computable

Met NIS2 worden bestuurders vanaf volgend jaar persoonlijk aansprakelijk voor cyberincidenten. Hoogleraar Bibi van den Berg waarschuwt dat ze vaak de kennis missen om de risico’s rond cybersecurity goed te beoordelen.De invoering van de Europese NIS2-richtlijn, die bestuurders persoonlijk aansprakelijk maakt voor cyberincidenten, komt in Nederland pas in 2026 aan de orde. Dat geeft bedrijven tijd om zich voor te bereiden. En dat is hard nodig, want volgens Bibi van den Berg, hoogleraar cybersecurity-governance aan de Universiteit Leiden, is er sprake van een fundamenteel probleem: bestuurders krijgen verantwoordelijkheden die ze niet kunnen overzien.‘Boardrooms zien cybersecurity nu als cruciaal, maar ze hebben niet de kennis om te beoordelen of het goed geregeld is,’ zegt Van den Berg in een interview met het Britse ict-vakblad Computer Weekly. Waar bestuurders tien jaar geleden cybersecurity nog als iets puur technisch beschouwden, is het inmiddels een strategisch thema. Toch ontbreekt de inhoudelijke basis om risico’s goed te duiden.Misplaatste dreigingsbeeldenUit haar gesprekken met bestuurders blijkt dat staatgesponsorde aanvallen vrijwel altijd als grootste dreiging worden genoemd. ‘Wanneer ik vraag waarom hun organisatie een specifiek doelwit zou zijn, kunnen ze dat niet uitleggen,’ aldus Van den Berg. ‘Als je een peperkoekfabriek runt, ben je echt geen doelwit voor Russische of Chinese hackers. Maar toch is dat waar iedereen bang voor is.’ Het gevolg: dure investeringen in geavanceerde verdediging, terwijl basismaatregelen vaak achterblijven.Een tweede probleem is het ontbreken van betrouwbare data. Bij waterveiligheid kan Nederland rekenen op decennia aan meetgegevens en modellen. Bij cybersecurity ligt dat heel anders. ‘Zaken die vijf jaar geleden een groot probleem waren, zijn nu geen probleem meer,’ zegt ze tegen Computer Weekly. ‘Aanvalsoppervlakken veranderen, aanvallers veranderen, aanvalstactieken veranderen, en er ontstaan ​​compleet nieuwe soorten aanvallen.’Volgens Van den Berg legt NIS2 de last op de verkeerde plek. ‘We maken een heleboel mensen verantwoordelijk die niet in de business van digitale veiligheid zitten. Dat is alleen gerechtvaardigd als we hen ook de tools geven om het werk te doen.’ Ze pleit daarom voor meer verantwoordelijkheid bij leveranciers, om systemen veiliger te maken ‘aan de bron’.StootkussensAls alternatief introduceert Van den Berg ‘cushion thinking’: beschermlagen die meerdere risico’s tegelijk afdekken. ‘Je hoeft niet steeds te bedenken wat je grootste dreiging is. Je zorgt voor zoveel mogelijk kussens rond de organisatie die impact opvangen, in welke vorm dan ook.’Met de vertraagde invoering van NIS2 heeft Nederland een kans om bestuurders beter toe te rusten. Zonder structurele kennisopbouw dreigt de richtlijn echter te verworden tot een compliance-vinkje in plaats van een echte verbetering van digitale weerbaarheid. Hoe is uw organisatie voorbereid op NIS2?

De Amerikaanse netwerkbeveiligingsspecialist ExtraHop breidt zijn Europese aanwezigheid uit naar de Benelux en Scandinavië. De leverancier, gespecialiseerd in network detection & response (ndr), wil inspelen op de groeiende vraag naar diepere netwerkzichtbaarheid in een tijd waarin cyberaanvallen zich steeds subtieler door it-omgevingen bewegen.‘Bedrijven in de Benelux en Nordics worden steeds vaker geconfronteerd met dreigingen die zich lateraal verplaatsen door hun netwerken’, stelt Andy Philpott, VP EMEA bij ExtraHop. ‘Het begrijpen van dat verkeer is cruciaal om in te grijpen vóór er schade ontstaat’, oppert Philpott. ExtraHop specialiseert zich in ndr, de eigenlijke opvolger van intrusion detection: systemen die netwerkverkeer analyseren om afwijkende patronen te herkennen. Maar waar intrusion detection vroeger louter waarschuwde, gaan moderne ndr-oplossingen een stap verder door actief te helpen bij het onderzoek en de respons. Om ook onze markten te bedienen, versterkt ExtraHop zijn samenwerking met Ignition Technology, dat gespecialiseerd is in op SaaS-gebaseerde cybersecuritytoepassingen. De twee bedrijven werkten eerder samen in het Verenigd Koninkrijk en in Frankrijk. Lettersoep In de wereld van security-response is het overigens lettersoep troef. Andere security-applicaties als edr (endpoint detection & response) en xdr (extended detection & response ) richten zich bijvoorbeeld eerder op endpoints en geïntegreerde data.In plaats daarvan kijkt ndr naar de datastromen tussen systemen en apparaten. Zo kunnen beveiligingsteams aanvallen detecteren die geen malware gebruiken, maar misbruik maken van legitieme tools of protocollen – de zogeheten living-off-the-land-technieken. Het vlaggenschip van ExtraHop, RevealX, combineert ndr overigens met network performance management, intrusion detection en forensics in één geïntegreerd platform. Die aanpak moet, volgens ExtraHop, het werk van security operations centers (soc’s) vereenvoudigen en context toevoegen aan dreigingsanalyse.Met zijn komst naar de Benelux positioneert ExtraHop zich in een competitief maar groeiend segment waarin netwerkzichtbaarheid en context centraal staan voor effectieve cyberverdediging. De ndr-markt wint vandaag namelijk snel terrein en telt, naast ExtraHop, marktleiders als Darktrace, Vectra AI en Corelight.

Netwerk is ruggengraat digitale transformatie Het nieuwste magic quadrant voor enterprise bedrade en draadloze lan-infrastructuur van Gartner heeft veel teweeggebracht door Cisco te verplaatsen van ‘leider’ naar ‘uitdager’. Tegelijk geeft dit het belang aan van goed ingerichte netwerken. Switches, routers, gateways, modems, bekabeling, access points, servers, clients, firewalls, repeaters, load balancers, security, protocollen… de it-afdeling heeft heel wat te verstouwen om het dataverkeer binnen de bedrijfsnetwerken en met netwerken van derden goed, snel en veilig af te handelen. Een kenmerk van een it-landschap is dat er nauwelijks iets verdwijnt, maar dat er wel steeds meer bijkomt. ‘En dan heb ik het nog niet eens over acquisities door fabrikanten’, zegt Jeffrey den Oudsten, oprichter van adviesbureau Fidoa. ‘Want dan moet je technologie in elkaar schuiven. Dat geldt ook voor innovaties die we nu zien op de netwerkmarkt.’ Licentiestructuur Hoe ontwikkelt de markt voor aanbieders van enterprise bedrade en draadloze lan-infrastructuur zich? Het befaamde magische kwadrant van Gartner geeft een beeld, waarbij in juni 2025 een schok door de markt ging toen gigant Cisco werd verplaatst van het kwadrant ‘leiders’ naar ‘uitdagers’. Automatisering van netwerkbeheer en -configuratie is de maatlat waaraan Gartner veel waarde hecht. ‘Cisco was minder bezig met wat de markt nu vraagt: meer automatisering, minder beheerinspanningen en een simpelere licentiestructuur.’ Dat Cisco uit het leider-kwadrant is geplaatst, kan verstrekkende gevolgen hebben, omdat veel inkopers de regel hanteren alleen zaken te doen met ‘leiders’. ‘Dat kan pijn doen’, zegt Wim Coenen, analist bij Fidoa. Coenen en Den Oudsten zijn er niettemin van overtuigd dat de netwerkreus er alles aan zal doen om zijn leidersrol te herpakken. Wat bij de keuze voor een netwerkfabrikant duidelijk ook een rol speelt, is de ondersteuning. Dat zit bij Cisco wel snor als je kijkt naar het grote aantal partners in Nederland met alle gecertificeerde medewerkers die daarbij horen, aldus Den Oudsten. ‘De grootzakelijke markt zoekt altijd een netwerk met goede ondersteuning. Ik geloof niet dat dat vandaag op morgen ineens heel anders wordt.’ Organisaties zoals een ziekenhuis, luchthaven of verkeersleiding gaan niet zomaar hun core netwerken verbouwen Wie blijven dan over in het leiderskwadrant? HPE en Juniper staan er beide nog in als aparte bedrijven. Inmiddels heeft HPE op 2 juli de overname van Juniper afgerond, waarmee het ook de eerder door Juniper overgenomen startup Mist in handen krijgt dat gespecialiseerd is in ai-gedreven draadloze netwerken en cloudgebaseerd netwerkbeheer. Verder in het leiderskwadrant: Huawei en Fortinet. De Chinese fabrikant speelt in Nederland nauwelijks een rol; en Fortinet wordt vaak nog alleen als een security-aanbieder gezien. Terwijl ze in stilte een breed en diepgaand netwerkportfolio hebben opgebouwd. Oefenen in segmenten Gartner brengt twee nieuwkomers als ‘visionair’: Meter en Nile. Beide presenteren zich als network-as-a-service (naas) en onderscheiden zich vooral door hun cloud native aanpak, ai-integratie en radicale eenvoud in netwerkbeheer. ‘Dat kan een aantrekkelijk aanbod zijn’, aldus de Fidoa-analisten, ‘maar bedrijfskritische organisaties, zoals een ziekenhuis, luchthaven of verkeersleiding, gaan niet zomaar hun core netwerken verbouwen. Wat je zou kunnen doen is in een segment van het netwerk innovaties toepassen; bijvoorbeeld de kantoorautomatisering. Dan kun je ervaring opdoen en als het bevalt en het licentietechnisch mogelijk is eventueel uitbreiden naar andere segmenten van het netwerk.’ Nile en Meter nemen alles uit handen. ‘Ze bieden het alleen aan als een service, dus je krijgt het niet in eigendom; je huurt daar in principe de apparatuur voor een bepaalde periode. Zij zorgen ook voor wat heet ‘move, edge and changes’. Er zijn nog niet heel veel bedrijven die dat volledig uit handen durven te geven. Dat speelt mee. Kunnen bedrijven erop vertrouwen dat gewenste veranderingen snel genoeg worden toegepast?’ Volgens Den Oudsten leveren deze start-ups vooral diensten aan organisaties die niet 24/7 operationeel zijn; denk aan mkb(+) of scholengemeenschappen. ‘Daar is it-beheer bijna niet mogelijk, omdat ze er geen kennis en mensen voor hebben. Ze kunnen het gewoon niet bijhouden. Netwerk is voor hen een transportding, een faciliteit. Als ze dat kunnen huren en iemand anders kan het beheer uitvoeren, en zorgen dat het operationeel blijft, vinden ze het prima. Vanuit dat soort omgevingen gaan ze er reclame voor maken als het goed bevalt. Dan zal je zien dat dit soort start-ups langzaam maar zeker ook in grootzakelijke markt gaat doordringen.’ De magic quadrants van Gartner gelden in de it-wereld als een gouden standaard Europees netwerk In het ‘niche’-vierkant treffen we onder meer ALE (Alcatel-Lucent Enterprise) uit Frankrijk. Er gaan veel stemmen op – zeker in de politiek – om te kiezen voor Europese spullen in plaats van Amerikaanse. ‘Ik zie dat niet zo snel gebeuren. Als je echt wil vervangen, dan heb je misschien wat uit Japan, uit China en uit Frankrijk. En misschien nog iets uit Scandinavië met Nokia of zo. Maar het zijn allemaal niet de meest bekende en betrouwbare fabrikanten. De gebruikers zijn gewend aan bijvoorbeeld Cisco. Daar is de hele organisatie op aangepast; iedereen is erop getraind. Vervanging door ALE is een flinke investering. En de vraag is of je dezelfde functionaliteit en betrouwbaarheid als van Cisco krijgt’, aldus Coenen. De Fidoa-analisten, maar bijvoorbeeld ook Zeus Kerravala (oprichter van ZK Research) in Network World, onderstrepen dat het bewuste magic quadrant eind juni uitkwam en gebaseerd is op gegevens van december 2024. Terwijl in tussentijd Extreme, Cisco en HPE een stortvloed aan belangrijke productupdates verkondigden. ‘Bedenk dat het om een momentopname gaat’, stelt Coenen. De magic quadrants van Gartner gelden in de it-wereld als een gouden standaard. Het is niet voor niets dat andere analisten het rapport tegen het licht houden. Netwerken steeds slimmerHet is belangrijk om netwerken goed in te richten, omdat ze steeds slimmer worden. ‘Ai wordt in de controllers gestopt van netwerken. Dus die weten welk VLAN waar al dan niet open staat. Of welk poortje. Dan heb je veel minder mensenwerk. En dat is gelukkig maar, want de netwerken worden zo complex. Dus het is ook een beetje de redding. Ai komt op een heel goed moment in de industrie. Zeker, omdat er steeds meer informatie op de diverse netwerkonderdelen wordt verzameld’, meldt Coenen. ‘In hele grote omgevingen zijn bepaalde zaken vaak niet duidelijk meer. Het is niet goed gedocumenteerd, mensen zijn weggegaan. Autorisatie van gebruikers of apparatuur op een netwerk is dan lastig. Ai gaat daar zeker bij helpen. Het werk van de netwerkbeheerder zal daardoor zeker veranderen. Dat geldt ook voor de leveranciers; hun kennis is niet altijd meer nodig’, aldus Den Oudsten. Dit artikel staat ook in Computable Magazine 2025 #6.

De Amerikaanse infrastructuurdienstverlener Kyndryl neemt de Nederlandse cloudserviceprovider Solvinity voor een onbekend bedrag over. Het bedrijf uit Amsterdam biedt beveiligde, beheerde cloudplatforms en -diensten aan, onder meer aan overheidsorganisaties. Er werken rond de driehonderd mensen; de omzet ligt op een kleine honderd miljoen euro.  Kyndryl is de eind 2021 van IBM afgesplitste aanbieder van it-advies-, implementatie- en beheercapaciteiten. Met de aankoop van Solvinity komt daar een pakket private en hybride cloudoplossingen bij. ‘De overname van Solvinity stelt Kyndryl in staat om klanten een uitgebreider dienstenaanbod te bieden op het gebied van modernisering, innovatie en beveiliging van gevoelige en complexe workloads’, aldus Petra Goude, president van Kyndryl Strategic Markets. De deal moet nog wel worden goedgekeurd door de economische toezichthouders en de vereiste raadpleging van werknemersvertegenwoordigers. Solvinity is voortgekomen uit de fusie tussen de cloudspecialisten ASP4all en Bitbrains in 2014. In de afgelopen tien jaar is het bedrijf uitgegroeid tot een van de grotere Nederlandse clouddienstverleners. Het bedrijf boekte onder meer succes op de overheidsmarkt, waar het bijvoorbeeld voor het ministerie van Justitie en Veiligheid een nieuw systeem voor beveiligde internettoegang (JuBIT3) heeft opgezet. Ook richtte het bedrijf een private-cloudomgeving voor de Kansspelautoriteit in.  Solvinity schermt in zijn uitingen met het predikaat ‘onafhankelijke clouddienstverlener’ maar nu het onderdeel wordt van een Amerikaans bedrijf is dat niet meer van toepassing. Saillant detail is dat het bedrijf eerder dit jaar nog in een coalitie van bedrijven en organisaties stapte om de Nederlandse overheid te waarschuwen voor de te grote afhankelijkheid van grote buitenlandse (lees Amerikaanse) cloudbedrijven.

Organisaties kampen met een sterke toename van interne datalekken. Alledaagse taken zoals het versturen van bestanden of het gebruik van persoonlijke cloudopslag blijken in 2025 een van de grootste risico’s op gegevensverlies. Meer dan driekwart van organisaties heeft in de afgelopen achttien maanden intern gegevensverlies ervaren, stelt Fortinet vast in het ‘Insider Risk Report‘. In 21 procent van de gevallen ging het om meer dan twintig incidenten. Wat opvalt, is dat het doorgaans niet gaat om kwaadwillige aanvallen, maar om vergissingen van medewerkers. Zo ontstaat bijna een derde van de incidenten door menselijke fouten of gecompromitteerde accounts. Opstapelen Het rapport laat zien dat klantgegevens (53 procent) en persoonlijk identificeerbare informatie (47 procent) risico lopen, gevolgd door bedrijfsplannen (40 procent), gebruikersgegevens (36 procent) en intellectueel eigendom (29 procent). De meeste incidenten zijn kleine vergissingen die zich opstapelen. Voorbeelden zijn het per ongeluk versturen van gevoelige documenten via e-mail, het uploaden naar persoonlijke cloudopslag of het gebruik van niet-goedgekeurde saas- en gen-ai-tools. ‘Zonder inzicht in het gedrag van gebruikers kunnen it-teams alleen maar gissen welke acties riskant zijn en welke behoren tot de dagelijkse gang van zaken’, aldus de onderzoekers. De financiële impact van deze incidenten is groot: vier op de tien respondenten meldde dat hun ernstigste incident tussen de één en tien miljoen dollar kostte. Nog eens een op de tien rapporteerde nóg hogere verliezen. Naast herstel en downtime spelen ook boetes en reputatieschade een rol. Onvoldoende zicht Het is geen verrassing dat zeven van de tien beveiligingsspecialisten aangeven dat ze onvoldoende zicht hebben op hoe medewerkers omgaan met gevoelige gegevens. Maar dat gebrek aan gedragscontext leidt tot een vals gevoel van veiligheid: waarschuwingen en dashboards zijn doorgaans aanwezig, maar missen de nuance om onderscheid te maken tussen normaal en risicovol gedrag. Organisaties reageren er doorgaans op door er nog meer geld tegen aan te gooien: 72 procent investeert extra in interne risicoprogramma’s. Daarbij noemt een derde realtime-gedragsanalyse een topprioriteit. ‘Om interne bedreigingen effectief in te dammen, moeten organisaties verder kijken dan statische handhaving en een gedragsbewuste, contextgestuurde aanpak omarmen’, aldus Fortinet.

Agentic ai kan taken overnemen waar voorheen mensen zich mee bezig hielden. Dat roept echter vragen op over betrouwbaarheid, aansprakelijkheid en governance. Computable sprak daarover met Abel Hoogeveen, legal counsel (tech) en sectiecoördinator ai bij juridisch adviesbureau ICTRecht. Welke juridische processen zijn prima uit te voeren door ai-agents? ‘Als je alleen kijkt naar agentic ai volgens de gangbare definitie – dus systemen die zelf kunnen evalueren, plannen, uitvoeren en afronden – dan zie je dat er nog niet zoveel bestaat in de juridische wereld. Ai in het algemeen is al wel heel goed toepasbaar voor verkennende taken, zoals het eerste juridisch onderzoek. Maar specifieke agent-tools die voor juristen zijn bedoeld, staan nog in de kinderschoenen.’ Wat doet ICTRecht zelf al met ai en ai-agents? ‘Met échte agents doen we nog niet veel. Maar met ai in het algemeen des te meer. Zo hebben we eigen maatwerk-gpt’s, bijvoorbeeld voor privacy en de AI Act, een NDA-checker en tools voor intellectueel eigendom. Intern bouwen we een tool die newsfeeds automatisch filtert en koppelt aan collega’s die het onderwerp in de gaten houden.’ ‘Ai zelf gaat minder hard vooruit dan in 2024. Momenteel zijn het juist toepassingen die belangrijker worden. Denk aan koppelingen met data en processen, of nieuwe manieren van redeneren of reflecteren. Het zwaartepunt verschuift naar concrete apps en integraties. Ik verwacht het komende jaar veel experimenten én nuttige toepassingen. Chatten met ai’s blijft bestaan, maar is zeker niet het enige dat ertoe doet.’ Ai-toepassingen kunnen foto’s scannen en bijvoorbeeld autoschade of moedervlekken ontdekken. Wat doe je als ze een fout maken? ‘Die herkenning wordt echt steeds beter en is soms indrukwekkend, maar er schuilt ook een gevaar in: mensen vertrouwen er sneller in en zien de missers bij randgevallen minder. Rechtspraak hierover zie je nog weinig. Vanuit de nieuwe Europese AI Act worden er wel verplichtingen opgelegd, met name bij hoog risico-processen zoals promotie of ontslag, in de justitieketen, de biometrie, in voertuigen en vliegtuigen, medische apparatuur en bij toegang tot essentiële diensten zoals zorgverzekeringen. Denk bij zulke eisen aan aantoonbare nauwkeurigheid, robuustheid, voortdurend testen en monitoren en altijd afdoende menselijk toezicht. En er moet veel gedocumenteerd worden. Maar buiten die hoog risico-categorie, bestaan er vrij weinig specifieke verplichtingen voor ai.’ ‘Als het fout gaat, dan is bewijs vaak het struikelblok. Je moet aantonen dat de fout in het systeem zat of dat er ongeoorloofd gebruik van is gemaakt. In de praktijk is dat vaak heel lastig, zeker bij zelflerende modellen. Daar is nog nauwelijks jurisprudentie over. En zonder aparte regels voor bewijs val je gewoon terug op de algemene productaansprakelijkheid.’ Voor consumenten die een ai-dienst gebruiken, blijft de producent in principe aansprakelijk Hoe verandert ai, en vooral zelf handelende ai, dat aansprakelijkheidslandschap? ‘Voor consumenten die een ai-dienst gebruiken, blijft de producent in principe aansprakelijk, óók als het model zelflerend is. In een b2b-keten ligt dat echter anders. Als een bedrijf het bij een leverancier gekochte ai-model aanpast en exploiteert, kan een derde partij die dat aangepaste model gebruikt juist dat bedrijf aanspreken. Dan is het nog maar de vraag hoe de schade later wordt verhaald op de oorspronkelijke leverancier. Dat maakt het werkveld bijzonder complex.’ Hoe verzeker je zulke problemen, bijvoorbeeld door een verkeerde ai-handeling? ‘Wat je nu ziet is dat partijen gewone verzekeringsclausules opnemen in contracten. Men moet verzekerd zijn, tot bepaalde maxima. Omdat veel ai-toepassingen toch een relatief laag risicoprofiel hebben, levert dat meestal weinig problemen op. Maar het is nog een jonge markt, met weinig jurisprudentie.’ Ook schadeverhalen volgt nog dezelfde gebaande paden. ‘Voor de derde partij is het logisch om zich eerst te richten tot het tussenbedrijf, dus de partij die de ai-dienst daadwerkelijk exploiteert. Of dat bedrijf daarna weer verhaal kan halen bij de leverancier, hangt af van afspraken en van eventuele uitsluitingsclausules. Dat maakt de verdeling van aansprakelijkheid vaak ingewikkeld.’ Dat valt onder risicomanagement en dus de cfo. Daarnaast doen bij ai ook nog mee de cio, de cso, legal: hoe moet dat? ‘Je ziet dat organisaties steeds meer compliance centraliseren. Nieuwe EU-regels grijpen in elkaar, dus je hebt een afdeling nodig die het geheel overziet. Ai-governance hoort daar ook bij. Onze visie is dat een ai-compliance officer hierin de spil moet zijn: iemand die ethiek, security, techniek en privacy met elkaar verbindt en het juiste team aan tafel krijgt.’ De AI Liability Directive is ingetrokken door de EU. Wat nu? ‘Die richtlijn is politiek gestrand: er was geen consensus. We zijn daarom teruggevallen op de bestaande regels voor productaansprakelijkheid en procesrecht. Een vervanger of nieuw tijdpad is nog niet genoemd.’ Digitale soevereiniteit krijgt net als ai veel aandacht. Waar ligt de grens tussen soevereine ai en ai als rechtspersoon? ‘Dat is meer een filosofische discussie. In het recht zijn rechtspersonen vooral een handig construct. Ik zie niet snel gebeuren dat bedrijven ai los willen koppelen van hun eigen organisatie: ze willen immers de controle houden. Zonder een maatschappelijke omwenteling verwacht ik dus niet dat ai een eigen rechtspersoonlijkheid krijgt of in een soort ai-bevolkingsregister wordt gezet.’ En de toekomst? ‘De ai-modellen zelf gaan wat minder spectaculair vooruit. De winst zit meer in nieuwe technieken en vooral in toepassingen en integraties. Er zullen veel praktische ai-apps bijkomen. Juridisch gezien gaat de AI Act de komende jaren stap voor stap gelden, met een volledige inwerkingtreding in augustus 2026. We verwachten nog nadere richtsnoeren. Onze klanten zijn er nu al mee bezig en lopen daarbij tegen allerlei praktijkvragen aan.’ Dit artikel staat ook in Computable Magazine 2025 #6.

Bird (voorheen Messagebird) wil branchegenoot Cm.com overnemen. Het Amsterdamse bedrijf heeft 165,8 miljoen euro over voor deze leverancier van chat- en betalingsdiensten uit Breda. Het bod van 5,16 euro per aandeel ligt twintig procent hoger dan de slotkoers van CM.com op 5 november op de aandelenbeurs in Amsterdam. Bird bezit iets meer dan vijf procent van de aandelen CM.com. Volgens topman Robert Vis kan de combinatie ‘Europees kampioen worden’ op het gebied van (ai-)messaging. CM.com laat in een reactie weten kennis genomen te hebben van het bod van Bird en het te zullen bestuderen. Bird biedt applicatiesoftware en api’s om elk contactmoment met de klant te automatiseren en te personaliseren via sms, voice en WhatsApp. Het bedrijf draaide vorig jaar een omzet van 489 miljoen euro. Bird, gestart in 2011, wordt getypeerd als een van de unicorns van Nederland. Het in 1999 opgerichte CM.com, gespecialiseerd in messaging en ticketing, behaalde in 2024 een omzet van 274 miljoen euro. Het bedrijf lanceerde kortgeleden het agentic ai-platform Halo. Er werken ruim zeshonderd mensen; algemeen directeur is Jeroen van Glabbeek. Mocht de overname slagen, dan kunnen werknemers van CM.com hun borst nat maken. Vis sneed vorig jaar op Amerikaanse wijze in het personeelsbestand van Bird. Dat deed hij ook al in coronatijd. Van de kleine duizend werknemers die nog geen anderhalf jaar geleden bij het techbedrijf werkten, zijn er zo’n vierhonderd over. Volgens de oprichter kan ai een hoop taken overnemen. Verder klaagt Vis regelmatig over het innovatieklimaat in Nederland en dreigt hij de hoofdzetel van het bedrijf naar de VS te verplaatsen.

De grote Europese inhaalslag op gebied van ai-ontwikkeling is begonnen. De nieuwe ai-fabriek die Deutsche Telekom en chipfabrikant Nvidia in München gaan bouwen, moet industriële partijen een soevereine Europese oplossing bieden.  De Duitse ai-fabriek richt zich vooral op grotere bedrijven in de (maak)industrie. Gert-Jan Bruinsma, hoofd marketing T-Systems Nederland, verwacht dat ook Nederlandse fabrikanten en logistieke dienstverleners gebruik gaan maken van de nieuwe gpu-as-a-service.  Ze hoeven zelf geen dure en schaarse ai-chips aan te schaffen, maar kunnen voor die processorkracht terecht in München. Het Europese bedrijfsleven krijgt zo de mogelijkheid om aan de ai-race deel te nemen, zonder afhankelijk te worden van Amerikaanse ai-fabrieken.  Jensen Huang, topman van Nvidia, zei dinsdag tijdens de lancering dat de industrie straks twee fabrieken moet hebben. Een productievestiging waar de spullen in elkaar worden gezet, zeg maar het fysieke gebeuren waar Duitsland altijd voorop in heeft gelopen. Daarnaast zijn ai-fabrieken nodig met een behoorlijke rekencapaciteit, omdat de fysieke wereld steeds meer verbonden wordt met de digitale wereld en recent vooral met kunstmatige intelligentie. Industriële ai-cloud De nieuwe fabriek van Deutsche Telekom vormt dan ook de opmaat naar een industriële ai-cloud. Bij de ai-toepassing van industriële data kan Duitsland nog een leidende rol gaan spelen, zei bestuursvoorzitter Timotheus Höttges. De ai-factory is dan ook niet zozeer bedoeld voor de training van grote taalmodellen.  Verder onderstreepte Höttges dat Europa met deze ai-fabriek meer autonoom wordt, qua infrastructuur, platform, apps en ai-agenten. De provider bouwt aan een Europese ai-stack, een gelaagde verzameling technologieën en tools die samenwerken om ai-systemen te bouwen, trainen, implementeren en beheren.  Met SAP wordt een platform-as-a-service (paas) ontwikkeld, waarbij de softwareleverancier haar Business Technology Platform (BTP) inbrengt. SAP-oplossingen bieden het platform eenvoudige integratie van ai-oplossingen. SAP en Deutsche Telekom gaan ook samenwerken om een veilige, soevereine en krachtige digitale infrastructuur voor publieke instellingen en de beveiliging van de Industrial AI Cloud te creëren.  De nieuwe Industrial AI Cloud in München gaat tot de grootste ai-fabrieken van Europa behoren. De capaciteit van Duitse rekencentra wordt hiermee met een klap met 50% verhoogd. De eerste investering bedraagt een miljard euro.  10.000 Nvidia Blackwell gpu’s De ai-fabriek krijgt in het begin een capaciteit van 10.000 Nvidia Blackwell gpu’s. Samen zullen een supercomputer met een EFLOPS (Exa Flops, Floating Point Operations per Second) van 0,5 aandrijven. De opslagcapaciteit bedraagt circa 20 petabyte. Het datacenter is verbonden met vier glasvezelaansluitingen van 400 GB.  Bij soortgelijke ai-fabrieken van OpenAI en Oracle in de VS valt het Duitse project in het niet. In Amerika zijn al ai-factories die 500.000 gpu’s inzetten.  Maar Höttges benadrukt dat de huidige geplande capaciteit nog maar het begin is. Deutsche Telekom en haar partners hebben bewust gekozen voor een snelle start. Al in het eerste kwartaal van 2026 kunnen bedrijven de rekenkracht van de ai-fabriek naar behoefte reserveren en gebruiken. Snelle besluitvorming is cruciaal om economisch succes te boeken, aldus Höttges. ‘Ai biedt enorme kansen. Het zal helpen onze producten te verbeteren en onze Europese sterke punten te versterken. In slechts zes maanden tijd zetten we een idee om in echte ai-rekenkracht.’ De uitbreiding van het datacenter in München tot een ai-fabriek van Deutsche Telekom vindt onafhankelijk plaats van het EU-project ter bevordering van de bouw van meerdere ai-gigafabrieken in heel Europa. Voor de vaak gevoelige data van bedrijven was snel een eigen Europese infrastructuur nodig. Höttges ziet zijn ‘eigen’ ai-fabriek als een aanvulling op de door de EU geplande Gigafactory. Deutsche Telekom heeft niet op de Europese plannen willen wachten. De Duitse regering steunt het project van harte, maar biedt geen financiële hulp. Höttges noemt de samenwerking tussen Deutsche Telekom, Nvidia en andere partners een ‘speedboot’ voor bedrijven die vandaag de dag kunstmatige intelligentie  willen ontwikkelen en implementeren.

BLOG – Nu de hype rond de plotselinge en schijnbaar baanbrekende opkomst van DeepSeek is afgenomen, blijven organisaties achter met vragen over het gebruik van generatieve ai (gen-ai) op de werkvloer. De belangrijkste kwestie is of Chinese chatbot een veiligheidsrisico vormt of dat het simpelweg de risico’s van het toenemende gebruik van ai-chatbots en gebruiksvriendelijke grote taalmodellen (llm’s) benadrukt. Het antwoord ligt ergens in het midden. Hoewel DeepSeek wellicht zijn eigen problemen heeft met privacy, security en censuur, staat deze hier zeker niet alleen in. Alle gen-ai-modellen en llm’s brengen een risico met zich mee, vooral als er geen volledig bewustzijn is van hoe vaak, waar en waarom ze worden gebruikt. Omdat veel van deze tools niets meer vereisen dan een webbrowser, is het moeilijk te begrijpen welke soorten informatie er worden verzonden en ontvangen tussen werknemers en een verschillend aantal applicaties. Als de snelle opkomst van DeepSeek ons iets kan leren, dan is het wel de snelheid waarmee krachtige applicaties de markt kunnen bereiken en een brede acceptatie kunnen verwerven. Als de controles niet snel genoeg zijn om bij te blijven, dan neemt de kans toe om blootgesteld te worden aan een wereld van risico’s die in de schaduw schuilen. BesefSchaduw-ai is het gebruik van ai-tools buiten de controle en machtigingen van de organisatie, vaak zonder het besef dat dit gebeurt. Hoewel sommige werknemers hun gebruik van deze applicaties opzettelijk maskeren, gebruiken veel anderen ze openlijk en te goeder trouw, vaak zonder zich bewust te zijn van de risico’s. Soms zijn ze überhaupt niet bewust dat ze met gen-ai bezig zijn. Vraag de gemiddelde werknemer om de ai-applicaties te noemen die ze elke dag gebruiken en ze zullen misschien enkel ChatGPT noemen. Toch zijn er veel meer in algemeen gebruik, van Microsofts Copilot en Googles Gemini tot Claude, Grammarly, Otter en bepaalde tools in Canva en GitHub. Deze applicaties bieden veel voordelen en helpen werknemers sneller en efficiënter te werken. Toch is het cruciaal dat er bewustzijn binnen het bedrijf is over wat de werknemers delen met deze applicaties. Ook is het zaak dat degenen die deze toepassingen gebruiken, weten hoe ze werken, hoe ze met data omgaan en de vele potentiële risico’s die ze voor de organisatie vormen. VizierHet is niet gek dat DeepSeek een doelwit werd voor cybercriminelen, zodra het bekend werd in de wereld. Elke applicatie die data opslaat en analyseert, staat midden in het vizier van dreigingsactoren. Tenzij er grip is op het gebruik van dit soort tools, wordt er waarschijnlijk pas te laat ontdekt hoeveel van de algemene data van eigen data afstamt. Schaduw-ai leidt tot meerdere risico’s: BeveiligingslekkenWanneer informatie van een bedrijf wordt gedeeld met een onbevoegde derde partij, is niet bekend hoe deze wordt opgeslagen, verwerkt of geanalyseerd. Alleen al aan een llm vragen om een e-mail naar een klant op te stellen of een call samenvatten, kan resulteren in het blootleggen van gevoelige data van het bedrijf of de klanten. Data-integriteitAi maakt fouten. Wanneer werknemers ChatGPT en andere tools klakkeloos aannemen, lopen ze het risico authenticiteit te verlenen aan onjuiste informatie, wat de service van het bedrijf beïnvloedt en de reputatie schaadt. ComplianceNaast dat data risico lopen op blootstelling, kan het delen van informatie met schaduw-ai-applicaties, non-disclosure agreements, de Algemene Verordening Gegevensbescherming (AVG) en tal van andere wetgeving rondom dataprivacy in gevaar brengen. Interne bedreigingenGebruikers die code, tekst of afbeeldingen kopiëren en plakken van ongeautoriseerde tools, kunnen kwetsbaarheden, malware en meer in de systemen en netwerken van de organisatie introduceren. Vertrouwen en betrouwbaarheidHet gebruik van schaduw-ai-services kan in strijd zijn met het openbare beleid van het bedrijf met betrekking tot dergelijke tools. Dit kan problemen veroorzaken met vertrouwen en authenticiteit als dit onder de aandacht komt van klanten, prospects of zakenpartners. WondermiddelEr is geen wondermiddel voor het beveiligen van het gebruik van schaduw-ai. Elke effectieve cyberverdediging moet bestaan uit meerdere lagen en mensen, processen en technologie combineren. Dit betekent het implementeren van mensgerichte toegangs- en databeheermaatregelen, naast een robuust intern beleid en ai-governance-boards voor toezicht en begeleiding. De eerste stap is inzicht krijgen in het schaduw-ai-landschap. Met gespecialiseerde dlp-tools wordt het gebruik van meer dan zeshonder gen-ai-sites per gebruiker, groep of afdeling gevolgd, toegang hebben tot clouddata geïdentificeerd, en e-mail en agenda’s, en het app-gebruik in context met gebruikersrisico gemonitord. Een uitgebreide oplossing stelt het bedrijf in staat om acceptabele beleidsregels voor gen-ai-gebruik af te dwingen, het uploaden of plakken van gevoelige gegevens te blokkeren, gevoelige termen uit ai-prompts te halen en metadata en screenshots vast te leggen voor en na het gebruik van gen-ai-applicaties. Deze controles moeten worden aangevuld met robuuste en voortdurende training van medewerkers. Iedereen in de organisatie moet de potentiële risico’s van schaduw-aibegrijpen, evenals de goedgekeurde processen voor het aanvragen en gebruiken van nieuwe technologieën. Zo geven organisaties hun medewerkers wat ze nodig hebben om hun werk te doen, zonder gevoelige data aan de schaduw te verliezen. Siegfried Huijgen, cybersecurityexpert Benelux Proofpoint 

Het Internationaal Strafhof in Den Haag vervangt Microsoft-oplossingen door de Duitse oplossing Open Desk. De overstap zal de digitale soevereiniteit van het hof vergroten en volgt op zorgen over de impact van Amerikaanse sancties. Het Internationaal Strafhof (ICC) gaat zijn werkplekomgeving migreren van Microsoft naar Open Desk, een pakket dat is samengesteld door het Zentrum für Digitale Souveränität, kortweg Zendis. Deze organisatie, eigendom van de Duitse staat, ontwikkelt oplossingen om instellingen minder afhankelijk te maken van grote buitenlandse leveranciers. Open Desk combineert software van verschillende Europese partijen. Het programma zal in de loop van dit jaar 160.000 werkplekken in Duitsland omvatten. Met circa 1800 werkplekken is de ICC-migratie op zich dus geen wereldnieuws, maar de symboliek is wel groot, zo stelt het Duitse Handelsblatt dat met het nieuws naar buiten kwam. Het hof lijk bewust te kiezen voor een alternatief dat aansluit bij de Europese ambitie om meer digitale autonomie te realiseren. Zendis maakt deel uit van het Digital Commons European Digital Infrastructure Consortium (DC-EDIC), dat binnen de EU open source en Europese softwareoplossingen stimuleert. Door sancties naar soevereiniteit De overstap komt in een periode waarin de Verenigde Staten hun sancties tegen het Strafhof uitbreiden. In februari 2025 werden maatregelen ingesteld tegen hoofdaanklager Karim Khan, later volgden ook andere rechters en aanklagers. In mei raakte Khan tijdelijk de toegang tot zijn Microsoft-e-mail kwijt. Dat bedrijf bevestigde destijds dat hij was losgekoppeld van bepaalde diensten, maar benadrukte dat de ondersteuning van de organisatie niet was stopgezet. Hoe dan ook was de situatie onwerkbaar voor de ICC, die de overstap heeft bevestigd aan Computable. Ook Microsoft heeft het afscheid van de ICC toegegeven, aan Euractiv. Meer Nederlandse links Ook in Nederland wordt met Open Desk geëxperimenteerd. Binnen het project Mijn Bureau testen de Rijksoverheid, de Gemeente Amsterdam en de VNG een suite van Europese open source software, waarbij Open Desk onder meer wordt ingezet voor e-mail. Verder stapte Nederland binnen het EDIC-programma recent nog in een nieuw initiatief voor digitale gemeenschapsgoederen.