AFM kampt met tekort aan dataexperts

Autoriteit Financiële Markten (AFM) zet zwaar in op datagedreven toezicht en uitbreiding van de it-capaciteit. Maar de financiële waakhond heeft moeite voldoende data-analisten en tech-experts aan te trekken. Dat maakt werving intensiever en tijdrovender, en daardoor schuiven teams later in dan gepland. Dat meldt AFM in het jaarverslag.

Het opbouwen van teams voor nieuwe toezichttaken (zoals regulering van crypto-markt, versterking digitale weerbaarheid financiële sector) verloopt uitdagender dan verwacht. Daarbovenop komt regelgeving rond digitalisering, zoals de AI Act. AFM onderzoekt hoe impact van ingrijpende technologische ontwikkelingen, zoals embedded finance (bedrijven bieden financiële diensten aan zonder dat ze hier zelf een vergunning voor nodig hebben) en ai‑ontwikkelingen, de consument beïnvloeden. Ook algoritmische besluitvorming beïnvloedt de markten. Daarbij kijkt de toezichthouder ook naar ai-toepassingen bij marktmisbruik, zoals ai gestuurde pump-and-dump-constructies (het oppompen van aandelenkoersen met misleidende informatie en vervolgens met winst verkopen). Ook zijn tools ontwikkeld om deze signalen eerder te herkennen.

In de retail en verzekeringsmarkten verkent AFM hoe ai in klantprocessen wordt gebruikt en welke risico’s dit oplevert voor het klantbelang. Er is onderzoek gedaan naar embedded finance, hyperpersonalisatie en gen Z-gedrag. Ai heeft veel invloed op de kapitaalmarkten. 

Soeverein cloud- en ai-centrum in Brussel

Accenture en Google Cloud hebben in Brussel een soeverein cloud- en ai-centrum geopend. De gezamenlijke faciliteit fungeert als innovatiehub en traininglocatie. Het centrum moet overheden en streng gereguleerde sectoren helpen bij het opschalen van ai, zonder de controle over data, beveiliging en naleving van wet- en regelgeving te verliezen. Innovatie kan hiermee voortgaan, terwijl kritieke systemen en gevoelige data onder eigen beheer blijven.

Een onderdeel is Google Distributed Cloud air-gapped, een technologie bedoeld voor omgevingen die niet verbonden mogen zijn met publieke netwerken. Organisaties kunnen hier veilige cloud- en ai-oplossingen ontwerpen, testen en valideren voor bedrijfskritische toepassingen.

Daarnaast biedt het centrum ruimte voor samenwerking tussen organisaties, softwareleveranciers en partners. Zij kunnen er proof-of-concepts ontwikkelen, oplossingen demonstreren en gezamenlijke use-cases uitwerken rond soevereine cloud en ai. Google hoopt klanten ervan te kunnen overtuigen dat Amerikaanse afkomst data-soevereiniteit niet per se hoeft te belemmeren. Onlangs lanceerden Tech Tribes, UbiOps en Y.digital voor dezelfde doelgroep het ai‑platform Deltaworks AI.

Raspberry Pi maakt samenleving weerbaarder

De achtste Raspberry Pi-scholencompetitie leverde dit jaar mooie oplossingen op die bijdragen aan een weerbare samenleving. Teams uit Limburg, Utrecht, Soest en Groningen werden de winnaars voor hun uitvindingen: een met hersengolven bestuurbaar robotvoertuig voor hulpverleners, een slim bijenhuis dat bijen in winterslaap houdt bij vroegtijdige warmte, een ‘fake news’-detector en een systeem dat automatisch afluisterapparatuur spot. Het laatstgenoemde project won de prijs voor de meest impactvolle uitvinding.

De Raspberry Pi is een goedkope, krachtige computer in creditcardformaat. PA Consulting organiseert deze wedstrijd. 

Proofpoint waarschuwt voor kwetsbaarheid mailbox

Cyberbeveiliger Proofpoint wijst in een rapport op de noodzaak regelmatig de mailboxregels te controleren. Na toegang tot de mailbox, stellen aanvallers vaak regels in om onopgemerkt te opereren onder de gecompromitteerde identiteit. Aanvallers verkrijgen vaak ongeoorloofde toegang in Microsoft 365-omgevingen. Eenmaal binnen kunnen zij in stilte de e-mailstroom in stilte controleren zonder het slachtoffer te alarmeren. Zo is datadiefstal succesvol te verbergen. 

Criminelen maken doorstuur- of omleidingsregels om automatisch kopieën van e-mails te verzenden naar externe, door de aanvaller gecontroleerde mailboxen. Vaak gebruiken ze specifieke trefwoorden (‘factuur’, ‘overschrijving’, ‘contract’) of afzenders om waardevolle gegevens te verzamelen en tegelijkertijd ruis te minimaliseren.

Nederlander voelt zich machteloos over eigen data

Nederlanders ervaren weinig controle over hun persoonsgegevens. Dat blijkt uit onderzoek van it-dienstverlener Conclusion onder ruim duizend respondenten. Meer dan tachtig procent accepteert privacyvoorwaarden omdat weigeren geen reële optie lijkt. Tegelijkertijd ziet driekwart het achterlaten van data als een verborgen prijs van online-diensten.

Hoewel 53 procent aangeeft dat datadelen routine is geworden, betekent dit geen bewuste keuze. Vooral jongeren ervaren dat ze geen alternatief hebben. Daarnaast vindt bijna zeventig procent het onlogisch dat ‘gratis’ diensten persoonlijke gegevens vereisen.

Het vertrouwen in bedrijven is beperkt: slechts 57 procent denkt dat organisaties zorgvuldig omgaan met data. Conclusion stelt dat transparantie essentieel is om vertrouwen terug te winnen en verantwoord gebruik van data en ai te waarborgen.

Zelfs security-experts die ChipSoft bijstaan, hebben nog maar weinig informatie gekregen over wat er nu precies is gebeurd. Als de Cyberbeveiligingswet al van kracht was geweest, had ChipSoft binnen 72 uur rapport moeten uitbrengen. 

Voorlopig blijft de toegang tot mogelijk getroffen systemen geblokkeerd. Sinds woensdag 8 april zijn de verbindingen met het Zorgportaal, HiX Mobile (alle apps) (HAS Relay) en het Zorgplatform uitgezet. 

Via dat laatste platform zijn geen gegevens uit te wisselen. Ziekenhuizen hebben verbindingen naar systemen van andere zorgverleners uitgeschakeld. Intern zijn dossiers wel toegankelijk. De patiëntenportalen die door ChipSoft worden gehost, zijn extern niet beschikbaar. Ook werken in sommige ziekenhuizen de aanmeldzuilen niet.

Website onbereikbaar

ChipSoft krijgt veel vragen uit de zorgwereld. Op LinkedIn kondigt het bedrijf een nieuwe webpagina aan met de laatste informatie en antwoorden op vragen. Zodra deze pagina online staat, zal ChipSoft de link delen. De eigen website is onbereikbaar. 

De systemen van ChipSoft worden gebruikt om diagnoses, medicatie, laboratorium-rapporten en psychiatrische notities op te slaan. Om die reden vereisen ze het hoogste niveau van beveiliging. Want in handen van criminelen kunnen die data mensen zwaar benadelen. Overigens zijn er geen aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd.

Behalve software voor patiëntendossiers levert ChipSoft ook andere digitale systemen voor ziekenhuizen. Behalve ziekenhuizen zijn ook een aantal huisartsenpraktijken en andere zorgverleners door de hack geraakt.

💡 Lees ook ons e-zine-verhaal over de lessen die uit de hack van het Bevolkingsonderzoek-laboratorium getrokken kunnen worden.

In het rapport Concurrentiekracht en brede welvaart vergelijkt RaboResearch Nederland met België en Denemarken, twee vergelijkbare kleine open economieën. De economen van de bank plaatsen deze landen naast de VS als meest productieve land.

Onze internationale concurrentiepositie is nog altijd sterk, maar het wordt hoog tijd om R&D‑investeringen te intensiveren en kapitaalintensiteit te vergroten in concurrerende sectoren. Ook strategische afhankelijkheden zoals op gebied van energie zijn een uitdaging. Dit geldt met name voor kleine open economieën, zoals die van Nederland. 

Toekomstig verdienvermogen

De productiviteit in de Nederlandse externe sector – het gedeelte van de economie dat bloot staat aan internationale concurrentie – staat al veertien jaar stil. Dit maakt de Nederlandse economie kwetsbaar en ondermijnt het toekomstige verdienvermogen.

Nederlandse sectoren zoals machinebouw, hightech en financiële dienstverlening zijn relatief productief en dragen het verdienvermogen. Tegelijkertijd kampen diverse industriële en zakelijke dienstensectoren in Nederland met een achterblijvende productiviteit en relatief hoge loonkosten. 

Chemie en farmacie zijn superieur qua productiviteit. Nederland kent nog enkele andere topsectoren waarop het een hoog productiviteitsniveau laat noteren: computers en elektronica, financiële diensten, machinebouw, logistiek en groothandel.

Hightech

De sector computers en elektronica wordt in Nederland gedragen door hightech niche-producenten, vooral in de Brainport‑regio. Deze zijn actief in halfgeleidercomponenten, optische systemen en gespecialiseerde medische en industriële elektronica. In de machinebouw speelt uiteraard ASML een centrale rol: als wereldmarktleider in lithografiesystemen drijft het de productiviteit sterk op. Dit kan concentratie-risico’s met zich meebrengen. 

Ook de Nederlandse logistieke sector presteert bovengemiddeld door de efficiëntie rond de Nederlandse mainports (Rotterdam, Schiphol), een hoge mate van automatisering en een sterke positionering in internationale waardeketens. De groothandel onderscheidt zich door grote handelsvolumes, vergaande digitalisering en de Nederlandse positie als doorvoerland in internationale ketens. Dit leidt tot een hoge toegevoegde waarde per gewerkt uur.

Vertraagde vergunningverlening

Van oudsher heeft Nederland een van de beste digitale infrastructuren van de EU. Door een vertraagde vergunningverlening en het uitblijven van investeringen loopt dit netwerk echter tegen zijn grenzen aan, waarschuwt Rabobank. 

De Amerikaanse computerindustrie is met afstand de meest productieve (900 euro per uur) van alle onderzochte sectoren in de vier landen. Ook op het gebied van ict‑diensten scoort de VS (met meer dan 475 euro per uur) erg hoog. Op deze gebieden haalt Nederland een aanzienlijk lagere productiviteit.

Kapitaalintensiteit

Productiviteitsverschillen hangen samen met verschillen in R&D‑kapitaalintensiteit. Sectoren met een lagere R&D‑kapitaalintensiteit dan de ‘voorhoede’ laten ook een productiviteitsachterstand zien. Dit geldt met name voor transportmiddelen, computers en elektronica, ict‑diensten, chemie/farmacie en de overige industrie. In een RaboResearch-studie van vorig jaar werd al geconcludeerd dat Nederland in deze sectoren aanzienlijk minder in R&D investeert dan de toplanden.

Precies met die vragen houdt het Expertisecentrum Parkinson en Bewegingsstoornissen van het Radboudumc zich al jaren bezig. Binnen de zogeheten Personalized Parkinson Project-studie worden deelnemers sinds 2017 langdurig gevolgd. Die studie begon als een grote observationele cohortstudie, waarin 520 mensen met Parkinson gedurende twee tot drie jaar werden gemonitord. Zij kwamen jaarlijks naar het ziekenhuis voor een brede reeks metingen, van motorische en cognitieve testen tot bloedafname, ECG’s en MRI-scans. Tegelijk droegen zij thuis continu een studiehorloge dat data verzamelde over hun dagelijks functioneren.

Privacy, beveiliging en governance

Volgens Elbrich Postma, senior onderzoeker ‘Leefstijl en Parkinson’, was al vroeg duidelijk dat zo’n studie om meer vraagt dan alleen een goede onderzoeksopzet. De ambitie was namelijk niet alleen om de data in eigen huis te gebruiken, maar ook om die beschikbaar te maken voor andere onderzoekers in binnen- en buitenland. ‘Omdat dit project heel veel data oplevert en er bovendien expertises zijn die wij niet persé in huis hebben, maar die andere onderzoekers wel hebben’, zegt Postma. Daarmee ontstond direct een complex speelveld van privacy, beveiliging en governance.

Die wens klinkt logisch, maar maakt de technische architectuur ingewikkeld. Zeker omdat het hier niet gaat om één type gegevens, maar om een combinatie van klinische data, continue metingen via wearables, MRI-scans, ECG’s en materiaal uit een biobank. Inmiddels is de onderzoeksomgeving uitgegroeid tot een dataset van circa 52 terabyte. Dat volume zegt iets over de schaal. De combinatie van verschillende databronnen maakt de omgeving bovendien extra gevoelig. Juist daardoor is volledige anonimisering volgens Postma niet realistisch.

Pseudonimisering in plaats van anonimisering

‘We hebben het nooit over anonieme data, want met dit soort datasets kan dat niet. Er moet een link bijven met de individuele deelnemer’, zegt zij. Daarom is gekozen voor pseudonimisering. Dat verschil is cruciaal. De data zijn voor onderzoekers of externe partijen niet rechtstreeks herleidbaar tot een persoon, maar de koppeling tussen verschillende datastromen blijft binnen een streng gecontroleerd systeem wel mogelijk. Zonder die koppeling zou het wetenschappelijke nut van de database grotendeels verdwijnen.

De technische basis daarvoor is gelegd in een systeem dat samen met een team van de Radboud Universiteit is ontwikkeld: PEP, voluit Polymorphic Encryption and Pseudonymization. Dat is als database-omgeving de centrale schakel in het project en is bovendien als open source beschikbaar. In plaats van alle gegevens onder één direct herkenbare deelnemerscode op te slaan, werkt het systeem met aparte pseudoniemen per datastroom. Klinische gegevens krijgen dus een andere code dan horlogedata, MRI-data of biomateriaal. Pas binnen de database-omgeving worden die verschillende codes gekoppeld aan één centrale PEP-ID.

Dit betekent dat de centrale database de enige plek is waar alle losse datastromen technisch samenkomen. Het systeem weet welke gegevens bij dezelfde deelnemer horen, maar doet dat zonder dat alle betrokken partijen zicht hebben op de identiteit van die deelnemer. Dat is vooral relevant vanwege de samenwerking met Verily, voorheen bekend als Google Life Sciences. Dit zusterbedrijf van Google leverde de studiehorloges.

Koppeling met persoonsgegevens

De horloges werden door het studieteam van het Radboudumc uitgegeven. Daardoor wist alleen dat team welke deelnemer welk horloge droeg. Verily zag volgens Postma uitsluitend de horlogenummers en de bijbehorende binnenkomende meetgegevens. De directe koppeling met persoonsgegevens bleef dus buiten bereik van de leverancier van de wearables.

Ook de route van de data is zo opgezet dat er geen rechtstreekse lijn loopt van horloge naar de centrale onderzoeksdatabase van Radboud. De horlogedata gingen eerst naar de omgeving van Verily en werden van daaruit actief geüpload naar de PEP-database. Volgens Postma gebeurde dat bovendien niet via een gewone smartphonekoppeling, maar via een speciale hub die bij de deelnemer thuis stond. Dat verkleint de kans dat data via allerlei consumentenelektronica gaan zwerven. De hub zorgde onder andere voor de versleuteling van de data.

De beveiliging van de data rust op een end-to-end encryptiearchitectuur. Data wordt al aan de bron versleuteld voordat deze het systeem binnenkomt en pas weer ontsleuteld aan de kant van de onderzoeker die daarvoor geautoriseerd is. In de opslagomgeving blijft de data dus permanent versleuteld. De sleutelstructuur is bovendien opgesplitst over twee onafhankelijke componenten: een zogeheten Transcryptor en een Access Manager. Beide zijn op verschillende locaties ondergebracht en zijn gezamenlijk nodig om toegang tot de data mogelijk te maken. De encryptie- en decryptiesleutels bevinden zich daarmee nooit bij de cloudopslagprovider zelf. Voor het ontsleutelen van data zijn altijd twee afzonderlijke sleutelsegmenten nodig die bij verschillende partijen worden beheerd. Dit ontwerp moet het risico op datalekken verder beperken, omdat toegang tot de opslagomgeving op zichzelf nog geen toegang tot leesbare data oplevert.

De data worden opgeslagen in Google Cloud, mede omdat die hosting onderdeel was van de samenwerking rond de horloges. Maar opslag betekent in dit geval zeker geen bruikbare toegang. ‘De opslag daar is versleuteld’, zegt zij. ‘Als je de bucket waarin de data is opgeslagen opent, kun je niks met die gegevens.’

Twee-ogen-principe

De data kunnen alleen via de gebruikersinterface van de database worden gedownload. Dit kan alleen wanneer een onderzoeker daarvoor eerst een sleutel ontvangt. Daarmee komt governance nadrukkelijk in beeld. Onderzoekers krijgen niet zomaar toegang tot de volledige dataset. Zij moeten eerst een onderzoeksvoorstel indienen waarin staat welke data zij nodig hebben en met welk doel. Daarbij wordt niet alleen gekeken naar de wetenschappelijke relevantie van het voorstel, maar ook naar de manier waarop de aanvrager met de data wil omgaan.

Zo bevat het aanvraagproces ook een sectie over data hosting en security. Onderzoekers moeten toelichten waar zij de data opslaan, wie erbij kan en hoe de technische omgeving is ingericht. Na goedkeuring volgt een overeenkomst, de zogeheten Qualified Researcher Agreement, waarin voorwaarden staan over gebruik, opslag, delen en verwijdering van de data. Ze mogen de data bijvoorbeeld niet doorgeven aan anderen en moeten die na afloop van het werk verwijderen.

Daarna volgt nog een extra stap. Het team dat de database technisch beheert, moet de sleutel verstrekken waarmee de data daadwerkelijk kunnen worden gedownload en gebruikt. Daarmee is het proces bewust opgeknipt. Het onderzoeksteam kan niet op eigen houtje toegang geven zonder betrokkenheid van de beheerders. Postma spreekt in dat verband van een ’twee-ogen-principe’.

Uitgeven en ontvangen

Ook intern is de toegang strak georganiseerd. Per gebruikersgroep wordt bijgehouden wie toegang heeft, tot welke data en tot wanneer. Dat gebeurt via registratieformulieren die gedeeld worden tussen het Radboudumc en het universiteitsteam. Periodiek wordt gecontroleerd of toegangsrechten nog actueel zijn, bijvoorbeeld wanneer medewerkers uit dienst zijn of projecten zijn afgerond. Dat proces is volgens Postma deels nog handwerk, maar wel beheersbaar.

Daarnaast wordt ook beheertoegang geregistreerd. Als het technische team van de Radboud Universiteit in de database moet zijn om iets te controleren, wordt dat teruggekoppeld en vastgelegd. Daarmee ontstaat niet alleen operationele controle, maar ook bestuurlijke verantwoording over wie wanneer in de omgeving is geweest en waarom.

Interessant is dat de database niet alleen is ingericht voor het uitgeven van data, maar ook voor het terugontvangen ervan. Onderzoekers die bijvoorbeeld analyses uitvoeren op lichaamsmateriaal kunnen hun resultaten weer uploaden naar de database. Via de juiste pseudonimisatiecode worden die uitkomsten vervolgens opnieuw gekoppeld aan de bestaande klinische en biologische data. Dat voorkomt dat schaarse samples onnodig worden gebruikt en maakt de dataset in de loop van de jaren rijker.

Openheid in combinatie met duidelijke grenzen

Het project laat daarmee zien dat open science in de medische wereld alleen werkt als openheid gepaard gaat met stevige technische en organisatorische grenzen. Niet iedereen krijgt alles te zien, niet elke dataset verlaat zonder meer de omgeving en niet elke onderzoeker mag zelf bepalen hoe lang data blijven circuleren. Juist die combinatie van pseudonimisering, versleuteling, gecontroleerde sleuteluitgifte, contractuele afspraken en toegangsbeheer maakt deze infrastructuur werkbaar, vertelt Postma.

Volledig risicoloos is geen enkel systeem. Zeker niet wanneer onderzoekers wereldwijd met gevoelige medische data werken. Maar de Parkinson-database van Radboudumc laat wel zien waar het in de praktijk op aankomt: niet op één enkele securitymaatregel, maar op een keten van technische, juridische en organisatorische controles van deelnemer tot onderzoeker.

Basic-Fit

Basic-Fit is slachtoffer geworden van een hack waarbij gegevens van 200.000 Nederlandse leden in verkeerde handen zijn gekomen. Ook in andere landen waar de keten sportscholen bezit, zijn (persoonlijke) gegevens buitgemaakt. Zo heeft Basic-Fit vandaag laten weten.

Aanvallers hebben ongeautoriseerde toegang gekregen tot het systeem dat de bezoeken van leden aan de sportclubs bijhoudt. De gestolen gegevens omvatten  namen, adressen, email gegevens, telefoonnummers, verjaardagen en bankgegevens. Wachtwoorden zijn niet gekaapt. Basic-Fit bewaart ook geen id-documenten. 

Tijdens het monitoren heeft de sportschoolketen het lek ontdekt. Enkele minuten daarna is de toegang afgesneden. Betrokken leden zijn van de hack op de hoogte gesteld. Bij de Autoriteit Persoonsgegevens (AP) is het lek aangemeld. 

Innovatiebox

Meer dan negentig procent van alle fiscale voordeel uit de innovatiebox kwam vorig jaar terecht bij chipmachinemaker ASML, Booking.com en farmareus MSD. Dit betekent dat dit trio techbedrijven zeker 2,6 miljard euro heeft kunnen besparen. De rest van het voordeel (ongeveer 300 miljoen) kwam terecht bij 2.700 vooral kleinere bedrijven. 

Zo blijkt uit onderzoek van FD en Trouw. Het ministerie van Financiën geeft toe dat het voordeel van de innovatiebox vooral landt bij een zeer select groepje internationaal opererende bedrijven. In het coalitie-akkoord is afgesproken dat deze fiscale regeling binnen de vennootschapsbelasting behouden blijft. Hiermee betalen bedrijven een sterk verlaagd belastingtarief (effectief negen procent) over winst die voortkomt uit eigen innovatie.

Open Universiteit 

Ouderen zijn geen digibeten, maar trendsetters van innovatie. Dat stelt prof. dr. ir. Alexander Peine, hoogleraar Cultuur, innovatie en communicatie in zijn oratie. Hij houdt die op vrijdag 24 april a.s. bij de Open Universiteit in Heerlen. 

Ouderen worden vaak gezien als digibeten die technologie lastig of zelfs bedreigend vinden. ‘Een hardnekkig en bovendien discriminerend stereotype dat niet strookt met de praktijk,’ stelt Peine. Hij laat in zijn oratie zien dat ouderen juist vaak voorop lopen in technologische vernieuwing. Voorbeeld is de adoptie van de e-bike. Peine roept technologiebedrijven en beleidsmakers op om ouderen niet langer te benaderen als hulpbehoevenden die zorgkosten opdrijven, maar als volwaardige gebruikers, mede-ontwerpers en aanjagers van innovatie.

SAP 

Veel organisaties experimenteren met ai, maar halen er nog weinig structurele bedrijfswaarde uit. Volgens SAP komt dat omdat ai-toepassingen vaak losstaan van de systemen waarin bedrijfsprocessen plaatsvinden. ‘Waardecreatie ontstaat pas wanneer je inzichten terugkoppelt naar je bedrijfsprocessen. Die feedbackloop ontbreekt vaak.’ Dat stelt Stef De Mulder, Chief Revenue Officer bij SAP. Oracle’s Neil Sholay liet zich in het e-Zine van Computable in soortgelijke bewoordingen uit. Erp blijft bij SAP de stabiele ruggengraat van enterprise‑it, al evolueert de rol ervan: van een puur registrerend ‘system of record’ naar een geautomatiseerd, resultaatgedreven platform.

Om stabiliteit te waarborgen plaatsen bedrijven ai bewust bovenop de transactionele laag, zodat innovatie mogelijk is zonder risico voor kritieke processen. Tegelijk legt ai de zwakke plekken in het datalandschap bloot: veel organisaties ontdekken dat hun data onvoldoende gestructureerd of gedocumenteerd zijn. Daarom investeren ze opnieuw in datakwaliteit, semantiek en integratie. Volgens SAP is een sterke data-fundering noodzakelijk om ai op schaal te benutten en te evolueren naar ‘intelligent erp’, waarbij systemen niet alleen registreren maar actief waarde creëren.

Lastig it-parcours

Als directe maatregel heeft Booking.com de pincodes van getroffen reserveringen gereset. Klanten worden gewaarschuwd waakzaam te zijn voor phishing: het bedrijf benadrukt dat het nooit zal vragen om creditcard-gegevens via e-mail, telefoon, sms of WhatsApp, en ook niet om afwijkende bankoverschrijvingen.

Het is zeker niet het eerste incident bij het reisplatform. Een tijdje geleden was Booking.com als platform al prominent doelwit van cybercriminelen die hotels op het platform infecteerden met malware, phishingkits bouwden specifiek gericht op de dienst, en zelfs valse accommodaties aanmaakten. Toen benadrukte het bedrijf dat de hack niet rechtstreeks bij hen plaatsvond. Deze keer heeft Booking het over ‘verdachte activiteiten die van invloed zijn op een aantal reserveringen’.

Inzake it en security lijkt Booking.com alvast een lastig it-parcours. Onlangs ondervond het bedrijf ook al ernstige problemen bij het upgraden van de backend-systemen.Toen waren de moeilijkheden zo groot dat het online-platform maanden niet in staat was om een deel van de verhuurders van accommodaties te betalen.

Deltaworks AI richt zich met name op sectoren met hoge compliance-eisen, zoals overheid, financiële dienstverlening en veiligheid.

Het Belgisch/Nederlandse Tech Tribes en de Nederlandse bedrijven UbiOps en Y.digital combineren in het platform expertise op het gebied van private ai, data engineering en orkestratie. Deltaworks AI ondersteunt on‑premises-, hybride en multicloud-implementaties en sluit aan op bestaande zakelijke omgevingen via opensource en open standaarden.

Afgeschermde infrastructuur

Volgens de betrokken partijen maakt het platform het mogelijk om ai-modellen, waaronder llm’s (large language models), lokaal of binnen een afgeschermde infrastructuur te draaien. Gevoelige data hoeven daarbij niet naar publieke cloudomgevingen of externe diensten te worden verplaatst. Dit moet organisaties helpen te voldoen aan regelgeving zoals de AI Act, GDPR, Dora en NIS2.

Deltaworks AI werkt met bestaande Kubernetes‑omgevingen, waaronder Red Hat OpenShift en Suse Rancher. Toepassingen variëren van geautomatiseerde documentverwerking en metadatering tot ai‑assistenten die grote documentcollecties doorzoekbaar maken, inclusief bronverwijzing en audittrail. Het platform is per direct beschikbaar voor Europese organisaties, stellen de initiatiefnemers.

Staatssecretaris Eric van der Burg (VVD), verantwoordelijk voor een (meer) slagvaardige overheid, is gestart met de aanpak voor een effectievere publieke organisatie: minder regels, minder loketten en minder gedoe. Hij besprak hoe de overheid sneller, eenvoudiger en beter kan werken voor mensen en bedrijven. 

De VVD-politicus deed dat samen met minister-president Rob Jetten, de secretarissen-generaal, ondernemers, bestuurders en andere betrokkenen. Zijn inzet voor de komende jaren is helder: werken aan een overheid die doet wat ze belooft. Een overheid die luistert, levert en problemen niet doorschuift.

Daarbij richt de staatssecretaris zich op vier actielijnen:

• fundamentele vereenvoudiging van beleid en regelgeving;
• vernieuwing en productiviteitsverhoging van de rijksdienst;
• doorbreken van de Haagse muren;
• uitstekende digitale dienstverlening.

Dit komt neer op minder regels, beter en slimmer samenwerken, en betere dienstverlening. Volgens Van der Burg lukt dit alleen als overheden, publieke dienstverleners, ondernemers en maatschappelijke partners de handen ineen slaan. En a.u.b. niet nog een stapel rapporten erbij. Partijen moeten praktisch aan de slag met wat mensen in de praktijk nodig hebben.

Mislukken

Maar volgens professor Daan Rijsenbrij, tweevoudig oud-hoogleraar it, is elke aanpak gedoemd te mislukken als wordt verzuimd de gebrekkige digitalisering van de overheid aan te pakken. Allereerst moeten in zijn ogen de bedrijfsprocessen binnen de overheid beter worden georganiseerd. Nu is veelal sprake van chaos en overmatige complexiteit. Met het digitaliseren daarvan schiet de overheid niets op, want dat leidt alleen maar tot een gedigitaliseerde wanorde en nog meer ingewikkelde digitale systemen. Rijsenbrij: ‘Omdat de winkel open moet blijven tijdens de verbouwing, is er een samenhangende transformatie nodig tussen bedrijfsprocessen en de gedigitaliseerde ondersteuning.’ 

Volgens Rijsenbrij vereist deze samenhang de inzet van door de wol geverfde digitale architecten die onafhankelijk en onpartijdig zijn, bij voorkeur uit de private sector. ‘Die mensen moeten in samenwerking met business-strategen en organisatiedeskundigen uit de overheid de nieuwe gedigitaliseerde overheid ontwerpen.’

Volgens Dimitri van Zantvliet, voorzitter van de CISO Community Nederland, kan Mythos een enorme ontwrichtende kracht hebben. Extra angstaanjagend is dat een model zwakke plekken kan misbruiken met een snelheid die voor menselijke beveiligingsteams onmogelijk bij te benen is.

Amerikaanse toezichthouders hebben afgelopen dinsdag vooraanstaande bankiers bijeengeroepen om de nieuwe cybersecurity-risico’s te bespreken. Zo meldt persbureau Bloomberg. Mythos kan niet alleen in een handomdraai de zwakke plekken in software blootleggen, maar ook heel ingenieuze manieren bedenken om die te misbruiken. De FED vreest dat hiermee nieuwe systemische risico’s in het bancaire stelsel sluipen.

Fundamenteel

Het bestuur van de CISO Community Nederland richt zich met een direct advies tot directies en raden van bestuur. Volgens Van Zantvliet kan cybersecurity niet langer worden gedelegeerd als een ‘it-probleem voor beneden’; het is een fundamentele bestuurlijke verantwoordelijkheid.

Ai heeft het tijdperk van eenvoudige tekstgeneratie achter zich gelaten. Nieuw is ai die zelfstandig actie onderneemt. Kwaadwillenden kunnen hiermee kritieke infrastructuur aanvallen. Van Zantvliet: ‘Als deze technologie vandaag in de verkeerde handen valt, wordt het extreem moeilijk om de achterstand in te halen.’

Hij vreest dat deze software binnen enkele maanden wordt gerepliceerd in opensource-modellen (al beweert ontwikkelaar Anthropic het Mythos-model niet publiekelijk uit te brengen). Dan komen deze mogelijkheden wereldwijd beschikbaar voor elke actor. Het grote gevaar zijn snellere zero-day-aanvallen: de tijdspanne tussen de ontdekking en de exploitatie van een kwetsbaarheid krimpt van dagen naar uren.

Menselijk fouten

Zoals recente datalekken hebben aangetoond, blijven menselijke fouten in configuratiebeheer een kritieke aanvalsvector. Organisaties moeten de detectie van verkeerde saas- en cloudconfiguraties automatiseren. Beveiligingsteams moeten ai-gestuurde verdedigingstools inzetten om de overweldigende hoeveelheid signalen te filteren en hun meest kritieke assets te beschermen voordat geautomatiseerde open-sourcetools ze als eerste vinden.

Van Zantvliet wijst op het Mythos-datalek, veroorzaakt door een simpele configuratiefout. ‘Als we de omgeving rondom ai niet kunnen beveiligen, wordt ai zelf onze grootste kwetsbaarheid.’ Onlangs werd een interne blogpost van Anthropic per ongeluk openbaar. Daarin stonden details over het nieuwe, extreem krachtige ai model Claude Mythos. Door een configuratiefout in het contentmanagementsysteem stond de concepttekst tijdelijk openbaar toegankelijk.

Maeconomy haalt miljoenen op voor circulair grondstoffenplatform

De Nederlandse ai-startup Maeconomy heeft een miljoeneninvestering ontvangen van investeerder LumoLabs en Liof, de ontwikkelingsmaatschappij van de provincie Limburg. Het bedrijf uit Heerlen ontwikkelt een platform dat met behulp van data uit publieke bronnen en ai inzicht geeft in herbruikbare materialen uit gebouwen en infrastructuur. Overheden en marktpartijen kunnen daarmee de hoeveelheid, kwaliteit en restwaarde van materialen bepalen en hergebruik plannen.

Maeconomy werkte onder meer voor de gemeente Heerlen en wordt nu door meerdere gemeenten ingezet. Met het nieuwe kapitaal wil het bedrijf het team uitbreiden en het platform verder uitrollen binnen Nederland. Het precieze bedrag is niet bekend gemaakt. Maeconomy kreeg bij het zoeken naar kapitaal hulp van Brightlands Smart Services Campus.

Linkit-consortium haalt Haarlemmermeer binnen

De gemeente Haarlemmermeer heeft een nieuwe raamovereenkomst afgesloten voor de inhuur van ict‑specialisten. Linkit is, in combinatie met DiVetro en Bartosz, geselecteerd binnen perceel 1 van de aanbesteding. In totaal zijn maximaal vijf leveranciers gecontracteerd.

De overeenkomst heeft een looptijd van twee jaar en kan worden verlengd tot zes jaar. De geraamde waarde van de opdrachten binnen dit perceel bedraagt circa vier miljoen euro per jaar, met een maximum van 36 miljoen euro.  

Odin Groep neemt it-dienstverlener Duvak over

Odin Groep uit Hengelo heeft overeenstemming bereikt over de overname van Duvak, een it‑dienstverlener uit Nieuw‑Vennep. Met de overname breidt dochterbedrijf Previder zijn aanwezigheid in West‑Nederland verder uit. Duvak blijft vanuit Nieuw‑Vennep opereren en het team en de klantcontacten blijven ongewijzigd.

Het bedrijf levert onder meer consultancy, security en diensten rond werkplek- en cloudomgevingen. Eerder versterkte Previder zijn positie in deze regio al via overnames van onder andere Proxsys, Nexxt Managed Services en Inisi. Klanten krijgen daarnaast toegang tot de kennis en schaal van Odin Groep.

Maarten Jonker is nieuwe chief technology officer TKP Pensioen

TKP Pensioen benoemt per 1 mei 2026 Maarten Jonker als nieuwe chief technology officer (cto). Hij volgt hiermee Jonathan Koopmans op, die ruim vier jaar bij TKP werkt en zijn loopbaan voortzet bij moederbedrijf ASR. Jonker werkt nu nog als waarnemend chief information officer (cio) bij de Dienst Toeslagen, onderdeel van het ministerie van Financiën. Daarvoor werkte hij een aantal jaren als cio bij het UWV.

Jonker heeft ruim 30 jaar ervaring in de financiële dienstverlening en de publieke sector. Hij bekleedde ook nog diverse cio-, cdo- en cto-posities bij de Belastingdienst, Achmea en Bank Nederlandse Gemeenten (BNG). Jonker heeft brede bestuurlijke ervaring, waaronder als lid van de Auditcommissie van de Nationale Politie en van meerdere landelijke digitaliseringsprogramma’s.

Soevereine cloud voor staatsgeheimen Defensie gaat door

Defensie gaat met de Nederlandse bedrijven KPN en Thales definitief een cloud bouwen voor staatsgeheime gegevens. De staatssecretaris heeft dit de Tweede Kamer laten weten. Vorig jaar juni sloten partijen hiervoor al een intentieverklaring. Omdat Defensie minder afhankelijk wil zijn van de Verenigde Staten werkt de militaire organisatie samen met Nederlandse bedrijven. De geheime cloud draait in het eigen datacenter. Zo blijft Nederland zelf de baas over de gegevens.

Defensie gebruikt meerdere clouds naast elkaar en kiest per situatie welke het beste past. De staatsgeheime cloud past in dat plan. Door daarop als proef twee militaire toepassingen te testen, kijkt de organisatie hoe de cloud in de praktijk werkt.