te grijpen bij Nexperia. De bewindsman eist het recht op om beslissingen binnen de chipfabrikant tegen te houden of terug te draaien als die Nederland schaden. In een brief aan de Tweede Kamer zegt hij dat de toekomst van Nexperia als Nederlands en Europees bedrijf op het spel staat. Ook cruciale kennis van chiptechnologie en de productie dreigen te verdwijnen door Chinese machinaties. Als Karremans geen actie zou ondernemen dan dreigen de Europese auto-industrie en consumentenelektronica sterk afhankelijk te worden van China. Als de productie van de Nexperia-chips uit Europa verdwijnt, ontstaat een ernstig veiligheidsprobleem. Ook de defensiesector loopt dan grote kans met handen en voeten aan China te worden gebonden. In een conflictsituatie heeft Europa dan het nakijken. Assets overhevelen Wingtech, de Chinese eigenaar van Nexperia, en diens topman Zhang Xuezheng, waren hard bezig om productiecapaciteit, kapitaal en intellectuele eigendomsrechten bij Nexperia in Nijmegen weg te halen. Ze hevelden die ‘assets’ over naar een ander bedrijf van Zhang dat niet aan Nexperia is verbonden. Om die reden acht Karremans de inzet van de Wet beschikbaarheid goederen (Wbg) gerechtvaardigd. De bewindsman tekent hierbij aan dat dit bevel op basis van de Wbg, zonder ruggenspraak met de Verenigde Staten of een ander land, is genomen. Het bevel is tijdelijk voor de duur van maximaal één jaar. Ondernemingskamer Karremans onderstreept dat zijn ingrijpen los staat van de enquêteprocedure die een aantal topmanagers van Nexperia bij de Ondernemingskamer waren gestart tegen hun eigen ceo, Zhang Xuezheng. De schorsing van Zhang komt Karremans goed uit. Maar anders dan de Chinezen denken, is de rechter volledig onafhankelijk. De bewindsman weet van de export-controlemaatregel die de Chinese overheid aan alle locaties van Nexperia in China heeft opgelegd. Maar Karremans wil alleen kwijt dat hierover gesprekken gaande zijn met China. Nexperia produceert in Europa jaarlijks zo’n honderd miljard halfgeleiders. De assemblage vindt vervolgens in Maleisië, de Filippijnen en China plaats. China heeft hierin een aandeel van vijftig miljard stuks.

De ransomwareaanval op Clinical Diagnostics, waarbij vertrouwelijke gegevens van zo’n miljoen Nederlanders werd geroofd, legt pijnlijk bloot hoe versnipperde systemen, onduidelijke verantwoordelijkheden en gebrekkige naleving de zorgsector kwetsbaar maken. Hoe kan en moet het beter? Dit is het negende en laatste deel van de Computable-serie over informatiebeveiliging in de zorg. De omvangrijke datadiefstal bij Clinical Diagnostics Nederland heeft de discussie over informatiebeveiliging in de zorg opnieuw op scherp gezet. De wettelijke normen NEN 7510 en NEN 7512 moeten waarborgen dat persoonsgegevens veilig worden verwerkt en uitgewisseld. Om dat nog sterker te laten zijn, kunnen organisaties zich daarvoor laten certificeren.Uit gesprekken die Computable had met betrokken partijen – van toezichthouders en normontwikkelaars tot zorgaanbieders en juristen – blijkt dat naleving, toezicht en verantwoordelijkheden vaak diffuus zijn. Of zoals Z-Cert, het expertisecentrum voor cybersecurity in de zorg, het verwoordt: ‘Wij zijn de aangewezen Cert (Computer Emergency Response Team – red.) voor de gehele zorgsector, maar hebben nog geen wettelijk mandaat om partijen te dwingen tot actie.’ Hieronder het overzicht van alle acht gesprekken.Z-CertT over normen en zorgplichtDe datadiefstal toont hoe belangrijk NEN 7510 en NEN 7512 zijn voor zorgorganisaties. Alle zorgaanbieders die persoonsgegevens verwerken moeten aantoonbaar voldoen aan deze normen. Certificering is niet verplicht, maar maakt de aantoonbaarheid eenvoudiger. ‘Aantoonbaar betekent in dit geval bijvoorbeeld certificering of een onafhankelijke audit’, aldus Z-Cert bij monde van woordvoerder Tim Heijltjes.NEN 7510 sluit aan bij internationale standaarden zoals ISO27000 en geeft invulling aan de zorgplicht uit NIS2. Ook leveranciers van medische hulpmiddelen en farmaceutische producten zullen vallen onder de nieuwe Cyberbeveiligingswet. De hack laat echter zien dat naleving in de praktijk vaak tekortschiet. Want hoewel Z-Cert de aangewezen Cert is voor de gehele zorgsector, was geen enkel lab van Eurofins daar deelnemer van.NEN over certificering en auditsNEN ontwikkelt de normen en certificatieschema’s, maar de verantwoordelijkheid voor implementatie ligt bij de zorgorganisaties zelf. Certificering onder accreditatie biedt zekerheid dat een organisatie daadwerkelijk voldoet, maar is wettelijk niet verplicht. Onafhankelijke audits zijn wel verplicht en moeten de werking van het informatiebeveiligingsmanagementsysteem toetsen.‘De wetgever stelt dat er aantoonbaar aan voldaan moet worden, maar geeft daar geen duidelijke handvatten voor’, zegt Irma Timmerman, woordvoerster van NEN. In mei 2025 waren 920 organisaties gecertificeerd, waarvan 191 zorginstellingen en 729 leveranciers. Naast NEN 7510 is ook NEN 7512 verplicht. Dat richt zich specifiek op veilige gegevensuitwisseling en verplicht aansluiting bij een erkende Cert.Bevolkingsonderzoek Nederland over datadelingBevolkingsonderzoek Nederland, BVO NL, deelde gegevens van bijna een miljoen Nederlanders met het gehackte lab. Van minstens 715.000 personen zijn gevoelige gegevens buitgemaakt, waaronder bsn en testresultaten. De instantie stelt dat de beveiliging contractueel was vastgelegd en gecontroleerd.‘Wij delen de gegevens die noodzakelijk zijn voor het uitvoeren van de tests met het lab’, meldt Elma van der Vlis namens Bevolkingsonderzoek Nederland. Ze benadrukt dat de gegevensuitwisseling voldoet aan wet- en regelgeving, maar onderzoekt hoe de hack en de datadiefstal konden plaatsvinden. Het incident laat zien hoe kwetsbaar ketensamenwerking is, zelfs met formele afspraken en aanbestedingsprocedures.IGJ over toezichtDe Inspectie Gezondheidszorg en Jeugd (IGJ) ziet toe op naleving van NEN 7510 en 7512. Zorgaanbieders moeten aantonen dat hun informatiebeveiliging werkt en beschikken over een onafhankelijke beoordeling. Certificering is niet verplicht, maar kan dienen als bewijs.‘Onze inspecteurs zien vaak dat zorgaanbieders hun informatiebeveiliging nog niet hebben opgezet volgens de wettelijke norm’, licht Karly Tánczos toe. Volgens de woordvoerster van de IGJ moeten rapporten inzicht geven in beleid, processen en bewijsvoering. De IGJ werkt niet samen met certificerende instellingen, maar accepteert hun rapporten wel als onafhankelijke beoordeling.Inmiddels zijn er tien door de Raad voor Accreditatie goed bevonden certificerende instellingen voor NEN 7510. Die hebben in het register van NEN bijna de helft van de gecertificeerde zorgorganisaties, zo’n 450, aangemeld. Nederland telt echter duizenden zorgorganisaties. Van de 35 Nederlandse Eurofins-dochters is er daar geen een geregistreerd.Eurofins over cybersecurityClinical Diagnostics Nederland is een dochter van het beursgenoteerde miljardenbedrijf Eurofins. Dat had toen 63.000 werknemers en meer dan 950 laboratoria in meer dan zestig landen. In Nederland had het 35 vestigingen, veelal bv’s, ongeveer de helft daarvan labs. De beursreus zegt te investeren in cybersecurity, maar wil of kan weinig details geven over de aanval. Vooral de lange duur tussen ontdekking van de aanval en melding daarvan door het bedrijf is bij velen verkeerd gevallen.‘Wij vinden het afschuwelijk dat dit incident heeft plaatsgevonden en beseffen dat dit bij betrokkenen zorgen en vragen oproept’, verklaart Maureen Veurman, die als woordvoerst van Eurofins’ dochter optreedt. Het bewaren van uitgebreide datasets, inclusief bsn, wordt gerechtvaardigd met wettelijke bewaarplichten. Voor zover bekend zijn gegevens alleen ingezien en gekopieerd, niet gewijzigd. Toch blijft de beperkte transparantie van Eurofins vragen oproepen over verantwoordelijkheid en beveiliging.Advocatuur over aansprakelijkheid en schadeclaimsDe hack kan gaan leiden tot schadeclaims van in totaal wel 125 miljoen euro. Normaal is alleen het lab aansprakelijk, maar ook Eurofins of Bevolkingsonderzoek Nederland kunnen medeaansprakelijk zijn bij gezamenlijke verantwoordelijkheid of nalatigheid. Ook de bestuurders zijn aansprakelijk te stellen bij wanbeleid of onvoldoende beveiligingsmaatregelen.‘Normaal gesproken is alleen de onderliggende bv aansprakelijk. Er zijn echter uitzonderingen denkbaar’, aldus Stephan Mulders, advocaat bij Blenheim. Claims zijn juridisch complex en lastig te bewijzen, zeker waar het gaat om de verhouding tussen NEN-normen en de AVG. Artikel 32 daarvan verplicht verwerkingsverantwoordelijken tot het nemen van ‘passende maatregelen’ om persoonsgegevens te beveiligen. Omdat het laboratorium zeer gevoelige gegevens verwerkte, mocht een hoog beveiligingsniveau worden verwacht.Cloud provider over digitale autonomie in de zorgDe zorgsector kampt structureel met datalekken en bijna zevenduizend meldingen in 2024. Digitale autonomie kan instellingen helpen sneller te reageren en de impact van incidenten te beperken. Maatregelen zoals centrale opslag, strikte toegangscontrole, real-time monitoring en duidelijke governance vergroten de weerbaarheid.‘Zonder autonomie zullen instellingen achter de feiten blijven aanlopen, ongeacht hoeveel vinkjes er op de compliance-checklist staan,’ aldus Pim Kerstens, director Healthcare bij Uniserver, een Nederlandse provider van soevereine cloud voor onder andere de zorg. Leveranciers moeten transparant zijn en data binnen Europese jurisdictie houden om vertrouwen te behouden. Autonomie en soevereiniteit zijn daarmee geen luxe, maar randvoorwaarden voor vertrouwen in de zorg.Hoe nu verder?Wat zeiden de onafhankelijk audits bij het lab? Waarom had Eurofins de zaak niet op orde? Het was immers niet de eerste keer dat dit ze is overkomen. Het lab had nota bene op de website gezet dat het niet is gecertificeerd voor de minimale normen. Waarom ging het Bevolkingsregister dan toch met ze in zee? En hoe kan het dat de bsn-gegevens en het bsn zelf gezamenlijk waren opgeslagen? De kracht van het bsn als sleutel ging zo verloren en een miljoen Nederlanders en zorgorganisaties moeten daarom de komende jaren elke zorgmail of -app behandelen als phishing.Als alle forensische onderzoeken zijn afgerond, krijgen we hopelijk een antwoord op die prangende vragen. Hoe dan ook, deze Computable-serie maakt duidelijk dat informatiebeveiliging in de zorg niet alleen een kwestie is van voldoen aan normen of certificaten. Het gaat om meer dan lijstjes afvinken. Het gaat om structurele verantwoordelijkheid, transparantie en regie over data. Zonder heldere afspraken, onafhankelijke toetsing en meer digitale autonomie blijven zorgorganisaties kwetsbaar. De hack bij Eurofins is daarmee niet alleen een incident, maar een signaal dat de sector fundamenteel moet investeren in weerbaarheid en vertrouwen.

In dit nieuwsoverzicht: DTX en Defion winnen cybersecurityaanbesteding Surf, gebruik ai door gemeenten risicovol, TP-Link brengt Wifi 8, Firewalls en vpn’s achterhaald, zero-trust moet nieuwe norm worden, en via schermreconstructies Google Authenticator-gegevens stelen. DTX en Defion winnen Surf-cybersecurityaanbesteding De Nederlandse cybersecuritybedrijven DTX en Defion hebben een meerjarige overeenkomst gesloten met Surf voor managed detection & response en security consultancy. ‘Tot dusver lag het accent van de dienstverlening voornamelijk op analyse van log- en netwerkverkeer. De leden van de Surf hebben aangegeven behoefte te hebben aan een integrale aanpak, om sneller en gerichter te kunnen reageren op aanvallen,’ aldus de ict-coöperatie van de Nederlandse onderwijs- en onderzoeksector. Vanaf 2026 krijgen ruim 75 onderwijs- en onderzoeksinstellingen directe ondersteuning bij het afweren van cyberaanvallen. DTX levert een 24/7-soc en expertise in ai-gedreven siem-oplossingen, terwijl Defion incident response-specialisten en ethical hackers inzet via zijn Research Labs. Uiteindelijk zullen naar verwachting ruim honderd organisaties worden aangesloten. Gebruik ai door gemeenten niet zonder gevaar Iets meer dan de helft van de gemeentemedewerkers gebruikt ai-tools zonder formele richtlijnen. Dat is de conclusie van een onderzoek van het Alkmaarse Uniserver. ‘Het ai-gebruik groeit sneller dan het beleid. In gemeenteland zien we ai-toepassing vaak bottom-up ontstaan: snel, creatief, maar ongecontroleerd’, aldus het bedrijf. Dat leidt volgens Uniserver tot kansen, maar ook tot risico’s. Zeker als burgerdata in systemen belandt die buiten de controle van de organisatie vallen. Slechts 55 procent van de gemeenten heeft beleid opgesteld. Een gelijk percentage biedt trainingen. Negentig procent van de gemeentelijke it-beslissers vreest datalekken of onvoldoende dataveiligheid, terwijl 63 procent geen inzicht heeft in hoe ai met burgerdata omgaat. Ook twijfelt 81 procent of het gebruik voldoet aan wetgeving zoals de EU AI Act. Zestig procent van de gemeenten wil eerst grip op data en wetgeving voordat ai breder wordt uitgerold. Veel gemeenten onderzoeken de gevolgen van de EU AI Act en plannen audits van bestaande systemen. TP-Link brengt Wifi 8 TP-Link heeft de nieuwe Wifi 8-connectiviteit gepresenteerd. De demonstratie valideerde zowel het baken als de gegevensdoorvoer en bevestigde de haalbaarheid van de nieuwe standaard (IEEE 802.11bn). Wifi 8 richt zich niet op hogere pieksnelheden, maar op betrouwbaarheid, lagere latentie en stabielere prestaties bij hoge belasting. Nieuwe functies zijn distributed ru, enhanced long range, unequal modulation en dynamic sub-band operation. Ook introduceert technologie multiple access points-coördinatie en verbeterd naadloos roamen. De technologie moet consistente verbindingen in drukke netwerken en betere dekking in woningen garanderen. Beschikbaarheid hangt af van certificering en regionale regelgeving. Firewalls en vpn’s achterhaald, zero-trust moet norm cybersecurity worden Firewalls en vpn’s hebben hun nut hebben verloren, was de boodschap van Zscaler-ceo Jay Chaudhry tijdens de XChange Best of Breed Conference, aldus CRN. Recente zero-day-aanvallen op Cisco-firewalls en eerdere kwetsbaarheden in vpn’s tonen volgens hem aan dat netwerkbeveiliging zélf een zwakke schakel is geworden. Chaudhry pleit voor een zero-trust-architectuur die alleen noodzakelijke en gevalideerde verbindingen toestaat. Daarmee verschuift de focus van cybersecurity voor netwerken naar databeveiliging. Partners zoals Aqueduct Technologies noemen Zscaler inmiddels de de facto standaard voor security service edge. Het bedrijf wil zijn zero-trust-aanpak uitbreiden naar ai-agents. Volgens Chaudhry kan adoptie van zero-trust tachtig procent van de huidige beveiligingsproblemen wegnemen. Via schermreconstructies Google Authenticator-gegevens stelen Onderzoekers van onder meer UC Berkeley en Carnegie Mellon hebben een aanvalstechniek ontwikkeld waarmee een Android-app pixels kan uitlezen uit andere apps, zo meldt The Register. De aanval, Pixnapping genoemd, gebruikt een gpu-sidechannel (GPU.zip) en overlay-technieken om scherminformatie te reconstrueren. Daarmee zijn gevoelige gegevens zoals 2fa-codes uit Google Authenticator te stellen. De kwetsbaarheid is geregistreerd als CVE-2025-48561 en werkt op toestellen zoals Google Pixel 6 tot en met 9 en Samsung Galaxy S25 met Android 13–16. Google bracht in september een gedeeltelijke patch uit en werkt aan aanvullende fixes. De aanval is traag (0,6–2,1 pixels per seconde) maar effectief genoeg voor codeherstel.