#1 De ai-wapenwedloop leidt tot risico’s

De wedstrijd om de slimste te zijn met ai en toepassingen te ontwikkelen die op vrijwel alle vlakken slimmer zijn dan mensen speelt zich af tussen de machtsblokken China en de VS. De Amerikaanse aanpak is door keiharde concurrentie tussen een aantal grote spelers enigszins chaotisch, maar qua regeling krijgen die spelers veel ruimte omdat de Amerikaanse overheid ‘als de dood’ is om de voorsprong op China te verliezen, beschrijft Van Empel. Waar eerder nog een bredere discussie was over ethiek en het doel van ai en de gevaren voor mensen, sluit de overheid nu contracten voor ai-toepassingen voor het leger, spionage en nieuwe wapens.

In China loopt de ai-ontwikkeling via een strak door de staat gestuurd groeiprogramma. Ze dwingen de beste ai-onderzoekers, en eigenaren van grote datasets en supercomputers tot samenwerking waarbij nieuwe ai-datacenters voor hun energietoevoer waarschijnlijk aan kerncentrales worden gekoppeld. Die dynamiek van een machtsstrijd kan leiden tot het nemen van steeds grotere risico’s en het overslaan van veiligheidsstappen om de concurrentie voor te blijven. Van Empel: ‘De overtuiging dat snelheid en innovatie belangrijker zijn dan het voorkomen van kleine foutjes, in Sillicon Valley-motto: ‘move fast and break things’, krijgt een nieuwe angstaanjagende betekenis als het ‘ding’ dat je kapot kunt maken de toekomst van de mensheid is.’

#2 Het gevaar van ai-kolonialisme

Van Empel spreekt over een onzichtbare overheersing door ai. Een gevaar dat volgens hem subtieler is dan de ai-wapenwedloop. Hij noemt dat ai-kolonialisme. ‘We denken vaak dat technologie neutraal is. Dat een rekenmachine geen mening heeft. Maar ai is geen rekenmachine. Ai is getraind op data en die data bevatten een wereldbeeld.’

Hij wijst op de cultuur en de normen die in de ai-oplossingen terecht komen. In het geval van de VS is deze ai ‘doordrenkt’ met typische waarden van de Amerikaanse Westkust en Sillicon Valley, zoals hyper-kapitalisme, liberalisme, efficiëntie en winst.

De Chinese ai bevat de waarden van de Communistische Partij die sociale stabiliteit boven individuele vrijheid stelt. Het model verkiest harmonie boven kritiek en de belangen van de groep gaan altijd boven die van het individu. ‘Het risico is dat we eindigen in een wereld waarin er nog maar twee smaken zijn: De Amerikaanse of de Chinese’, schrijft Van Empel die wijst op het belang van open ai-modellen die de eigen waarden en culturen van de makers én gebruikers weerspiegelen. ‘Als we niet oppassen worden we digitaal gekoloniseerd zonder dat er ooit een soldaat aan te pas komt.’

#3 Strenge regelgeving zet Europa buitenspel in ai-innovatie

Europa kiest in de mondiale ai‑race niet voor schaal of snelheid, maar voor regulering als strategisch antwoord, duidt Van Empel. De EU AI‑Act werkt volgens een risico‑piramide, duidt hij. Bovenaan staan ‘verboden toepassingen’ zoals social scoring, onbewuste manipulatie, realtime biometrie in de openbare ruimte en emotieherkenning op school of werk. In de volgende laag komen ‘hoog‑risico’‑systemen aanbod. Het gaat om ai-toepassingen voor onder meer rechtshandhaving, migratie en onderwijs, die aan strenge eisen moeten voldoen. Toepassingen met ‘beperkt risico’, zoals chatbots vormen de derde laag, aanbevelingssystemen en spamfilters vallen in de vierde ‘minimaal risico’-categorie.  

Met deze structuur wil Brussel ethische grenzen afdwingen en wereldwijd de standaard zetten voor verantwoorde ai, duidt de auteur. Dat is het zogeheten Brussels effect: Europese regels worden zo invloedrijk dat ze internationaal worden overgenomen. De gedachte daarachter is dat Europa niet hoeft te winnen op rekenkracht, maar op normstelling — door de spelregels van de ai‑race te herschrijven.

Critici waarschuwen dat deze aanpak de Europese ai-innovatie kan afremmen. Terwijl Amerikaanse en Chinese bedrijven op volle snelheid doorgaan, dreigt Europa te verzanden in bureaucratie. Dat kan leiden tot technologische achterstand, afhankelijkheid van buitenlandse ai‑systemen en tragere toegang voor Europese burgers tot nieuwe ai‑toepassingen. Kortom: bescherming en normstelling botsen met het risico dat Europa zichzelf buitenspel zet in de innovaties rondom ai, aldus de ai-expert.

#4 Slechte mensen misbruiken ai-superkrachten

‘Een van de meest directe, tastbare gevaren van ai is dat het een ongelooflijk krachtig gereedschap is in handen van mensen met slechte bedoelingen’, schrijft Van Empel die wijst op de destructieve gevolgen van de ‘krachtversterker’ die ai is. Hij wijst bijvoorbeeld op ai-modellen die de kennis vergaren van alle beschikbare wetenschappelijke informatie rondom bijvoorbeeld biologische wapens of het ontwerp van een gevaarlijk virus.

Ai verlaagt volgens hem de drempel voor het creëren van een pandemie. Konden eerst alleen supermachten zoiets creëren, nu ligt die weg ook open voor een paar ‘slimme’ studenten in een garage die via ai-toegang hebben tot allerlei informatie en het systeem bevragen op tips om zo’n virus te verspreiden.

‘Ook is ai een geducht wapen in de informatieoorlog’, schrijft de auteur. Nu wordt ai al ingezet voor nep-informatie en propaganda, dat kan met de opkomst van deepfake videos, nepprofielen op sociale media en aanvallen op de feitelijke waarheid alleen maar toenemen, stelt hij.

Ook de opkomst van door ai aangestuurde wapens die zelfstandig, dus zonder de tussenkomt van mensen beslissen over leven en dood, leiden tot zorgen. En dan is er ook de angst voor ai die cyberoorlogsvoering en kwaadwillende hackers 24×7 kan ondersteunen.

#5 Controleverlies als de computer niet meer luistert

Eén van de meest existentiële en fundamentele gevaren waar de makers van ai van wakker liggen is het risico op controleverlies, stelt Van Empel. ‘Wat gebeurt er als we erin slagen een ai te maken die zo onvoorstelbaar slim is (superintelligent) dat het zijn eigen doelen begint na te streven en zich niet langer laar sturen door de menselijke makers?’, vraagt hij zich af. Hij schetst een aantal apocalyptische scenario’s uit onder mee het AI 2027-rapport en wijst erop dat ai echt gevaarlijk wordt als het de mens als belemmering gaat zien voor zijn eigen voorbestaan.

#6 Het verlies van de vrijheid door ai als controle-instrument

‘Naast de apocalyptische scenario’s van een op hol geslagen superintelligentie, is er een ander, meer sluipend en misschien wel waarschijnlijker gevaar. Een gevaar dat niet onze levens bedreigt maar wel onze vrijheid en autonomie. Ai is namelijk het perfecte, meest efficiënte instrument voor surveillance en sociale controle dat ooit is uitgevonden’, schrijft Van Empel. Hij wijst op autoritaire staten zoals China waar die controle al dagelijkse realiteit is doordat camera’s met geavanceerde technologie voor gezichtsherkenning burgers volgen en beoordelen en bij overtredingen beperkingen opleggen, zo ontstaat een ‘digitale gevangenis met onzichtbare tralies.’

Hij schrijft dat in Westerse landen inlichtingendiensten onder het mom van ‘veiligheid’ hun boekje te buiten gaan door op zoek in een databerg van telefoongesprekken, emails en internetverkeer de privacy van burgers te schenden. ‘De grote verandering dwingt ons om een fundamenteel en dringend debat te voeren over de balans tussen technologie, veiligheid en vrijheid.’

De Grote Verandering – Hoe machines slimmer worden en wat dat voor jou betekent
Auteur: Robbert van Empel
ISBN: 9789493480148
Uitgeverij: Van Duuren Management

Toch wachten veel organisaties nog af. En precies daar zit de spanning: wie pas in beweging komt wanneer de norm breed wordt geëist, loopt het risico achter te raken. Vier organisaties, Milgro, Ictivity, Ilionx en Thinkwise, maakten die afweging nu al. In dit artikel leggen ze uit waarom zij niet wachten op de norm, maar ISO 42001 overwegen of omarmen als strategische investering en wat dat intern oplevert.

Niet wachten op de vraag

De norm is in opkomst, maar deze organisaties handelen er nu al naar. Ze wachten niet tot klanten, de markt of de overheid erom vragen, maar verwerken de ontwikkeling proactief in hun beleid en processen. Mariët Scholten, cfo bij Thinkwise, trekt een parallel met cybersecurity: ‘Vragen over cybersecurity zijn al leidend in klantgesprekken. Ai volgt dezelfde route: eerst bewustwording, dan verwachting, dan eis. De organisaties die dan al gecertificeerd zijn, hoeven niet meer te reageren, die kunnen het gewoon laten zien.’

Ook bij Milgro houden ze de ontwikkeling nauw in de gaten. Waar nu bestaande AVG- en geheimhoudclausules nog volstaan, verwacht directeur Gijs Derks dat dit snel verandert: ‘Ai-specifieke eisen vinden hun weg naar tenders en contracten. ISO 42001 wordt voor ons een aankomende license to operate. Iets wat je gewoon moet hebben om serieus mee te doen.’

Diezelfde urgentie klinkt ook door bij it-dienstverlener Ilionx. ‘Nu ai een grotere rol speelt in interne processen en klantoplossingen, wordt het ook belangrijker om de inzet ervan op een gestructureerde en aantoonbare manier te organiseren’, zegt Rik Opdam, managing consultant ai bij Ilionx. Michael Schmitt, portfolio manager bij Ictivity kijkt naar sectoren waar de druk snel toeneemt. ‘Het is een kwestie van tijd, zeker in zorg, lokale overheid en woningcorporaties. Wie dan al gecertificeerd is, staat sterk, niet alleen in aanbestedingen, maar ook in de dagelijkse klantrelatie.’

Het is geen kostenpost, het is een investering

Als certificering onvermijdelijk wordt, verschuift de vraag van of naar wanneer. Of scherper gesteld: wat kost het om te wachten? De certificering kost grofweg tienduizend tot honderdduizend euro, afhankelijk van de omvang van de organisatie. Dat bedrag kan doen twijfelen. Maar genoemde vier organisaties draaien de vraag bewust om: wat kost het om het níet te doen?

Voor Milgro is die afweging al gemaakt. ISO 42001 is daarbij geen losstaand project, maar de volgende stap na ISO 27001 en NIS2. ‘Je kunt zeggen dat je het goed doet, maar een keurmerk onderbouwt dat’, vertelt Gijs Derks. Ictivity deelt die redenering, maar benadert het ook vanuit een zakelijke invalshoek. ‘De kosten zijn reëel, maar de strategische waarde staat voor ons buiten kijf. ISO 42001 wordt uiteindelijk een onderscheidende bouwsteen voor organisaties. Het keurmerk is een signaal dat je als organisatie verantwoordelijkheid neemt’, zegt Michael Schmitt.

Bij Ilionx ligt de nadruk ook op de klantrelatie. Marco Marti, kwaliteitsmanager GRC bij Ilionx, vult aan: ‘ISO 42001 is voor ons relevant om aan te tonen dat we klanten verantwoord adviseren over het gebruik en de implementatie van ai-toepassingen. Niet als verplichting, maar als bewijs van wat de organisatie al doet.’ Thinkwise koppelt de overweging rechtstreeks aan bedrijfsrisico. De organisatie zet ai in voor het efficiënter maken van interne processen en ze zijn volop bezig met het implementeren van ai-functionaliteiten in haar modelgedreven ontwikkelplatform. Het bedrijf weet daardoor uit ervaring wat er op het spel staat als ai-systemen niet goed worden beheerd. ‘Het gaat om het beheersen van risico’s, het bewaken van de kwaliteit van output en het versterken van vertrouwen richting klanten. Dat is geen abstract streven, maar iets wat dagelijks in de operatie terugkomt’, zegt Mariët Scholten van Thinkwise.

Intern vertrouwen is minstens zo waardevol

De investering wordt vaak gerechtvaardigd door externe factoren: klantverwachtingen, concurrentiepositie en risicobeheersing. Maar intern blijkt de impact minstens zo groot.

Dat wordt bij Milgro misschien wel het meest concreet zichtbaar. De organisatie investeert niet alleen in processen, maar bewust in mensen. Er komt een dedicated ai-compliance-medewerker en een ai agent officer: iemand die in de eerste maanden volledige vrijheid kreeg om tools en toepassingen te verkennen en nu agents bouwt samen met het operations excellence team. ‘Ai-vragen komen bij de juiste mensen, omdat die er zijn en de processen kloppen. Dat klinkt vanzelfsprekend, maar vraagt om echte investering. We winnen er vertrouwen mee: we weten dat vragen over ai in goede handen zijn’, licht Gijs Derks toe.

Bij Ilionx is de certificering een richtinggevend kader voor de hele organisatie, niet als een project met een einddatum. Rik Opdam: ‘We scholen onze medewerkers, werken onze algemene voorwaarden bij en verantwoord AI nemen we mee bij de beoordeling van nieuwe en bestaande producten en diensten.’

Vooroplopen of inhalen  

Het beeld is duidelijk: ISO 42001 is nog geen harde eis, maar beweegt die kant op. De klantvraag komt, de investering is te onderbouwen en interne opbrengst is groter dan gedacht. Daarmee verandert ook de kernvraag voor organisaties. Niet langer: moeten we hier al iets mee? Maar: willen we vooroplopen of straks inhalen?

Marianne Snapper, contentspecialist Marcommit

Het kabinetsvoorstel betekent dat medewerkers die voor een deel in aandelen worden beloond, daaropvolgend in Nederland belasting moeten betalen over de papieren winst, zonder dat zij aandelen hebben verzilverd.

Techbedrijven als Adyen, Bird, Bunq, Catawiki, CM.com, DataSnipper, Just Eat Takeaway.com, Mews, Picnic, Polarsteps, Remote, Sendcloud, Smart Photonics, TomTom en Transferz staan op hun achterste poten. Ook een aantal in Nederland gevestigde techbedrijven waaronder Booking.com, Uber en Prosus hebben de felle schriftelijke reactie over deze fiscale aanpak ondertekend. Samen hebben deze techbedrijven een coalitie gevormd die het kabinet in een brief waarschuwt voor de gevolgen.

Aandelen

Bedrijven concurreren wereldwijd om dezelfde schaarse specialisten, van ai-specialisten en engineers tot senior management. De beloningen die (grote) techbedrijven hun medewerkers bieden, moeten aansluiten op de internationale arbeidsmarkt, vindt de coalitie.

In de internationale techwereld is het gebruikelijk dat een groot deel van de medewerkers deels wordt beloond in aandelen (equity). Het kabinet wil niet alleen daadwerkelijk gerealiseerd inkomen zoals dividend, als vermogensaanwas belasten maar ook jaarlijkse papieren waardestijgingen van bezittingen. En tot ongenoegen van de techwereld worden aandelenbeloningen daar bijgerekend. Een stijging van dit aandelenpakket kan tot een flinke belastingaanslag leiden.

Belasting bij realisatie

Betrokken techbedrijven pleiten met klem voor belasting bij realisatie: waardestijgingen van aandelen worden pas belast op het moment van verkoop, bijvoorbeeld wanneer werknemers uit dienst gaan en hun aandelen te gelde willen maken. Dan wordt het een vermogenswinstbelasting, zoals die in vrijwel alle andere Europese landen geldt.

Middels een reparatie via de Wet fiscale stimulering van startups en scale-ups tracht het kabinet een deel van het tech-ecosysteem te ontzien. Maar de grotere vaak internationaal opererende techbedrijven vallen daar buiten. De tech-coalitie met Jeroen van Glabbeek, ceo CM.com, als spreekbuis noemt dat een systeemfout.

Als belasting bij realisatie niet mogelijk is, stelt de coalitie voor om de uitzondering in de Wet fiscale stimulering van startups en scale-ups breder toe te passen. Alle aandelen verkregen als onderdeel van een beloningspakket worden dan belast via een vermogenswinstbelasting in plaats van een vermogensaanwasbelasting.

Speciale belastingstatus

Een ander voorstel tot reparatie is herstel van de partiële buitenlandse belastingplicht binnen de 27 procent-regeling. Dit betekent dat mensen die uit het buitenland komen werken, een speciale belastingstatus kunnen krijgen zodat ze minder belasting betalen over bepaalde inkomsten.

Voor sommige onderdelen doet de fiscus alsof iemand in het buitenland woont. Buitenlandse werknemers vallen nu onder een regeling waarbij 27 procent van het loon onbelast mag worden vergoed. Tenslotte vraagt de coalitie een ruime verliesverrekening: introductie van een effectieve ‘carry-back-regeling’ van ten minste drie jaar (als een bedrijf nu verlies maakt, mag het dat verlies aftrekken van winsten die het in de afgelopen drie jaar heeft gemaakt. Daardoor krijgt het belasting terug, n.v.d.r.)

De overheid krijgt per 1 januari 2027 een nieuwe Archiefwet die is toegesneden op het digitale tijdperk. De Eerste Kamer stemde afgelopen dinsdag in met de modernisering.

De belangrijkste verandering is dat overheden hun blijvend te bewaren informatie voortaan binnen tien jaar moeten overdragen aan een archiefdienst, in plaats van na twintig jaar. Dat moet zorgen voor meer openheid, beter behoud van digitaal erfgoed en snellere toegang voor onderzoekers en journalisten.

Minister Rianne Letschert (OCW) zegt dat de wet nodig is om digitale overheidsinformatie veilig te stellen. ‘Alleen als informatie vindbaar, betrouwbaar en leesbaar blijft, kunnen burgers, politici, journalisten en onderzoekers de overheid volgen en bevragen. Dat versterkt het vertrouwen in de overheid en de democratische rechtsstaat.’

Papier

De huidige Archiefwet stamt uit 1995, een tijd waarin overheden vooral met papier werkten. De nieuwe wet sluit aan op hoe informatie nu ontstaat: digitaal, versnipperd en in grote hoeveelheden.

Overheden worden daarom verplicht om digitale informatie ‘vanaf het moment van ontstaan’ goed te beheren. Dat geldt voor e-mails, chatberichten, videobeelden, websites en andere digitale bronnen. Ze moeten duurzaam worden opgeslagen, zodat ze niet verdwijnen bij systeemupdates of verouderde technologie. Achteraf ordenen werkt simpelweg niet meer.

Ook wordt het toezicht op informatiebeheer aangescherpt, met onder meer een meldplicht en de mogelijkheid tot boetes.

Vaak uitstel

De wet verduidelijkt verantwoordelijkheden, vertaalt oude begrippen naar de digitale praktijk en moderniseert de diploma‑eis voor archivarissen. Daarnaast komt er meer aandacht voor scholing en professionalisering. Zo moet de wet een stevige basis leggen voor toekomstbestendig beheer van overheidsinformatie.

De invoering van de nieuwe Archiefwet is meermaals uitgesteld. Begin 2022 werd nog aangenomen dat de wet begin 2024 van kracht kon zijn. Daarna werd 1 juli 2026 genoemd en uiteindelijk is de inwerkingtreding bepaald op 1 januari 2027. 

De discussie over ai schiet vaak door in doemscenario’s of marketingpraat, maar in De Grote Verandering kiest futurist en ai-spreker Robbert van Empel voor een nuchtere, meer afgewogen kijk. Hij laat zien dat de ai-revolutie al in volle gang is, dat ontwikkelingen elkaar razendsnel opvolgen en dat de gevolgen direct relevant zijn voor de lezer. Geen hype, geen handboek, maar een helder geschreven gids die uitlegt waarom de impact van ai sneller en breder voelbaar wordt dan veel organisaties beseffen.

In De Grote Verandering – Hoe machines slimmer worden en wat dat voor jou betekent noemt de auteur vier technologische revoluties die tegelijkertijd plaatsvinden: de doorbraak van ai (kennisexplosie), de overgang naar vrijwel schone energie, de revolutie in biotechnologie en de explosieve groei van sensortechnologie. Samen vormen deze ontwikkelingen een versnellingsmechanisme dat de economie, samenleving en zelfs onze definitie van mens-zijn opnieuw vormgeeft, aldus de schrijver.

In zijn 144 pagina’s tellende werk, dat door Van Duuren Management is uitgegeven, gaat Van Empel van de vier genoemde technologische revoluties vooral in op ai. Verwacht echter geen technisch handboek. De schrijver probeert in heldere taal en zonder jargon de complexe krachten achter ai te ontrafelen en laat zien waarom de toekomst sneller dichterbij komt dan veel mensen denken. Hij legt niet alleen uit wat er gebeurt, maar ook waarom dit relevant is voor iedereen: van ondernemers en beleidsmakers tot studenten en nieuwsgierige lezers.

Van Empel koppelt de opkomst van ai aan lessen uit technologische doorbraken uit de geschiedenis, vat kernachtig samen wat ai volgens hem eigenlijk is en beschrijft met tal van voorbeelden hoe ai de wereld nu al verandert. Hij schetst feitelijk, dus zonder de vaak angstaanjagende scenario’s die in opinies over ai meestal doorklinken, welke gevaren er op de loer liggen. Die feitelijke benadering is verfrissend in een tijd waarin het lijkt alsof de opkomst van ai alleen nog door voor- of tegenstanders wordt geanalyseerd.

Mensentaal

Een onderwerp dat meermaals in het boek terugkomt, is vibe coding, oftewel programmeren zonder code. Iedereen kan in principe zonder kennis van programmeertalen als Python, C++ of JavaScript software bouwen in ‘gewone mensentaal’, stelt Van Empel. Door die ‘democratisering’ van softwareontwikkeling is de barrière tussen een idee hebben en software maken volgens hem vrijwel verdwenen.

Van Empel biedt ook handvatten waarmee lezers zelf kunnen experimenteren met ai. Dat doet hij zonder oog te verliezen voor de risico’s. Het boek wordt afgesloten met een hoofdstuk waarin de lezer kennismaakt met prompt engineering. In die ‘praktijkgids’ leert de lezer hoe ai-modellen het beste kunnen worden bevraagd om tot bevredigende antwoorden te komen. Ook legt Van Empel de werking van veelgebruikte taalmodellen uit.

Daarnaast bespreekt Van Empel de verschillen tussen veelgebruikte ai-modellen zoals Gemini (Google), Claude (Anthropic) en ChatGPT (OpenAI). Ook deelt hij een promptbibliotheek met eigen voorbeelden voor het bouwen van ai-tools. Het gaat om toepassingen voor het maken van samenvattingen, projectvoorstellen of werkplanningen. Om up-to-date te blijven in de snel veranderende wereld van ai deelt hij bovendien een link naar informatie over nieuw beschikbare ai-tools.

De auteur bepleit in zijn boek dat lezers vooral zelf met ai aan de slag moeten gaan. Of zoals hij het samenvat: ‘Je kunt honderden boeken lezen over zwemmen, maar je leert het pas echt als je in het water springt.’ Door te doen, verdwijnt de angst en worden mogelijkheden ontdekt, stelt Van Empel, die vervolgens een gereedschapskist aanreikt waarmee ai-vaardigheden zijn te ontwikkelen.

De Grote Verandering – Hoe machines slimmer worden en wat dat voor jou betekent
Auteur: Robbert van Empel
ISBN: 978-94-9348-014-8
Uitgeverij: Van Duuren Management

Hij stond als advocaat onder meer ByteDance bij, het moederbedrijf van TikTok, in een zaak over vermeende inbreuk op de privacy.

Potjewijd werkt bij De Brauw Blackstone Westbroek, het grootste advocatenkantoor van Nederland. Hij geeft mede leiding aan de praktijkgroep gegevensbescherming. Potjewijd is gespecialiseerd in complexe rechtszaken en de handhaving van regelgeving, met name op het gebied van gegevensbescherming, gegevensbeheer en gegevensbeveiliging. 

Zijn werk bevindt zich vaak op het snijvlak van juridische risico’s, technologie en publieke controle, en hij adviseert over belangrijke internationale kwesties. Bij het advocatenkantoor was hij eerder ook voorzitter van het bestuur. Voor zijn lange carrière als advocaat was hij docent en onderzoeker aan de Universiteit Leiden.

Onvoorspelbare werkwijze

Bij de AP wacht hem een aantal grote uitdagingen. Vertrekkend voorzitter Aleid Wolfsen is niet geheel onomstreden. Hij krijgt al jaren kritiek op zijn bestuurlijke stijl, de trage en soms ook onvoorspelbare werkwijze van de AP onder zijn leiding, en zijn manier van omgaan met onafhankelijkheid en toezicht. 

Onder zijn leiding was de AP vaak slecht bereikbaar en onderbemand. De AP nam de telefoon bewust minder vaak op om de werkdruk te verlagen: nog maar twee uur per dag, vier dagen per week bereikbaar. Dit leidde tot minder klachten, maar werd gezien als symptoombestrijding en gebrek aan capaciteit.

Bedrijven en overheden ervaren het boetebeleid als onvoorspelbaar. Dit leidt tot onzekerheid in de markt over wat wel en niet mag onder de privacywetgeving. Wolfsen zou zich te veel beroepen op de volledige onafhankelijkheid van de toezichthouder, waardoor zijn ‘wil wet is’, terwijl de buitenwereld meer overleg en afstemming verwacht. 

Kritiek

Deze kritiek kwam vooral naar voren in de officiële evaluatie van de AP door de Universiteit Tilburg en Berenschot, die in maart 2025 naar de Tweede Kamer is gestuurd. De toenmalige staatssecretaris uitte kritiek op het feit dat Wolfsen zichzelf als opdrachtgever van de evaluatie positioneerde.

De AP leverde het rapport bovendien te laat aan het ministerie, waardoor een gelijktijdige reactie onmogelijk was. Voor het rapport zijn ook medewerkers van de AP geïnterviewd. Zij bevestigen de organisatorische problemen, gebrek aan duidelijke prioritering en een cultuur waarin kritiek lastig is.

Digitale samenleving

Monique Verdier, vicevoorzitter van de AP: ‘Wij zijn heel blij dat Geert Potjewijd deze rol op zich wil nemen. Hij brengt letterlijk de buitenwereld binnen. Hij weet veel over gegevensbescherming, maar zijn intrinsieke motivatie om mensenrechten te versterken en de democratie te beschermen, is nog belangrijker.’

Geert Potjewijd: ‘De digitale samenleving en de groei van artificiële intelligentie raken ons allemaal. De AP heeft daarin als toezichthouder een belangrijke rol.

De nieuwe voorzitter van de AP staat voor de taak om leiding en richting te geven aan een toezichthouder in een digitale samenleving. Een samenleving die met de dag verder digitaliseert en waarin enorme hoeveelheden persoonsgegevens worden verzameld, gebruikt en doorgegeven. Algoritmes en artificiële intelligentie maken de impact op het leven van mensen nog veel groter. 

Dat vraagt om een toezichthouder die mensen beschermt, stelt de AP in een persbericht. ‘En om een voorzitter die stevig leiding geeft, op de toekomst gericht is en oog heeft voor wat er speelt in de maatschappij en wat mensen nodig hebben. Maar die ook voortdurend de balans bewaakt tussen innovatie en de bescherming van grondrechten.’

Clinical Diagnostics voldeed tijdens de geruchtmakende hack begin juli 2025 niet aan de wettelijk verplichte norm NEN 7510 voor informatiebeveiliging in de zorg. Als dat wel was gebeurd, zou de kans op een massale datahack kleiner zijn geweest en waren de gevolgen minder ernstig uitgevallen. Dat concludeert de Inspectie Gezondheidszorg en Jeugd (IGJ) na onderzoek bij het medisch diagnostisch laboratorium in Rijswijk, dat deel uitmaakt van het Franse Eurofins.

Tijdens de hack werden de (medische) gegevens van zo’n 941.000 personen ingezien of gestolen. Vooral onder deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker was de onrust groot.

Organisaties die werken met patiëntgegevens moeten voldoen aan de norm NEN 7510 om risico’s op cyberincidenten te beperken. Maar zelfs in december vorig jaar had het lab zijn zaken bij de betrokken bedrijfsonderdelen (LCPL en NMDL in Rijswijk) nog niet op orde. Er was geen onafhankelijke audit uitgevoerd op de informatiebeveiliging. Daarnaast had het bedrijf de risico’s bij het verwerken van gegevens niet periodiek in kaart gebracht, zoals is voorgeschreven. Zonder inzicht in die risico’s kon het niet bepalen welke maatregelen nodig waren voor databeveiliging. De inspectie gaat hier de komende tijd scherper op letten.

Veronderstelling

Volgens Clinical Diagnostics bleek het niet mogelijk vast te stellen hoe de aanvallers toegang kregen tot een gecompromitteerd gebruikersaccount. Het moederbedrijf Eurofins verkeerde in de veronderstelling dat de gehele omgeving van Clinical Diagnostics werd gemonitord door het security operations center (soc). De legacy-omgevingen die de hackers wisten binnen te dringen, zouden echter door een menselijke fout buiten de scope van de monitoring zijn geraakt.

Het SOC dacht ten onrechte dat die omgevingen niet langer actief waren en schakelde de monitoring ervan uit. Hierdoor werden afwijkende patronen in de logging niet opgemerkt. Het viel daardoor niet op dat hackers data van bijna een miljoen burgers wisten te ontfutselen.

Het bedrijf zei tegenover de onderzoekers van de IGJ dat de toegang tot het gecompromitteerde account ten tijde van de hack was beveiligd met een wachtwoord van zestien karakters. Op het getroffen account bleek echter geen multi-factorauthenticatie actief. In het verleden zou dat wel het geval zijn geweest.

Juist beeld

De inspecteurs hadden nogal wat tijd en moeite nodig om van de situatie bij Clinical Diagnostics een juist beeld te krijgen. Zo zei het bedrijf gedeeltelijk aan de NEN 7510-norm te voldoen. Later bleek echter dat dit alleen gold voor een bedrijfsonderdeel dat buiten de hack was gebleven. Verder hadden de inspecteurs gevraagd of de getroffen bedrijfsonderdelen aantoonbaar voldeden aan de norm NEN 7510. Het bedrijf zei niet te weten of hier in het verleden een audit had plaatsgevonden. Anderhalve maand later moest Clinical Diagnostics erkennen dat dit al meer dan drie jaar niet was gebeurd.

Gezien de grote omvang van de gegevensverwerking en de risico’s voor de persoonlijke levenssfeer van betrokkenen, vanwege de gevoelige aard van de gegevens, had het bedrijf meer verantwoordelijkheid moeten nemen, aldus de inspectie. De wettelijke plicht om volgens NEN 7510 te werken bestaat juist om dit soort risico’s te beperken. Clinical Diagnostics had de risico’s van de verwerking van deze gegevens periodiek en bij grote veranderingen in kaart moeten brengen. Zonder die risico’s te kennen, was het bedrijf niet in staat passende maatregelen te treffen.

Certificaat

De affaire rond Clinical Diagnostics geeft de IGJ aanleiding om zorgaanbieders op te roepen om aantoonbaar te werken volgens NEN 7510. Zij moeten beschikken over een certificaat en/of beoordeling door een onafhankelijke partij. Voor zorgaanbieders die gebruikmaken van laboratoria of andere derde partijen betekent dit dat zij ook actief moeten controleren of de informatiebeveiliging van deze partijen aantoonbaar voldoet. De inspectie besteedt hier de komende tijd extra aandacht aan in haar toezicht, omdat zorgketens bijzonder kwetsbaar blijken. Eén hack kan direct handenvol zorginstellingen raken.

De IGJ kan geen sancties opleggen. De Autoriteit Persoonsgegevens (AP) kan dat wel, maar heeft het onderzoek naar de zaak nog niet afgerond. Clinical Diagnostics heeft na de aanval al losgeld betaald aan de cybercriminelen. De financiële schade kan nog verder oplopen nu blijkt dat het bedrijf meer verantwoordelijkheid had moeten nemen.

Datacenter NorthC heeft weer stroom

In het NorthC datacenter in Almere waar vorige week donderdag een grote brand woedde, is vanmorgen om 09:30 uur de tijdelijke, redundante stroomvoorziening ingeschakeld, evenals de koeling. Daarmee is een belangrijke mijlpaal bereikt in het herstel na de brand van 7 mei. Klanten worden geïnformeerd en starten gefaseerd en gecoördineerd hun ict-systemen weer op.

Er is ook gestart met de analyse hoe zo snel mogelijk een aansluiting op het reguliere stroomnet kan worden gerealiseerd. Wanneer deze aansluiting met het reguliere stroomnet actief is, gaat de huidige tijdelijke installatie als back-up stroomvoorziening dienen. Het onderzoek naar de oorzaak van de brand is inmiddels in volle gang. Dit onderzoek wordt gedaan door verschillende experts. Het is nog niet bekend wanneer de conclusies van dat onderzoek gereed zullen zijn.

[Foto] Luchtfoto van het NorthC datacenter in Almere. Links (niet zichtbaar) en rechts (de rode containers) naast het gebouw zijn rijen generatoren te zien die zorgen voor de tijdelijke stroomvoorziening. 

WeAreBrain en Pulsr fuseren tot één ai-bedrijf

WeAreBrain uit Amsterdam en Pulsr uit Haarlem gaan samen verder onder de naam WeAreBrain. Met de fusie ontstaat één organisatie die zich richt op ai-native productontwikkeling. Volgens de bedrijven sluit de stap aan bij een bredere ontwikkeling in de softwaremarkt, waarin data en kunstmatige intelligentie een centralere rol spelen. WeAreBrain brengt ervaring in productontwikkeling en ai mee, terwijl Pulsr zich specialiseert in ai-architectuur en data science.

De combinatie moet leiden tot een breder dienstenaanbod. Als eerste concrete resultaten noemen de bedrijven het ai-orchestration- en control layer-platform Sinas en de datamanagementtool One. Het in 2018 opgerichte WeAreBrain heeft kantoren in Amsterdam, Kyiv, Valencia en Lausanne.

OGD benoemt Leon van Meel tot directeur

OGD ict-diensten uit Delft stelt Leon van Meel aan als algemeen directeur. Hij volgt ceo Roel Nikkessen en commercieel directeur Rein van Beers op, die na respectievelijk dertig en 27 jaar vertrekken. Van Meel komt over met ervaring in leidinggevende functies bij it-bedrijven als Conclusion en Your.Cloud. Hij zal de verdere ontwikkeling van OGD begeleiden binnen moederbedrijf Building Beyond Technology Group (BBTG).

Onder Nikkessen en Van Beers groeide OGD naar een organisatie met ruim duizend medewerkers. De komende weken werken zij samen met Van Meel aan de overdracht. De dienstverlener is sinds 2025 onderdeel van BBTG en richt zich op het ontwikkelen en beheren van ict-oplossingen.

Qrcus uit Eindhoven en Partners in Technology gaan op in Expertum Nederland

Expertum Nederland uit Sittard, Qrcus uit Eindhoven en Partners in Technology uit Houten gaan verder als één organisatie. Met deze integratie, met Expertum Nederland als handelsnaam, ontstaat een SAP-dienstverlener met een gecombineerd portfolio en teams verspreid over meerdere locaties in Nederland. De nieuwe organisatie komt onder leiding van managing director Janne Meijers, afkomstig van Qrcus.

Volgens de bedrijven moet de samenvoeging zorgen voor een breder aanbod en kortere lijnen richting klanten. De focus ligt op ondersteuning bij SAP‑trajecten, van advies tot beheer. Ze zijn onderdeel van het Belgische Expertum, opgericht in 2006. Dat bedrijf uit Erpe-Mere is in de voorbije jaren middels overnames uitgegroeid tot een van de grotere SAP-consultingspelers in de Benelux. In september 2023 nam het investeringsfonds Sofindev een meerderheidsbelang in Expertum om de ingezette buy & build-strategie financieel te ondersteunen.

EyeTi neemt SiSo over van Greendelta

Investeringsmaatschappij EyeTi heeft SiSo Computers uit Almere overgenomen van Greendelta Corporate Investments. Met de overname wil EyeTi zijn positie als investeerder op de markt van duurzame en circulaire it versterken.

SiSo richt zich op it‑lifecycle management, van aanschaf tot verwerking van apparatuur. Het bedrijf bestaat 35 jaar en levert diensten rond hergebruik en afvoer van hardware. Volgens de partijen verandert er voor klanten niets; teams en dienstverlening blijven intact. Het huidige management blijft aan.

Het bedrijf dat achter onderwijsplatform Canvas zit, kreeg deze week de gestolen data weer terug omdat het wél betaalde. Het is een dilemma. Ga je in op de eisen van de crimineel in of niet? Om eerlijk te zijn: als ik een inbreker met een mes in mijn huis tegen zou komen, dan zou ik niet in discussie gaan. Ik zou vragen: ‘Kan ik je helpen met inpakken?’

Alsof mijn e-mailadres en telefoonnummer niet allang te koop staan

Odido betaalde niet en heeft nu een claim van gedupeerde gebruikers aan de broek hangen. Je kunt je natuurlijk afvragen of dat wel zo’n goed idee is. Het helpt natuurlijk niet als we met z’n allen zielig gaan zitten doen omdat onze gegevens gehackt zijn. Alsof mijn e-mailadres en telefoonnummer niet allang op het darkweb te koop staan.

Bovendien: als wij bedrijven maar blijven aanklagen omdat ze bestolen zijn, dan is het hacken van dit soort bedrijven alleen maar lucratiever. Immers, het bedrijf zal sneller losgeld gaan betalen omdat er anders een dikke claim wacht.

Overvaller

Misschien moeten we iets onverschilliger worden over onze gegevens. Als een overvaller op straat je dwingt om geld te geven omdat hij anders je e-mailadres op Instagram zet, dan zeg je ook: ‘Loop door, gek!’ En natuurlijk, je wilt liever dat je gegevens veilig zijn. Maar heel veel meer voor diensten gaan betalen, willen we ook niet.

Mijn e-mailadres is overigens info@jacobspoelstra.nl. Een of andere gek heeft het op mijn website gezet.

Jacob Spoelstra is columnist/stand-upcomedian. Kijk hier voor meer informatie.

Enorme hoeveelheden klantgegevens waren gedownload zonder dat Odido daar een flauw benul van had. Ook het externe team van cybersecurity-specialisten dat het telecombedrijf bijstond, concludeerde enkele uren na de hack dat er niets was ontvreemd.

Odido, dat afgelopen dinsdag op de geruchtmakende hack terugkwam, kan nog steeds niet goed verklaren waarom de diefstal onopgemerkt bleef. Toen ShinyHunters de massale kraak meldde, was dat voor Odido een verrassing. Tisha van Lammeren, ‘chief commercial officer (cco) mass market’ wilde daar weinig over zeggen behalve dan de uitspraak dat de hackers goede technieken hebben om de diefstal te bedekken en dat alles op de achtergrond plaatsvindt. Maar deskundigen zeggen dat als de logging en monitoring van systemen in orde was geweest, dit niet zo ver had hoeven te komen.

‘Niets verkeerd gedaan’

Ceo Søren Abildgaard zei tegenover klanten dat zijn bedrijf ‘niets verkeerd’ heeft gedaan, maar dat er ‘mogelijk wel fouten zijn gemaakt’. Volgens hem voldeed de beveiliging bij Odido aan de vereisten. Of dat echt zo is, moet het onderzoek uitwijzen dat de Rijksinspectie Digitale Infrastructuur (RDI) doet in samenwerking met de Autoriteit Persoonsgegevens (AP).

Verder is dinsdag duidelijk geworden hoe ShinyHunters in de klantsystemen van Odido wist binnen te komen. Daar was alleen een telefoontje naar de klantenservice voor nodig geweest. Een medewerker dacht met de it-afdeling te maken te hebben en logde in op een valse versie van de werkomgeving. Op die manier kregen de hackers de inloggegevens van de medewerker in handen. Een uur lang had ShinyHunters vrij spel in de klantsystemen van Odido. Volgens de hackers konden ze in dat uur 21 miljoen regels aan data afkomstig van acht miljoen klanten wegsluizen. Odido houdt het op 6,2 miljoen accounts.

Veel kritiek

Odido blijkt op vele punten te hebben gefaald. Pas ruim twee weken na de hack werd de volle omvang van de hack door het telecombedrijf erkend. Ook duurde het lang voordat Odido toegaf dat ook notities over het betaalgedrag van klanten en andere gevoelige informatie in verkeerde handen waren gekomen.

Een maand lang dacht het telecombedrijf dat alleen consumenten waren getroffen. Toen de hackersgroep begin maart alle gegevens op het darkweb zette, merkte Odido ineens dat daar ook data van zakelijke klanten bij zaten.

Het bedrijf kreeg ook veel kritiek op de trage en summiere communicatie. Maar volgens cco Van Lammeren kwam dat omdat het bedrijf zelf ook niet wist wat er precies aan de hand was.