business

ChipSoft is na een week nog niet in staat om conclusies te trekken over oorzaak, omvang, bron en impact van het ransomware-incident dat de software-maker heeft getroffen. Het forensisch onderzoek bij de leverancier van het elektronisch patiëntendossier (epd) HiX heeft meer tijd nodig.  Zelfs security-experts die ChipSoft bijstaan, hebben nog maar weinig informatie gekregen over wat er nu precies is gebeurd. Als de Cyberbeveiligingswet al van kracht was geweest, had ChipSoft binnen 72 uur rapport moeten uitbrengen.  Voorlopig blijft de toegang tot mogelijk getroffen systemen geblokkeerd. Sinds woensdag 8 april zijn de verbindingen met het Zorgportaal, HiX Mobile (alle apps) (HAS Relay) en het Zorgplatform uitgezet.  Via dat laatste platform zijn geen gegevens uit te wisselen. Ziekenhuizen hebben verbindingen naar systemen van andere zorgverleners uitgeschakeld. Intern zijn dossiers wel toegankelijk. De patiëntenportalen die door ChipSoft worden gehost, zijn extern niet beschikbaar. Ook werken in sommige ziekenhuizen de aanmeldzuilen niet. Website onbereikbaar ChipSoft krijgt veel vragen uit de zorgwereld. Op LinkedIn kondigt het bedrijf een nieuwe webpagina aan met de laatste informatie en antwoorden op vragen. Zodra deze pagina online staat, zal ChipSoft de link delen. De eigen website is onbereikbaar.  De systemen van ChipSoft worden gebruikt om diagnoses, medicatie, laboratorium-rapporten en psychiatrische notities op te slaan. Om die reden vereisen ze het hoogste niveau van beveiliging. Want in handen van criminelen kunnen die data mensen zwaar benadelen. Overigens zijn er geen aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd. Behalve software voor patiëntendossiers levert ChipSoft ook andere digitale systemen voor ziekenhuizen. Behalve ziekenhuizen zijn ook een aantal huisartsenpraktijken en andere zorgverleners door de hack geraakt. 💡 Lees ook ons e-zine-verhaal over de lessen die uit de hack van het Bevolkingsonderzoek-laboratorium getrokken kunnen worden.

Het Amsterdamse AI-marketingbedrijf Sero lanceert Operate, een nieuwe tool waarmee AI-agents zelfstandig taken uitvoeren op zowel een cloudcomputer als de lokale laptop van de gebruiker. “Eind dit jaar is een groot deel van het werk van marketeers en programmeurs als ik geautomatiseerd.”, aldus mede-oprichter Danny de Kruijk. De nieuwe dienst bouwt voort op een product van vorig jaar waarmee de gebruiker alle premium AI-tools tot zijn beschikking heeft. Typische gebruikers zijn marketeers en e-commersianten. “We merken in Create dat klanten graag in de tool werken, maar dat ze vastlopen als ze iets willen doen op hun eigen computer of verbinding willen maken met externe systemen”, zegt Danny de Kruijk, mede-oprichter en product lead van Sero. “Dat gat dichten we nu met Operate. Voor ons is dit een nieuw begin met een nieuw framework.” Wie de AI-ontwikkelingen op de voet volgt, zal Operate snel vergelijken met tools als Claude Cowork, Manus en OpenClaw. Dat is een juiste vergelijking, maar De Kruijk voegde daar wel vangrails en inhoudelijke dubbelchecks aan toe. Daarmee wil hij hallucinaties en andere losbandigheid de kop indrukken. Twee weken geleden ging de softlaunch van start. Gisteren werden de klanten van het oude systeem overgezet naar het nieuwe. Over pakweg zes tot twaalf maanden gaat de stekker uit de oude omgeving, Create geheten. Waar Create primair draait om contentcreatie voor marketeers, gaat Operate een stap verder: de tool geeft AI-agents daadwerkelijk toegang tot de computer om taken uit te voeren die normaal handmatig gedaan worden. Denk aan een Powerpoint aanpassen, onderzoek uitvoeren met tientallen bronnen, meerdere agents tegelijk aan een project laten werken en takenlijstjes maken en uitvoeren. Concreet verschil ten opzichte van bestaande tools zit hem in de diepte van de output. Waar een marketingonderzoeksrapport uit ChatGPT drie A4’tjes oplevert, produceert Operate er vijftig tot zestig, inclusief bronnen en details. De kracht zit in wat De Kruijk ‘de orchestrator’ noemt: een planningssysteem dat de AI-agents als een projectmanager aanstuurt, taken verdeelt en de uitvoering bewaakt. De tool is opgebouwd rondom het concept van Wolleys, de naam die Sero geeft aan gepersonaliseerde AI-assistenten die je naar eigen voorkeur kunt configureren. Een geheel van Wolleys kan technisch gesproken optreden als een team medewerkers van een bedrijf. De een doet techniek, de andere mediaplanning, de volgende mediacreatie en weer een andere execetutie en analyticus. De Kruijk: “Agents doen steeds meer werk dat mensen nu met de hand doen. Ik voorspel dat voor einde jaar een groot deel van dit werk geautomatiseerd kan zijn, voor marketeers maar ook voor programmeurs zoals ik. Mensen nemen dan meer de rol van regisseur.” De Kruijk stelt dat Sero zich onderscheidt van Cowork, Manus en Openclaw door de focus op gebruiksvriendelijkheid en de integratie van sector-specifieke vaardigheden voor marketeers en e-commerceprofessionals. Bovendien is het platform vanuit een teamperspectief opgebouwd: mensen en agents kunnen met elkaar samenwerken, data delen via een gedeelde bibliotheek en straks communiceren via een Slack-achtige feature die nog in ontwikkeling is. De feedback na twee weken van gebruik in de echte wereld is vooral praktisch van aard: kleine UX- en UI-kwesties, geen fundamentele grieven. Een maandabonnement op Operate begint bij vijftig euro. De prijsverhoging ten opzichte van het eerdere product moet weergeven dat de gebruiker voor een serieuze investering een kwaliteitsproduct krijgt. “Je ziet ook in het portfolio van bedrijven als OpenAI en Anthropic dat het kwaliteitsgat tussen de consumenten- en zakelijke producten steeds groter wordt.” Sero is een dochterbedrijf van het Amsterdamse marketingbureau Yellowgrape. De Kruijk ontwikkelde daar, als medewerker maar in zijn vrije tijd, een AI-tool toe ChatGPT net nieuw was. Zijn werkgevers waren er dermate van onder de indruk dat hij de gelegenheid kreeg de tool uit te bouwen in de context van een apart bedrijf. Foto: Israel Andrade / Unsplash

Een open source-onderzoeksdatabase voor Parkinson klinkt in eerste instantie als een wetenschappelijk project. Maar er gaat ook een technisch en organisatorisch vraagstuk achter schuil. Hoe verzamel je jarenlang medische data van honderden deelnemers via wearables, scans, klinische metingen en lichaamsmateriaal, zonder dat privacy en beveiliging in het gedrang komen? En hoe geef je onderzoekers wereldwijd toegang tot die data, zonder de controle kwijt te raken? Precies met die vragen houdt het Expertisecentrum Parkinson en Bewegingsstoornissen van het Radboudumc zich al jaren bezig. Binnen de zogeheten Personalized Parkinson Project-studie worden deelnemers sinds 2017 langdurig gevolgd. Die studie begon als een grote observationele cohortstudie, waarin 520 mensen met Parkinson gedurende twee tot drie jaar werden gemonitord. Zij kwamen jaarlijks naar het ziekenhuis voor een brede reeks metingen, van motorische en cognitieve testen tot bloedafname, ECG’s en MRI-scans. Tegelijk droegen zij thuis continu een studiehorloge dat data verzamelde over hun dagelijks functioneren. Privacy, beveiliging en governance Volgens Elbrich Postma, senior onderzoeker ‘Leefstijl en Parkinson’, was al vroeg duidelijk dat zo’n studie om meer vraagt dan alleen een goede onderzoeksopzet. De ambitie was namelijk niet alleen om de data in eigen huis te gebruiken, maar ook om die beschikbaar te maken voor andere onderzoekers in binnen- en buitenland. ‘Omdat dit project heel veel data oplevert en er bovendien expertises zijn die wij niet persé in huis hebben, maar die andere onderzoekers wel hebben’, zegt Postma. Daarmee ontstond direct een complex speelveld van privacy, beveiliging en governance. Die wens klinkt logisch, maar maakt de technische architectuur ingewikkeld. Zeker omdat het hier niet gaat om één type gegevens, maar om een combinatie van klinische data, continue metingen via wearables, MRI-scans, ECG’s en materiaal uit een biobank. Inmiddels is de onderzoeksomgeving uitgegroeid tot een dataset van circa 52 terabyte. Dat volume zegt iets over de schaal. De combinatie van verschillende databronnen maakt de omgeving bovendien extra gevoelig. Juist daardoor is volledige anonimisering volgens Postma niet realistisch. Pseudonimisering in plaats van anonimisering ‘We hebben het nooit over anonieme data, want met dit soort datasets kan dat niet. Er moet een link bijven met de individuele deelnemer’, zegt zij. Daarom is gekozen voor pseudonimisering. Dat verschil is cruciaal. De data zijn voor onderzoekers of externe partijen niet rechtstreeks herleidbaar tot een persoon, maar de koppeling tussen verschillende datastromen blijft binnen een streng gecontroleerd systeem wel mogelijk. Zonder die koppeling zou het wetenschappelijke nut van de database grotendeels verdwijnen. De technische basis daarvoor is gelegd in een systeem dat samen met een team van de Radboud Universiteit is ontwikkeld: PEP, voluit Polymorphic Encryption and Pseudonymization. Dat is als database-omgeving de centrale schakel in het project en is bovendien als open source beschikbaar. In plaats van alle gegevens onder één direct herkenbare deelnemerscode op te slaan, werkt het systeem met aparte pseudoniemen per datastroom. Klinische gegevens krijgen dus een andere code dan horlogedata, MRI-data of biomateriaal. Pas binnen de database-omgeving worden die verschillende codes gekoppeld aan één centrale PEP-ID. Dit betekent dat de centrale database de enige plek is waar alle losse datastromen technisch samenkomen. Het systeem weet welke gegevens bij dezelfde deelnemer horen, maar doet dat zonder dat alle betrokken partijen zicht hebben op de identiteit van die deelnemer. Dat is vooral relevant vanwege de samenwerking met Verily, voorheen bekend als Google Life Sciences. Dit zusterbedrijf van Google leverde de studiehorloges. Koppeling met persoonsgegevens De horloges werden door het studieteam van het Radboudumc uitgegeven. Daardoor wist alleen dat team welke deelnemer welk horloge droeg. Verily zag volgens Postma uitsluitend de horlogenummers en de bijbehorende binnenkomende meetgegevens. De directe koppeling met persoonsgegevens bleef dus buiten bereik van de leverancier van de wearables. Ook de route van de data is zo opgezet dat er geen rechtstreekse lijn loopt van horloge naar de centrale onderzoeksdatabase van Radboud. De horlogedata gingen eerst naar de omgeving van Verily en werden van daaruit actief geüpload naar de PEP-database. Volgens Postma gebeurde dat bovendien niet via een gewone smartphonekoppeling, maar via een speciale hub die bij de deelnemer thuis stond. Dat verkleint de kans dat data via allerlei consumentenelektronica gaan zwerven. De hub zorgde onder andere voor de versleuteling van de data. De beveiliging van de data rust op een end-to-end encryptiearchitectuur. Data wordt al aan de bron versleuteld voordat deze het systeem binnenkomt en pas weer ontsleuteld aan de kant van de onderzoeker die daarvoor geautoriseerd is. In de opslagomgeving blijft de data dus permanent versleuteld. De sleutelstructuur is bovendien opgesplitst over twee onafhankelijke componenten: een zogeheten Transcryptor en een Access Manager. Beide zijn op verschillende locaties ondergebracht en zijn gezamenlijk nodig om toegang tot de data mogelijk te maken. De encryptie- en decryptiesleutels bevinden zich daarmee nooit bij de cloudopslagprovider zelf. Voor het ontsleutelen van data zijn altijd twee afzonderlijke sleutelsegmenten nodig die bij verschillende partijen worden beheerd. Dit ontwerp moet het risico op datalekken verder beperken, omdat toegang tot de opslagomgeving op zichzelf nog geen toegang tot leesbare data oplevert. De data worden opgeslagen in Google Cloud, mede omdat die hosting onderdeel was van de samenwerking rond de horloges. Maar opslag betekent in dit geval zeker geen bruikbare toegang. ‘De opslag daar is versleuteld’, zegt zij. ‘Als je de bucket waarin de data is opgeslagen opent, kun je niks met die gegevens.’ Twee-ogen-principe De data kunnen alleen via de gebruikersinterface van de database worden gedownload. Dit kan alleen wanneer een onderzoeker daarvoor eerst een sleutel ontvangt. Daarmee komt governance nadrukkelijk in beeld. Onderzoekers krijgen niet zomaar toegang tot de volledige dataset. Zij moeten eerst een onderzoeksvoorstel indienen waarin staat welke data zij nodig hebben en met welk doel. Daarbij wordt niet alleen gekeken naar de wetenschappelijke relevantie van het voorstel, maar ook naar de manier waarop de aanvrager met de data wil omgaan. Zo bevat het aanvraagproces ook een sectie over data hosting en security. Onderzoekers moeten toelichten waar zij de data opslaan, wie erbij kan en hoe de technische omgeving is ingericht. Na goedkeuring volgt een overeenkomst, de zogeheten Qualified Researcher Agreement, waarin voorwaarden staan over gebruik, opslag, delen en verwijdering van de data. Ze mogen de data bijvoorbeeld niet doorgeven aan anderen en moeten die na afloop van het werk verwijderen. Daarna volgt nog een extra stap. Het team dat de database technisch beheert, moet de sleutel verstrekken waarmee de data daadwerkelijk kunnen worden gedownload en gebruikt. Daarmee is het proces bewust opgeknipt. Het onderzoeksteam kan niet op eigen houtje toegang geven zonder betrokkenheid van de beheerders. Postma spreekt in dat verband van een ’twee-ogen-principe’. Uitgeven en ontvangen Ook intern is de toegang strak georganiseerd. Per gebruikersgroep wordt bijgehouden wie toegang heeft, tot welke data en tot wanneer. Dat gebeurt via registratieformulieren die gedeeld worden tussen het Radboudumc en het universiteitsteam. Periodiek wordt gecontroleerd of toegangsrechten nog actueel zijn, bijvoorbeeld wanneer medewerkers uit dienst zijn of projecten zijn afgerond. Dat proces is volgens Postma deels nog handwerk, maar wel beheersbaar. Daarnaast wordt ook beheertoegang geregistreerd. Als het technische team van de Radboud Universiteit in de database moet zijn om iets te controleren, wordt dat teruggekoppeld en vastgelegd. Daarmee ontstaat niet alleen operationele controle, maar ook bestuurlijke verantwoording over wie wanneer in de omgeving is geweest en waarom. Interessant is dat de database niet alleen is ingericht voor het uitgeven van data, maar ook voor het terugontvangen ervan. Onderzoekers die bijvoorbeeld analyses uitvoeren op lichaamsmateriaal kunnen hun resultaten weer uploaden naar de database. Via de juiste pseudonimisatiecode worden die uitkomsten vervolgens opnieuw gekoppeld aan de bestaande klinische en biologische data. Dat voorkomt dat schaarse samples onnodig worden gebruikt en maakt de dataset in de loop van de jaren rijker. Openheid in combinatie met duidelijke grenzen Het project laat daarmee zien dat open science in de medische wereld alleen werkt als openheid gepaard gaat met stevige technische en organisatorische grenzen. Niet iedereen krijgt alles te zien, niet elke dataset verlaat zonder meer de omgeving en niet elke onderzoeker mag zelf bepalen hoe lang data blijven circuleren. Juist die combinatie van pseudonimisering, versleuteling, gecontroleerde sleuteluitgifte, contractuele afspraken en toegangsbeheer maakt deze infrastructuur werkbaar, vertelt Postma. Volledig risicoloos is geen enkel systeem. Zeker niet wanneer onderzoekers wereldwijd met gevoelige medische data werken. Maar de Parkinson-database van Radboudumc laat wel zien waar het in de praktijk op aankomt: niet op één enkele securitymaatregel, maar op een keten van technische, juridische en organisatorische controles van deelnemer tot onderzoeker.

AI-expert Jarno Duursma over het gevaar van Mythos. 'Eén fout bestand en Mythos is al gevaarlijk.’

Commvault kondigt drie nieuwe AI-functies aan voor Commvault Cloud: Data Activate, AI Protect en AI Studio. De tools helpen data veilig te activeren voor AI-toepassingen, AI-agents te beheren en herstelworkflows te automatiseren. Data Activate stelt organisaties in staat data uit beschermde backup-kopieën te classificeren en te cureren. De tool bereidt datasets voor in formaten zoals […]

Het Celonis Process Intelligence Platform is voortaan beschikbaar op Oracle Cloud Infrastructure (OCI) en integreert dieper met Oracle Fusion Cloud Applications. Gezamenlijke klanten kunnen hiermee end-to-end bedrijfsprocessen in finance en supply chain analyseren en optimaliseren en AI-agents van de operationele context voorzien die ze nodig hebben. Daarnaast kunnen processen, benchmarken en risico’s verlagen bij migraties […]

De inzet van AI binnen netwerkomgevingen komt minder snel van de grond dan veel organisaties eerder verwachtten. Tegelijk nemen de eisen aan de infrastructuur snel toe.  Dat blijkt uit het onderzoek AI in Networking 2026 van IDC, waarin een duidelijke kloof zichtbaar wordt tussen plannen en uitvoering. ComputerWoche schrijft hierover. Veel bedrijven hebben de afgelopen jaren […]

Onderzoeker Haifei Li, oprichter van het exploit-detectieplatform EXPMON, ontdekte een geavanceerde aanval waarbij PDF-bestanden worden ingezet om gebruikers van Adobe Reader te bespioneren en mogelijk te compromitteren. De aanval maakt misbruik van een tot voor kort onbekende kwetsbaarheid, waardoor het openen van een ogenschijnlijk onschuldig document al voldoende kan zijn om gevoelige informatie te verzamelen […]

Cisco lijkt zijn positie in AI-beveiliging verder te willen versterken met een mogelijke overname van de Israëlische startup Astrix Security.  Volgens berichtgeving van The Information, waarover Reuters schrijft, zou Cisco in gesprek zijn over een deal die kan oplopen tot enkele honderden miljoenen dollars. Met een mogelijke waardering tussen de 250 en 350 miljoen dollar […]

Er zijn veel klachten over Sucré Salé sas, een Frans fotobureau gespecialiseerd in culinaire foto’s. Hun vertegenwoordiger Rights Control spoort foto’s op die zonder toestemming zijn gebruikt en confronteert consumenten met torenhoge claims. Dat bleek zaterdag uit het consumentenprogramma Kassa. Ontvangers krijgen een standaardmail van Rights Control, ondertekend door een medewerker die zich presenteert als Aad van Dijk. In deze mail staat dat zij binnen vijf dagen moeten reageren op een schikkingsvoorstel tegen een gereduceerd tarief; anders worden incassokosten in rekening gebracht. Een van de beeldbanken waarvoor het bedrijf optreedt is Stockfood, gespecialiseerd in foto’s van eten en drinken. Rights Control stelt dat de rechten van de fotografen overgedragen aan Sucré Salé SAS, waardoor het bedrijf bij vermeende auteursrechtinbreuk schade zou kunnen verhalen. De claims bestaan uit een optelsom van bedragen zoals ‘inbreuk auteursrecht, boetes, juridische kosten en opsporingskosten’. De berekende toeslagen zijn buiten iedere proportie: bijvoorbeeld 100% opslag voor auteursrechtinbreuk, 100% opslag voor schending van persoonlijkheidsrechten (ontbreken van naamsvermelding) en 1.000 euro aan kosten juridische bijstand. Wanneer mensen niet willen betalen, wordt het dossier door Rights Control doorgestuurd naar het bedrijf Micta van jurist Douglas Mensink uit Groningen. In Kassa vertelt Anita van Eijk dat zij begin dit jaar een claim kreeg van bijna 4.000 euro. Ze is voedingsdeskundige en had een Facebookpagina waar ze gratis gezonde recepten op deelde. Zo’n 14 jaar geleden haalde drie algemene plaatjes van eten van het internet en plaatste die ter illustratie op haar pagina. Ze deed een tegenvoorstel voor het betalen van 750 euro, maar dat werd afgewezen. Ook een seniorenvereniging uit Veghel kreeg onlangs een claim van 1.500 euro. De vereniging had in 2021 een kleine afbeelding gebruikt bij een artikel over vaccinatie in de coronaperiode. Ook zij laten weten er niet bij stil te hebben gestaan dat hiervoor betaald moest worden. De vereniging maakte 85 euro over, maar dat werd niet geaccepteerd. Martine Bakx, die gedupeerden bijstaat en een website heeft vol met voorbeelden van claims, zegt dat sinds eind 2024 ongeveer dertig meldingen over Rights Control bij haar zijn binnengekomen. Geen van haar cliënten heeft betaald aan Sucré Salé of Micta. Er volgde geen rechtszaak. Sterker nog: Als de discussie voor jurist Mensink wat te lastig wordt, en gevraagde contracten met fotografen niet eens kunnen worden overlegd, wordt de claim niet zelden fors verlaagd. Kennelijk wil Mensink, die wijselijk iedere toelichting aan de media uit de weg gaat, verdere jurisprudentie over te hoge vergoedingen voorkomen. Soortgelijke bureaus zijn al eens veroordeeld voor oneerlijke handelspraktijken. De organisatie die namens het ANP auteursrechtclaims afhandelt en foto-inbreuken opspoort, heeft inmiddels meerdere naamsveranderingen ondergaan na reputatieschade. Permission Machine had online een zeer slechte naam opgebouwd door agressieve claimpraktijken, waarbij hoge schikkingsvoorstellen werden gestuurd voor vaak kleine inbreuken. Permission Machine is later Visual Rights Group geworden en opereert inmiddels onder de naam Copyright Agent Benelux. Advocaat Marjolein Driessen zegt dat zou goed zijn als de claimpartijen eens echt kritisch gaan kijken naar hun handelen. ‘Goed voor hun eigen naam en goed voor de bedrijven en individuen die ten onrechte met hoge claims worden geconfronteerd. Het is naar mijn mening volkomen terecht dat er betaald moet worden voor het zonder toestemming gebruiken van foto’s. Fotografen hebben simpelweg recht op een vergoeding voor gebruik van hun werk. Maar alleen als het een marktconforme vergoeding is en als niet een van de wettelijke uitzonderingen van toepassing is.’

Wereldwijd verloopt de digitale transformatie bij veel HR-afdelingen traag. Dat blijkt uit onderzoek van Boston Consulting Group, uitgevoerd in samenwerking met brancheorganisatie WFPMA. Voor hun studie ondervroegen het adviesbureau en de brancheorganisatie wereldwijd meer dan 7.

De schuldenproblematiek in Nederland groeit, maar het huidige systeem van schuldhulpverlening werkt slechts voor een fractie van de mensen die hulp nodig hebben. Berenschot pleit voor een nieuwe aanpak: het combimodel zet niet alleen in op het wegwerken van schulden, maar bovenal op het duurzaam versterken van de financiële weerbaarheid van kwetsbare inwoners.

Roy Hoven en Gijs van den Hombergh hebben samen Noventes opgericht, een nieuw innovatie- en subsidieadviesbureau met standplaats in Venlo. De nieuwste startup in de advieswereld ondersteunt startups, scale-ups en mkb-bedrijven bij het binnenhalen van subsidies.

Lux Consulting heeft het team versterkt met twee nieuwe consultants: Casper Hoes en Joris Schalken. Joris Schalken is gestart als Business Consultant. Met een technische achtergrond en een sterke interesse in energie- en duurzaamheidsvraagstukken brengt hij analytisch vermogen en een gestructureerde aanpak mee naar het team van energieconsultancy Lux Consulting.